Pengantar Keamanan IT : Prowse (2012)
Januari 29, 2020
Edit
Pengantar Keamanan IT
Translate Book Prowse (2012)
Selamat datang! Sebelum kami meluncurkan keamanan tugas berat, saya ingin membahas beberapa konsep keamanan tingkat dasar. Saya sarankan semua orang membaca bab ini, tetapi jika Anda adalah seorang profesional berpengalaman, Anda dapat memilih untuk memindai atau melewatkannya. Bagi Anda yang baru di bidang keamanan TI, bab ini (dan bagian selanjutnya dari buku ini) bertindak sebagai dasar karier TI Anda yang rapi.
Sangat penting dalam organisasi saat ini untuk melindungi informasi dan sistem informasi dari akses yang tidak sah dan untuk mencegah modifikasi, gangguan, atau perusakan data kecuali disetujui oleh organisasi. Singkatnya adalah keamanan informasi. Perusahaan menganggapnya begitu penting sehingga banyak direktur TI telah berubah menjadi eksekutif penuh — chief information officer (CIO) atau chief technology officer (CTO). Tapi jangan maju dulu! Buku ini untuk orang yang ingin memulai, atau melanjutkan, jalan sebagai administrator keamanan. Banyak nama lain diberikan untuk posisi itu, tetapi kami akan tetap menggunakannya untuk kesinambungan di seluruh buku ini.
Seluruh buku ini adalah semua tentang keamanan informasi; ini tentang menempatkan risiko dan kerentanan pada informasi Anda, dan menghilangkan risiko-risiko itu, atau setidaknya menguranginya ke titik yang dapat diterima oleh organisasi Anda.
Bab pertama ini berbicara tentang beberapa konsep dasar keamanan dasar dan mengajarkan Anda untuk berpikir seperti seorang hacker tetapi bertindak seperti seorang administrator.
Keamanan
Hal pertama yang perlu kita hindari adalah tidak ada yang sepenuhnya atau benar-benar aman. Orang mungkin memberikan definisi pintar tentang sesuatu yang bisa sepenuhnya aman, tetapi itu adalah utopia — sesuatu yang bisa dibayangkan tetapi tidak pernah tercapai. Selalu ada jalan keluar atau melalui tindakan pencegahan keamanan apa pun yang kami bangun.
Sekarang setelah dipahami bahwa tidak ada skenario yang sempurna, kita dapat beralih ke beberapa dasar keamanan yang dapat membantu membangun fondasi yang kuat di mana mitigasi risiko keamanan yang tepat dapat dimulai.
tidak, kami tidak berbicara keamanan nasional, tetapi komputer dapat menjadi korban dari operasi rahasia. Untuk bertahan melawan yang terburuk, orang-orang TI berusaha untuk mematuhi tiga prinsip inti keamanan informasi: kerahasiaan, integritas, dan ketersediaan. Secara kolektif, ketiganya dikenal sebagai triad CIA.
Dengan menggunakan konsep kerahasiaan, integritas, dan ketersediaan untuk data Anda, perangkat keras, perangkat lunak, dan komunikasi organisasi dapat diamankan dengan benar. Mari kita bahas masing-masing dari tiga item dari trias CIA secara lebih mendalam.
- Kerahasiaan — Mencegah pengungkapan informasi kepada orang yang tidak berwenang. Untuk publik, ini menandakan nomor Jaminan Sosial (atau identifikasi spesifik negara lainnya), informasi SIM, rekening bank dan kata sandi, dan sebagainya. Untuk organisasi, ini dapat mencakup semua informasi sebelumnya, tetapi sebenarnya menunjukkan kerahasiaan data. Untuk merahasiakan data, organisasi harus bekerja keras untuk memastikan bahwa itu hanya dapat diakses oleh individu yang berwenang. Buku ini menghabiskan banyak waktu untuk berdiskusi dan menunjukkan bagaimana menyelesaikannya. Misalnya, ketika Anda menggunakan nomor kartu kredit di toko atau online, nomor tersebut harus dienkripsi dengan sandi yang kuat sehingga nomor kartu tidak dapat dikompromikan. Lain kali Anda membeli sesuatu secara online, lihat bagaimana nomor kartu kredit dirahasiakan. Sebagai seorang profesional keamanan, kerahasiaan harus menjadi tujuan nomor satu Anda. Dalam menjaga kerahasiaan data, Anda menghilangkan ancaman, menyerap kerentanan, dan mengurangi risiko.
