MODUL22

Module 22: Endpoint Protection
CyberOps Associate v1.0

Modul 22: Perlindungan Endpoint
CyberOps Rekan v1.0

3
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Tujuan Modul
Judul Modul: Perlindungan Endpoint
Tujuan Modul: Jelaskan bagaimana situs web analisis malware menghasilkan laporan
analisis malware.
Tema Tujuan Topik
Perlindungan Antimalware Jelaskan metode untuk mengurangi malware
Pencegahan Intrusi Berbasis
Host
Jelaskan entri log IPS/IDS berbasis host
Keamanan Aplikasi
Jelaskan bagaimana sandbox digunakan untuk
menganalisis malware

4
22.1 Perlindungan Antimalware

5
Perlindungan Endpoint
Ancaman Endpoint
• Endpoint dapat didefinisikan sebagai
host di jaringan yang dapat mengakses
atau diakses oleh host lain di jaringan.
• Setiap endpoint berpotensi menjadi jalan
bagi malware untuk mendapatkan akses
ke jaringan.
• Perangkat yang mengakses jaringan
dengan remote melalui VPN juga dapat
berpotensi menyuntikkan malware ke
jaringan VPN dari jaringan publik.
• Beberapa jenis malware umum telah
ditemukan dapat mengubah fitur secara
signifikan dalam waktu kurang dari 24
jam untuk menghindari deteksi.
Persentase Spam Berbahaya

6
Keamanan Endpoint
• Karena banyak serangan yang berasal dari
dalam jaringan, mengamankan LAN internal
hampir sama pentingnya dengan
mengamankan perimeter jaringan luar.
• Setelah host internal disusupi, ini dapat
menjadi titik awal bagi penyerang untuk
mendapatkan akses ke perangkat/sistem yg
penting, seperti server dan informasi sensitif.
• Ada dua elemen LAN internal yang perlu
diamankan:
• Endpoint - Host rentan terhadap serangan
terkait malware.
• Infrastruktur jaringan - Perangkat infra-
struktur LAN yg menghubungkan endpoint.

7
Perlindungan Malware Berbasis Host
• Perangkat lunak antimalware/antivirus berbasis host, dan firewall berbasis host digunakan
untuk melindungi perangkat seluler menggunakan VPN.
Perangkat Lunak Antivirus/Antimalware
• Merupakan software yang diinstal pada host untuk mendeteksi dan mengurangi virus dan
malware lainnya. Misalnya “Windows Defender” Virus & Threat Protection, Cisco AMP for
Endpoints, Norton Security, McAfee, Trend Micro, dan lainnya.
• Program antimalware dapat mendeteksi virus menggunakan tiga pendekatan berbeda:
• Signature-based (Berbasis tanda tangan): Mengenali berbagai karakteristik file malware
yang dikenal
• Heuristics-based (Berbasis heuristic): Mengenali fitur umum yang dimiliki oleh berbagai
jenis malware
• Behavior-based (Berbasis perilaku): Menggunakan analisis perilaku yang mencurigakan
• Perlindungan antivirus berbasis host, juga dikenal sebagai berbasis agen, berjalan di setiap
mesin komputer yang dilindungi.

8
Perlindungan Malware Berbasis Host (Lanjutan)
Host-based Firewall
• Perangkat lunak ini diinstal pada
sebuah host.
• Untuk membatasi koneksi masuk dan
keluar ke koneksi yang diprakarsai
(direkomendasi) oleh host itu saja.
• Beberapa perangkat lunak firewall
dapat mencegah host terinfeksi, dan
menghentikan host yang terinfeksi
untuk menyebarkan malware ke host
lain. Fungsi ini termasuk dalam
beberapa sistem operasi.
• Misalnya, Windows menyertakan
Windows Defender Firewall dengan
Advanced Security.

9
Perlindungan Malware Berbasis Host (Lanjutan)
Host-based Security Suites
• Direkomendasikan untuk menginstal rangkaian produk keamanan berbasis host di jaringan
rumah dan bisnis untuk menyediakan pertahanan berlapis yang akan melindungi dari
ancaman yang paling umum.
• Ini termasuk antivirus, anti-phishing, safe browsing, Host-based intrusion prevention system,
dan kemampuan firewall.
• Produk keamanan berbasis host juga menyediakan fungsi telemetri.
• Sebagian besar perangkat lunak keamanan berbasis host menyertakan fungsionalitas
pencatatan yang kuat yang penting untuk operasi keamanan dunia maya.
• Laboratorium pengujian independen AV-TEST memberikan ulasan AV berkualitas tinggi
teekait perlindungan berbasis host, serta informasi tentang banyak produk keamanan
lainnya. (https://www.av-test.org/en/?r=1)

