of 17 /17
7 BAB II TINJAUAN PUSTAKA DAN DASAR TEORI Tinjauan Pustaka Untuk memahami penelitian penelitian sebelumnya yang terkait dengan penelitian ini, maka perlu dilakukan tinjauan pustaka mengenai implementasi security auditor dengan CIS Benchmark yaitu: Tabel 2. 1 Penelitian sebelumnya No Penulis Judul Objek Teknologi 1 Dika Priska Prastika , Joko Triyono , Uning Lestari, 2018 Audit dan Implementasi Cis Benchmark pada Sistem Operasi Linux Debian Server (Studi Kasus: Server LaboratoriumJaringan dan Komputer 6, Institut Sains & Teknologi Akprind Yogyakarta) Server Laboratorium Jaringan Dan Komputer 6, Institut Sains & Teknologi Akprind Yogyakarta (Debian 8) CIS Benchmark 2 Muhammad Faris ‘Afif, 2017 Implementasi Keamanan Owasp terhadap Aplikasi berbasis GTFW(Xplorin) Open Web Application Security

BAB II TINJAUAN PUSTAKA DAN DASAR TEORI Tinjauan Pustaka

  • Upload
    others

  • View
    12

  • Download
    0

Embed Size (px)

Citation preview

Page 1: BAB II TINJAUAN PUSTAKA DAN DASAR TEORI Tinjauan Pustaka

7

BAB II

TINJAUAN PUSTAKA DAN DASAR TEORI

Tinjauan Pustaka

Untuk memahami penelitian – penelitian sebelumnya yang terkait dengan

penelitian ini, maka perlu dilakukan tinjauan pustaka mengenai implementasi

security auditor dengan CIS Benchmark yaitu:

Tabel 2. 1 Penelitian sebelumnya

No Penulis Judul Objek Teknologi

1 Dika Priska

Prastika

, Joko

Triyono

, Uning

Lestari,

2018

Audit dan

Implementasi Cis

Benchmark pada

Sistem Operasi Linux

Debian Server (Studi

Kasus: Server

LaboratoriumJaringan

dan Komputer 6,

Institut Sains &

Teknologi Akprind

Yogyakarta)

Server

Laboratorium

Jaringan Dan

Komputer 6,

Institut Sains &

Teknologi

Akprind

Yogyakarta

(Debian 8)

CIS

Benchmark

2 Muhammad

Faris ‘Afif,

2017

Implementasi

Keamanan Owasp

terhadap

Aplikasi

berbasis

GTFW(Xplorin)

Open

Web

Application

Security

Page 2: BAB II TINJAUAN PUSTAKA DAN DASAR TEORI Tinjauan Pustaka

8

Aplikasi Berbasis

GTFW

Project

(OWASP)

3 Nepal, A.

K. (2013)

Linux Server &

Hardening Security

layanan Linux

umum seperti

Secure Shell

(SSH), Apache

Web Server,

dan konfigurasi

firewall

berbasis host

(IPTABLES

SSH,

Apache

Web Server,

IPTABLES

4 Muhammad

Najib

(2020)

Implementasi

Security Auditor

untuk Standardisasi

Instalasi Server pada

Layanan Saas

Ecampuz

Menggunakan Cis

Benchmark

Layanan SaaS

eCampuz

(Centos 6.10)

CIS

Benchmark,

Docker,

Page 3: BAB II TINJAUAN PUSTAKA DAN DASAR TEORI Tinjauan Pustaka

9

Dasar Teori

2.2.1 Serangan Siber

Serangan siber adalah sebuah tindakan yang bersifat ofensif yang dilakukan

oleh negara, individu, kelompok, atau organisasi yang menargetkan sebuah sistem

informasi, infrastruktur, jaringan komputer, dan/atau perangkat komputer pribadi

untuk melakukan tindakan berbahaya seperti mencuri data pribadi tanpa

sepengetahuan, melakukan pemalsuan data, atau membocorkan data yang bersifat

rahasia atau melakukan perusakan pada sebuah sistem sehingga tidak berjalan

sebagai mana mestinya.

