Attack Detection.pdf

Rachmat Jaenal Abidin, S.T.,M.T
CYBER SECURITY ATTACK
DETECTION

2
© 2016 Cisco dan/atau afiliasinya. Semua hak dilindungi undang-undang. Rahasia Cisco
Data Pribadi

 Apa yang Dimaksud Dengan Keamanan Cyber?
• Perlindungan sistem dan data jaringan dari penggunaan yang tidak sah atau bahaya
 Identitas Online dan Offline Anda
• Identitas Offline
• Identitas Anda saat berinteraksi di rumah, sekolah, atau kantor
• Identitas Online
• Identitas Anda saat berada di dunia maya
• Sebaiknya ungkapkan hanya sedikit informasi tentang Anda
• Nama pengguna atau alias
• Tidak boleh berisi informasi pribadi apa pun
• Harus patut dan sopan
• Tidak boleh menarik perhatian yang tidak diinginkan
Data Pribadi
Pendahuluan Tentang Data Pribadi

4
 Data Anda
• Data Medis
• Informasi fisik dan mental, serta informasi pribadi lainnya
• Resep obat
• Data Pendidikan
• Tingkat, skor ujian, kursus yang diikuti, penghargaan, dan gelar yang
diberikan
• Kehadiran
• Laporan kedisiplinan
• Data Pekerjaan dan Keuangan
• Pendapatan dan pengeluaran
• Data pajak – slip gaji, laporan kartu kredit, penilaian kredit, dan laporan
perbankan
• Tempat bekerja sebelumnya dan kinerja
Data Pribadi

5
 Di Mana Data Anda?
• Data medis: ruangan dokter, perusahaan asuransi
• Kartu loyalitas toko
• Toko mencatat pembelian Anda
• Mitra pemasaran menggunakan profil untuk menargetkan iklan
• Gambar online: teman, orang asing mungkin juga
memiliki salinannya
 Perangkat Komputer Anda
• Penyimpanan data dan portal Anda ke data online Anda
• Daftar beberapa contoh perangkat komputer
Data Pribadi

6
 Bagaimana cara penjahat mendapatkan uang Anda?
• Kredensial online
• Memberi pencuri akses ke akun Anda
• Skema kreatif
• Mengelabui Anda agar mentransfer uang ke teman atau keluarga
 Mengapa mereka menginginkan identitas Anda?
• Keuntungan jangka panjang
• Tunjangan kesehatan
• Melaporkan pengembalian pajak palsu
• Membuka rekening kartu kredit
• Memperoleh pinjaman
Data Pribadi
Data Pribadi Sebagai Target

7
Data Organisasi

8
 Jenis Data Organisasi
• Data Tradisional
• Staf – materi lamaran kerja, gaji, surat penawaran, perjanjian
karyawan
• Kekayaan intelektual – hak paten, merek dagang, rencana produk,
rahasia dagang
• Keuangan – laporan pendapatan, neraca keuangan, laporan arus kas
• Internet of Things dan Big Data
• IoT – jaringan besar benda fisik, misalnya sensor
• Big Data – data dari IoT
 Kerahasiaan, Integritas, dan Ketersediaan
• Kerahasiaan – privasi
• Integritas – keakuratan dan keandalan informasi
• Ketersediaan – informasi dapat diakses
Data Organisasi
Pendahuluan Tentang Data Organisasi

9
 Konsekuensi Pelanggaran Keamanan
• Tidak mungkin mencegah setiap serangan
• Penyerang akan selalu menemukan cara baru
• Rusaknya reputasi, perusakan, pencurian, hilangnya pendapatan,
rusaknya kekayaan intelektual
 Contoh Pelanggaran Keamanan - LastPass
• Pengelola kata sandi online
• Alamat email dicuri, pengingat kata sandi, dan hash otentikasi
• Memerlukan verifikasi email atau otentikasi multifaktor bila masuk dari
perangkat yang tidak dikenal
• Pengguna harus menggunakan kata sandi utama yang rumit,
mengubah kata sandi utama secara berkala, dan waspada terhadap
serangan phishing
Data Organisasi
Dampak Pelanggaran Keamanan

