Langsung ke konten utama

5 Bagian dari Puzzle Cybersecurity

 Tahukah Anda, bahwa desain keamanan jaringan sangat penting untuk menghilangkan kesenjangan keamanan dan mengurangi biaya. 

Halo semua, semoga baik baik saja ya. Dalam materi ini kita akan belajar mengenai "Bagaimana mendesain keamanan jaringan ?"

Desain keamanan jaringan dan arsitektur jaringan sering kali dianggap sebagai kebutuhan sekunder karena organisasi seringkali berinvestasi dalam teknologi untuk menyelesaikan masalah keamanan mereka dan migrasi ke cloud dan juga penambahan gadget IoT yang tak terhitung jumlahnya sehingga memperumit masalah. Arsitektur keamanan jaringan memanfaatkan sumber daya organisasi sementara desain kemanan jaringan menerapkan konsepnya. Desain keamanan jaringan yang direncanakan dan dibangun dengan baik sangat penting untuk meminimalkan celah dalam infrastruktur yang sering menjadi sasaran penyerang dan penting untuk mengontrol akses ke data penting dalam organisasi.

Mengoptimalkan desain keamanan jaringan untuk organisasi yang menambahkan sistem dan teknologi lainnya, menampung data sensitif, dan menambahkan titik akses baru untuk pelanggan atau karyawan, dan kontraktor mereka yang telah menambahkan elemen risiko baru dan potongan tambahan ke puzzle keamanan TI.

Kita akan mengambil langkah mundur dan mendiskusikan apa yang kami sebut sebagai 5 bagian penting untuk desain keamanan yang kokoh. 

Kita tahu bahwa teknologi telah menjadi inti dari kehidupan masyarakat secara berkelanjutan serta sebagai inti sebuah bisnis. Untuk semua nilai tambah yang dibawa teknologi ke suatu bisnis, hal itu juga menambah resiko besar bagi suatu bisnis dan reputasinya. 

Pastinya kalian bertanya pada diri sendiri, lalu bagaimana cara mendesain jaringan bisnis saya untuk memastikan keamanan dan dapat menekan biaya ?

Ini adalah pertanyaan yang bagus sebagai pertanyaan yang membutuhkan perencanaan dan peninjauan yang serius sebelum Anda pergi dengan keranjang belanja Anda dan menyimpannya sebagai solusi keamanan jaringan terbaik yang dapat dibeli dengan uang. Tujuan inti dari rencana Anda adalah untuk memaksimalkan kinerja jaringan suatu bisnis, kehandalan, modifiabilitas masa depan, pemeliharaan, skalabilitas dan yang terpenting, keamanan. Dengan demikian, pendekatan terbaik untuk mengurangi pengeluaran modal dan biaya operasional adalah dengan merumuskan desain keamanan jaringan yang aman sehingga dapat diisi dengan teknologi yang paling sesuai dengan kebutuhan dan anggaran Anda. 

Dengan mengingat hal ini, mari buat daftar dan tinjau 5 prinsip inti desain keamanan jaringan aman.

  1. High Value System and Assets
  2. Network Security Segmentation
  3. Monitoring and Prevention
  4. Security Event Logging
  5. Principal of Least Privilege's (POLP)

Meletakkan Dasar - Desain Khusus Customer

Sebelum kita memulai dengan 5 prinsip inti, sangat penting bagi mitra untuk menginvenstasikan waktu untuk memahami kebutuhan pelanggan, sasaran bisnis, masalah kepatuhan, dan persyaratan lainnya. Mari kita perjelas, dala banyak keterlibatan dengan pelanggan yang kita layani, sering kita menemukan bahwa pelanggan (1) tidak yakin tentang apa yang sebenarnya mereka inginkan, atau (2) tidak dapat mengartikulasikannya. 

