un

guest
1 / ?
back to lessons

Selamat Datang

Selamat Datang di Keamanan Siber: Pertahanan dalam Kedalaman.

Setiap minggu, ada berita lagi: sebuah rumah sakit terblokir dari sistemnya sendiri oleh ransomware, jutaan kata sandi bocor dari basis data yang bocor, sebuah pipa minyak ditutup oleh penyerang yang masuk melalui kata sandi yang dikorupsi satu-satunya.

Keamanan siber bukan tentang menjadi seorang hacker dengan kaus hoodies. Ini tentang memahami bagaimana sistem gagal dan membangun pertahanan yang bisa bertahan saat: bukan jika: sesuatu yang salah.

Les ini akan membawa Anda dari konsep dasar hingga analisis ancaman, pertahanan jaringan, keamanan aplikasi, tanggapan insiden, dan akhirnya ke jalur karier di mana pengetahuan ini membayar tagihan.

Triad CIA

Triad CIA

Setiap keputusan keamanan kembali ke tiga prinsip. Industri menyebutnya triad CIA: tidak ada hubungannya dengan lembaga intelijen.


Rahasia: Hanya orang yang diizinkan yang bisa mengakses data. Catatan medis harus terlihat oleh pasien dan dokter mereka, bukan oleh seluruh internet.


Integritas: Data tidak dirusak. Ketika bank Anda mengatakan saldo Anda $500, Anda perlu percaya bahwa tidak ada yang mengubahnya dari $5.000.


Dostruan: Sistem dan data tersedia saat dibutuhkan. Catatan pasien rumah sakit tidak berguna jika jaringan mati selama keadaan darurat.


Banyak pelanggaran yang melanggar setidaknya salah satu dari ini. Serangan ransomware mengganggu dostruan. Data bocor menyerang rahasia. Serangan man-in-the-middle pada transaksi keuangan menyerang integritas.

Keamanan nyata di dunia ini tentang kompromi antara ketiga hal tersebut. Sistem yang tertutup di dalam vault memiliki rahasia sempurna tetapi nol dostruan.

Triad CIA: Rahasia, Integritas, Dostruan

Perusahaan menyimpan nomor kartu kredit pelanggan di basis data. Minggu lalu, seorang penyerang mengubah beberapa nomor yang tersimpan tanpa ada yang menyadari. Bagian dari triad CIA yang dilanggar, dan mengapa pelanggaran ini lebih penting daripada hanya kehilangan akses terhadap data?

Attack Vectors

How Attacks Actually Happen

Hollywood shows hackers furiously typing green code into a terminal. Reality is less glamorous. Most breaches start with one of a few common attack vectors:


Phishing: Menipu manusia untuk mengklik tautan, membuka lampiran, atau memasukkan kreditentials pada situs palsu. Ini masih menjadi metode akses awal nomor satu. Spear phishing mengincar orang tertentu dengan jerat yang disesuaikan.


Malware: Perangkat lunak yang dirancang untuk merusak atau memperoleh akses tidak resmi: ransomware mengenkripsi file Anda dan meminta pembayaran, trojan menggambarkan diri mereka sebagai perangkat lunak yang sah, dan worm menyebar secara otomatis di antara jaringan.


Serangan Rantai Pasokan: Mengorbankan vendor yang dipercaya atau dependensi perangkat lunak. Serangan SolarWinds pada tahun 2020 menginjeksi kode keberatan ke dalam pembaruan perangkat lunak rutin yang didistribusikan ke 18.000 organisasi, termasuk lembaga pemerintah Amerika Serikat.


Serangan Kredit: Mencoba memaksa kata sandi, stuffing kredit (menggunakan kata sandi yang bocor dari breach lain), atau mengeksploitasi kredit default yang tidak pernah diubah.


Eksploit Nol-Hari: Membalas kerentanan yang vendor perangkat lunak belum tahu. Ini jarang terjadi tetapi mematikan karena tidak ada patch yang tersedia.

Vektor Serangan Umum: Phishing, Malware, Rantai Pasokan, Serangan Kredit, Nol-Hari

Threat Actors and MITRE

Siapa yang Terlibat dalam Serangan?

Bukan semua penyerang sama. Profesional keamanan mengelompokkannya berdasarkan motivasi & kemampuan:


Anak Sekolah Coding: Penyerang dengan kemampuan rendah yang menggunakan alat yang dibangun sebelumnya. Mereka menimbulkan kerusakan nyata tetapi tidak mahir.


