Upload
others
View
25
Download
0
Embed Size (px)
Citation preview
9
BAB II
TINJAUAN REFERENSI
2.1 Teori Pada sub-bab ini akan dijelaskan mengenai landasan teori yang dipakai untuk
mendukung penelitian yang penulis lakukan.
2.1.1 Cyber Security Cyber security merupakan suatu kumpulan alat, konsep keamanan,
jaminan dan teknologi yang dapat digunakan untuk melindungi lingkungan
siber, organisasi, serta aset pengguna. Cyber security sangat dibutuhkan pada
zaman sekarang ini untuk memastikan keamanan properti organisasi dan aset
pengguna terjaga (Rossouw von Solms, Johan van Niekerk, 2013). Seiring
dengan berkembanganya zaman, teknologi informasi pada dunia ini semakin
berkembang pesat dan membawa banyak perubahan dalam kehidupan
manusia. Tetapi dengan semakin cepat berkembangnya teknologi informasi
semakin cepat juga berkembangnya serangan-serangan siber yang dapat
mengancam suatu teknologi informasi. Serangan-serangan siber tersebut
bukan cuman bisa mengancam teknologi informasi secara pribadi, tetapi
sistem pertahanan milik pemerintahan juga dapat terancam jika pertahanan
sistem milik pemerintah kurang memadai. Serangan yang dilakukan antar
negara dinamakan cyber warfare dan dapat berdampak pada cyber violence.
Cyber warfare bisa diartikan sebagai suatu seni atau ilmu tentang
pertempuran tanpa adanya pertempuran, mengalahkan lawan tanpa
menumpahkan darah mereka (Carr, 2012). Cyber warfare biasanya terjadi
ketika suatu negara memiliki niat jahat terhadap negara lain, tujuannya
adalah untuk mencuri data negara lain yang bersifat rahasia dan untuk
melumpuhkan sistem yang dimiliki oleh negara musuh. Negara-negara yang
terlibat cyber warfare kerugian yang ditimbulkan bisa setara dengan
kerugian yang ditimbulkan oleh perang konvensional. Kerugian yang
ditimbulkan oleh perang konvensional bisa dilihat dalam bentuk kehancuran
bangunan beserta korban-korban perang yang berjatuhan, sedangkan
10
kerugian yang ditimbulkan akibat cyber warfare lebih sulit diamati. Cyber
violence bisa didefinisikan sebagai sesuatu yang agresif, tindakan yang
dilakukan oleh kelompok atau individu tertentu dengan menggunakan
kontak yang berbentuk elektronik, secara beruang kali terhadap korban
(Patrick Burton, Tariro Mutongwizo, 2009). Jika teknologi informasi milik
pemerintahan terancam serangan siber dapat mempengaruhi kedaulatan
Negara Kesatuan Republik Indonesia (NKRI). Serangan siber ada berbagai
macam diantaranya Malware, Phishing, Denial of Service (DoS), SQL
Injection, Man in the Middle, Cross-Site Scripting (XSS), dan Botnet.
Berikut penjelasan secara detail tentang macam-macam serangan siber:
1. Malware
Menurut (Retno Adenansi, Lia A. Novarina, 2017), Malware
merupakan suatu software yang dibuat untuk tujuan tertentu dengan
mencari celah keamanan sistem. Malware dapat mengakibatkan dampak
buruk bagi komputer maupun penggunanya karena penyerang dapat
mencuri informasi ataupun data pribadi seseorang. Tujuan malware
diciptakan oleh penyerang untuk merusak atau membobol suatu sistem
operasi melalui script rahasia atau dapat dikatakan disisipkan oleh
penyerang secara tersembunyi. Adapun jenis-jenis malware diantaranya:
a. Virus
Menurut (NA’AM, 2012), Virus merupakan perangkat lunak
berbahaya yang biasanya disimpan didalam suatu dokumen atau file
yang mendukung makro untuk mengeksekusi kode dan bisa
menyebar melalui host ke host. Setelah diunduh, virus tidak bisa
aktif sampai file dibuka atau digunakan. Virus dirancang untuk
mengganggu sistem operasi komputer. Akibatnya, virus bisa
menyebabkan kerusakan yang signifikan dan dapat menyebabkan
kehilangan data.
b. Worm
Menurut (Rastri Prathivi, Vensy Vydia, 2017), Worm
merupakan program yang bisa menggandakan dirinya secara
11
berulang-ulang, misalnya di memori atau jaringan, menghabiskan
sumber daya dan mungkin dapat mematikan komputer atau jaringan.
Sebuah worm dapat menggandakan dirinya dengan memanfaatkan
jaringan LAN/WAN/internet tanpa perlu campur tangan dari user
itu sendiri. Worm tidak seperti virus komputer biasa, yang
menggandakan dirinya dengan menyisipkan program dirinya pada
program yang ada dalam komputer tersebut, tapi worm
memanfaatkan celah keamanan yang memang terbuka atau lebih
dikenal dengan sebutan vulnerability. Beberapa worm juga
menghabiskan bandwith yang tersedia.
c. Trojan Horse
Menurut (Basofi Adi Wicaksono, Iwan Kurniawan, Rita
Rijayanti, 2017), Trojan Horse merupakan program yang sangat
cepat menyelinap ke dalam email seseorang. Ketika Trojan Horse
berhasil masuk ke dalam sistem maka program tersebut
memberikan akses kepada pengguna secara keseluruhan untuk
mengakses sistem yang sudah terinfeksi. Tujuan dibuatnya Trojan
Horse adalah untuk mendapatkan akses ke file sistem orang lain.
Dengan menggunakan Trojan Horse penyerang mampu mencuri file
dan password, serta mampu merusak file tersebut, memonitor
kegiatan korban, melakukan download file korban, dapat
menonaktifkan perangkat tertentu, merubah nama file, melakukan
force shutdown atau reboot, menonaktifkan Antivirus dan jaringan
keamanan komputer, serta menggunakan komputer korban sebagai
zombie.
d. Spyware
Menurut (Hermawan, 2016), Spyware merupakan script
komputer yang dibuat untuk mematai-matai program komputer
korban. Pada awal dibuat, virus spyware digunakan untuk memata-
matai profil pengguna komputer dan dapat menampilkan iklan yang
sesuai dengan minat pengguna sehingga setiap iklan yang
12
ditampilkan dapat menarik perhatian pengguna. Bila korban sudah
terinfeksi virus spyware semua rahasia pengguna dapat diketahui
oleh penyerang karena segala aktivitas sudah berhasil dipantau.
e. Adware
Menurut (Ianir Ideses, Assaf Neuberger, 2014), Adware
adalah aplikasi yang isinya iklan, iklan tersebut digunakan
pengembang untuk mendapatkan keuntungan. Pada adware, iklan
muncul setiap saat ketika user membuka perangkat. Adware akan
mencuri data pengguna sehingga menyebabkan kerugian, data yang
dicuri kemudian dikirim ke server jarak jauh yang nantinya akan
dijadikan penargetan iklan, dengan menampilkan iklan secara
agresif via screen hijacking, dengan menampilkan iklan-iklan pada
notifikasi area yang menjadi target sistem yang tinggi. Dan pada
kasus besar, adware dapat membajak perangkat speaker. Ketika
sistem sudah terjangkit adware, sulit untuk dilacak keberadaannya.
f. Ransomware
Menurut (Savita Mohurle, Manisha Patil, 2017), Ransomware
adalah salah satu jenis perangkat lunak berbahaya yang dirancang
untuk memblokir akses ke sistem komputer hingga membayar uang
sesuai keinginan penyerang. Berikut adalah beberapa tindakan
pencegahan untuk menghindari Ransomware:
a. Antivirus harus dilakukan update secara berkala.
b. Pesan spam atau spam chat tidak boleh dibuka atau dibalas.
c. Melakukan backup data, supaya cadangan data dapat diperbarui
secara berkala.
d. Personalisasi pengaturan anti-spam dengan cara yang benar.
e. Memperhatikan agar sistem operasi, Antivirus, browser, Adobe
Flash Player, Java, dan perangkat lunak lainnya up-to-date.
f. Pastikan Windows Firewall tetap dalam keadaan aktif.
g. Tingkatkan keamanaan komponen pada Mircorosft Office
(Word, Excel, PowerPoint, Access, dll).