10
Penyerang dan Tenaga
Profesional Keamanan Cyber

11
 Amatir
• Script kiddie dengan sedikit keahlian atau tidak memiliki keahlian
• Menggunakan alat bantu yang ada atau petunjuk yang ditemukan
secara online untuk menyerang
 peretas - membobol masuk ke komputer atau jaringan untuk
mendapatkan akses
• Topi Putih - membobol masuk ke sistem dengan izin untuk
menemukan kelemahan sehingga keamanan sistem dapat ditingkatkan
• Topi Abu-Abu - masuk ke sistem tanpa izin
• Topi Hitam - memanfaatkan kerentanan apa pun untuk keuntungan
pribadi, keuangan, atau politik yang ilegal
 peretas Terorganisasi - Organisasi penjahat cyber, hacktivis,
teroris, dan peretas yang didukung negara.
Profil Penyerang Cyber
Jenis Penyerang

12
 Ancaman Keamanan Internal
• Mungkin adalah karyawan atau mitra kontrak
• Salah menangani data rahasia
• Mengancam operasi server internal atau perangkat infrastruktur
jaringan
• Memfasilitasi serangan dari luar dengan menyambungkan media
USB yang terinfeksi ke dalam sistem komputer perusahaan
• Secara tidak sengaja mengundang malware masuk ke jaringan
melalui email atau situs web berbahaya
• Dapat menyebabkan kerusakan besar karena akses langsung
 Ancaman Keamanan Eksternal
• mengeksploitasi kerentanan dalam
jaringan atau perangkat komputer
• menggunakan rekayasa sosial untuk
mendapatkan akses
Profil Penyerang Cyber
Ancaman Internal dan Eksternal

13
Menganalisis
Serangan Cyber

14
Kerentanan Keamanan dan Eksploitasi
 Eksploitasi adalah istilah yang digunakan untuk menggambarkan program yang ditulis untuk
memanfaatkan kerentanan yang diketahui.
 Serangan adalah tindakan menggunakan eksploitasi terhadap kerentanan.
 Kerentanan perangkat lunak
• Kesalahan dalam OS atau kode aplikasi
 Kerentanan perangkat keras
• Cacat desain perangkat keras
• Rowhammer - Eksploitasi memori RAM membuat data dapat diambil dari sel memori alamat terdekat.

15
Jenis dan Gejala Malware
Jenis Malware
 Malware digunakan untuk mencuri data, melewati kontrol akses, serta menimbulkan bahaya
terhadap atau merusak sistem.
 Jenis Malware
• Spyware - melacak dan memata-matai pengguna
• Adware - mengirimkan iklan, biasanya disertai spyware
• Bot - secara otomatis melakukan tindakan
• Ransomware - menyandera sistem komputer atau data
hingga tebusan dibayar
• Scareware - menakut-nakuti pengguna untuk melakukan
tindakan tertentu.
Infeksi Worm Code Red Awal

16
Jenis Malware (Sambungan)
 Jenis Malware (Sambungan)
• Rootkit - mengubah sistem operasi untuk membuat backdoor
• Virus - kode berbahaya yang dapat dijalankan yang terlampir pada file executable (yang dapat
dijalankan) lain
• Trojan horse - menjalankan operasi berbahaya dengan menyamar sebagai operasi yang diinginkan
• Worm - menggandakan diri secara mandiri mengeksploitasi kerentanan dalam jaringan
• Man-in-The-Middle atau Man-in-The-Mobile –
mengambil alih kontrol perangkat tanpa sepengetahuan
pengguna
Infeksi Worm Code Red 19 Jam Kemudian

17
Gejala Malware
 Penggunaan CPU meningkat.
 Kecepatan komputer menurun.
 Komputer sering mengalami gangguan atau kerusakan.
 Kecepatan penelusuran Web menurun.
 Terjadi masalah yang tidak dapat dijelaskan pada sambungan jaringan.
 File berubah.
 File terhapus.
 Terdapat file, program, atau ikon desktop yang tidak dikenal.
 Berjalannya proses yang tidak diketahui.
 Program mati atau terkonfigurasi ulang sendiri.
 Email dikirim tanpa diketahui atau persetujuan pengguna.