Hacktivis: Motivasi politik atau sosial. Mereka merusak situs web, melepas data, atau melancarkan serangan penolakan layanan untuk membuat poin.


Penjahat Siber: Berorientasi keuntungan. Gang ransomware, jaringan penipuan, dan broker data. Ini adalah kriminal yang terorganisir yang diadaptasi untuk internet.


Pemain Negara (APTs): Ancaman Tetap Maju yang didukung oleh pemerintah. Mereka memiliki anggaran besar, alat khusus, dan kesabaran yang diukur dalam tahun. Pikirkan spionase, sabotase terhadap infrastruktur, dan pencurian properti intelektual.


Insider: Karyawan atau kontraktor dengan akses yang sah yang menggunakannya secara tidak bertanggung jawab, baik dengan sengaja atau karena kealpaan.


Kerangka MITRE ATT&CK

MITRE ATT&CK adalah basis pengetahuan yang tersedia untuk publik yang mencatat teknik ancaman nyata yang diorganisasi berdasarkan fase: akses awal, eksekusi, persistensi, escalasi hak, gerakan lateral, pengeluaran, & lebih lanjut. Pembela menggunakan itu untuk memahami apa yang dilakukan penyerang pada setiap tahap dan membangun deteksi sesuai.

Taxonomi Ancaman: Script Kiddies, Hacktivists, Cybercriminals, Nation-State APTs, Insiders

Perusahaan akuntansi menengah mendapatkan serangan ransomware. Penyerang memperoleh akses melalui surel phishing yang dikirim ke karyawan di pembayaran akun. Permintaan tebusan adalah $200,000 dalam cryptocurrency. Berdasarkan vektor serangan & permintaan, apa jenis ancaman teroris yang paling mungkin bertanggung jawab? Jelaskan alasan Anda.

Pintu Api, VPN, dan IDS/IPS

Layer Pertahanan Jaringan

Pertahanan dalam Kedalaman: Layer Keamanan Jaringan

Keamanan jaringan adalah tentang mengontrol lalu lintas yang masuk, keluar, dan bergerak dalam jaringan Anda. Tidak ada perangkat tunggal yang melakukannya sendiri: pertahanan dalam kedalaman berarti melapisinya dengan beberapa kontrol.


Pintu Api: Garis depan pertama. Pintu api menginspeksi lalu lintas jaringan dan mengizinkan atau menolaknya berdasarkan aturan. Pintu api dasar mengfilter berdasarkan alamat IP dan nomor porta. Pintu api generasi berikutnya (NGFW) menginspeksi konten sebenarnya dari lalu lintas dan dapat mengidentifikasi aplikasi khusus.


VPN (Jaringan Virtual Sembunyi): Mengenkripsi lalu lintas antara dua titik, menciptakan saluran aman melalui jaringan yang tidak dipercaya seperti internet publik. Karyawan jarak jauh menggunakan VPN untuk mengakses sumber daya perusahaan internal seperti mereka berada di tempat.


Sistem Deteksi/Penghindaran Intrusi (IDS/IPS): IDS mengawasi lalu lintas dan memberi peringatan saat melihat sesuatu yang mencurigai. IPS melakukan hal yang sama tetapi dapat secara otomatis mengblokir lalu lintas. Pikirkan IDS sebagai kamera keamanan dan IPS sebagai kamera keamanan dengan penjaga yang dapat mengunci pintu.


Pengelompokan Jaringan: Membagi jaringan menjadi zona terisolasi sehingga pelanggaran di satu area tidak dapat dengan mudah menyebar ke yang lain. Komputer yang disusupi di departemen pemasaran tidak seharusnya dapat mencapai server database di departemen keuangan.

Zero Trust dan Keamanan DNS

Arsitektur Zero Trust

Keamanan jaringan tradisional mengikuti model kastil dan rawa: pertahanan perimeter yang kuat, tetapi setelah Anda di dalam, Anda dianggap aman. Ini gagal secara katastropel saat penyerang melewati perimeter: atau saat perimeter hilang karena semua orang bekerja dari rumah.


Zero Trust mengguncang model tersebut: tidak pernah percaya, selalu verifikasi. Setiap permintaan: baik yang datang dari dalam maupun luar jaringan: harus diotentikasi, diotorisasi, dan dienkripsi. Prinsip kunci:

- Verifikasi secara eksplisit: Otentikasi dan otorisasi berdasarkan semua data yang tersedia: identitas, lokasi, kesehatan perangkat, layanan atau beban kerja, kelas data.