- Integritas — Ini berarti bahwa data belum dirusak. Diperlukan otorisasi sebelum data dapat dimodifikasi dengan cara apa pun untuk melindungi integritas data. Misalnya, jika seseorang menghapus file yang diperlukan, baik jahat atau tidak, integritas file itu akan dilanggar. Seharusnya ada izin untuk menghentikan orang tersebut menghapus file. Ini tip untuk Anda: Beberapa organisasi tidak menghapus data — pernah!
- Ketersediaan — Mengamankan komputer dan jaringan dapat menjadi beban sumber daya. Ketersediaan berarti bahwa data dapat diperoleh terlepas dari bagaimana informasi disimpan, diakses, atau dilindungi. Ini juga berarti bahwa data harus tersedia terlepas dari serangan jahat yang mungkin dilakukan padanya.
Tiga prinsip ini harus diterapkan setiap kali berurusan dengan keamanan perangkat keras, perangkat lunak, atau komunikasi. Mereka harus menjadi yang terpenting dalam pikiran seorang administrator keamanan.
Singkatan lain yang harus dijalani adalah AAA keamanan komputer: otentikasi, otorisasi, dan akuntansi.
- Otentikasi — Ketika identitas seseorang dibuat dengan bukti dan dikonfirmasi oleh suatu sistem. Biasanya, ini memerlukan identitas digital semacam, nama pengguna / kata sandi, atau skema otentikasi lainnya.
- Otorisasi — Ketika pengguna diberikan akses ke data atau area tertentu dari suatu bangunan. Otorisasi terjadi setelah otentikasi dan dapat ditentukan dalam beberapa cara termasuk izin, daftar kontrol akses, waktu, dan pembatasan login lainnya dan pembatasan fisik.
- Akuntansi — Pelacakan data, penggunaan komputer, dan sumber daya jaringan. Seringkali ini berarti pencatatan, audit, dan pemantauan data dan sumber daya. Akuntabilitas dengan cepat menjadi lebih penting di jaringan aman hari ini. Bagian dari konsep ini adalah beban pembuktian. Anda sebagai petugas keamanan harus memberikan bukti jika Anda yakin seseorang melakukan tindakan tidak sah. Ketika Anda memiliki bukti yang tak terbantahkan tentang sesuatu yang telah dilakukan pengguna dan mereka tidak dapat menyangkalnya, ini dikenal sebagai nonrepudiation.
Konsep AAA ini juga harus diterapkan pada rencana keamanan apa pun yang Anda kembangkan. Tapi ini lebih jauh dari ini. Ada protokol otentikasi berdasarkan konsep AAA seperti RADIUS.
Dasar-dasar Keamanan Informasi
Keamanan informasi adalah tindakan melindungi data dan sistem informasi dari akses yang tidak sah, modifikasi dan gangguan yang melanggar hukum, pengungkapan, korupsi, dan perusakan. Kami membahas cara menerapkan keamanan informasi di seluruh buku, tetapi untuk sekarang mari kita bicara tentang beberapa jenis ancaman dasar yang perlu Anda ketahui untuk menjadi administrator keamanan yang efektif:
■ Perangkat lunak berbahaya — Dikenal sebagai malware, ini termasuk virus komputer, worm, Trojan horse, spyware, rootkit, adware, dan jenis perangkat lunak lain yang tidak diinginkan. Setiap orang telah mendengar skenario di mana komputer pengguna dikompromikan sampai batas tertentu karena perangkat lunak berbahaya.
■ Akses tidak sah — Akses ke sumber daya dan data komputer tanpa persetujuan pemilik. Itu mungkin termasuk mendekati sistem, masuk tanpa izin, berkomunikasi, menyimpan dan mengambil data, memotong data, atau metode lain yang akan mengganggu kerja normal komputer. Akses ke data harus dikontrol untuk memastikan privasi. Akses administratif yang tidak tepat juga termasuk dalam kategori ini.
