KEBUTUHAN AKAN KEAMANAN

Ancaman dan serangan

6 September 2023
Outline bahasan

n Fungsi keamanan informasi

n Ancaman
n Serangan

Kebutuhan akan keamanan informasi 6 September 2023 2

Introduction

n Misi utama keamanan informasi adalah untuk memastikan system dan isinya
tetap sama
n Jika tidak ada ancaman, sumber daya dapat difokuskan pada perbaikan system,
sehingga menghasilkan perkembangan yang besar pada kemudahan
penggunaan dan kemanfaatan system
n Tetapi faktanya, serangan terhadap system informasi terjadi setiap hari

Kebutuhan akan keamanan informasi 6 September 2023 3

Kebutuhan Bisnis

Keamanan Informasi memiliki empat fungsi penting dalam sebuah organisasi:

n Melindungi kemampuan organisasi menjalankan fungsinya
n Memungkinkan operasi yang aman dari aplikasi-aplikasi yang
diimplementasikan dalam system teknologi informasi organisasi
n Melindungi data yang dikumpulkan dan digunakan oleh organisasi
n Menjaga asset teknologi yang digunakan organisasi

Kebutuhan akan keamanan informasi 6 September 2023 4

(F1):Perlindungan Fungsi Organisasi

n Baik manajemen umum maupun manajemen TI keduanya bertanggungjawab

pada implementasi keamanan informasi untuk melindungi kemampuan organisasi
menjalankan fungsinya
n Keamanan informasi merupakan permasalahan managemen dan personil
n Organisasi harus menangani keamanan informasi dalam konteks dampak bisnis
dan biayanya.

Kebutuhan akan keamanan informasi 6 September 2023 5

(F2): Memungkinkan Operasi yang Aman dari Aplikasi-aplikasi

n Organisasi membutuhkan lingkungan yang melindungi aplikasi menggunakan

system TI
n Manajemen harus terus mengawasi infrastruktur, tanpa tergantung pada
departemen TI

Kebutuhan akan keamanan informasi 6 September 2023 6

(F3): Melindungi data yang dikumpulkan dan
digunakan organisasi

n Organisasi, tanpa data, akan kehilangan rekaman transaksi dan atau kemampuan
untuk menghadirkan nilai pada pelanggan
n Melindungi data, baik saat bergerak maupun diam, adalah aspek yang krusial
dalam keamanan informasi

Kebutuhan akan keamanan informasi 6 September 2023 7

(F4): Menjaga asset teknologi dalam organisasi

n Organisasi harus memiliki layanan infrastruktur yang aman berdasarkan ukuran

dan ruang lingkup perusahaan
n Layanan keamanan tambahan mungkin diperlukan saat organisasi berkembang
n Solusi yang lebih kuat mungkin diperlukan untuk menggantikan program keamanan
organisasi yang terlalu besar

Kebutuhan akan keamanan informasi 6 September 2023 8

Ancaman

n Sebuah ancaman (threat) didefinisikan sebagai sebuah obyek, orang, atau entitas
lain yang menghadirkan suatu bahaya yang tetap terhadap suatu asset.
n Manajemen harus mengetahui ancaman-ancaman yang berbeda yang dihadapi
organisasi
n Survey CSI/FBI 2009 menemukan 64% organisasi terinfeksi malware, dan 14%
penetrasi system terindikasi dari pihak luar organisasi.

Kebutuhan akan keamanan informasi 6 September 2023 9

Ancaman pada Keamanan Informasi

Kebutuhan akan keamanan informasi 6 September 2023 10

Pengguna Internet Dunia

Kebutuhan akan keamanan informasi 6 September 2023 11

Bahaya terhadap kekayaan intelektual

n Kekayaan intelektual (Intellectual Property) adalah kepemilikan atas ide-ide dan

pengawasan terhadap representasi nyata (tangible) maupun maya (virtual) dari
ide-ide tersebut.
n Pelanggaran kekayaan intelektual yang paling umum meliputi pembajakan
software.
n Dua organisasi penginvestigasi penyalahgunaan software:
n Software & Information Industry Association (SIIA)
n Business Software Alliance (BSA)
n Penegakan undang-undang hak cipta telah diupayakan dengan mekanisme
keamanan secara teknis, misalnya menggunakan watermark digital.

Kebutuhan akan keamanan informasi 6 September 2023 12

Serangan Software yang disengaja

n Malicious Software (Malware) didesain untuk merusak, menghancurkan, atau

menolak servis pada system target.
n Meliputi virus, worms, Trojan horses, back doors, dan serangan denial-of-
service.
n Sebuah virus macro disisipkan dalam eksekusi otomatis kode macro.
n Sebuah virus boot menginfeksi file system operasi kunci yang berlokasi di dalam
boot sector computer.
n Worms adalah program-program berbahaya yang mereplikasi diri secara konstan
tanpa memerlukan program lain.
n Trojan horses adalah program-program software yang menyembunyikan sifat
sejati mereka dan menunjukkan sifat tersebut hanya saat diaktivasi.