Seperti membangun rumah impian Anda; Anda dapat menyewa pembangunan terbaik di kota, dia dapat membeli bahan material paling atas, namun jika arsitek tidak mendesain rumah dengan benar, kebocoran, masalah pondasi, dan masalah struktur lainnya akan muncul dengan sangat cepat. Investasi yang dibuat untuk pembangunan dan bahan berkualitas terbuang dengan percuma. 

Saat merancang jaringan, prosesnya harus dimulai dengan perencanaan; yaitu, memahami data yang dicoba dilindungi oleh pelanggan, disisitem mana data itu disimpan, dampak bisnis juka datanya dikompromikan, dan tentu saja anggaran yang telah dialokasikan pelanggan untuk proyek tersebut. 

Selain itu, legacy network, traffic dan populasi user adalah variabel yang perlu dimasukkan saat tahap perencanaan, diakhiri dengan penyampaian (1) Biaya (2) Jadwal dan (3) persyaratan kinerja. Blueprint untuk desain harus mencakup prinsip-prinsip desain yang baik serta persyaratan perencanaan untuk membangun solusi yang aman dan hemat biaya, namun kebutuhan dan prioritas pelanggan harus mendorong visi dan prioritas proyek. 

High Value System and Assets

Tugas mengidentifikasi sistem dan aset bernilai tinggi (high value system and assets)  merupakan aspek yang peling tidak menarik dari desain jaringan yang aman. Namun, tanpa melalui proses untuk menentukan sistem dan aset tersebut, lokasi dan nilainya, bagaimana Anda akan memutuskan jumlah waktu, tenaga, dan pengeluaran anggaran yang harus Anda alokasikan untuk mengamankan jaringan Anda?

High Value System and Assets secara luas dapat diklasifikasikan dalam kategori berikut :
  • Information Assets : Setiap informasi tentang bisnis Anda termasuk dalam kategori ini. Informasi ini telah dikumpulkan, diklasifikan, diatur dan disimpan dalam berbagai bentuk. 
    • Database: Berisi informasi penting untuk bisnis Anda.
    • Data Files: Informasi yang disimpan didalam file diluar database.
    • Archieved Information: Penyimpanan informasi yang diwajibkan oleh hukum.
  • Software Assets 
    • Application Software : menerapkan proses bisnis.
    • System software : sistem operasi, OS Mobile,VOIP, dll
  • Physical Assets 
    • Computer equipment: desktops, laptops, telepon, server.
    • Communication equipment : PBX, POP gateway, routers, switches.
    • Storage Media : off/on backup media, inventaris software, dll.
    • Technical Equipment : UPS, rak server, lemari kabel, dll.
Memahami dimana letak data sensitif Anda, sistem mana yang menyimpan data, dan cara menilai kekritisan sistem tersebut sering kali menghentikan tim keamanan TI di jalur semestinya. Ini bisa menjadi hal yang menakutkan, namun asesmen awal tidak harus sempurna, bisa dioptimalkan pada latihan selanjutnya. 

Setelah Anda mengakategorikan dan memberi peringkat pada aset dan sistem bernilai tinggi (high value system and assets), Anda dapat beralih ke prinsip secure network design berikutnya, yaitu    menerapkan network security segmentation yang tepat.

High Value Systems and Asset Key Takeaway

Nilai aset Anda berdasarkan kekritisan. Meskipun praktik terbaiknya adalah menggunakan tiga variabel, seperti kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability) untuk menilai value, memulai dengan satu nilai kekritisan adalah titik awal yang baik. 

Network Security Segmentation

Segmentasi sistem & aset berdasarkan nilainya bagi bisnis adalah prinsip utama untuk memastikan keamanan sistem & aset yang bernilai tinggi. Contoh umum segmentation adalah menempatkan sistem yang menghadap Internet Anda ke dalam demilitarized zone (DMZ), yang secara fisik dan logis tersegmentasi oleh titik kehadiran Firewall Anda. Ini secara aman mengisolasi sistem tersebut dari sistem & aset internal Anda yang menjadi aktor jahat, yang mengeksploitasi kerentanan dan mendapatkan akses ke salah satu sistem DMZ Anda, tidak akan dapat memanfaatkan akses tersebut untuk berpindah secara lateral dalam jaringan Anda ke sistem bernilai tinggi di jaringan internal Anda. Kedengarannya mudah bukan ? Ya, tetapi ada lebih banyak hal yang perlu dipertimbangkan saat mendesain secure network Anda. 