■ Kegagalan sistem — Komputer macet atau kegagalan aplikasi individual. Ini dapat terjadi karena beberapa alasan, termasuk kesalahan pengguna, aktivitas jahat, atau kegagalan perangkat keras.
■ Rekayasa sosial — Tindakan memanipulasi pengguna untuk mengungkapkan informasi rahasia atau melakukan tindakan lain yang merugikan pengguna. Hampir setiap orang mendapat email saat ini dari entitas yang tidak dikenal yang membuat klaim palsu atau meminta informasi pribadi (atau uang!); ini adalah salah satu contoh rekayasa sosial.
Banyak teknologi dan konsep keamanan informasi dapat melindungi dari, atau membantu memulihkan dari, ancaman sebelumnya. Pertanyaannya adalah apakah organisasi Anda memiliki sumber daya untuk mengimplementasikannya? Bahkan dengan anggaran rendah jawabannya biasanya "ya." Semuanya dimulai dengan perencanaan, yang secara efektif gratis.
Secara umum, administrator keamanan harus membuat rencana keamanan proaktif yang biasanya dimulai dengan penerapan kontrol keamanan. Saat membuat rencana keamanan, beberapa profesional TI membagi rencana menjadi tiga kategori kontrol sebagai berikut:
■ Fisik — Hal-hal seperti sistem alarm, kamera pengintai, kunci, kartu ID, penjaga keamanan, dan sebagainya.
■ Teknis — Item seperti kartu pintar, daftar kontrol akses (ACL), enkripsi, dan otentikasi jaringan.
■ Administratif — Berbagai kebijakan dan prosedur, pelatihan kesadaran keamanan, perencanaan darurat, dan rencana pemulihan bencana (DRP). Kontrol administratif juga dapat dipecah menjadi dua subbagian: kontrol prosedural dan kontrol hukum / peraturan.
Kontrol keamanan informasi ini digunakan untuk melindungi kerahasiaan, integritas, dan ketersediaan, atau "CIA" data.
Lebih khusus, beberapa cara untuk mencegah dan membantu memulihkan dari ancaman sebelumnya termasuk
■ Kesadaran pengguna — Semakin bijaksana pengguna, semakin kecil peluang pelanggaran keamanan. Pelatihan dan pendidikan karyawan, kebijakan yang mudah diakses dan dimengerti, email kesadaran keamanan, dan sumber daya keamanan online semuanya membantu untuk memberikan kesadaran pengguna. Metode ini dapat membantu melindungi dari semua ancaman yang disebutkan sebelumnya. Meskipun hanya bisa sejauh ini dengan tetap hemat biaya dan produktif, mendidik pengguna dapat menjadi metode yang sangat baik ketika berusaha untuk melindungi terhadap serangan keamanan.
■ Otentikasi — Verifikasi identitas seseorang yang membantu melindungi terhadap akses tidak sah. Ini adalah tindakan pencegahan yang dapat dipecah menjadi empat kategori:
■ Sesuatu yang diketahui pengguna, misalnya kata sandi atau PIN
■ Sesuatu yang dimiliki pengguna, misalnya kartu cerdas atau token keamanan lainnya
■ Sesuatu yang dilakukan pengguna, misalnya, pembacaan biometrik sidik jari atau pemindaian retina
■ Sesuatu yang dilakukan pengguna, misalnya, pengenalan suara atau tanda tangan tertulis
■ Perangkat lunak antimalware — Melindungi komputer dari berbagai bentuk perangkat, dan jika perlu, mendeteksi dan menghapusnya. Jenis termasuk perangkat lunak antivirus dan antispyware. Contoh terkenal termasuk program dari Symantec dan McAfee, serta Windows Defender dan Spyware Doctor. Sekarang,
banyak perangkat lunak bernama "antivirus" dapat melindungi terhadap spyware dan jenis malware lainnya juga.