Kebutuhan akan keamanan informasi 6 September 2023 13

Serangan Trojan Horse

Kebutuhan akan keamanan informasi 6 September 2023 14

Spionase atau aksi pelanggaran yang disengaja

n Akses terhadap informasi yang dilindungi oleh individu yang tidak terotorisasi
n Competitive intelligence (legal) vs industrial espionage (illegal)
n Shoulder surfing dapat terjadi dimanapun seseorang mengakses informasi
yang rahasia.
n Pengawasan memungkinkan penyintas tahu bahwa mereka melanggar batas
ruang maya sebuah organisasi.
n Hacker menggunakan ketrampilan, tipu daya, atau penipuan untuk memotong
pengawasan yang melindungi informasi pihak lain.

Kebutuhan akan keamanan informasi 6 September 2023 15

Shoulder Surfing

Kebutuhan akan keamanan informasi 6 September 2023 16

Expert and Unskilled hacker

n Expert hacker:
n Membangun script software dan eksploitasi program
n Biasanya seorang master dengan banyak ketrampilan
n Akan sering membuat software serangan dan membagikannya pada pihak
lain
n Unskilled hacker:
n Jauh lebih banyak daripada expert hacker
n Menggunakan software yang sudah ada untuk mengeksploitasi sebuah
system
n Biasanya tidak sepenuhnya memahami sstem yang mereka retas

Kebutuhan akan keamanan informasi 6 September 2023 17

Terminologi lain pada system breaker

n Cracker diartikan sebagai individu yang meretakkan atau menghapus perlindungan

software yang didessain untuk mencegah duplikasi yang tidak sah.
n Phreaker menyerang jaringan telpon umum untuk melakukan panggilan secara
gratis dan atau mengganggu layanan.

Kebutuhan akan keamanan informasi 6 September 2023 18

Aksi pemerasan informasi

n Penyerang mencuri informasi dari system computer dan menuntut

kompensasi untuk pengembaliannya atau untuk tidak menyebarkannya,
n Umumnya terjadi pada pencurian nomor kartu kredit

Kebutuhan akan keamanan informasi 6 September 2023 19

Human Error atau Failure

n Kategori ini meliputi kemungkinan aksi yang dilakukan tanpa maksud atau tujuan
yang jahat oleh seseorang yang bekerja di suatu organisasi.
n Kurang berpengalaman, pelatihan yang kurang tepat, dan pembuatan anggapan
yang tidak benar dapat menyebabkan masalah.
n Banyak ancaman dapat dicegah melalui pengawasan, mulai dari prosedur yang
sederhana, seperti mensyaratkan pengguna untuk mengetikkan sebuah perintah
penting dua kali, sampai pada prosedur yang lebih komplek, seperti verifikasi
perintah oleh pihak kedua.

Kebutuhan akan keamanan informasi 6 September 2023 20

Aksi Human Error atau Failure

Kebutuhan akan keamanan informasi 6 September 2023 21

Sabotase atau Vandalisme

n Serangan terhadap website sebuah organisasi. Ancaman bervariasi mulai dari

perusakan kecil sampai sabotase yang terorganisir
n Kerusakan website dapat mengikis kepercayaan konsumen, menurunkan
penjualan, dan kekayaan organisasi.
n Saat ini, ahli keamanan mencatat adanya peningkatan bentuk lain dari vandalism
online, operasi hacktivist atau cyberactivist.
n Yang lebih ekstrim, cyberterrorism, yang menyerang system untuk melakukan
kegiatan teroris melalui jaringan atau jalur Internet.

Kebutuhan akan keamanan informasi 6 September 2023 22

 Aksi Pencurian

n Pencurian adalah pengambilan secara illegal property dari pihak lain. Dalam
sebuah organisasi, property dapat berupa fisik, elektronik, atau intelektual.
n Nilai informasi berkurang jika diduplikasi dan diambil tanpa sepengetahuan pemilik
n Pencurian secara fisik dapat dikontrol dengan mudah. Banyak hal dapat dilakukan,
seperti mengunci pintu, pelatihan personel keamanan, dan memasang system
alarm.
n Pencurian elektronik merupakan masalah yang lebih komplek. Organisasi bahkan
mungkin tidak tahu jika hal ini terjadi.

Kebutuhan akan keamanan informasi 6 September 2023 23

Kekuatan Alam

n Kekuatan alam merupakan ancaman yang paling berbahaya, sebab tidak terduga
dan dapat terjadi dengan peringatan yang sangat minim, seperti kebakaran,
kebanjiran, gempa bumi, tsunami dll.
n Merusak tidak hanya kehidupan individu, tetapi juga penyimpanan, transmisi, dan
pengunaan informasi.
n Organisasi harus mengimplementasikan control untuk meminimalkan kerusakan
dan menyiapkan rencana cadangan untuk operasi lanjutan.