Data yang dihimpun oleh Pusopskamsinas BSSN, hingga 12 April 2020

telah terjadi 25 serangan siber menggunakan latar belakang isu pandemi Covid-19,

dimana terdapat 17 serangan dengan target secara global dan 8 serangan yang

menargetkan suatu negara. Pada bulan Januari dan Februari masing-masing terjadi

satu serangan siber yang menggunakan latar belakang isu pandemi Covid-19,

serangan tersebut berjenis Malicious Email Phising. Pada bulan Maret terjadi

serangan paling banyak, mencapai 22 serangan siber yang menggunakan latar

belakang isu pandemi Covid-19, serangan tersebut dengan berbagai jenis serangan

diantaranya Trojan HawkEye Reborn, Blackwater malware, BlackNET RAT,

DanaBot Banking Trojan, Spynote RAT, ransomware Netwalker, Cerberus Banking

Trojan, malware Ursnif, Adobot Spyware, Trojan Downloader Metasploit,

Projectspy Spyware, Anubis Banking Trojan, Adware, Hidden Ad (Android),

AhMyth Spyware, Metasploit, Xerxes Bot, dan Covid19 Tracker Apps. Pada bulan

April hanya terjadi satu serangan siber yang menggunakan latar belakang isu

Page 4: BAB II TINJAUAN PUSTAKA DAN DASAR TEORI Tinjauan Pustaka

10

pandemi Covid-19, serangan tersebut berjenis Malicious Zoom. Pada tanggal 1

April 2020 tercatat serangan siber yang menggunakan latar belakang isu pandemi

Covid-19 terhadap Aplikasi Zoom secara global dimana aplikasi ini telah disisipi

Malicious Zoom yang menggunakan pengkodean yang berisi modul metasploit,

adware, dan juga hiddenad/hiddad. (BSSN, 2020)

2.2.2 Sistem Manajemen Keamanan Informasi

Keamanan Informasi di dunia maya atau kemanan siber (bahasa inggris :

cyber security) adalah teknologi, proses dan praktik yang dirancang untuk

melindungi jaringan, komputer, program dan data dari serangan, kerusakan atau

akses yang tidak sah. Cyber security juga disebut sebagai upaya untuk melindungi

informasi dari adanya cyber attack. (Phintraco, 2019)

Sistem Manajemen Keamanan Informasi adalah suatu sistem manajemen

yang berhubungan dengan penerapan keamanan informasi di suatu organisasi yang

meliputi kegiatan perancangan, penerapan, dan pemeliharan suatu rangkaian

terpadu proses dan sistem untuk secara efektif mengelola keamanan informasi

khususnya kerahasian, integritas, dan ketersediaan aset informasi sekaligus

meminimalisasi risiko yang menyertainya.

Agar kerangka kerja keamanan siber lebih mudah dipahami, kita pisahkan

menjadi tiga kategori, antara lain :

1. Control Framework (kerangka kerja kendali)

Kerangka kerja dalam lingkup kategori ini contohnya adalah NIST 800-

53 dan CIS Control (CSC). Saat suatu organisasi mau menerapkan sistem

manajemen keamanan informasi biasanya kondisi organisasi relatif belum

Page 5: BAB II TINJAUAN PUSTAKA DAN DASAR TEORI Tinjauan Pustaka

11

matang dari perspektif tata kelola dan keamanan TI. Langka mudah yang

diambil umumnya adalah melakukan penentuan basic set of controls untuk

diterapkan. Control framework untuk melakukan hal-hal sebagai berikut :

Melaksanakan proses identifikasi set control yang akan menjadi

baseline.

Menerapkan kegiatan asesmen kondisi eksisting terkait dengan

kapabilitas teknis.

Melakukan proses prioritasi terhadap implementasi dari kontrol.

Kemudian mengembangkan roadmap initial untuk Tim Keamanan

TI.

2. Program Framework (kerangka kerja program).

Kerangka kerja atau framework yang dimasukkan dalam kategori ini

sebagai contoh adalah ISO 27001 dan NIST Cybersecurity Framework.