■ Pencadangan data — Pencadangan tidak akan menghentikan kerusakan data, tetapi dapat memungkinkan Anda memulihkan data setelah serangan atau kompromi lainnya, atau kegagalan sistem. Dari program seperti Windows Backup and Restore Center, NTbackup, dan Bacula ke program tingkat perusahaan seperti Tivoli dan Veritas, cadangan data adalah bagian penting dari keamanan. Perhatikan bahwa metode toleran kesalahan seperti RAID 1 dan 5 adalah langkah pencegahan yang baik terhadap kegagalan perangkat keras tetapi mungkin tidak menawarkan perlindungan dari korupsi atau penghapusan data. Untuk informasi lebih lanjut tentang RAID, lihat Bab 14, “Redundansi dan Pemulihan Bencana.”
■ Enkripsi — Tindakan mengubah informasi menggunakan algoritme yang dikenal sebagai sandi untuk membuatnya tidak dapat dibaca oleh siapa pun kecuali pengguna yang memiliki "kunci" yang tepat untuk data tersebut. Contohnya termasuk sesi nirkabel terenkripsi AES, halaman web HTTPS, dan email terenkripsi PGP.
■ Penghapusan data — Penghapusan data yang benar jauh melampaui penghapusan file atau format media digital. Masalah dengan penghapusan file / pemformatan adalah remanensi data, atau residu, tertinggal, dari mana penciptaan kembali file dapat dilakukan oleh beberapa orang yang kurang bereputasi dengan alat pintar. Perusahaan biasanya menggunakan salah satu dari tiga opsi ketika bertemu dengan prospek penghapusan data: pembersihan, pembersihan (juga dikenal sebagai sanitasi), dan penghancuran. Kita berbicara lebih banyak tentang ini di Bab 15, “Kebijakan, Prosedur, dan Orang-Orang.”
Dengan menggabungkan rencana keamanan yang dipikirkan dengan matang dengan metode keamanan individu yang kuat, seorang profesional keamanan dapat secara efektif menghentikan ancaman sebelum menjadi kenyataan, atau setidaknya, dalam skenario terburuk, pulih dari mereka dengan cepat dan efisien.
Rencana keamanan terkuat mengambil banyak atau semua metode ini dan menggabungkannya dalam strategi pelapisan yang dikenal sebagai pertahanan mendalam, yang dapat didefinisikan sebagai pembangunan dan pelapisan langkah-langkah keamanan yang melindungi data di seluruh siklus hidup mulai dari awal, pada melalui penggunaan, penyimpanan dan transfer jaringan, dan akhirnya untuk dibuang.
Berpikir Seperti Hacker
Saya tidak memaafkan aktivitas jahat apa pun, tetapi untuk berpikir seperti seorang peretas, Anda harus memahami peretas tersebut. Seorang hacker yang baik memahami pikiran administrator keamanan, membuat keamanan komputer dan jaringan menjadi proposisi yang sulit. Tetapi kebalikannya juga benar — petugas keamanan yang cerdas mengetahui peretas dan metode mereka.
Jadi tanyakan pada diri sendiri, mengapa orang memutuskan untuk menjadi peretas? Dalam pikiran beberapa individu jahat, itu mungkin hanya karena pengguna ada untuk dimanfaatkan! Jawaban umum lainnya adalah keserakahan — dalam hal ini tindakan peretasan untuk keuntungan moneter ilegal. Penyerang lain memiliki agenda, atau percaya pada suatu sebab. Beberapa ingin mendapatkan akses gratis ke film dan musik. Akhirnya, beberapa hanya ingin menyebabkan kekacauan dan anarki. Pertimbangkan ini ketika Anda mengamankan komputer organisasi Anda — mereka mungkin saja menjadi target! Tentu saja, orang menggunakan nama yang berbeda untuk mengklasifikasikan tipe-tipe individu ini: peretas, cracker, penjahat cyber, dan sebagainya. Tidak masalah apa pun panggilan Anda, tetapi istilah yang diterima di sebagian besar lingkaran keamanan jaringan adalah peretas.
