Dokumen tersebut membahas tentang teknik dan strategi pendeteksian ancaman keamanan informasi. Ia menjelaskan konsep intrusion detection system, sumber-sumber ancaman keamanan, dan cara mendeteksi serangan seperti deteksi penyalahgunaan dan deteksi anomali. Dokumen ini juga membahas pentingnya log management untuk mengamankan sistem informasi serta mengimplementasikan security information and event management.

1. teknik & strategi
pendeteksian
ancaman keamanan
informasi

2. +
intrusion detection system
log management

3. keamanan informasi
melindungi informasi dan sistem informasi dari akses,
penggunaan, pengungkapan, gangguan, modifikasi atau
perusakan

4. keamanan komputer
cabang dari teknologi yang dikenal sebagai keamanan informasi
yang diterapkan pada komputer, memastikan ketersediaan dan
operasi yang benar dari suatu sistem komputer

5. ancaman keamanan informasi
setiap keadaan atau peristiwa dengan potensi untuk merusak
suatu sistem informasi melalui akses tidak sah, kerusakan,
pengungkapan, modifikasi data, dan/atau penolakan layanan

6. sumber ancaman keamanan informasi
???

7. sumber ancaman keamanan informasi
manusia
karyawan, manajemen, kontraktor, konsultan, vendor

8. sumber ancaman keamanan informasi
rendahnya kesadaran

9. sumber ancaman keamanan informasi
terlalu canggihnya infrastruktur

10. sumber ancaman keamanan informasi
kompleksitas & efektivitas penyerang
hackers & malware

11. sumber ancaman keamanan informasi
bencana
banjir, gempa bumi, kebakaran, dll.

12. intrusion detection system

13. mengapa butuh ids?
rules & signatures ⇢identifikasi & monitor ⇢ belajar

14. bagaimana mendeteksi sebuah
serangan (intrusi)?

15. deteksi pasif (ids)
mendeteksi anomali, log informasi dan membuat peringatan
vs
deteksi reaktif (ips)
mendeteksi anomali dan melakukan tindakan untuk membatasi
dampak dari serangan

16. deteksi penyalahgunaan
mendeteksi intrusi dalam hal karakteristik serangan atau
kerentanan yang dikenal
deteksi anomali
mendeteksi setiap tindakan yang secara signifikan menyimpang
dari perilaku normal

17. data data data data data data data
data data data data data data data
data data data data data data data
data data data data data data data
data data data data data data data
data data data data data data data

18. data data data data data data data
data data data data data data data
data data data data data data data
data data data data data data hack
hack hack data
data data data data data data data
data data data data data data data

19. penggunaan internet (dalam megabyte)
9
11
13
15
17
19
21
23

20. penggunaan internet (dalam megabyte)
9
11
13
15
17
19
21
23

21. penggunaan internet (dalam megabyte)
9
11
13
15
normal
17
19
21
23

22. penggunaan internet (dalam megabyte)
9
11
13
15
normal
17
19
anomali
21
23

23. https://www.google.com/
http://www.detik.com/
https://webmail.perusahaan.co.id/
https://www.facebook.com/
https://www.twitter.com/

24. https://www.google.com/
http://www.detik.com/
https://webmail.perusahaan.co.id/
https://www.facebook.com/
https://www.twitter.com/
http://www.packetstormsecurity.org/
http://host.cn/.secret/backdoor.zip

25. kelebihan kekurangan
bekerja secara
tidak dapat
deteksi akurat dan
mendeteksi
penyalahgunaan menghasilkan lebih
serangan baru
sedikit false-alarm
dapat mendeteksi false-alarm yang
deteksi anomali serangan baru tinggi dan terbatas
berdasarkan audit pada data training

26. host-based ids
network-based ids

27. host-based ids
network-based ids

28. Firewall
Implementasi HIDS
pada Web Server
Router Web Server
NIDS Hub/Switch Mail Server
Implementasi NIDS Implementasi HIDS
pada Jaringan Kantor pada Mail Server
Jaringan Kantor

29. Firewall
ids di jaringan switch Router
menggunakan tap
NIDS TAP
Switch

30. Firewall
ids di jaringan switch Router
menggunakan span
NIDS Switch

31. log management

32. log
catatan tentang peristiwa yang terjadi dalam sistem organisasi
dan jaringan

33. log management
proses menghasilkan, mentransfer, menyimpan, menganalisis
dan membuang data log keamanan komputer

34. macam-macam log
catatan audit • log transaksi
peringatan intrusi • log koneksi
catatan kinerja sistem
log aktivitas pengguna

35. penghasil log
firewall • ips • router • switch • hub
ids • server • workstation
aplikasi bisnis • database
anti-virus • anti spam
vpn • proxy

36. logging monitoring analisis
audit deteksi insiden wawasan yang
mendalam
forensik pencegahan kerugian tanggap terhadap
serangan
kepatuhan kepatuhan prediksi kegagalan

37. pentingnya log management

38. pentingnya log management
identifikasi dan perlindungan terhadap ancaman

39. pentingnya log management
regulatory compliance

40. pentingnya log management
internal policy & procedure compliance

41. pentingnya log management
dukungan terhadap audit internal dan eksternal

42. pentingnya log management
menanggapi insiden dengan cepat dan tepat

43. pentingnya log management
dukungan litigasi, forensik dan “e-discovery”

44. pentingnya log management
pemecahan masalah sistem dan jaringan

45. pentingnya log management
manajemen kinerja TI

46. mengapa butuh standar log?