Umumnya program framework digunakan untuk hal-hal sebagaimana

berikut :

Melaksanakan asesmen kondisi keseluruhan program keamanan

yang ada dalam organisasi

Membangun dan mengembangkan program keamanan yang

komprehensif

Pengukuran terhadap level kematangan dan

memperbandingkannya dengan standar industri sejenis

Menyederhanakan proses komunikasi dengan para pemimpin

bisnis

Page 6: BAB II TINJAUAN PUSTAKA DAN DASAR TEORI Tinjauan Pustaka

12

Standardisasi ISO 27001 merupakan salah satu seri ISO untuk

standar Sistem Manajemen Keamanan Informasi yang menitikberatkan

pada pengembangan program keamanan, termasuk di dalamnya konteks

organisasi, kepemimpinan, perencanana, support, dokumentasi, operasi,

penilaian kinerja, dan peningkatan berkelanjutan.

3. Risk Framework (Kerangka kerja risiko).

Dalam kategori ini termasuk di dalamnya framework: NIST 800-39,

800-37, 800-30, ISO 27005, dan FAIR. Risk framework memungkinkan

kita dalam memastikan bahwa program keamanan informasi telah dikelola

dengan cara yang bermanfaat bagi stakeholder organisasi dan membantu

dalam menentukan bagaimana cara memprioritaskan aktivitas keamanan.

Risk framework digunakan untuk melakukan hal-hal sebagaimana berikut

dibawah ini :

Menentukan tahapan kunci atau penting dalam melakukan asesmen

dan mengelola risiko

Mewujudkan strukturisasi program manajemen risiko

Melaksanakan proses identifikasi, pengukuran, dan kuantifikasi

risiko

Melakukan prioritasi aktivitas keamanan

NIST Security memiliki risk framework yang cukup dikenal yaitu :

NIST SP 800-39 (menjelaskan semua resiko terkait manajemen proses),

NIST SP 800-37 (menjelaskan resiko terkait informasi yang berasal dari

federasi), and NIST SP 800-30 (menjelaskan terkait denda yang didapat dari

Page 7: BAB II TINJAUAN PUSTAKA DAN DASAR TEORI Tinjauan Pustaka

13

suatu resiko). Kemudian ada juga ISO 27005 mendefinisikan pendekatan

sistematis untuk mengelola risiko untuk organisasi, sementara FAIR adalah

standar internasional yang disupport oleh dua organisasi yang fokus pada

keamanan informasi. (Netsolutionhosting, 2020)

2.2.3 ISO 27001

ISO 27001 adalah standar sistem manajemen yang di terbitkan oleh ISO

(International Organization for Standardization) yang bekerja sama dengan IEC

(International Electrotechnical Commission) yang berfokus kepada sistem

keamanan informasi. Standar ini menggunakan pendekatan manajemen yang

berbasis kontrol berdasarkan analisis risiko. Standar ini banyak diterapkan terutama

bagi perusahaan/organisasi yang menganggap bahwa informasi merupakan aset

perusahaan yang harus dilindungi.(Qyusi Global Indonesia, 2016)

Selanjutnya ISO/IEC 27001 dijelaskan sebagai salah satu metode dengan

standard keamanan informasi yang diterbitkan International Organization for

Standarization dan International Electrotecnical Comission. ISO 27001 juga

didefinisikan sebagai dokumen standar Sistem Manajemen Keamanan Informasi

(SKMI) atau Information Security Management System, biasa disebut ISMS, yang

memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh

sebuah institusi dalam usaha mereka untuk mengevaluasi, mengimplementasikan,

dan memelihara keamanan informasi berdasarkan “best practice” dalam

pengamanan informasi.

Page 8: BAB II TINJAUAN PUSTAKA DAN DASAR TEORI Tinjauan Pustaka

14

2.2.4 CIS Security

Center for Internet Security (CIS) organisasi nirlaba yang didedikasikan

untuk membantu para pengguna komputer guna membuat sistem mereka lebih

aman (Jr & Schell, 2007). Organisasi ini dibentuk pada Oktober 2000. Misinya

adalah untuk. Organisasi ini berkantor pusat di East Greenbush, New York, dengan

anggota termasuk perusahaan besar, lembaga pemerintah, dan lembaga akademik

(Cisecurity, n.d.).