- Akses dengan hak istimewa terendah: Berikan pengguna dan sistem hanya izin yang diperlukan secara minimal, hanya selama mereka membutuhkannya.

- Anggap pelanggaran: Desain sistem seperti jika penyerang sudah masuk. Batasi dampak dari setiap kompromi.


Keamanan DNS

DNS menerjemahkan nama domain ke alamat IP. Penyerang memanfaatkan hal ini dalam beberapa cara: spoofing DNS merutekan pengguna ke situs jahat, tunneling DNS menyembunyikan eksfiltrasi data di dalam permintaan DNS, & pencurian domain mengambil alih domain yang sah. DNSSEC menambahkan tanda tangan kriptografi ke respons DNS untuk mencegah manipulasi.

Zero Trust vs Arsitektur Kastil dan Rawa dan Keamanan DNS

Perusahaan Anda saat ini menggunakan model jaringan kastil dan rawa: dinding keamanan yang kuat di perimeter, tetapi setelah karyawan terhubung ke jaringan internal, mereka dapat mengakses hampir segalanya. Pemilik perusahaan ingin tahu mengapa Anda mengusulkan arsitektur zero trust yang lebih mahal dan akan menambah hambatan bagi karyawan. Berikan argumennya: apa risiko khusus yang diciptakan oleh model saat ini?

Serangan Injeksi

Ketika Aplikasi Menjadi Surveilans Serangan

Pertahanan jaringan dapat sempurna, tetapi jika aplikasi itu sendiri memiliki kelemahan, penyerang langsung melalui pintu depan.


SQL Injection: Penyerang memasukkan kode SQL jahat ke dalam bidang input. Jika aplikasi membangun kueri basis data dengan menggabungkan input pengguna, penyerang dapat membaca, memodifikasi, atau menghapus basis data seluruhnya. Contoh: memasukkan ' OR 1=1 -- ke dalam formulir login mungkin mengabaikan autentikasi sepenuhnya.


Cross-Site Scripting (XSS): Penyerang memasukkan JavaScript jahat ke dalam halaman web yang akan dilihat pengguna lain. Ketika korban memuat halaman, skrip menjalankan di browser mereka dan dapat mencuri cookie sesi, mengalihkan mereka ke situs penipuan, atau memodifikasi apa yang mereka lihat pada halaman.


The OWASP Top 10: Proyek Keamanan Web Terbuka (Open Web Application Security Project) menerbitkan daftar secara berkala dari risiko keamanan web aplikasi yang paling kritis. Injeksi dan XSS telah ada dalam daftar selama lebih dari satu dekade. Masuk lainnya termasuk akses yang rusak, konfigurasi keamanan yang bermasalah, dan desain yang tidak aman.


Perbaikan untuk serangan injeksi bukan hanya filtering input: itu adalah kueri parameterized (juga disebut pernyataan siap). Alih-alih membangun string SQL dengan input pengguna, Anda melewatkannya sebagai parameter terpisah yang basis data traktir sebagai data, tidak sebagai kode.

Serangan SQL Injection vs Perbaikan Kueri Parameterized

Autentikasi dan Pengembangan Aman

Autentikasi dengan Benar

Autentikasi adalah membuktikan bahwa Anda adalah siapa yang Anda klaim. Otorisasi adalah menentukan apa yang Anda diperbolehkan lakukan. Mengacaukan keduanya adalah sumber kelemahan yang umum.


Multi-Factor Authentication (MFA): Memerlukan dua atau lebih faktor: sesuatu yang Anda ketahui (kata sandi), sesuatu yang Anda miliki (telepon atau kunci hardware), sesuatu yang Anda miliki (jejak sidik jari). MFA menghalangi sebagian besar serangan berdasarkan kredit karena password yang dirampas sendiri tidak cukup.


OAuth 2.0 dan OpenID Connect: Standar untuk otorisasi dan autentikasi yang didelegasikan. Ketika Anda klik "Sign in with Google", OAuth memungkinkan aplikasi untuk mengverifikasi identitas Anda melalui Google tanpa pernah melihat password Google Anda.


Secure Software Development Lifecycle (SDLC)

Keamanan tidak bisa di pasang setelah pengembangan. SDLC aman mengintegrasikan keamanan pada setiap fase:

- Desain: Analisis ancaman: apa yang bisa salah?