Contoh Jaringan yang Dirancang dengan Buruk

Contoh jaringan yang dirancang dengan buruk adalah sebagai berikut: Menggunakan firewall POP Anda untuk mensegmentasikan sistem yang menghadap ke Internet dari sumber daya internal Anda, tetapi mengabaikan untuk mensegmentasikan sistem yang secara langsung berinteraksi dengan sistem DMZ tersebut, seperti backend database, dari DMZ dan sumber daya internal Anda. Contoh bagus tentang apa yang tidak boleh dilakukan diilustrasikan dalam Target hack yang melibatkan pelaku jahat untuk mengeksploitasi sistem HVAC, secara lateral pindah ke perangkat POS (Point od Sale) dan mendapatkan akses ke informasi keungan ~ 40 juta pelanggan. Dengan segmentasi jaringan yang tepat dari sistem HVAC dari sistem penjualan & database, target akan menghindari kerusakan pada bisnis dan merknya.

Segmentasi jaringan dapat menjadi membosankan dan memakan waktu karena bisnis Anda memiliki banyak komponen untuk dikelompokkan tetapi pertimbangkan potensi kerugian pada bisnis Anda dan target secara aktual: Target pengunduran diri CEO dan penyelesaian hukum yang menghasilkan lebih dari $ 300 juta. 

Network Security Segmentation Key Takeaway 

Salah satu kesalahan paling umum yang dilakukan tim teknologi informasi adalah menambahkan teknologi ke jaringan perusahaan secara sewenang-wenang. Tanpa menambahkan penghalang ke sistem, penyerang dapat berpindah dari satu bagian teknologi ke teknologi lainnya untuk mencari informasi sensitif atau targer lain di jaringan perusahaan 

Monitoring and Prevention

Anda telah mengidentifikasi sistem & aset bernilai tinggi Anda, mengkategorikannya sesuai, dan menerapkan segmentasi jaringan untuk mengisolasikan satu sama lain. Sekarang saatnya menambahkan prinsip inti lain dari secure network design yaitu: monitoring and prevention (pemantauan dan pencegahan). 

Menggunakan alat pemantauan dan pencegahan untuk mempertahankan jaringan Anda sangatlah penting. Intrusion Detection System (IDS), Intrusion Prevention System (IPS), Data Loss Prevention System (DLP), dan Database Activity Monitoring (DAM) adalah alat penting yang membantu melindungi jaringan Anda dengan mencegah pelakut kejahatan mengakses sistem & aset penting ke bisnis Anda. 
  • IDS: alat pemantauan pasif yang ditempatkan secara strategis di jalur utama jaringan Anda yang tersegmentasi. Biasanya digunakan dengan tap jaringan atau port span VLAN untuk mendengarkan lalu lintas monitor.
  • IPS: mirip dengan IDS, tetapi secara aktif mencegah lalu lintas berbahaya. Dikerahkan dari jaringan tap untuk menghilangkan titik kegagalan atau in-line dalam jaringan Anda.
  • DLP: memantau dan mengontrol aktivitas titik akhir untuk memastikan bahwa data sensitif tidak hilang, disalahgunakan, atau diakses oleh pengguna yang tidak berwenang. Diterapkan pada sistem pengguna akhir seperti desktop, laptop, perangkat selular, dll
  • DAM: memantau semua aktivitas di database dan memberikan peringatan dan laporan tentang aktivitas itu. Diterapkan pada database, tetapi aktivitas yang disimpan di luar database dan dipantau untuk menghindari gangguan pengguna/admin.