CIS Sercuirty adalah sebuah metoda yang dikembangkan oleh CIS, yang

memiliki misi untuk identifikasi, pengembangan, validasi, promosi, dan

mempertahankan solusi terbaik untuk pertahanan cyber, membangun mindset

masyarakat untuk meningkatkan lingkungan terpercaya di dunia maya.

CIS Security memiliki program pada lingkungan-lingkungan :

CIS Control

CIS Benchmark

CIS Communities

CIS Cybermarket

2.2.5 CIS Control

CIS Control adalah data yang berisi daftar tindakan defensive berprioritas

tinggi dan sangat efektif yang memberikan titik awal “harus dilakukan, lakukan

pertama” untuk setiap perusahaan yang ingin meningkatkan pertahanan dunia maya

mereka. CIS Control ini ditindaklanjuti untuk pertahanan dunia maya ini

diformulasikan oleh sekelompok pakar TI menggunakan informasi yang

dikumpulkan dari serangan aktual dan pertahanan efektif. CIS Control memberikan

Page 9: BAB II TINJAUAN PUSTAKA DAN DASAR TEORI Tinjauan Pustaka

15

panduan khusus dan jalur yang jelas bagi organisasi untuk mencapai tujuan dan

sasaran yang dijelaskan oleh berbagai kerangka hukum, peraturan, dan

kebijakan.(ManageEngine, n.d.)

CIS Control berfokus pada implementasi teknis untuk memperkuat

keamanan siber, sedangkan ISO 27001 adalah sistem manajemen yang

membutuhkan kontrol ini, tetapi memerlukan lapisan manajemen untuk

mendukung kontrol teknis ini. CIS Control tidak memiliki lapisan manajemen ini.

Jika dibandingkan kedua sistem dalam tabel, maka akan terlihat seperti

berikut ini :

Page 10: BAB II TINJAUAN PUSTAKA DAN DASAR TEORI Tinjauan Pustaka

16

Gambar 2. 1 Tabel perbandingan ISO 27001 dan CIS Control

Warna merah memerlukan kajian mendalam agar dapat sesuai dengan ISO

27001 karena CIS Control berfokus pada tindakan defensif yang dapat dilakukan

pada server sedangkan ISO membahas keseluruhan dari manajemen keamanan

informasi. CIS Control tidak dibuat untuk menggantikan kerangka kerja

(framework) yang ada di dunia keamanan cyber seperti NIST, ISO 27001/27002,

PCI DSS, dll. Akan tetapi digunakan sebagai alternatif panduan untuk melakukan

praktik pertahanan terbaik di dunia siber pada tataran organisasi(Prastika et al.,

2018). Dalam melakukan tindakan defensif CIS Control berfokus dengan 20 butir

dari kontrol terhadap manajemen keamanan informasi. Terdapat 3 point penting

Page 11: BAB II TINJAUAN PUSTAKA DAN DASAR TEORI Tinjauan Pustaka

17

yaitu Basic CIS Control, Foundational CIS Control dan Organizational CIS

Control, Berikut adalah 20 point kontrol dari CIS Control :

Gambar 2. 2 20 point kontrol dari CIS Control

Kontrol CIS Dasar (Basic CIS Control)

1. Inventarisasi dan Pengendalian Aset Perangkat Keras

2. Inventaris dan Pengendalian Aset Perangkat Lunak

3. Manajemen Kerentanan Berkelanjutan

4. Penggunaan Hak Istimewa Administratif yang Terkendali

5. Konfigurasi Aman untuk Perangkat Keras dan Perangkat Lunak pada

Perangkat Seluler, Laptop, Workstation dan Server

6. Pemeliharaan, Pemantauan dan Analisis Log Audit

Page 12: BAB II TINJAUAN PUSTAKA DAN DASAR TEORI Tinjauan Pustaka

18

Kontrol CIS Fundamental (Foundational CIS Control)

7. Perlindungan Email dan Web Browser

8. Pertahanan Malware

9. Batasan dan Kontrol Port Jaringan, Protokol dan Layanan

10. Kemampuan Pemulihan Data

11. Konfigurasi Aman untuk Perangkat Jaringan, seperti Firewall, Router

dan Switch

12. Pertahanan Batas

13. Perlindungan Data

14. Akses Terkendali Berdasarkan Yang Perlu Diketahui

15. Kontrol Akses Nirkabel

16. Pemantauan dan Pengendalian Akun

Kontrol CIS Organisasi (Organizational CIS Control)