- Pengembangan: Standar coding aman, ulasan kode, alat analisis statis

- Pengujian: Analisis dinamis, penetration testing, fuzz testing

- Pengembangan: Konfigurasi yang ditegah, manajemen rahasia

- Pemeliharaan: Patching, skaning kelemahan, update dependensi

Faktor MFA dan Fase SDLC yang Aman

Seorang developer di tim Anda menulis formulir login yang mengambil nama pengguna & kata sandi, lalu membangun kueri SQL seperti ini: SELECT * FROM users WHERE username = '[input pengguna]' AND password = '[input pengguna]'. Mereka bilang itu berfungsi dengan baik dalam pengujian. Jelaskan masalah keamanan & deskripsikan pendekatan yang benar.

Lifecyle Tanggapan Kejadian

Ketika Pencegahan Gagal

Tidak ada pertahanan yang sempurna. Ketika pelanggaran terjadi, perbedaan antara insiden kecil dan bencana adalah seberapa cepat dan efektif respons yang diberikan.


Standar lifecycle tanggapan kejadian memiliki enam fase:


1. Persiapan: Bangun tim, definisikan peran, buat playbook, jalankan latihan meja. Ini terjadi sebelum insiden apa pun. Tim yang tidak bersiap akan menghabiskan jam kritis untuk menentukan siapa yang melakukan apa.


2. Deteksi dan Analisis: Tentukan bahwa insiden terjadi dan tentukan skopnya. Ini adalah tempat sistem SIEM (Security Information and Event Management) mengumpulkan log dari seluruh lingkungan dan memberi tahu pola yang mencurigakan. Analis SOC (Security Operations Center) menangani peringatan ini 24/7.


3. Konten : Hentikan pendarahan. Konten jangka pendek mungkin berarti mengisolasi mesin terinfeksi dari jaringan. Konten jangka panjang mungkin berarti membangun lingkungan bersih paralel sambil Anda menyelidiki.


4. Pembinasa : Hapus keberadaan penyerang secara keseluruhan: malware, backdoors, akun yang disusupi, dan mekanisme keberlangsungan.


5. Pemulihan : Kembalikan sistem ke operasi normal. Validasi bahwa lingkungan bersih. Awasi erat untuk tanda penyerang masih ada.


6. Pelajaran Terakhir : Fase yang paling diabaikan. Lakukan post-mortem tanpa tuduhan: apa yang terjadi, bagaimana deteksi, apa yang berhasil, apa yang tidak, dan perubahan apa yang akan mencegah rekurensi.

Lifecyle Tanggapan Kejadian Siber: 6 Fase dari Persiapan ke Pelajaran Terakhir

Skenario Tanggapan Kejadian

Skenario: Ransomware pada pukul 2 AM

Anda adalah analis keamanan yang bertugas malam. Pada pukul 2:14 AM, sistem SIEM Anda memicu peringatan: beberapa server file menunjukkan aktivitas enkripsi yang tidak biasa. Dalam beberapa menit, karyawan di kantor Eropa melaporkan bahwa file mereka telah digantikan dengan catatan tebusan yang meminta 50 Bitcoin.


Rencana tanggapan kejadian Anda mengatakan untuk mengatasi IR team lead & mengikuti buku pegangan ransomware. CEO sedang menghubungi. Hukum ingin tahu tentang kewajiban pemberitahuan. Direktur IT ingin tahu jika backup bersih.

Layangkan Anda melalui tiga tindakan pertama dalam 30 menit pertama. Khusus: apa yang Anda lakukan, dalam urutan apa, dan mengapa? Pikirkan tentang konten, komunikasi, dan pemeliharaan bukti.

Pelajaran Terakhir

Fase yang Dilewati Semua

Setelah krisis segera diatasi, fase pengambilan pelajaran dari kegagalan menentukan apakah organisasi benar-benar meningkatkan kinerjanya. Analisis post-mortem tanpa pertanggungjawaban bertanya:

- Vektor akses awal apa?

- Berapa lama penyerang ada di lingkungan sebelum deteksi (waktu tinggal)?

- Kendali apa yang gagal, dan mengapa?

- Kendali apa yang berhasil?

- Perubahan khusus dan ukurannya apa yang mencegah rekursif?


Kata tanpa pertanggungjawaban penting. Jika orang takut ditindak, mereka menyembunyikan kesalahan. Jika mereka menyembunyikan kesalahan, organisasi tidak pernah belajar. Tujuan adalah memperbaiki sistem, bukan menghukum individu.