Sekarang pertimbangkan ini: Tidak semua peretas berbahaya. Tepat sekali! Ada berbagai jenis peretas. Berbagai nama digunakan oleh organisasi yang berbeda, tetapi beberapa label umum meliputi yang berikut:
■ Topi putih — Ini tidak berbahaya; misalnya, orang IT yang mencoba meretas ke sistem komputer sebelum ditayangkan untuk mengujinya. Secara umum, orang yang mencoba meretas memiliki perjanjian kontrak dengan pemilik sumber daya yang akan diretas. Topi putih sering terlibat dalam sesuatu yang dikenal sebagai peretasan etis. Peretas etis adalah pakar dalam menerobos sistem dan dapat menyerang sistem atas nama pemilik sistem dan dengan persetujuan pemilik. Peretas etis menggunakan pengujian penetrasi dan pengujian intrusi untuk mencoba mendapatkan akses ke jaringan atau sistem target.
■ Topi hitam — Ini berbahaya dan berupaya membobol komputer dan jaringan komputer tanpa izin. Topi hitam adalah mereka yang melakukan pencurian identitas, pembajakan, penipuan kartu kredit, dan sebagainya. Hukuman untuk jenis kegiatan ini sangat berat, dan topi hitam tahu itu; Ingatlah hal ini jika dan ketika Anda melakukan kontak dengan salah satu dari orang-orang kumuh ini — mereka bisa brutal, terutama ketika terpojok. Tentu saja, banyak vendor mencoba menjadikan istilah "topi hitam" menjadi sesuatu yang lebih imut dan tidak berbahaya. Tetapi untuk tujuan ini
buku dan keamanan pekerjaan Anda, kami perlu memanggil sekop sekop, atau dalam hal ini, topi hitam individu yang jahat.
■ Topi abu-abu — Ini mungkin orang yang paling tidak bisa dijelaskan di planet ini. Mereka adalah individu yang tidak memiliki afiliasi dengan perusahaan tetapi berisiko melanggar hukum dengan mencoba meretas sistem dan kemudian memberi tahu administrator sistem bahwa mereka berhasil melakukannya — hanya untuk memberi tahu mereka! Tidak melakukan sesuatu yang berbahaya (selain menerobos ...). Beberapa topi abu-abu menawarkan untuk memperbaiki kerentanan keamanan dengan harga tertentu, tetapi jenis ini juga dikenal sebagai topi hijau atau tentara bayaran.
■ Topi biru — Mereka adalah individu yang diminta untuk mencoba meretas ke dalam sistem oleh suatu organisasi, tetapi organisasi tersebut tidak mempekerjakan mereka. Organisasi ini bergantung pada fakta bahwa orang itu hanya menikmati peretasan ke dalam sistem. Biasanya, jenis skenario ini terjadi saat menguji sistem.
■ Elite — Elite hacker adalah orang yang pertama kali mengetahui tentang kerentanan. Hanya 1 dari sekitar 10.000 peretas yang memakai topi Elite. Penghargaan atas penemuan mereka biasanya disesuaikan dengan orang lain yang lebih tertarik pada ketenaran. Banyak dari tipe individu ini biasanya tidak peduli tentang "kredit jatuh tempo" dan lebih tertarik pada anonimitas — mungkin pilihan yang bijaksana. Anda tidak ingin mendapatkan sisi buruk dari peretas Elite; mereka dapat menghancurkan sebagian besar jaringan dan program dalam beberapa jam jika diinginkan.
Kami sebutkan sebelumnya bahwa tidak ada sistem yang benar-benar aman. Peretas tahu ini dan mengandalkannya. Ini adalah pertempuran konstan di mana administrator dan penyerang secara konsisten membangun dan menghancurkan perangkap tikus yang lebih baik dan lebih baik. Timbangan selalu terbalik-balik; seorang hacker mengembangkan cara untuk membobol sistem, kemudian administrator menemukan cara untuk memblokir serangan itu, kemudian hacker mencari metode alternatif, dan seterusnya. Ini sepertinya berbau ayam dan telur — mana yang lebih dulu? Jawaban: Anda harus menerimanya berdasarkan kasus per kasus. Beberapa kalimat olok-olok terakhir ada karena satu alasan — untuk meyakinkan Anda bahwa Anda harus waspada; Anda perlu sering meninjau log; bahwa Anda perlu menggunakan sebanyak mungkin peringatan keamanan; bahwa Anda harus terus mengikuti serangan terbaru dan cara-cara untuk mengurangi risiko; dan untuk tidak pernah meremehkan kekuatan dan ketahanan seorang hacker.