17. Terapkan Program Kesadaran Keamanan dan Pelatihan

18. Keamanan Perangkat Lunak Aplikasi

19. Respon dan Manajemen Insiden

20. Tes Penetrasi dan Latihan Tim Merah (CIS Security, n.d.)

2.2.6 CIS Benchmark

CIS Benchmark merupakan garis dasar konfigurasi dan praktik terbaik

untuk mengonfigurasi sistem dengan aman. Setiap rekomendasi panduan merujuk

pada satu atau lebih CIS Control yang dikembangkan untuk membantu organisasi

meningkatkan kemampuan pertahanan dunia maya mereka. CIS Control

memetakan ke banyak standar yang ditetapkan dan kerangka kerja peraturan,

Page 13: BAB II TINJAUAN PUSTAKA DAN DASAR TEORI Tinjauan Pustaka

19

termasuk Kerangka Kerja Keamanan Siber (CSF) NIST dan NIST SP 800-53, seri

standar ISO 27000, PCI DSS, HIPAA, dan lainnya. (CIS Security, n.d.)

Dapat diarktikan juga CIS Benchmark adalah sebuah best-pratice yang

diterbitkan oleh Center for Internet Security (CIS) dan didokumentasikan untuk

mengonfigurasi sistem, perangkat lunak, dan jaringan teknologi informasi dengan

aman. CIS Benchmark dikembangkan melalui proses berbasis konsensus unik yang

melibatkan komunitas profesional keamanan siber dan pakar materi pelajaran di

seluruh dunia, yang masing-masing terus mengidentifikasi, menyempurnakan, dan

memvalidasi praktik terbaik keamanan dalam area fokus mereka.

Contoh dokumen dari CIS Benchmark adalah sebagai berikut :

Gambar 2. 3 Isi Dokumen dari CIS Benchmark

Page 14: BAB II TINJAUAN PUSTAKA DAN DASAR TEORI Tinjauan Pustaka

20

Dari gambar 2.3 terlihat bahwa dokumen CIS Benchmark berisi penjelasan

terkait script dari setiap audit yang dilakukan pada sebuah sistem dan korelasi apa

yang ingin diaudit agar sesuai dengan kontrol yang sesuai dengan CIS Control,

beserta dengan penilaian berdasarkan CIS Benchmark

2.2.7 PHP

PHP adalah kependekan dari PHP Hypertect Preprocessor yaitu sebuah

bahasa pemrograman yang bersifat server-side. PHP melakukan pemrosesan data

pada sisi server kemudian server yang akan menerjemahkan skrip program,

kemudian hasilnya akan dikirim kepada client yang melakukan permintaan.(Firman

et al., 2016)

PHP adalah salah satu bahasa pemrograman open source yang sangat cocok

atau dikhususkan untuk pengembangan web dan dapat ditanamkan pada sebuah

skripsi HTML. Bahasa PHP dapat dikatakan menggambarkan beberapa bahasa

pemrograman seperti C, Java, dan Perl serta mudah untuk dipelajari.

2.2.8 MySQL

MySQL Merupakan sebuah database server yang free, artinya kita bebas

menggunakan database ini untuk keperluan pribadi atau usaha tanpa harus membeli

atau membayar lisensinya. MySQL pertama kali dirintis oleh seorang programmer

database bernama Michael Widenius. Selain database server, MySQl juga

merupakan program yang dapat mengakses suatu database MySQL yang berposisi

sebagai server, yang berarti program kita berposisi sebagai Client. Jadi MySQL

adalah sebuah database yang dapat digunakan sebagai client mupun

server.(Rahmawita & Fazri, 2018)

Page 15: BAB II TINJAUAN PUSTAKA DAN DASAR TEORI Tinjauan Pustaka

21

MySQL mampu menerima dan mengirimkan data dengan cepat, multi user

serta menggunakan peintah dasar SQL (Structured Query Language), suatu bahasa

permintaan database yang terstruktur. SQL terbagi menjadi tiga bentuk sebagai

berikut:

1. DDL (Data Definition Language)

Merupakan query yang digunakan untuk mendefinisikan data. Contohnya

seperti CREATE, DROP, dan ALTER.