13
h. Saring exe dalam email.
i. Gunakan sistem pemulihan untuk kembali ke kondisi known-clean.
j. Jangan klik tautan yang berbahasa didalam email.
k. Matikan koneksi nirkabel yang tidak digunakan, seperti
Bluetooth atau port inframerah.
l. Menggunakan jaringan Wi-Fi umum dengan bijak.
m. Jangan mengunjungi situs web yang tidak aman dan tidak dapat
diandalkan.
Serangan Ransomware yang paling terkenal yang pernah
terjadi adalah serangan Ransomware WannaCry pada tahun 2017.
Pada bulan Mei 2017, serangan WannaCry berhasil menginfeksi
tiga ratus ribu lebih komputer Windows pada lebih dari serratus
lima puluh negara. WannaCry membawa dua komponen untuk
menyerang sistem komputer, yang pertama membawa EternalBlue
untuk melakukan eksploitasi kerentanan Windows, kemudian
menyebar menggunakan protokol Server Message Block (SMB),
yang kedua membawa komponen untuk mengenkripsi WannaCry
Ransomware (Qian Chen, Robert A. Bridges, 2017).
g. Backdoor
Menurut (Wan, 2012), Backdoor adalah perangkat lunak yang
memungkinkan kita untuk mengakses sistem komputer dengan
melakukan bypass prosedur otentikasi normal. Ada dua jenis
backdoor tergantung dari bagaimana cara kerjanya dan cara
menyebarnya. Jenis pertama berfungsi seperti Trojan Horse,
Mereka dimasukkan secara manual ke bagian lain dari perangkat
lunak, kemudian dieksekusi melalui perangkat lunak host mereka
dan disebarkan oleh host perangkat lunak yang sedang dilakukan
proses instalasi. Jenis kedua bekerja seperti layaknya worm
dikarenakan mereka dieksekusi sebagai bagian dari proses boot
yang kemudian disebar melalui worm. Istilah ratware muncul untuk
14
menggambarkan malware backdoor yang telah mengubah komptuer
menjadi zombie untuk melakukan spam.
2. Phishing
Menurut (Rachmawati, 2014), Phising adalah kejahatan
penipuan elektronik yang bertujuan untuk mendapatkan informasi demi
keuntungan penjahat. Proses phising dapat meliputi informasi penting
seperti username, password, informasi kartu kredit dan infromasi
penting lainnya. Metode phising dapat menggunakan email clickbait,
website phising yang menyerupai website kredibel. Ancaman yang
terinfeksi oleh phising sebagai berikut:
a. Manipulasi Link
Manipulasi Link merupakan suatu teknik phising yang sering
digunakan oleh para hacker. Teknik yang digunakan oleh hacker
adalah memanipulasi alamat dari suatu institusi yang asli. Biasanya
URL yang memliki ejaannya yang keliru atau penggunan
subdomain yang menjadi sasaran utama, contohnya
www.microsoft.com menjadi www.micosoft.com,
www.mircosoft.com atau www.verify.microsoft.com.
b. Filter Evasion
Filter evasion merupakan teknik yang digunakan oleh hacker
untuk mengecoh pengguna dengan menggunakan gambar (bukan
teks) sehingga pengguna menyerahkan informasi pribadinya. Inilah
kenapa Gmail atau Yahoo sering mematikan gambar secara default
untuk email yang masuk.
Email phising dapat dibuat supaya tampak lebih asli ketika digunakan
untuk mengecoh pengguna, para phisher/scammer akan meletakkan:
a. Sebuah link yang telah dihubungkan ke halaman web yang sah,
tetapi sebenarnya membawa anda ke halaman web yang terkena
phising.
b. Atau pop-up yang tampak persis seperti halaman resmi.
15
Phiser biasanya menggunakan beberapa teknik dalam memancing
korban, antara lain:
a. Email spoofing
b. Pengiriman berbasis web
c. Pesan instan (chatting)
d. Trojan hosts
e. Manipulasi tautan (link)
f. Malware phising
3. Denial of Services
Menurut (Siregar, 2013), Denial of Services (DoS) merupakan
serangan yang dilakukan oleh hacker dengan membajiri server
menggunakan alur lalu lintas data yang sangat tinggi, atau melakukan
request data yang banyak dan bersamaaan ke sebuah server sehingga
server tidak lagi dapat memberikan layanan dan menjadi crash. Cara
kerja serangan DoS adalah hacker mengirimkan suatu request dalam
jumlah yang sangat besar dalam waktu bersamaan yang membuat server
menjadi kelebihan beban sehingga tidak bisa melayani layanan user.
Terdapat juga teknik dalam melakukan serangan DoS. Melakukan
serangan DoS bukanlah suatu hal yang sulit. Berikut teknik dalam
melakukan serangan DoS:
a. Mematikan server dengan teknik one shot one kill, unuk membuat
server menjadi crash, hang, reboot.
b. Memberikan request yang banyak ke server. Bisa dengan tidak
melakukan bug/vulnerability atau dengan mengexploitasi
bug/vulnerability, yaitu mengirim banyak specially crafted request,
atau normal request, yaitu mengirim banyak request yang bersifat
normal seperti pengguna biasa.
DoS mempunyai berbagai macam tipe serangan, berikut
merupakan tipe-tipe serangan dari DoS:
a. SYN Flooding
16
Serangan SYN Flooding bisa dilakukan ketika dua komputer
sudah melakukan sambungan komunikasi. Serangan SYN Flooding
menggunakan syn ask (Atau reply dari pada syn packet),
sebelumnya syn packet sudah dimodifikasi oleh si penyerang. Syn
ask yang dikirim oleh penyerang dalam jumlah yang besar sehingga
komputer target akan mengalami hang karena kelebihan beban.
b. Pentium FOOF Bug
Pentium FOOF Bug merupakan serangan yang menyerang
prosesor Pentium yang menyebabkan sistem menjadi crash
kemudian melakukan reboot. Jenis operasi sistem tidak dapat
mempengaruhi serangan ini, serangan ini hanya dapat dilakukan
terhadap sistem yang memakai prosesor Pentium.
c. Ping Flooding
Ping Flooding merupakan brute force denial of service
sederhana. Jika attacker menyerang dengan bandwith yang lebih
besar dari korban, ketika mesin korban tidak mampu menangani,
maka mesin tidak dapat mengirimkan paket data ke jaringan. Hal ini
dikarenakan mesin korban telah dibanjiri oleh paket-paket ICMP.