10
Perlindungan Malware Berbasis Jaringan
• Perangkat pencegahan malware berbasis jaringan mampu berbagi informasi di antara
mereka sendiri untuk membuat keputusan yang lebih tepat.
• Melindungi endpoint dalam jaringan tanpa batas dapat dilakukan dengan menggunakan
teknik berbasis jaringan, serta berbasis host.
Perlindungan malware tingkat lanjut di mana saja

11
Perlindungan Malware Berbasis Jaringan (Lanjutan)
Beberapa contoh perangkat dan teknik yang menerapkan perlindungan host di tingkat jaringan:
• Advanced Malware Protection (AMP) -
Memberikan perlindungan titik akhir dari
virus dan malware.
• Email Security Appliance (ESA) -
Menyediakan pemfilteran SPAM dan email
yang berpotensi berbahaya sebelum
mencapai endpoint.
• Web Security Appliance (WSA) -
Menyediakan sistem filter situs web dan
daftar hitam (black list)
• Network Admission Control (NAC) -
Hanya mengizinkan sistem yang
berwenang dan patuh dapat terhubung ke
jaringan.

12
22.2 Perlindungan Intrusi
Berbasis Host

13
Perlindungan Intrusi Berbasis Host
Firewall Berbasis Host (Host-Based Firewalls)
• Firewall pribadi berbasis host adalah program perangkat lunak mandiri yang mengontrol lalu
lintas masuk atau keluar dari komputer.
• Aplikasi firewall berbasis host juga dapat dikonfigurasi untuk mengeluarkan peringatan
kepada pengguna jika perilaku yang mencurigakan terdeteksi.
• Beberapa contoh firewall berbasis host:
• Windows Defender Firewall - Pertama kali disertakan di Windows XP, Windows Firewall
(sekarang Windows Defender Firewall) menggunakan pendekatan berbasis profil untuk
fungsionalitas firewall.
• iptables - Ini adalah aplikasi yang memungkinkan administrator sistem Linux melakukan
konfigurasi aturan akses jaringan yang merupakan bagian dari kernel Linux Netfilter modul.
• nftables - adalah aplikasi firewall Linux yang menggunakan mesin virtual sederhana di
kernel Linux, sebagai penerus iptables.
• TCP Wrappers - Ini adalah kontrol akses berbasis aturan dan sistem pencatatan untuk
Linux.

14
Deteksi Intrusi Berbasis Host (Host-Based Intrusion Detection)
• Sistem Deteksi Intrusi Berbasis Host
(HIDS) dirancang untuk melindungi
host dari malware yang dikenal dan
tidak dikenal.
• HIDS dapat melakukan pemantauan
dan pelaporan terperinci tentang
konfigurasi sistem dan aktivitas
aplikasi.
• HIDS adalah aplikasi keamanan
komprehensif yang menggabungkan
fungsionalitas aplikasi antimalware
dengan fungsionalitas firewall.
• Karena HIDS harus dijalankan secara
langsung di host, ini dianggap
sebagai sistem berbasis agen. Arsitektur Deteksi Intrusi Berbasis Host

15
Operasi HIDS
• HIDS dapat mencegah intrusi karena menggunakan signature untuk mendeteksi malware
yang dikenal dan mencegahnya menginfeksi sistem.
• Beberapa keluarga malware menunjukkan polimorfisme.
• Serangkaian strategi tambahan digunakan untuk mendeteksi kemungkinan penyusupan yang
berhasil oleh malware yang menghindari deteksi tanda tangan:
• Berbasis anomali - Perilaku sistem host dibandingkan dengan model dasar perilaku
normal yang dipelajari. Jika intrusi terdeteksi, HIDS dapat mencatat rincian intrusi tersebut,
mengirim peringatan ke sistem manajemen keamanan, dan mengambil tindakan untuk
mencegah serangan tersebut.
• Berbasis kebijakan - Perilaku sistem normal dijelaskan oleh aturan, atau pelanggaran
aturan, yang telah ditentukan sebelumnya. Pelanggaran kebijakan ini akan mengakibatkan
tindakan HIDS, seperti mematikan proses perangkat lunak.

16
Produk HIDS
• Sebagian besar HIDS menggunakan perangkat lunak pada host dan semacam fungsionalitas
manajemen keamanan terpusat yang memungkinkan integrasi dengan layanan pemantauan
keamanan jaringan dan intelijen ancaman.
• Beberapa contohnya adalah Cisco AMP, AlienVault USM, Tripwire, dan Open Source HIDS
SECurity (OSSEC).
• OSSEC menggunakan server dan agen manajer pusat yang diinstal pada masing-masing
host.
• Server OSSEC, atau Manajer, juga dapat menerima dan menganalisis peringatan dari
berbagai perangkat jaringan dan firewall melalui syslog.
• OSSEC memantau log sistem pada host dan juga melakukan pemeriksaan integritas file.