2. DML (Data Manipulation Language)

Merupakan query yang digunakan untuk memanipulasi data. Contohnya

seperti INSERT, UPDATE, dana DELETE.

3. DCL (Data Control Language)

Merupakan query yang digunakan untuk memberikan hak otorisasi

mengakses Database, mengalokasikan space, pendefinisian space, dan

pengauditan penggunaan database. Contohnya seperti GRANT, REVOKE

GRANT, COMMIT, dan ROLLBACK.

2.2.9 Nginx

Nginx adalah software open-source yang memiliki kinerja tinggi sebagai

server HTTP dan reverse proxy. Nginx dengan cepat memberikan konten statis

dengan penggunaan efisien sumber daya sistem. Hal ini dapat menyebarkan

dinamis HTTP konten di jaringan menggunakan FastCGI handler untuk script, dan

dapat berfungsi sebagai perangkat lunak yang sangat mampu penyeimbang beban.

Nginx dibangun secara modular dan dengan demikian mampu mendukung berbagai

fitur seperti Load Balancing dan Reverse Proxying, Virtual hosts berbasis nama dan

Page 16: BAB II TINJAUAN PUSTAKA DAN DASAR TEORI Tinjauan Pustaka

22

IP, Fast CGI, akses langsung ke cache, SSL, Flash Video Streaming dan sejumlah

fitur-fitur standar lainnya. Nginx dapat dijalankan dan tersedia untuk platform

Unix, Linux, varian dari BSD, MacOS X, Solaris, dan Microsoft Windows.(Aziz &

Tampati, 2015)

Dalam penelitian ini penulis menggunakan NGINX sebagai reverse proxy

yang pada penelitian ini berfungsi untuk meneruskan layanan dari docker yang akan

dibuka pada port local dari docker yang kemudian mengkonfigurasi NGINX untuk

membuka ip dari docker tersebut kedalam sebuah virtualhost yang akan dijalankan

pada sebuah subdomain yang mengarah pada IP Publik dari server pool.

2.2.10 Docker

Docker adalah suatu platform terbuka bagi pengembang perangkat lunak

dan pengelola sistem jaringan untuk membangun, mengirimkan dan menjalanan

aplikasi-aplikasi terdistribusi. Definisi tersebut membawa pengertian praktis bahwa

Docker merupakan suatu cara memasukkan layanan ke dalam lingkungan terisolasi

bernama container, sehingga layanan tersebut dapat dipaketkan menjadi satu

bersama dengan semua pustaka dan software lain yang dibutuhkan. (Bik, 2017)

Pada penjelasan lain mengatakan bahwa, docker adalah platform perangkat

lunak yang memungkinkan untu membuat, menguji, dan menerapkan aplikasi

dengan cepat. Docker mengemas perangkat lunak ke dalam unit standar yang

disebut kontainer yang memiliki semua yang diperlukan perangkat lunak agar dapat

berfungsi termasuk pustaka, alat sistem, kode, dan waktu proses. Dengan

Page 17: BAB II TINJAUAN PUSTAKA DAN DASAR TEORI Tinjauan Pustaka

23

menggunakan Docker, dapat dengan cepat menerapkan dan menskalakan aplikasi

ke lingkungan apa pun dan yakin bahwa kode yang dimiliki akan berjalan. (AWS,

n.d.)

Dapat diartikan juga bahwa docker adalah sebuah virtualisasi yang bersifat

microservices yang memberikan layanan praktis berupa environment sebuah sistem

yang ingin kita buat yang memungkinkan kita untuk melakukan instalasi sebuah

virtualisasi pada sebuah PC/Server yang sifatnya tidak menyeluruh. Misalkan kita

hanya ingin membuat sebuah environment berbasis Apache-PHP maka hanya ada

kedua servis tersebut pada image dan container yang akan dijalankan. Berikut ini

adalah perbedaan dari teknologi container dari Docker dan Virtual Machines pada

umumnya.

Gambar 2. 4 Perbandingan Teknologi Container dan Virtual

Machines(Docker.com, n.d.)