Disaat server yang tidak memiliki proteksi kemudian menerima
paket yang melebihi batasan yang telah ditentukan dalam protokol
IP, server tersebut akan crash, hang, atau melakukan reboot
sehingga layanan menjadi terganggu. Ping Flooding sangat mudah
dilakukan, penyerang hanya perlu mengetahui alamat IP dari
komputer yang akan diserang dan identitas penyerang susah
terdeteksi dikarenakan paket serangan Ping Flooding mudah
dilakukan rekayasa.
d. Menggantung Socket
Serangan ini dilakukan penyerang dengan cara melakukan
koneksi kemudian didiamkan, pada saat server Apache merespon
maka akan menunggu selama waktu yang telah ditentukan (Direktif
Time Out). Jika serangan itu dilakukan secara simultan dengan
17
angka yang cukup banyak maka server akan dipaksa mencapai
batasan maksimal MaxClients. Dampak yang terjadi, client yang
mencoba mengakses server Apache akan tertunda. Selain itu, jika
back log TCP terlampaui, setiap koneksi ke dalam server akan
terjadi penolakan.
e. Serangan Input Flooding
Jika server tidak melakukan verifikasi batasan input, ketika
input yang dilakukan penyerang telah melebihi batasan maksimal
maka sistem tersebut akan dibanjiri oleh buffer dan akan
menyebabkan program dihentikan secara paksa.
f. LAND Attack
Hacker menyerang server dengan mengirimkan paket TCP
SYN palsu. Dengan kata lain, source dan destination address dari
paket yang dikirim, dibuat seakan-akan berasal dari server asli.
Akibatnya server yang menjadi korban akan bingung. Apabila
seerangan ditujukan pada sistem Windows 95, sistem yang tidak
memiliki proteksi akan menjadi hang kadang-kadang dapat terjadi
blue screen.
g. Smurf Attack
Smurf Attack biasanya menggunakan ICMP sebagai target.
Penyerang akan melakukan echo request yang sering digunakan
pada saat broadcast address dalam sebuah network. Pada saat
melakukan broadcast semua jaringan yang ada didalam akan ikut
menjawab. Sehingga jika terdapat banyak host didalam jaringan
teresbut, akan terjadi traffic ICMP echo response yang berlebihan
maka server akan terjadi hang. Selain itu, penyerang biasanya akan
menyamarkan identitasnya dengan cara menggunakan alamat IP
orang lain.
Untuk melakukan serangan DoS, terdapat beberapa tools. Berikut
merupakan tools untuk melakukan serangan DoS:
a. KOD
18
KOD atau Kiss of Death merupakan tool yang digunakan
untuk menyerang Microsoft Windows pada port 139. KOD akan
mengakibatkan komputer menjadi hang atau blue screen of death.
b. NetCat
NetCat merupakan tool yang digunakan untuk menjalankan
remote command. Dengan membentuk koneksi TCP atau UDP ke
suatu port NetCat akan bertindak sebagai utilitas inetd yang ganas.
c. NesTea
NesTea digunakan untuk membekukan Linux versi Kernel 2.0
ke bawah dan Windows versi pertama. Pengembangan versi dari
NesTea disebut NesTea2.
4. SQL Injection
Menurut (Clarke-Salt, 2009), Structural Query Language (SQL)
Injection adalah suatu kegiatan ketika seseorang memberikan
kesempatan kepada penyerang untuk mempengaruhi kueri SQL dimana
aplikasi terhubung ke dalam back-end database. Ketika diberikan
kesempatan untuk mempengaruhi isi database, maka penyerang mampu
mengubah syntax dan kapabilitas dari SQL itu sendiri, sehingga dapat
mempengaruhi fleksibilitas dari fungsi database itu sendiri. SQL
Injection tidak sepenuhnya mempengaruhi web applications. Setiap
kode yang menerima inputan dari sumber yang tidak dipercaya dan
ketika inputan tersebut digunakan untuk membentuk dynamic SQL bisa
berbahaya. Pada masa dulu, SQL Injection biasanya digunakan pada
basis data disisi server, namun dengan adanya spesifikasi HTML5 saat
ini, penyerang dapat mengeksekusi JavaScript atau kode lain secara
bersamaan untuk berinteraksi dengan basis data klien sehingga dapat
mekalukan pencurian data. Sama halnya dengan mobile applications
aplikasi jahat atau script client dapat dimanfaatkan dengan cara yang
sama.
5. Cross-Site Scripting (XSS)
19
Cross-site Scripting adalah suatu kerentanan dimana penyerang
menyuntikkan script ke halaman web yang tidak di lindungi oleh
pengguna. Begitu komputer pengguna terinfeksi, penyerang dapat
menjalankan berbagai eksploitasi untuk mengendalikan komputer yang
terinfeksi, mengirimkan malware, atau bahkan mendapatkan akses ke
jaringan dan perangkat yang terpasang (Justice, 2014).
6. Botnet
Menurut (Retno Adenansi, Lia A. Novarina, 2017), Botnet
merupakan serangan yang dilakukan oleh penyerang dengan membuka
akses ke suatu sistem yang sudah terinfeksi oleh botnet, sehingga
penyerang dapat memberikan intruksi ke server yang diserang kemudian
server akan mengikuti intruksi yang diberikan oleh penyerang alias
diambil alih oleh penyerang.
2.1.2 Brute Force Menurut (Gunawan, 2016), Brute force adalah algoritma yang
memecahkan masalah dengan sangat sederhana. Brute force bekerja dengan
cara mencoba seluruh kemungkinan yang user berikan dalam suatu interval
tertentu. Algoritma ini adalah algoritma yang paling sederhana karena hanya
melakukan trial and error yang dapat dikerjakan dengan cepat tergantung
resources yang disediakan.
2.1.3 Intrusion Detection System (IDS) Menurut (Jabez J, B. Muthukumar, 2015), IDS adalah sebuah aplikasi
perangkat lunak atau alat yang digunakan untuk memonitor sistem atau
aktivitas yang diluar dugaan dan dapat memberikan informasi berupa
laporan kepada sistem manajemen. Ketika suatu anomali telah terdeteksi dan
tidak dapat dilakukan pencegahan, maka disaat itu akan digunakan Intrusion
Detection Prevention System (IDPS) yang bukan hanya ditujukan untuk
mendeteksi tetapi juga dapat mencegah anomali yang terdeteksi.
2.1.4 Network-Based Intrusion Detection System (NIDS) Menurut (Quamar Niyaz, Weiqing Sun, Ahmad Y javaid, and Mansoor
Alam, 2016), NIDS merupakan alat yang sangat penting dalam bagian
administrator sistem jaringan dimana NIDS dapat mendeteksi berbagai
20
pelanggaran keamanan didalam jaringan suatu organisasi. NIDS memonitor
dan menganalisa lalu lintas jaringan yang masuk dan keluar dari perangkat
jaringan organisasi dan akan mengirimkan alert atau alarm jika ada terjadi
penyerangan atau gangguan. NIDS dapat dikategorikan berdasarkan metode
deteksi intrusi yaitu NIDS berbasis signature atau SNIDS dan NIDS berbasis
anomali atau ADNIDS.
NIDS dapat memantau adanya anomali dijaringan dan mampu
mendeteksi seluruh host yang berada didalam satu jaringan. Seluruh lalu
lintas yang mengalir ke sebuah jaringan akan dianalisis untuk mencari
apakah ada percobaan penyerangan atau serangan ke dalam sistem jaringan
(Gondohanindijo, 2011).