18
Metode Infiltrasi
Rekayasa Sosial
 Rekayasa Sosial – manipulasi individu agar melakukan tindakan atau mengungkapkan informasi
rahasia
• Pretexting - penyerang menghubungi individu dan berbohong untuk mendapatkan akses ke data
rahasia.
• Tailgating - penyerang dengan cepat mengikuti orang yang sah ke lokasi aman.
• Something for something (Quid pro quo) - penyerang meminta informasi pribadi dari satu pihak
dengan imbalan

19
Metode Infiltrasi
Cracking kata sandi Wi-Fi
 Cracking kata sandi Wi-Fi – Pemecahan kata sandi
• Rekayasa sosial - Penyerang memanipulasi
seseorang yang mengetahui kata sandi agar
memberikannya.
• Serangan brute-force - Penyerang mencoba
beberapa kemungkinan kata sandi dalam upaya
menebak sandi.
• Penyadapan jaringan - Kata sandi dapat diketahui
dengan menyadap dan mengambil paket yang dikirim
di jaringan.

20
Metode Infiltrasi
Phishing
 Phishing
• penyerang mengirimkan email palsu yang dibuat seolah berasal dari sumber yang sah dan tepercaya
• menipu penerima agar menginstal malware di perangkat mereka atau berbagi informasi pribadi atau
keuangan
 Spear phishing
• serangan phishing yang sangat bertarget

21
Metode Infiltrasi
Eksploitasi Kerentanan
 Eksploitasi Kerentanan – memindai untuk mencari kerentanan yang akan dieksploitasi
• Langkah 1 - Mengumpulkan informasi tentang sistem target menggunakan pemindai port atau rekayasa sosial
• Langkah 2 - Menentukan informasi yang dipelajari dari langkah 1
• Langkah 3 - Mencari kerentanan
• Langkah 4 - Menggunakan eksploitasi yang diketahui atau membuat eksploitasi baru
 Advanced Persistent Threat – Operasi jangka panjang dan canggih yang dijalankan dalam beberapa fase
serta sembunyi-sembunyi terhadap target tertentu
• biasanya memiliki sumber dana yang besar
• menggunakan malware khusus

22
Pemblokiran Layanan
DoS
 DoS adalah gangguan layanan jaringan
• Volume lalu lintas yang terlalu besar - jaringan, host, atau aplikasi menerima pengiriman data dalam
jumlah sangat besar dengan kecepatan yang tidak dapat ditanganinya
• Paket dengan format berbahaya - paket yang diformat secara berbahaya dikirim ke host atau aplikasi
dan penerima tidak dapat menanganinya

23
Pemblokiran Layanan
DDoS
 Mirip dengan DoS, berasal dari beberapa
sumber yang terkoordinasi
 Botnet - jaringan host yang terinfeksi
 Zombie - host yang terinfeksi
 Zombie dikendalikan oleh sistem pengendali.
 Zombie terus menginfeksi lebih banyak host,
sehingga menciptakan lebih banyak zombie.