Monitoring and Prevention Key Takeaway

Perangkat IDS/IPS yang belum disetel dengan benar dapat menghasilkan respons false-negative terhadap ancaman sebenarnya serta ribuan atau jutaan peringatan false-positive setiap hari. Pastikan untuk menyetel perangkat untuk merampingkan beban kerja dan respons SOC Anda.

Security Event Logging

Kamu hampir sampai! Jaringan tersegmentasi Anda, alat pemantauan dan pencegahan melindungi sistem & aset bernilai tinggi Anda, tetapi desain jaringan Anda harus menyertakkan logging. Ada pepatah umum: lebih banyak log lebih baik dan itu pasti benar karena selama audit atau pelanggaran, selalu yang terbaik adalah memliki lebih banyak log daripada lebih sedikit. Setelah Anda memverifikasi bahwa tingkat pencatatan yang tepat telah diaktifkan, besarnya data log dapat dengan cepat menyebabkan kelelahan pencatatan. Desain jaringan yang aman memerlukan alat untuk mengurangi kelelahan log dan menggabungkan, menghubungkan, mengidentifikasi, mengurangi, memulihkan, dan melaporkan aktivitas berbahaya. 

Security Event Logging dipecah menjadi dua kategori utama dengan keduanya menawarkan tingkat penangkapan paket lengkap:
  • SIEM: menggabungkan log dari berbagai sumber, mengidentifikasi anomali,dan mengambil tindakan yang sesuai melalui peringatan atau perbaikan. Biasanya digunakan dengan ujung depan yang diikat ke dalam log data di lokasi tersebut.
  • Security Analytics: versi SIEM "lebih baru" yang menggabungkan lebih dari sekadar sistem seperti UBA/UEBA. Diterapkan di lokasi atau di cloud untuk memungkinkan efektivitas yang lebih tinggi dari barang kolektif. 

Security Event Logging Key Takeaway

Otorisasi an otentikasi, sistem dan perubahan data, aktivitas jaringan, akses sumber daya, aktivitas malware, dan laporan kegagalan dan kesalahan kritis sering disebut sebagai laporan paling penting untuk analisis keamanan.

Principle of Least Privilege (POLP)

Terakhir, namun tidak kalah pentingnya dari prinsip desain jaringan yang aman. Anda dapat menyegmentasi jaringan, memantau dan mencegah pelaku jahat, mencatat dan melaporkan aktivitas yang tidak wajar dalam jaringan Anda, tetapi eskalasi hak isitimewa (escalation of privileges) adalah satu-satunya metode yang paling banyak digunakan oleh pelaku kejahatan. Kepatuhan dan penerapan POLP sangat penting untuk desain jaringan Anda dan mengurangi risiko pelaku jahat mendapatkan akses ke sistem & aset bernilai tinggi Anda dengan mengorbankan akun pengguna, perangkat, atau aplikasi tingkat rendah. POLP dapat diterapkan ke pengguna akhir, sistem, proses, jaringan, database, aplikasi dan setiap aspek infrastruktur teknologi bisnis Anda. 

Contoh POLP dalam Praktek

  • Akun pengguna dengan Least Privilege (Hak istimewa yang sedikit):
Seorang karyawan yang tanggung jawabnya memasukan informasi ke dalam database hanya membutuhkan kemampuan untuk menambahkan catatan ke database itu. Jika malware menginfeksi komputer karyawan tersebut, maka serangan jahat hanya terbatas pada pembuatan entri database.
  • Akun MySQL dengan Least Privilege (Hak istimewa yang sedikit):
Idealnya, formulir online yang memungkinkan pengguna mengurutkan catatan harus menggunakan akun MySQL yang hanya memiliki hak penyortiran. Dengan demikian, penyerang yang memanfaatkan formulir hanya memperoleh kekuatan untuk mengurutkan catatan. 
  • Menggunakan Just in Time Least Privilege:
Seorang pengguna yang yang membutuhkan hak akses root harus berkerja dengan hak istimewa (privilege) yang dikurangi sepanjang waktu. Untuk meningkatkan pencarian, pengguna tersebut dapat mengambil kredensial akses root dari brankas sandi sesuai kebutuhan. 