2.1.5 Host-Based Intrusion Detection System (HIDS) Menurut (A lfian Firdaus, Haruno Sajati, Yuliani Indrianingsih, 2013),
HIDS dapat diartikan sebagai suatu sistem yang mempunyai fungsi untuk
mendeteksi aktivitas yang mencurigakan dalam sebuah jaringan yang
menuju suatu sistem komputer, HIDS mampu melakukan pendeteksian
dengan cara memantau traffic yang keluar masuk baik dari sistem maupun
jaringan ataupun melakukan pendeteksian berdasarkan perbandingan pola
pada traffic normal sehingga ketika ada traffic yang mencurigakan maka
HIDS akan melakukan perbandingan dalam jaringan komputer. Komponen-
komponen dari HIDS sebagai berikut:
a. IDS Rule
IDS rule merupakan library database yang menyimpan kategori-
kategori serangan. IDS rule harus dilakukan update secara rutin karena
ketika ada jenis serangan baru, maka HIDS dapat mendeteksinya.
b. IDS Engine
IDS engine merupakan suatu program yang berfungsi untuk
membaca paket-paket data yang masuk kedalam sistem komputer
dengan membandingkan dengan rule IDS.
c. IDS Alert
21
IDS alert dapat diartikan sebagai catatan serangan pada deteksi
penyusupan, jika IDS engine menemukan paket data yang lewat sebagai
suatu serangan, maka IDS engine akan mengirimkan alert yang berupa
log file. Untuk kebutuhan analisa, log file tersebut dapat disimpan dalam
database, Basic Analysis and Security Engine (BASE) merupakan
contoh engine yang berfunsgi untuk mengolah, menyimpan dan mencari
database dari alert network security yang dibangkitkan oleh perangkat
lunak IDS.
2.1.6 CIA Menurut (Sneha Vasant Thakare, Deipali V. Gore, 2014) CIA, kata
dari C merupakan confidentiality yang berarti tingkat kerahasiaan pada
setiap level akses data dan mencegah akses file yang tidak sah, I merupakan
integrity yang berdasarkan pada seberapa banyak akurasi yang disediakan,
modifikasi yang diperlukan ketika ada file yang tidak sah serta keandalan
dari informasi, kemudian A merupakan availability yang berarti aksesbilitas
dari suatu file.
2.1.7 Testing Menurut (Srinivas Nidhra. Jagruthi Dondeti, 2012), Secara tradisional
teknik testing pada perangkat lunak dapat diklasifikasikan secara luas ke
dalam dua jenis, yaitu black box testing dan white box testing. Black box
testing atau yang biasanya disebut functional testing, teknik testing
functional merancang kasus testing berdasarkan informasi dari spesifikasi.
Dengan black box testing, tester perangkat lunak tidak boleh memiliki akses
ke sumber internal kode itu sendiri. Black box testing tidak berkaitan dengan
mekanisme internal suatu system, hanya berfokus pada output yang
dihasilkan terhadap input yang dieksekusi. Sedangkan white box testing
sering disebut sebagai structural testing atau glass box testing, teknik
structural testing merancang kasus testing berdasarkan informasi yang
berasal dari kode sumber. Orang yang melakukan white box testing
mengetahui seperti apa kode tersebut dan kemudian menulis testcases
dengan mengeksekusi metode dengan parameter tertentu. White box testing
berkaitan dengan mekanisme internal suatu sistem, berfokus pada control
22
flow atau data flow dari suatu program. Testing kedua antara black box
testing dengan white box testing sering dianggap sesuai satu sama lain.
Banyak penelitian mengatakan bahwa, teknik untuk menguji perangkat lunak
yang tepat, sangat penting untuk mencakup tindakan spesifikasi kode.
Testing perangkat lunak mencakup area yang luas terutama terdiri dari area
teknis dan non-teknis, seperti spesifikasi kebutuhan, pemeliharaan, proses,
desain dan implementasi, dan masalah manajemen dalam rekayasa perangkat
lunak.
2.1.8 ELK Stack 2.1.8.1 Elasticsearch
Menurut (Clinton Gormley & Zachary Tong, 2015),
Elasticsearch adalah sebuah mesin pencari dan analisis yang
terdistribusi secara real-time. Elasticsearch dapat mempermudah
pencarian data dalam kecepatan dan skala yang belum pernah dicapai
sebelumnya. Digunakan dalam pencarian full-text, pencarian
terstruktur, analisis, dan pencarian kombinasi dari ketiganya.
Elasticsearch sudah banyak digunakan oleh mega-corporations
seperti:
a. Wikipedia, menggunakan Elasticsearch untuk menyediakan
pencarian full-text dengan highlighted search snippets, search-
as-you-type dan did-you-mean suggestions.
b. The Guardian, menggunakan Elasticsearch untuk mengkombinasi
logs dari pengunjung dengan social-network data dengan
menyediakan feedback secara real-time kepada editor tentang
respon publik kepada artikel baru.
c. GitHub, menggunakan Elasticsearch untuk melakukan query 130
miliar baris koding.
Akan tetapi Elasticsearch bukan hanya digunakan oleh berbagai
mega-corporations, Elasticsearch telah membantu beberapa startups
berupa Datadog dan Klout dalam membangun ide prototype dan
mengubah mereka menjadi solusi terukur. Elasticsearch dapat
23
berjalan didalam laptop, atau skala ke ratusan server dan petabyte
data.
Elasticsearch merupakan sebuah mesin pencari open-source
yang dibangun diatas Apache Lucene, sebuah full-text search-engine
library. Sampai hari ini Lucene merupakan sebuah search-engine
library yang paling maju, memliki performa yang tinggi dan memliki
fitur yang lengkap. Akan tetapi Lucene hanya sebagai library. Untuk
lebih meningkatkan kinerja, harus menggunakan Java dan Integrase
Lucene langsung dengan aplikasi yang dijalankan. Untuk
mempelajari Lucene minimal harus memiliki informasi yang cukup,
karena Lucene sangatlah kompleks.
Elasticsearch ditulis dalam bahasa Java dan menggunakan
Lucene sebagai indexing dan searching. Akan tetapi, Elasticsearch
bukan hanya sekedar melakukan pencarian full-text, fungsi lain dari
Elaticsearch dapat dideskripsikan berikut:
a. Sebuah alat untuk melakukan store dokumen secara real-time
yang dimana setiap field telah dilakukan proses indexing
sehingga dapat mudah dicari.
b. Sebuah mesin pencari yang telah terdistribusi sehingga dapat
mencari data secara real-time.
c. Elastisearch mampu untuk melakukan scaling terhadap ratusan
server dan data dalam jumlah petabyte baik yang terstruktur
maupun yang tidak terstruktur.
2.1.8.2 Logstash Menurut (Turnbull, 2015) Logstash merupakan sebuah tool
open source yang menyediakan framework untuk mengoleksi,
sentralisasi, penguraian, penyimpanan dan pencarian log. Logstash
dikembangkan oleh pengembang dari Amerika yang bernama Jordan
Sissel. Logstash dikenal sangat mudah untuk digunakan, memiliki
performa yang tinggi, sangat scalable dan mudah diperluas. Log
24
tersebut dapat di teruskan dan dipusatkan agar tetap terjaga dengan
menggunakan Filebeat. Logstash mempunyai threefold design:
a. Log Input
Logstash mempunyai beragam mekanisme input, Logstash
dapat menerima input dari TCP/UDP, files, Syslog, Microsoft
Windows Event Logs, STDIN dan dari source lain. Elasticsearch
juga menyediakan tools input bernama Beats, Beats dapat
membantu dalam mengumpulkan log data dari sumber yang
berbeda.
b. Log Filtering
Ketika log tersebut memasuki Logtash Server, disana
terdapat banyak koleksi filter yang dapat digunakan untuk
memodifikasi, memanipulasi, dan mentransformasi data. Supaya
log tersebut mempunyai konteks tersendiri maka harus diekstrak
terlebih dahulu supaya informasi didalam log tersebut dapat
muncul. Logstash membuat proses ekstrak data menjadi lebih
mudah.
c. Log Output
Ketika proses pengeluaran data Logstash mendukung
tujuan dari output yang sangat luas, termasuk TCP/UDP, email,
files, HTTP, Nagios dan berbagai macam jaringan yang luas,
serta online service. Logstash bisa diintegrasikan dengan metrics
engines, alerting tools, graphing suites, storage destinations atau
membangun integrasi dilingkungan anda. Sehingga, data tersebut
pada akhirnya akan di-store ke Elasticsearch, dimana data
tersebut bisa dikueri dan dikelola.