24
Pemblokiran Layanan
Manipulasi SEO
 SEO
• Pengoptimalan Mesin Pencari
• Teknik untuk menaikkan peringkat situs web di mesin pencari
 Manipulasi SEO
• Meningkatkan lalu lintas ke situs web berbahaya
• Membuat situs berbahaya berperingkat lebih tinggi

25
Melindungi Data Anda dan
Organisasi

26
Melindungi Perangkat dan Jaringan Anda
Melindungi Perangkat Komputer Anda
 Selalu Aktifkan Firewall
• Cegah akses tidak sah ke data atau perangkat komputer Anda
• Selalu perbarui firewall
 Gunakan Antivirus dan Antispyware
• Cegah akses tidak sah ke data atau perangkat komputer Anda
• Hanya unduh perangkat lunak dari situs web tepercaya
• Selalu perbarui perangkat lunak
 Kelola Sistem Operasi dan Peramban Anda
• Tetapkan pengaturan keamanan ke sedang atau lebih tinggi
• Perbarui sistem operasi komputer dan peramban Anda
• Unduh serta instal patch dan pembaruan keamanan perangkat
lunak terkini
 Lindungi Semua Perangkat Anda
• Lindungi dengan kata sandi
• Eknripsikan data
• Hanya simpan informasi yang penting
• Perangkat IoT

27
Melindungi Perangkat dan Jaringan Anda
Gunakan Jaringan Nirkabel Secara Aman
 Jaringan Nirkabel Rumah
• Ubah SSID standar dan kata sandi administratif default di router Wi-Fi.
• Nonaktifkan siaran SSID
• Gunakan fitur enkripsi WPA2
• Ketahui kekurangan keamanan protokol WPA2 –
KRACK
• Penyusup dapat membuka enkripsi antara router nirkabel
dan klien
 Hati-hati saat menggunakan hotspot Wi-Fi publik
• Jangan akses atau kirim informasi sensitif
• Penggunaan tunnel VPN dapat mencegah penyadapan
 Nonaktifkan Bluetooth bila tidak digunakan

28
Firewall

29
Jenis Firewall
Jenis Firewall
 Mengontrol atau memfilter komunikasi masuk atau keluar di jaringan atau perangkat
 Jenis firewall umum
• Firewall Lapisan Jaringan – alamat IP asal dan tujuan
• Firewall Lapisan Pengiriman – port data asal dan tujuan, kondisi sambungan
• Firewall Lapisan Aplikasi – aplikasi, program, atau layanan
• Firewall Aplikasi Konteks – pengguna, perangkat, peran, jenis aplikasi, dan profil ancaman
• Server Proxy – permintaan konten web
• Server Proxy Balik – melindungi, menyembunyikan,
meniadakan, dan mendistribusikan akses ke web server
• Firewall NAT (Penafsiran Alamat Jaringan) –
menyembunyikan atau menyamarkan alamat pribadi
host jaringan
• Firewall berbasis Host – Memfilter panggilan layanan port
dan sistem pada satu sistem operasi komputer

30
Jenis Firewall
Pemindaian Port
 Proses pencarian port terbuka di komputer, server, atau host jaringan lainnya
 Nomor port ditetapkan untuk masing-masing aplikasi yang berjalan di perangkat.
 Alat bantu pengintaian untuk mengidentifikasi OS dan layanan yang berjalan
• Nmap – Alat bantu pemindaian port
 Respons umum:
• Dibuka atau Diterima – layanan mendengarkan
di port.
• Ditutup, Ditolak, atau Tidak Mendengarkan –
sambungan ke port akan ditolak.
• Difilter, Dihentikan, atau Diblokir – tidak ada
jawaban dari host.

31
Peralatan Keamanan
Peralatan Keamanan
 Peralatan keamanan terdiri atas tiga kategori umum berikut ini:
• Router – dapat memiliki banyak kemampuan firewall:
pemfilteran lalu lintas, IPS, enkripsi, dan VPN.
• Firewall – mungkin juga memiliki kemampuan
router, manajemen dan analisis jaringan lanjutan.
• IPS – khusus untuk mencegah penyusupan.
• VPN – dirancang untuk pembuatan tunnel yang dienkripsi dengan aman.
• Malware/Antivirus – Cisco AMP (Advanced Malware Protection) terdapat dalam router, firewall,
perangkat IPS, Peralatan Keamanan Web dan Email Cisco generasi mendatang serta dapat diinstal
sebagai perangkat lunak di komputer host.
• Perangkat Keamanan Lainnya – mencakup peralatan keamanan web dan email, perangkat dekripsi,
server kontrol akses klien, serta sistem manajemen keamanan.