Principle of Least Privilege Key Takeaway

Menerapkan prinsip privilege of least atau hak istimewa yang rendah ke akun pengguna standar berarti memberikan serangkaian hak istimewa terbatas - hak istimewa yang cukup bagi pengguna untuk menyelesaikan pekerjaan mereka, tetapi tidak lebih dari itu.


Jaringan Anda berisi aset teknologi paling penting dari organisasi suatu bisnis. Anda harus merancang jaringan Anda dengan cara yang aman yang menghilangkan serta meminimalkan satu titik kegagalan. Pendekatan semua atau tidak sama sekali untuk desain kemanan jaringan telah meninggalkan banyak orang kedalam keamanan TI untuk memikirkan banyak sekali variabel yang dapat digunakan dalam memprioritaskan bagaimana merancang jaringan. Namun, dimulai dengan 5 potongan puzzle yang kita diskusikan hari ini akan memberikan awal yang lebih dari substansial untuk praktik desain keamanan jaringan yang baik. Okay ditunggu materi selanjutnya :) bye ~.



























Label:

Komentar

Posting Komentar

Postingan populer dari blog ini

Belajar Jaringan Komputer Dasar LAN(Local Area Network) dengan CISCO Packet Tracer

Halo semua :). Bagaimana kabar kalian, semoga sehat selalu.  Berikut ini adalah tutorial mengenai cara belajar jaringan komputer dasar LAN (Local Area Network) dengan menggunakan Cisco Packet Tracer.  Sebelumnya apakah itu LAN ?. Local Area Network (LAN) atau bisa disebut juga jaringan area lokal adalah kumpulan perangkat device yang saling terhubung dalam satu area fisik, seperti gedung, kantor, rumah, dan lain-lain. LAN dapat berukuran kecil atau besar, mulai dari jaringan rumah dengan satu pengguna hingga jaringan perusahaan dengan ribuan pengguna dan perangkat kantor atau sekolah. Terlepas dari ukurannya, karakteristik penentu dari LAN adalah menghubungkan perangkat yang berada dalam satu area terbatas. Berbeda dengan WAN (Wide Area Network) atau MAN (Metropolitan Area Network) yang mencakup wilayah geografis yang lebih luas. Beberapa WAN dan MAN menghubungkan banyak LAN secara bersamaan.  Agar kebayang mengenai pengimplementasian jaringan LAN secara sederhana, kita b...
Posting Komentar
Baca selengkapnya

Persyaratan Keamanan Jaringan

 Halo semua, apa kabar ?, semoga sehat selalu. Disini kita akan mempelajari mengenai " Apa persyaratan keamanan jaringan ? ". Berikut materinya. Protokol keamanan untuk jaringan wireless ad hoc harus memenuhi persyaratan berikut. Persyaratan yang tercantum dibawah ini sebenarnya harus dipenuhi oleh protokol keamanan jenis jaringan lain juga.  Confidentiality :  Data yang dikirim oleh pengirim ( source node ) harus dapat dimengerti hanya untuk penerima yang dituju ( destination node ). Meskipun penyusup mungkin mendapatkan data yang dikirim, dia tidak boleh mendapatkan informasi yang yang penting dari data tersebut. Salah satu teknik populer yang digunakan untuk memastikan kerahasiaan adalah enkripsi data. Integrity : Data yang dikirim oleh source node harus terkirim ke destination node seperti yang dikirim alias tidak berubah. Dengan kata lain, seharusnya tidak boleh ada node berbahaya di jaringan yang merusak data selama proses pengiriman data.  Availibility : Jarin...
Posting Komentar
Baca selengkapnya