2.1.8.3 Kibana Menurut (Gupta, 2015), Kibana merupakan tools bagian dari
ELK Stack, yang berisi Elasticsearch, Logstash, dan Kibana. Kibana
dibangun oleh Elastic. Kibana adalah platform visualisasi yang
dibangun diatas Elasticsearch dan untuk menigkatkan fungsionalitas
25
Elasticsearch. Kibana berfungsi sebagai lapisan teratas dari
Elasticsearch, Kibana menyediakan visualisasi data apik, baik yang
terstruktur maupun tidak terstruktur. Kibana merupakan produk
analisis open-source yang digunakan untuk mencari, melihat, dan
menganalisis data. Kibana menyediakan berbagai jenis visualisasi
untuk menvisualisasikan data dalam bentuk tabel, grafik, peta,
histogram, dan sebagainya. Kibana juga menyediakan antarmuka
berbasis web yang dapat dengan mudah menangani data yang besar.
Membantu membuat dasbor yang mudah dibikin dan membantu kueri
data secara real-time. Dasbor hanyalah antarmuka untuk
menvisualisasikan dokumen JSON. Ketiga hal tersebut digunakan
untuk menyimpan, mengolah, dan mengekspor. Sangat mudah diatur
dan digunakan, sehingga dalam memproses data tanpa harus
menggunakan koding.
2.1.9 Wazuh Wazuh merupakan platform gratis dan open source yang digunakan
untuk mendeteksi ancaman, melakukan monitoring, respon insiden, dan
kepatuhan terhadap ancaman. Wazuh bisa digunakan untuk memonitor
endpoints, layanan cloud, dan containers. Dan untuk mengumpulkan dan
menganalisis data dari sumber luar. Kemampuan yang disediakan oleh
Wazuh sebagai berikut:
a. Security Analytics
Wazuh dapat digunakan untuk mengoleksi, mengumpulkan,
melakukan indexing, dan melakukan analisis terhadap keamanan data,
sehingga dapat membantu organisasi untuk mendeteksi intrusi, ancaman
serta anomali. Dikarenakan ancaman keamanan dunia maya menjadi
lebih canggih, maka pemantauan dan analisis keamanan yang real-time
sangat diperlukan untuk mendeteksi dan melakukan perbaikan terhadap
ancaman tersebut. Agen merupakan light-weight agent yang dapat
dengan cepat melakukan pemantauan dan respons, sementara komponen
26
server dapat memberikan keamanan dan melakukan analisis data secara
maksimal.
b. Intrusion Detection
Agen Wazuh yang terpasang pada sistem dapat melakukan
pemantauan untuk mencari malware, rootkit, dan anomali yang
mencurigakan. Agen Wazuh dapat mendeteksi file yang tersembunyi,
proses yang terselubung atau jaringan yang tidak terdaftar, serta
inkonsistensi dalam respon panggilan sistem.
Selain agen, komponen server menggunakan signature-based
approach atau pendekatan berbasis tanda tangan untuk mendeteksi
intrusi, menggunakan regular expression engine untuk melakukan
analisis terhadap data log yang telah dikumpulkan dan mencari indikator
kompromi.
c. Log Data Analysis
Wazuh Agen melakukan analisis dan penyimpanan data dengan
cara membaca sistem operasi dan log aplikasi, dan kemudian
meneruskannya ke manajer pusat.
Peraturan Wazuh dapat membantu anda untuk waspada terhadap
aplikasi atau sistem yang mengalami error, misconfigurations,
attempted dan/atau aktivitas jahat, pelanggaran kebijakan dan berbagai
masalah keamanan dan operasional lainnya.
d. File Integrity Monitoring
Wazuh melakukan proses pemantauan terhadap sistem file,
mengidentifikasi perubahan konten, izin, kepemilikan, dan atribut file.
Selain itu, mengidentifikasi pengguna dan aplikasi yang digunakan
untuk membuat atau memodifikasi file.
Kemampuan untuk melakukan pemantauan terhadap integritas file
dapat digunakan dengan menggunakan kombinasi threat intelligence
untuk melakukan identifikasi ancaman atau hosts yang terkompromi.
Selain itu, untuk melakukan pemantauan diperlukan juga beberapa
standar kepatuhan peraturan seperti PCI DSS.
27
e. Vulnerability Detection
Wazuh Agen melakukan penarikan data terhadap inventaris
perangkat lunak dan kemudian mengirimkan informasi tersebut ke
server dimana berkorelasi dengan basis data Common Vulnerabilitites
and Exposure (CVE) yang telah diperbarui, untuk mengidentifikasi
perangkat lunak yang rentan.
Automated vulnerability assessment membantu anda menemukan
titik lemah dalam aset penting yang kemudian mengambil tindakan
korektif sebelum penyerang mengeskploitasi sehingga data rahasia tetap
aman dari tindakan sabotase dan pencurian.
f. Configuration Assessment
Wazuh memonitor sistem dan konfigurasi pengaturan aplikasi
untuk memastikan sesuai dengan kebijakan keamanan, standar, dan/atau
hardening guides. Agen melakukan pemindaian secara berlaka untuk
mendeteksi aplikasi yang rentan, tidak terjaga keamanannya, atau tidak
terkonfigurasi dengan aman.
Selain itu, dapat menyesuaikan konfigurasi pemeriksaan,
penyesuaiannya agar selaras dengan organisasi anda. Peringatan
diharapkan dapat memberikan rekomendasi konfigurasi, referensi, dan
pemetaan yang lebih baik dengan kepatuhan terhadap peraturan.
g. Incident Response
Wazuh menyediakan out-of-the-box yang aktif dalam memberikan
respon untuk melakukan berbagai tindakan balasan dalam mengatasi
ancaman yang aktif, seperti memblokir akses ke dalam sistem ketika
kriteria ancaman telah terpenuhi.
Selain itu, Wazuh dapat digunakan untuk menjalankan perintah
atau permintaan sistem dari jarak jauh, mengidentifkasi indikator
kompromi (IOC) dan membantu melakukan live forensics atau incident
response tasks.
h. Regulatory Compliance
28
Wazuh menyediakan beberapa control keamanan yang diperlukan
untuk memenuhi standar dan peraturan industri. Fitur-fitur ini,
dikombinasikan dengan sklabilitas dan dukungan multi-platform untuk
membantu organisasi memenuhi persyaratan kepatuhan teknis.