17
22.3 Keamanan Aplikasi

18
Keamanan Aplikasi
Attack Surface
• Attack Surface adalah jumlah total kerentanan
dalam sistem tertentu yang dapat diakses
oleh penyerang.
• Ini dapat terdiri dari port terbuka di server
atau host, perangkat lunak yang berjalan di
server yang menghadap ke internet, protokol
jaringan nirkabel, dan pengguna.
• Komponen Attack Surface:
§ Network Attack Surface: Memanfaatkan
kerentanan dalam jaringan.
§ Software Attack Surface: Disampaikan
melalui eksploitasi kerentanan di web,
cloud, atau software aplikasi berbasis host.
§ Human Attack Surface : Memanfaatkan
kelemahan dalam perilaku pengguna.
Perluasan Attack Surface

19
Keamanan Aplikasi
Aplikasi Daftar Hitam dan Daftar Putih
• Membatasi akses ke potensi
ancaman dengan membuat daftar
aplikasi terlarang yang disebut
sebagai daftar hitam.
• Dengan adanya daftar hitam
aplikasi dapat ditentukan aplikasi
mana yang tidak diizinkan untuk
dijalankan di komputer.
• Daftar putih menentukan program
mana yang diizinkan untuk
dijalankan.
• Dengan cara ini, aplikasi rentan
dapat dikenali dan dicegah dari
membuat kerentanan pada host
jaringan.
Aplikasi Daftar Hitam dan Daftar Putih

20
Keamanan Aplikasi
Aplikasi Daftar Hitam dan Daftar Putih (Lanjutan)
• Situs web juga dapat masuk dalam
daftar putih atau daftar hitam.
• Daftar hitam ini dapat dibuat secara
manual, atau diperoleh dari berbagai
layanan keamanan.
• Daftar hitam dapat terus diperbarui oleh
layanan keamanan dan didistribusikan
ke firewall dan sistem keamanan
lainnya untuk dapat digunakan mereka.
• Manajemen keamanan Cisco Firepower
sistem adalah contoh sistem yang dapat
mengakses layanan intelijen keamanan
Cisco Talos untuk mendapatkan daftar
hitam.

21
Keamanan Aplikasi
Sandboxing Berbasis Sistem
• Sandboxing adalah teknik yang
memungkinkan file yang
mencurigakan dijalankan dan
dianalisis di lingkungan yang aman.
• Cuckoo Sandbox adalah sistem
sandbox analisis malware gratis
yang populer. Ini dapat dijalankan
secara lokal dan memiliki sampel
malware yang dikirimkan ke sana
untuk dianalisis.
• ANY.RUN adalah alat online yang
menawarkan kemampuan untuk
mengupload sampel malware untuk
analisis seperti sandboxonline mana
pun.

22
Keamanan Aplikasi
Video - Menggunakan Sandbox untuk Meluncurkan Malware
• Putar video untuk melihat demonstrasi penggunaan lingkungan sandbox untuk meluncurkan
dan menganalisa serangan malware.

23
22.4 Ringkasan Perlindungan
Endpoint

24
Ringkasan Perlindungan Endpoint
Apa yang Saya Pelajari dalam Modul ini?
• Endpoint didefinisikan sebagai host di jaringan yang dapat mengakses atau diakses oleh host
lain di jaringan.
• Ada dua elemen LAN internal yang harus diamankan: Endpoint dan Infrastruktur Jaringan.
• Perangkat Lunak Antivirus/Antimalware diinstal pada host untuk mendeteksi dan mengurangi
virus dan malware.
• Firewall berbasis host dapat menggunakan sekumpulan kebijakan atau profil yang telah
ditentukan sebelumnya, untuk mengontrol paket yang masuk dan keluar dari komputer.
• Beberapa contoh firewall berbasis host termasuk Windows Defender Firewall, iptables,
nftables, dan TCP Wrappers.
• HIDS melindungi host dari malware yang dikenal dan tidak dikenal.
• Attack Surface (Permukaan serangan) adalah jumlah total kerentanan dalam sistem tertentu
yang dapat diakses oleh penyerang.
• Daftar hitam aplikasi menentukan aplikasi pengguna mana yang tidak diizinkan untuk
dijalankan di komputer dan daftar putih menentukan program mana yang diizinkan untuk
dijalankan.

25
Modul 22
Persyaratan dan Perintah Baru
• Antivirus/Antimalware
• Endpoint
• Host-based firewall
• Sandboxing
• Host-based Intrusion Detection System
(HIDS)
• Attack Surface

MODUL22

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to MODUL22

Similar to MODUL22 (20)

Recently uploaded

Recently uploaded (20)

MODUL22