32
Mendeteksi Serangan Secara Real-Time
Mendeteksi Serangan Secara Real-Time
 Serangan zero-day
• Seorang hacker mengeksploitasi kecacatan dalam bagian
perangkat lunak sebelum pembuatnya dapat memperbaikinya.
 Pemindaian Real-Time dari Titik Awal hingga Titik
Akhir
• Secara aktif memindai serangan menggunakan firewall dan
perangkat jaringan IDS/IPS
• deteksi dengan sambungan ke pusat ancaman global online
• mendeteksi anomali jaringan menggunakan analisis berbasis
konteks dan deteksi perilaku
 Serangan DDoS dan Respons Real-Time
• DDoS, salah satu ancaman serangan terbesar, dapat
mengganggu ketersediaan server Internet dan jaringan.
• DDoS berasal dari ratusan, atau ribuan host zombie, dan
serangan terlihat seperti lalu lintas yang sah.

33
Mendeteksi Malware
Melindungi dari Malware

34
Praktik Terbaik Keamanan
Praktik Terbaik Keamanan
 Beberapa Praktik Terbaik Keamanan yang dipublikasikan:
• Melakukan Penilaian Risiko – Mengetahui nilai aset yang Anda lindungi akan membantu memberikan alasan untuk pengeluaran keamanan.
• Membuat Kebijakan Keamanan – Buat kebijakan yang dengan jelas menguraikan aturan perusahaan, tugas pekerjaan, dan ekspektasi.
• Tindakan Keamanan Fisik – Batasi akses ke lemari jaringan, lokasi server, serta pemadam api.
• Tindakan Keamanan Sumber Daya Manusia – Karyawan harus menjalani pemeriksaan latar belakang yang benar.
• Melakukan dan Menjalankan Pencadangan – Lakukan pencadangan rutin dan uji pemulihan data dari cadangan.
• Mempertahankan Patch dan Pembaruan Keamanan – Perbarui server, klien, serta sistem operasi dan program perangkat jaringan secara
rutin.
• Menerapkan Kontrol Akses – Konfigurasikan peran dan tingkat hak khusus pengguna serta otentikasi pengguna yang kuat.
• Menguji Respons Insiden Secara Rutin – Bentuk tim respons insiden dan uji skenario respons darurat.
• Menerapkan Pemantauan, Analisis, dan Alat Bantu Manajemen Jaringan – Pilih solusi pemantauan keamanan yang berintegrasi dengan
teknologi lain.
• Menggunakan Perangkat Keamanan Jaringan – Gunakan router, firewall, dan peralatan keamanan lainnya dari generasi mendatang.
• Menerapkan Solusi Titik Akhir yang Lengkap – Gunakan perangkat lunak antimalware dan antivirus tingkat perusahaan.
• Mendidik Pengguna – Didik pengguna dan karyawan tentang prosedur yang aman.
• Mengenkripsi data – Enkripsikan semua data perusahaan yang sensitif, termasuk email.

35
Pendekatan Perilaku
Terhadap Keamanan Cyber

36
Botnet
Botnet
 Botnet
• Sekelompok bot menyambung melalui
Internet
• Dikontrol oleh individu atau kelompok
berbahaya
 Bot
• Biasanya terinfeksi dengan mengunjungi
situs web, membuka lampiran email, atau
membuka file media yang terinfeksi