Rata-rata waktu tinggal untuk serangan ransomware menurun dalam beberapa tahun terakhir, tetapi untuk jenis serangan lain, penyerang sering kali tetap tidak terdeteksi selama minggu atau bulan. Kecepatan deteksi adalah salah satu metrik paling penting dalam operasi keamanan.

Setelah insiden ransomware diselesaikan, investigasi Anda menunjukkan bahwa penyerang memperoleh akses awal tiga minggu yang lalu melalui surel penipuan, kemudian menempatkan waktu diam secara diam-diam untuk memetakan jaringan & mempersiapkan ransomware sebelum mengaktifkannya. Apa rekomendasi perubahan khusus dan dapat diambil untuk mengurangi kemungkinan akses awal & waktu tinggal?

Peta Karir di Keamanan Siber

Ke Mana Ilmu Ini Pergi

Keamanan Siber menghadapi kekurangan talenta yang luar biasa: ratusan ribu posisi kosong secara global. Bidang ini menawarkan berbagai peta karir dengan kepribadian dan keterampilan berbeda:


Analisis SOC: Garis depan. Analisis SOC bekerja dalam shift mengawasi pemberitahuan, menangani kejadian, dan meningkatkan ancaman. Ini adalah titik masuk paling umum ke bidang keamanan. Diharapkan untuk bekerja shift dan banyak kelelahan dari pemberitahuan, tetapi membangun pengetahuan praktis dalam waktu singkat.


Pengujian Penetrasi (Pentester): Anda mendapatkan bayaran untuk masuk ke dalam organisasi dengan izin mereka. Anda menemukan kelemahan sebelum penyerang melakukannya. Membutuhkan keterampilan teknis yang dalam dalam jaringan, aplikasi web, dan sistem operasi. Pemecahan masalah kreatif sangat penting.


Ingenieur Keamanan: Merancang dan membangun infrastruktur pertahanan: dinding api, sistem SIEM, platform identitas, sistem enkripsi. Ini adalah peran pembangun. Ada banyak kesamaan dengan DevOps dan pengembangan awan.


Forensik Digital dan Tanggapan Insiden (DFIR): Investigator. Ketika terjadi pelanggaran, profesional DFIR merekonstruksi apa yang terjadi, bagaimana, dan kapan. Membutuhkan perhatian detail yang teliti dan nyaman dengan proses hukum dan pengelolaan bukti.


Sertifikasi

Sertifikasi tidak diperlukan, tetapi mereka membuka pintu:

- CompTIA Security+: Sertifikasi entri level industri. Meliputi konsep keamanan dasar. Poin awal yang bagus.

- OSCP (Offensive Security Certified Professional): Sertifikasi penetration testing tangan pertama. Anda memiliki 24 jam untuk memasuki beberapa mesin di laboratorium. Dibanggakan dan benar-benar sulit.

- CISSP (Certified Information Systems Security Professional): Sertifikasi level manajemen yang mencakup strategi keamanan sistem informasi, pengelolaan risiko, dan pemerintahan. Membutuhkan lima tahun pengalaman kerja. Dibutuhkan secara luas untuk posisi senior dan kepemimpinan.

Peta Karier Keamanan Siber dan Tangga Sertifikasi

Gaya Pikiran Keamanan Anda

Penutup

Anda telah menutupi banyak tanah: trias CIA, aktor ancaman & vektor serangan, pertahanan jaringan & zero trust, keamanan aplikasi & serangan injeksi, tanggapan insiden dari deteksi ke pelajaran yang dipelajari, & jalur karier yang menerapkan semua ini.


Prinsip inti dari pertahanan dalam kedalaman adalah bahwa tidak ada kendali yang cukup. Anda lapisan firewall dengan segmentasi, segmentasi dengan monitoring, monitoring dengan tanggapan insiden, & semuanya dengan orang yang terlatih yang tahu apa yang harus dilakukan ketika sesuatu gagal.


Penyerang hanya perlu menemukan satu celah. Pihak pertahanan perlu menutupinya semuanya. Ketidaksamaan itu yang membuat bidang ini menantang & penting.

Berdasarkan segala sesuatu yang Anda pelajari dalam les ini, jalur karier keamanan siber mana yang paling menarik bagi Anda, & apa satu hal khusus yang Anda lakukan dalam 30 hari berikutnya untuk memulai membangun keterampilan dalam arah tersebut? Jadikan hal itu konkrit.