Wazuh banyak digunakan oleh perusahaan pemrosesan
pembayaran dan lembaga keuangan untuk memenuhi persayaratan PCI
DSS (Payment Card Industry Data Security Standard). Web User
Interface menyediakan laporan dan dashboard yang dapat membantu
dalam menyediakan antarmuka serta regulasi lainnya (misalnya GPG13
atau GDPR).
i. Cloud Security Monitoring
Wazuh dapat membantu memantau infrastruktur cloud di level
API, menggunakan modul integrasi yang mampu menarik data
keamanan dari penyedia cloud terkenal, seperti Amazon AWS, Azure
ataupun Google Cloud. Selain itu, Wazuh memberikan aturan untuk
melakukan penilaian terhadap lingkungan cloud anda, sehingga dapat
dengan mudah menemukan kelemahan. Selain itu, agen yang ringan
serta multi-platform yang disediakan oleh Wazuh biasanya digunakan
untuk memantau lingkungan cloud pada tingkat instance.
j. Containers Security
Wazuh memberikan visibilitas keamanan ke host dan wadah
Docker anda, memantau perilaku dan mendeteksi ancaman, kerentanan,
serta anomali. Agen Wazuh memiliki integrasi dengan Docker Engine
yang memungkinkan pengguna untuk melakukan pemantauan dalam
bentuk gambar, volume, jaringan, serta untuk menjalankan Containers.
Wazuh terus mengumpulkan dan menganalisis informasi yang
terperinci. Misalnya, memberikan peringatan ketika Containers berjalan
dalam privileged mode, vulnerable applications, a shell running in a
container, changes to persistent volume or images, dan kemungkinan
ancaman yang lain (Wazuh, 2019).
29
2.1.10 MITRE ATT&CK MITRE ATT&CK adalah basis pengetahuan yang dapat diakses secara
global mengenai taktik dan teknik musuh berdasarkan pengamatan dari
dunia nyata. Basis pengetahuan ATT&CK digunakan sebagai bahan dasar
untuk pengembangan model dan metode produk serta layanan keamanan
siber.
Dengan diciptanya ATT&CK, MITRE memenuhi misinya dalam
memecahkan masalah untuk dunia yang lebih aman dengan menyatukan
masyarakat untuk mengembangkan keamanan siber yang lebih efektif.
ATT&CK terbuka dan tersedia untuk semua orang atau organisasi tanpa
memungut biaya sedikitpun (The MITRE, 2019).
Berikut merupakan landasan yang ada pada MITRE ATT&CK:
1. Initial Access
1. Drive-by Compromise
2. Exploit Public-Facing Application
3. External Remote Services
4. Hardware Additions
5. Replication Through Removable Media
6. Spearphishing Attachment
7. Spearphishing Link
8. Spearphishing via Service
9. Supply Chain Compromise
10. Trusted Relationship
11. Valid Accounts
2. Execution
1. AppleScript
2. CMSTP
3. Command-Line Interface
4. Compiled HTML File
5. Component Object Model and Distributed COM
6. Control Panel Items
7. Dynamic Data Exchange
30
8. Execution through API
9. Execution through Module Load
10. Exploitation for Client Execution
11. Graphical User Interface
12. InstallUtil
13. Launchctl
14. Local Job Scheduling
15. LSASS Driver
16. Mshta
17. PowerShell
18. Regsvcs/Regasm
19. Regsvr32
20. Rundl32
21. Scheduled Task
22. Scripting
23. Service Execution
24. Signed Binary Proxy Execution
25. Signed Script Proxy Execution
26. Source
27. Space after Filename
28. Third-party Software
29. Trap
30. Tusted Developer Utilities
31. User Execution
32. Windows Management Intrumentation
33. Windows Remote Management
34. XSL Script Processing
3. Persistence
1. .bash_profile and .bashrc
2. Accessibility Features
3. Account Manipulation
31
4. AppCert DLLs
5. Applnit DLLs
6. Application Shimming
7. Authentication Package
8. BITS Jobs
9. Bootkit
10. Browser Extensions
11. Change Default File Association
12. Component Firmware
13. Component Object Model Hijacking
14. Create Account
15. DLL Search Order Hijacking
16. Dylib Hijacking
17. Emond
18. External Remote Services
19. File System Permissions Weakness
20. Hidden Files and Directories
21. Hooking
22. Hypervisor
23. Image File Execution Options Injection
24. Kernel Modules and Extensions
25. Launch Agent
26. Launch Daemon
27. Launchctl
28. LC_LOAD_DYLIB Addition
29. Local Job Scheduling
30. Login Item
31. Login Scripts
32. LSASS Driver
33. Modify Existing Service
34. Netsh Helper DLL
32
35. New Service
36. Office Application Startup
37. Path Interception
38. Plist Modification
39. Port Knocking
40. Port Monitors
41. PowerShell Profile
42. Rc.common
43. Re-opened Applications
44. Redundant Access
45. Registry Run Keys / Startup Folder
46. Scheduled Task
47. Screensaver
48. Security Support Provider
49. Server Software Component
50. Service Registry Permissions Weakness
51. Setuid and Setgid
52. Shortcut Modification
53. SIP and Trust Provider Hijacking
54. Startup Items
55. System Firmware
56. Systemd Service
57. Time Providers
58. Trap
59. Valid Accounts
60. Web Shell
61. Windows Management Instrumentation Event Subscription
62. Winlogon Helper DLL
4. Privilege Escalation
1. Access Token Manipulation
2. Accessibility Features
33
3. AppCert DLLs
4. Applnit DLLs
5. Application Shimming
6. Bypass User Acoount Control
7. DLL Search Order Hijacking
8. Dylib Hijacking
9. Elevated Execution with Prompt
10. Emond
11. Exploitation for Privilege Escalation
12. Extra Window Memory Injection
13. File System Permissions Weakness
14. Hooking
15. Image File Execution Options Injection
16. Launch Daemon
17. New Service
18. Parent PID Spoofing
19. Path Interception
20. Plist Modification
21. Port Monitors
22. PowerShell Profile
23. Process Injection
24. Scheduled Task
25. Service Registry Permissions Weakness
26. Setuid and Setgid
27. SID-History Injection
28. Startup Items
29. Sudo
30. Sudo Caching
31. Valid Accounts
32. Web Shell
5. Defense Evasion
34
1. Access Token Manipulation
2. Binary Padding
3. BITS Jobs
4. Bypass User Account Control
5. Clear Command History
6. CMSTP
7. Code Signing
8. Compile After Delivery
9. Compiled HTML File
10. Component Firmware
11. Component Object Model Hijacking
12. Connection Proxy
13. Control Panel Items
14. DCShadow
15. Deobfuscate/Decode Files or Information
16. Disabling Security Tools
17. DLL Search Order Hijacking
18. DLL Side-Loading
19. Execution Guardrails
20. Exploitation for Defense Evasion
21. Extra Window Memory Injection
22. File and Directory Permissions Modification
23. File Deletion
24. File System Logical Offsets
25. Gtekeeper Bypass
26. Group Policy Modification
27. Hidden Files and Directories
28. Hidden Users
29. Hidden Window
30. HISTCONTROL
31. Image File Execution Options Injection
35
32. Indicator Blocking
33. Indicator Removal from Tools
34. Indicator Removal on Host
35. Indirect Command Execution
36. Install Command Execution
37. Install Root Certificate
38. InstallUtil
39. Launchctl
40. LC_MAIN Hijacking
41. Masquerading
42. Modify Registry
43. Mshta
44. Network Share Connection Removal
45. NTFS File Attributes
46. Obfuscated Files or Information
47. Parent PID Spoofing
48. Plist Modification
49. Port Knocking
50. Process Doppleganging