47. standar log
transfer • format • konten • regulasi

48. contoh kebijakan log management
untuk sistem yang berisiko rendah
lama penyimpanan 1 - 2 minggu
rotasi opsional
setidaknya 1 kali seminggu atau setiap 25 MB
frekuensi transfer 3 - 4 jam
dari sistem ke infrastruktur log management
frekuensi analisis 1 - 7 hari
pemeriksaan integritas opsional
enkripsi opsional

49. contoh kebijakan log management
untuk sistem yang berisiko medium
lama penyimpanan 1 - 3 bulan
rotasi setiap 6 - 24 jam atau
setiap 2 - 5 MB
frekuensi transfer 15 - 60 menit
dari sistem ke infrastruktur log management
frekuensi analisis 12 - 24 jam
pemeriksaan integritas ya
enkripsi opsional

50. contoh kebijakan log management
untuk sistem yang berisiko tinggi
lama penyimpanan 3 - 12 bulan
rotasi setiap 15 - 60 jam atau
setiap 0.5 - 1 MB
frekuensi transfer 5 menit
dari sistem ke infrastruktur log management
frekuensi analisis 4 jam
pemeriksaan integritas ya
enkripsi ya

51. operasional log management
konfigurasi sumber log ⇢ analisis log ⇢ reaksi terhadap events ⇢ menyimpan log

52. Pengumpulan Log
Sentralisasi
Peringatan Analisis Berbagi
Penyimpanan
Pelaporan

53. mengamankan log

54. mengamankan log
membatasi akses terhadap log file

55. mengamankan log
hindari pencatatan data sensitif yang tidak dibutuhkan

56. mengamankan log
melindungi file log yang diarsipkan

57. mengamankan log
mengamankan proses yang menghasilkan entri log

58. mengamankan log
mengkonfigurasi setiap sumber log untuk berperilaku tepat saat
kesalahan pencatatan terjadi

59. mengamankan log
menerapkan mekanisme yang aman untuk transfer data log dari
sistem ke server pusat manajemen log

60. sentralisasi log
aksesibilitas • kategorisasi & korelasi
pengurangan volume • pengurangan waktu respon
peningkatan efisiensi solusi keamanan

61. tantangan implementasi

62. log management sebagai
dukungan terhadap compliance

63. contoh log dari perangkat
firewall koneksi yang diblokir, DoS, koneksi outbound
nids/nips intrusi, probes, abuse
host kegagalan perangkat, crash, akses tidak sah
anti-virus status pembersihan, kegagalan pemutakhiran
aplikasi metrik penggunaan, pelanggaran penggunaan

64. contoh log dari sistem operasi
perubahan pada akun/grup
login akun, elevated privileges
perubahan pada file/directory permission
shutdown
patch & hotfixes

65. contoh log dari nids/nips
percobaan intrusi
network scanning
penyalahgunaan hak istimewa administrator
anomali jaringan
pelanggaran acceptable use policy (aup)

66. siem
security information and event management

67. komponen siem
1. pengumpulan log & context data
2. normalisasi
3. korelasi (sem)
4. notifikasi/peringatan (sem)
5. prioritasi (sem)
6. pelaporan (sim)
7. alur kerja tugas

68. penggunaan siem

69. penggunaan siem
security operation centre (soc)

70. penggunaan siem
mini-soc (morning after response)

71. penggunaan siem
automated-soc (alert + investigate)

72. penggunaan siem
compliance status reporting

73. pengadaan siem
membangun sendiri / beli / outsource

74. pengadaan siem: membangun sendiri
kelebihan kekurangan
bisa mendapatkan seperti yang kita pemeliharaan yang sulit
inginkan
bisa melakukan hal-hal yang tidak dapat self-support
dilakukan oleh vendor
kebebasan memilih platform, kurangnya pengujian terhadap platform,
perlengkapan dan metode perlengkapan dan metode
tidak ada biaya dimuka ketidakmampuan menangani volume log
yang besar
menyenangkan skalabilitas

75. pengadaan siem: beli
kelebihan kekurangan
cepat mendapatkan solusi yang diinginkan perlunya keterlibatan kita untuk
menggunakannya
dukungan terhadap sumber log staf yang berpengalaman dan terampil
sangat dibutuhkan
dukungan pengembangan yang terus tidak diperolehnya solusi yang diharapkan
berlangsung
ada pihak lain yang dapat usia vendor
bertanggungjawab

76. pengadaan siem: outsource
kelebihan kekurangan
adanya pihak lain yang bertanggungjawab adanya pihak lain yang bertanggungjawab
terhadap masalah keamanan kita terhadap masalah keamanan kita
umumnya tidak diperlukan pembelian tidak diperolehnya solusi yang diharapkan
perangkat
lebih sedikit staf yang dibutuhkan risiko SLA dan kehilangan kontrol
terhadap data
lebih disukai manajemen volume dan akses log

77. kriteria pemilihan siem
kebutuhan • besarnya organisasi • ketersediaan
sumber daya • budaya dan dukungan manajemen

78. perangkat opensource
pengumpulan log
syslog-ng, kiwi, snare, lasso, apache2syslog, logger, dll
sentralisasi & transfer
stunnel, ssh, openssl
pra-pengolahan
logpp
penyimpanan
database (mysql, postgres, dll), file system storage
analisis
ossec, ossim, swatch, logwatch, logsentry, dll.

79. q&a

80. jim geovedi twitter: @geovedi
http://www.slideshare.net/geovedi