37
Rantai Penghancuran
Rantai Penghancuran Dalam Pertahanan Cyber
Rantai Penghancuran adalah tahapan serangan sistem informasi.
1. Pengintaian – Mengumpulkan informasi
2. Penyiapan senjata – Membuat eksploitasi
bertarget dan muatan berbahaya
3. Pengiriman – Mengirimkan eksploitasi dan
muatan berbahaya ke target
4. Eksploitasi – Menjalankan eksploitasi
5. Penginstalan – Menginstal malware dan
backdoor
6. komando dan Kontrol – Kontrol jarak jauh dari
saluran atau server komando dan kontrol.
7. Tindakan – Melakukan tindakan berbahaya
atau serangan tambahan di perangkat lain

38
Keamanan Berbasis Perilaku
Keamanan Berbasis Perilaku
 Honeypot
• Memancing penyerang menurut perilaku penyerang yang dapat diperkirakan
• Mendeteksi, mencatat, dan menganalisis perilaku penyerang
• Administrator dapat memperoleh lebih banyak informasi dan membangun pertahanan yang lebih baik
 Cyber Threat Defense Solution Architecture Cisco
• Menggunakan deteksi dan indikator berbasis perilaku
• Memberikan visibilitas, konteks, dan kontrol yang
lebih besar

39
NetFlow dan Serangan Cyber
Netflow
 Mengumpulkan informasi tentang data yang berjalan di jaringan
 Komponen penting dalam deteksi dan analisis berbasis perilaku
 Menetapkan perilaku standar

40
Pendekatan Cisco Terhadap
Keamanan Cyber

41
CSIRT
CSIRT
 Computer Security Incident Response Team
• membantu memastikan pengamanan perusahaan, sistem, dan data dengan melakukan penyelidikan
menyeluruh tentang insiden keamanan komputer
• memberikan penilaian ancaman proaktif, perencanaan mitigasi, analisis tren insiden, dan tinjauan
arsitektur keamanan

42
Buku Panduan Keamanan
Buku Panduan Keamanan
 Kumpulan permintaan berulang terhadap sumber data kejadian keamanan yang mengarah ke
deteksi dan respons insiden
 Apa yang perlu dilakukannya?
• Mendeteksi komputer yang terinfeksi malware.
• Mendeteksi aktivitas jaringan yang mencurigakan.
• Mendeteksi upaya otentikasi yang tidak biasa.
• Menjelaskan dan memahami lalu lintas masuk dan keluar.
• Memberikan informasi ringkasan termasuk tren, statistik,
dan jumlah.
• Memberikan akses cepat yang dapat digunakan ke
statistik dan metrik.
• Menghubungkan kejadian di semua sumber data yang relevan.

43
Alat Bantu untuk Pencegahan dan Deteksi Insiden
Alat Bantu untuk Pencegahan dan Deteksi Insiden
 SIEM – Security Information and Event Management
• Perangkat lunak yang mengumpulkan dan menganalisis peringatan keamanan, log, serta data real-time
dan historis lainnya dari perangkat keamanan di jaringan
 DLP – Data Loss Prevention
• Mencegah data sensitif dicuri atau keluar dari jaringan
• Dirancang untuk memantau dan melindungi
data dalam tiga kondisi yang berbeda
 Cisco ISE (Cisco Identity Services Engine)
dan TrustSec
• Menggunakan kebijakan kontrol akses
berbasis peran

44
IDS dan IPS
IDS dan IPS
 IDS – Sistem Deteksi Penyusupan
• Biasanya offline
• Tidak mencegah serangan
• Mendeteksi, mencatat, dan melaporkan
 IPS – Sistem Pencegahan Penyusupan
• Mampu memblokir atau menolak lalu lintas berdasarkan kecocokan aturan atau ciri
 Sistem IDS/IPS
• Snort
• Sourcefire (Cisco)

Attack Detection.pdf

Recommended

Recommended

More Related Content

Similar to Attack Detection.pdf

Similar to Attack Detection.pdf (20)

More from RachmatJaenalAbidin

More from RachmatJaenalAbidin (6)

Attack Detection.pdf