51. Process Hollowing
52. Process Injection
53. Redundant Access
54. Regsvcs/Regasm
55. Regsvr32
56. Rootkit
57. Rundll32
58. Scripting
59. Signed Binary Proxy Execution
60. Signed Script Proxy Execution
61. SIP and Trush Provider Hijacking
62. Software Packing
36
63. Space after Filename
64. Template Injection
65. Timestomp
66. Trusted Developer Utilities
67. Valid Accounts
68. Virtualiation/Sandbox Evasion
69. Web Service
70. XSL Script Processing
6. Credential Access
1. Account Manipulation
2. Bash History
3. Brute Force
4. Credential Dumping
5. Credentialls from Web Browsers
6. Credentials in Files
7. Credentials in Registry
8. Exploitation for Credential Access
9. Force Authentication
10. Hooking
11. Input Capture
12. Input Prompt
13. Kerberoasting
14. Keychain
15. LLMNR/NBTNS Poisoning and Relay
16. Network Sniffing
17. Password Filter DLL
18. Private Keys
19. Securityd Memory
20. Steal Web Session Cookie
21. Two-Factor Authentication Interception
7. Discovery
37
1. Account Discovery
2. Application Window Discovery
3. Browser Bookmark Discovery
4. Domain Trust Discovery
5. File and Directory Discovery
6. Network Service Scanning
7. Network Share Discovery
8. Password Policy Discovery
9. Peripheral Device Discovery
10. Permission Groups Discovery
11. Process Discovery
12. Query Registry
13. Remote System Discovery
14. Security Software Discovery
15. Software Discovery
16. System Information Discovery
17. System Network Configuration Discovery
18. System Network Connections Discovery
19. System Owner/User Discovery
20. System Service Discovery
21. System Time Discovery
22. Virtualization/Sandbox Evasion
8. Lateral Movement
1. AppleScript
2. Application Deployment Software
3. Component Object Model and Distributed COM
4. Exploitation of Remote Services
5. Internal Spearphishing
6. Logon Scripts
7. Pass the Hash
8. Pass the Ticket
38
9. Remote Desktop Protocol
10. Remote File Copy
11. Remote Services
12. Replication Through Removable Media
13. Shared Webroot
14. SSH Hijacking
15. Taint Shared Content
16. Third-party Software
17. Windows Admin Shares
18. Windows Remote Management
9. Collection
1. Audio Capture
2. Automated Collection
3. Clipboard Data
4. Data from Information Repositories
5. Data from Local System
6. Data from Network Shared Drive
7. Data from Removable Media
8. Data Staged
9. Email Collection
10. Input Capture
11. Man in the Browser
12. Screen Capture
13. Video Capture
10. Command and Control
1. Commonly Used Port
2. Communication Through Removable Media
3. Connection Proxy
4. Custom Command and Control Protocol
5. Custom Cryptographic Protocol
6. Data Encoding
39
7. Data Obfuscation
8. Domain Fronting
9. Domain Generation Algorithms
10. Fallback Channels
11. Multi-hop Proxy
12. Multi-Stage Channels
13. Multiband Communication
14. Multilayer Encryption
15. Port Knocking
16. Remote Access Tools
17. Remote File Copy
18. Standard Application Layer Protocol
19. Standard Cryptographic Protocol
20. Standard Non-Application Layer Protocol
21. Uncommonly Used Port
22. Web Service
11. Exfiltration
1. Automated Exfiltration
2. Data Compressed
3. Data Encrypted
4. Data Transfer Size Limits
5. Exfiltration Over Alternative Protocol
6. Exfiltration Over Command and Control Channel
7. Exfiltration Over Other Network Medium
8. Exfiltration Over Physical Medium
9. Scheduled Transfer
12. Impact
1. Account Access Removal
2. Data Destruction
3. Data Encrypted for Impact
4. Defacement
40
5. Disk Content Wipe
6. Disk Structure Wipe
7. Endpoint Denial of Service
8. Firmware Corruption
9. Inhibit System Recovery
10. Network Denial of Service
11. Resource Hijacking
12. Runtime Data Manipulation
13. Service Stop
14. Stored Data Manipulation
15. System Shutdown/Reboot
16. Transmitted Data Manipulation
2.1.11 Center of Internet Security Menurut (CIS, 2020), Center of Internet Security atau CIS merupakan
suatu organisasi yang berbasis community-driven yang dimana para
sukarelawan praktisi keamanan IT di seluruh dunia terus mengembangkan
dan memperbaiki CIS Tools. CIS Tools merupakan alat, keanggotaan, dan
layanan untuk membantu organisasi diseluruh dunia supaya lebih aman dan
tetap aman. CIS Tools terdiri dari:
a. CIS Controls
b. CIS Benchmarks
c. MS-ISAC
d. CIS-CATLite
e. CIS RAM
f. CIS CSAT
g. CIS CyberMarket
h. CIS Hardened Images
i. CIS Services
j. CIS SecureSuite
k. CIS-CATPro
41
Pada CIS Controls terdapat 20 kontrol yang masing-masing terbagi kedalam
3 kelompok yakni: Basic CIS Controls, Foundational CIS Controls, dan
Organizational CIS Controls.
a. Basic CIS Controls:
1. Inventory and Control of Hardware Assets
Melakukan kontrol terhadap aset-aset yang berupa
hardware dalam sebuah jaringan untuk mengetahui semua aset
yang dimiliki dan mencegah adanya akses yang tidak diizinnkan.
2. Inventory and Control of Software Assets
Melakukan kontrol terhadap aset-aset yang berupa
software dalam sebuah jaringan untuk memastikan hanya
software terdaftar yang berjalan, serta mencegah software lain
melakkukan akses yang tidak diizinkan.
3. Continuous Vulnerability Management
Melakukan kontrol terhadap kerentanan secara berkala
agar alat yang dipakai dapat selalu diperbaharui sesuai dengan
keadaan yang ada pada organisasi.
4. Controlled Use of Administrative Privileges
Setiap orang dalam organisasi harus memiliki akun yang
bukan administrator untuk melakukan pekerjaannya. Akun
administrator hanya digunakan untuk kegiatan kegiatan yang
memang diharuskan menggunakan akun administrator. Hal ini
dilakukan untuk mencegah penyerang mendapatkan akses
administrator jika salah satu akun anggota organisasi diketahui
oleh penyerang.
5. Secure Configuration for Hardware and Software on Mobile
Devices, Laptops, Workstations and Servers
Melakukan kontrol konfigurasi yang aman pada hardware
dan software yang ada pada device, karena device tersebut tidak
aman dengan sendirinya.
6. Maintenance, Monitoring and Analysis of Audit Logs
42
Mengumpulkan logs lalu melakukan analisa terhadap logs
tersebut agar dapat membantu mengetahui jenis serangan dan
respon apa yang dibutuhkan.
b. Foundational CIS Controls:
7. Email and Web Browser Protections
Melakukan kontrol jumlah terhadap aplikasi browser dan
email pada organisasi dan pastikan semuanya pada kondisi
pembaruan terbaru.
8. Malware Defense
Malware adalah aspek integral dan berbahaya dari
ancaman internet, karena dirancang untuk menyerang sistem,
perangkat, dan data organisasi. Malware bergerak cepat, cepat
berubah, dan masuk melalui sejumlah titik seperti perangkat
endpoint, lampiran email, halaman web, dan lain-lain. Risiko
terkena malware dapat dikurangi dengan cara memanfaatkan
perangkat lunak anti-malware yang dikelola secara terpusat
untuk terus melakukan monitoring dan mempertahankan setiap
workstation dan server organisasi.