Kebutuhan akan keamanan informasi 6 September 2023 24

Penyimpangan Kualitas Layanan

n Kategori ini meliputi situasi dimana sebuah produk atau layanan tidak sampai
pada organisasi seperti yang diharapkan
n Layanan Internet, komunikasi, dan ketidakstabilan daya sangat berpengaruh pada
ketersediaan informasi dan system.
n Layanan utility lain juga dapat berpengaruh terhadap organisasi, seperti telepon,
air, air limbah, pengangkutan sampah, tv kabel, gas alam, dan layanan
administrasi nformasi.

Kebutuhan akan keamanan informasi 6 September 2023 25

Technical Hardware and Software Failure

n Hardware failure terjadi saat pabrikan mendistribusikan equipmen yang cacat

kepada user
n Dapat menyebabkan system bekerja di luar parameter yang diharapkan, akibatnya
layanan lemah dan tidak bisa diandalkan.
n Software failure berawal dari pembelian software dengan kesalahan yang
tersembunyi.
n Kombinasi software dan hardware tertentu dapat mengakibatkan software bug
baru.
n Sejumlah besar kode computer ditulis, dieksekusi, dipublikasi, dan dijual sebelum
semua bug mereka terdeteksi dan diselesaikan.

Kebutuhan akan keamanan informasi 6 September 2023 26

Serangan

n Sebuah kerentanan (vulnerability) adalah kelemahan yang teridentifikasi dari

sebuah system kendali dimana pengendalian tidak lagi efektif.
n Sebuah serangan (attacks) adalah suatu aksi yang disengaja untuk
mengeksploitasi sebuah kerentanan untuk mengganggu sebuah system yang
terkontrol.
n Sebuah serangan dilakukan oleh sebuah threat agent yang merusak atau
mencuri informasi atau asset fisik dari sebuah organisasi

Kebutuhan akan keamanan informasi 6 September 2023 27

Attack Replication Vectors

Kebutuhan akan keamanan informasi 6 September 2023 28

Aneka Serangan (1)

n Malicious code: eksekusi terhadap virus, worms, Trojan horse, dan aktivasi
script web yang ditujukan untuk menghancurkan atau mencuri informasi
n Hoaxes: mentransmisikan hoax virus yang disertai dengan virus yang
sesungguhnya; sebuah serangan yang lebih licik
n Back door: mendapatkan akses kepada system atau jaringan menggunakan
mekanisme akses yang telah ditemukan sebelumnya.
n Password crack: upaya untuk membalikkan kalkulasi sebuah password
n Brute force attack: mencoba semua kemungkinan kombinasi dari sebuah
password
n Dictionary attack: memilih akun khusus untuk diserang dan menggunakan
password yang umum dipakai untuk memandu tebakan.

Kebutuhan akan keamanan informasi 6 September 2023 29

Denial-of-Service (DoS) attack

Kebutuhan akan keamanan informasi 6 September 2023 30

Aneka Serangan (2)

n Spoofing adalah sebuah teknik yang digunakan untuk mendapatkan akses tak
resmi pada computer, dimana intruder mengirimkan pesan pada sebuah computer
yang memuat sebuah IP address yang mengindikasikan bahwa pesan tersebut
berasal dari sebuah host yang terpercaya.
n Man-in-the-middle: penyerang memonitor paket-paket jaringan, memodifikasinya,
dan menyisipkan kembali ke jaringan.
n Spam: e-mail komersial yang tidak diminta; lebih merupakan sebuah gangguan
daripada sebuah serangan, walau dapat memicu terjadinya beberapa serangan
n Mail bombing: juga merupakan DoS; penyerang mengirimkan sejumlah besar e-
mail kepada target.

Kebutuhan akan keamanan informasi 6 September 2023 31

IP Spoofing

Kebutuhan akan keamanan informasi 6 September 2023 32

Man-in-the-middle attack

Kebutuhan akan keamanan informasi 6 September 2023 33

Aneka Serangan (3)
n Sniffer adalah sebuah program atau peralatan yang memonitor perjalanan data
dalam sebuah jaringan; dapat digunakan baik untuk tujuan yang sah maupun untuk
mencuri informasi dari jaringan.
n Social engineering adalah proses penggunaan ketrampilan sosial untuk
meyakinkan orang untuk membuka akses atau informasi bernilai lainnya kepada
penyerang.
n Phishing: sebuah upaya untuk mendapatkan informasi personal atau finansial dari
seseorang, biasanya dengan berperan sebagai entitas yang sah.
n Pharming: pengalihan jalur Web resmi ke situs yang tidak sah untuk tujuan
mendapatkan informasi private.
n Timing attack: bekerja dengan cara mengeksplorasi konten dari cache sebuah
Web browser untuk membuat cookie yang berbahaya.

Kebutuhan akan keamanan informasi 6 September 2023 34

Terima kasih
35