9. Limitation and Control of Network Ports, Protocols and Services
Mengelola (melacak/mengontrol/mengoreksi) penggunaan
operasional port, protocol, dan layanan yang sedang berlangsung
pada perangkat jaringan untuk meminimalkan jendela kerentanan
yang tersedia untuk penyerang.
10. Data Recovery Capabilities
Melakukan kontrol terhadap data yang harus dilakukan
recovery jika terjadi data lost dengan cara melakukan backup
berkala pada data yang dianggap penting.
11. Secure Configuration for Network Devices, such as Firewalls,
Routers and Switches
Melakukan kontrol terhadap konfigurasi network devices
agar sesuai dengan standar yang di tetapkan organisasi dan selalu
43
waspada terhadap adanya penyimpangan, karena attacker dapat
memanfaatkan kesalahan konfigurasi untuk mendapatkan akses.
12. Boudnary Defense
Mendeteksi/mencegah/mengoreksi aliran informasi yang
mentransfer jaringan dari tingkat kepercayaan yang berbeda
dengan berfokus pada data yang dapat merusak keamanan.
13. Data Protection
Melakukan kontrol terhadap data yang sifatnya penting dan
rahasia dengan cara melakukan enkripsi atau melakukan
pengecekan integritas.
14. Controlled Access Based on the Need to Know
Proses dan alat yang digunakan untuk
melacak/mengontrol/mencegah/memperbaiki akses aman ke
asset penting (misalnya informasi, sumber daya dan sistem)
sesuai dengan penentuan formal yang orang, komputer, dan
aplikasi memiliki kebutuhan dan hak untuk mengakses asset
penting ini berdasarkan klasifikasi yang disetujui.
15. Wireless Access Control
Proses dan alat yang digunakan untuk
melacak/mengontrol/mencegah/memperbaiki keamanan
penggunaan jaringan area local nirkabel (WLAN), titik akses,
dan sistem nirkabel klien.
16. Account Monitoring and Control
Melakukan Kontrol terhadap akun-akun yang berhubungan
langsung dengan proses bisnis, akun yang tidak di kelola dengan
baik akan menjadi jalan masuk yang mudah untuk penyerang.
c. Organizational CIS Controls:
17. Implement a Security Awareness and Training Program
Untuk semua peran fungsional dalam organisasi
(memprioritaskan mereka yang kritis terhadap bisnis dan
keamanannya), identifikasi pengetahuan, keterampilan, dan
44
kemampuan khusus yang diperlukan untuk mendukung
pertahanan perusahaan; mengembangkan dan melaksanakan
rencana terpadu untuk menilai, mengidentifikasi kesenjangan,
dan memulihkan melalui kebijakan, perencanaan organisasi,
pelatihan, dan program kesadaran.
18. Application Software Security
Mengelola siklus hidup keamanan semua perangkat lunak
yang dikembangkan dan diakuisisi secara internal untuk
mencegah, mendeteksi, dan memperbaiki kelemahan keamanan.
19. Incident Response and Management
Melindungi informasi organisasi, serta reputasinya, dengan
mengembangkan dan mengimplementasikan infrastruktur
respons insiden (misalnya, rencana, peran yang ditentukan,
pelatihan, komunikasi, pengawasan manajemen) untuk lebih
cepat menemukan serangan dan kemudian secara efektif
mengatasi kerusakan, memusnahkan kehadiran penyerang, dan
memulihkan integritas jaringan dan sistem.
20. Penetration Tests and Red Team Exercices.
Melakukan pentest untuk mengetahui vulnerability yang
ada pada sistem dan melatih team pentest dalam melakukan
pekerjaannya.
2.1.12 Nginx
Menurut (Bichuan Liu, Qi Niu, Qiuxuan Wu, 2012), Nginx adalah
sebuah HTTP dengan kinerja yang tinggi dan reverse proxy server, dalam
hal koneksi, memori, CPU dan sumber daya sistem lainnya sangat rendah
konsumsi, dan mempunyai operasi yang stabil. Oleh karena itu, web load
balance dan desain optimisasi dibawah lingkungan yang mempunyai
konkurensi yang tinggi menggunakan Nginx merupakan pilihan yang
signifikan.
45
2.1.13 Kali Linux Kali Linux adalah distribusi open-source baru yang memfasilitasi
testing penetrasi. Kali Linux berjalan di Debian dan sesuai dengan FHS
(Filesystem Hierarchy Standard). Repositori perangkat lunak yang
ditingkatkan dan telah disinkronkan dengan repository Debian sehingga
lebih mudah untuk diperbarui, menerapkan patch-es dan menambahkan fitur
baru. Kali Linux mudah disesuaikan sehingga hanya berisi paket dan fitur
yang diperlukan. Lingkungan desktop juga dapat disesuaikan dengan
menggunakan GNOME (default), KDE (Lingkungan Desktop K), LXDE
(Lingkungan Dekstop X11 Ringan), atau apapun yang diinginkan (Tiwary,
2013).
Menurut (Ben Wilson, Carsten Boeving, Jim O'Gorman, Joe
O'Gorman, Raphael Hertzog, Steeve Klimaszewski, 2020), Kali Linux
merupakan proyek sumber tebuka yang dikelola dan didanai oleh Offensive
Secrurity, penyedia pelatihan keamanan informasi kelas dunia dan layanan
testing penetrasi. Selain Kali Linux, offensive Security juga memelihara
Exploit Database dan kursus online gratis.
2.1.14 Metode Evaluasi: Wawancara Menurut (Harahap, 2019), Wawancara merupakan suatu teknik Tanya
jawab antara reporter dan informan guna memperoleh informasi dari pihak
yang dituju. Orang yang melakukan wawancara disebut pewawancara,
sedangkan orang yang diwawancarai dinamai wawancara atau interviewer.
Tujuan dari wawancara adalah mengumpulkan informasi dari seorang
informan, infomrasi yang didapat harus lengkap, adil dan akurat. Kegiatan
wawancara dikatakan baik ketika pewawancara membuat pertanyaan yang
menarik bukan pertayaan umum, sehingga informan dapat menjawab
pertanyaan yang diberikan secara akurat.
2.1.15 Kamus Data Menurut (Wibowo, 2014), Kamus data merupakan suatu data elemen
yang menjelaskan tentang input, output, dan komponen data store dari suatu
sistem dengan tujuan agar user dan analis lebih mudah untuk memahami
46
sistem tersebut. Kamus data sangat membantu analis dalam mendefenisikan
data suatu sistem yang mengalir, sehingga definisi data dari suatu sistem
dapat dilakukan dengan lengkap dan terstruktur. Pada tahapan analisa,
kamus data dibuat untuk menggambarkan komunikasi anatara user dan
analis sistem tentang data yang mengalir, yaitu tentang data yang
dimasukkan ke sistem dan informasi yang dibutuhkan oleh user. Sedangkan
pada tahapan perancangan sistem, kamus data dapat digunakan untuk
merancang input dan database dari suatu sistem.
2.1.16 OSSEC OSSEC adalah HIDS open source yang dapat melakukan log analisis,
integrity checking, Windows registry monitoring, rootkit detection, real-time
alerting danactive response. OSSEC dapat berjalan pada Linux, OpenBSD,
FreeBSD, Mac OS X, Solaris, Windows dan lain-lain (Scott R. Shinn, Dan
Parriott, Dominik Lisiak, 2020).
47
48