BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my

Bersama Melaksana Transformasi1

BAHAGIAN PEMATUHAN ICT


TUJUAN TAKLIMAT

PELAKSANAAN SPA

Pengumpulan Maklumat

Kick Off Meeting

Penyemakan Dasar Keselamatan ICT

Penilaian Keselamatan Fizikal

Pengujian Penembusan

Penilaian Keselamatan Rangkaian

OS Review

Network Device Review

Network Design Review

Wireless Assessment

Pelaporan


Berkongsi pengalaman PRISMA, MAMPU melaksanakan SPA di agensi kerajaan

Pengalaman PRISMA Pelaksanaan SPA bersama Pembekal

E-Tanah

SMPKE

Pelaksanaan SPA sepenuhnya oleh PRISMAKementerian Pelancongan Malaysia

Sasaran Tahunan2 Agensi Kerajaan

Menerangkan aktiviti-aktiviti terlibat di dalam SPA


Anggaran Kos pelaksanaan SPA oleh Pembekal

Bersaiz Kecil - 4 Pelayan, 2 Network Device, 1 Network segmen=> RM45,000.00

Bersaiz Sederhana- 8 Pelayan, 4 Network Device, 2 Network segmen=> RM80,000.00

Bersaiz Besar- 15 Pelayan, 10 Network Device, 4 Network segmen=> RM150,000.00

Kos tidak termasuk Tindakan Pengukuhan


Mencadangkan amalan terbaik Keselamatan ICT seperti MS ISO 27001, MyMIS dan lain-lain kepada agensi;

Mengenalpasti ancaman-ancaman pencerobohan, serta risiko-risiko yang mungkin dihadapi agensi

Mengenalpasti tahap keselamatan rangkaian ICT semasa agensi dan mencadangkan langkah pengukuhan bagi meningkatkan tahap keselamatan


LANGKAH 1

Pengumpulan Maklumat


Sebelum pelaksanaan SPA, maklumat-maklumat diperlukan adalah seperti berikut:

Memohon agensi menyenaraikan IP dalaman dan luaran bagi pelayan dan juga host untuk dibuat penilaian

Bil IP Address Luaran Sistem Pengoperasian Keterangan/Hostname

1. 202.190.210.139 Win2003 Spambuster

2. 202.190.210.143 CentOS DNS Motour

3. 202.190.210.144 CentOS Zimbra Mail Server

Bil IP Address Dalaman Sistem Pengoperasian Keterangan/Hostname

1. 172.17.10.210Win2003 Spambuster

2 172.17.10.11CentOS DNS Motour

3. 172.17.10.10CentOS Zimbra Mail Server


Memohon agensi menyenaraikan Network devices seperti Routers, Switch, Firewall serta configuration file (format txt)

Item IP Address Description

1. 192.168.210.140 Load Balancer (AscenLink)

2. 202.190.210.141 Router Jaring Cisco 2600)

3. 202.186.12.162 Router (Jaring Cisco 2600)

4. 192.168.1.254 Cisco ASA 5520 Firewall

5. 192.168.1.2 CoreSwitch (Cisco 4510R)(PWTC)

6. 172.17.51.0 MainSwitch Cisco 3550 (TheMall)

Softcopy Dasar Keselamatan ICT agensi


Memohon gambarajah logikal struktur rangkaian agensi.


Memohon nama-nama pegawai agensi yang terlibat di dalam struktur Pasukan Projek bagi pihak agensi

MAMPU AGENSI

SPA Project ManagerROSLI MD ZAIN

SPA Project Manager

SPA Team Members

FATMAWATI;SITI AMINAH HANUM;

NORMAZIAH MADZIZAT;NORISAH AKBAR.

AGENCY LIASON OFFICER

1. DBA;2. System Admin;3. Developer;4. ICTSO

SPA Team LeaderROSZELINDA KHALID

Langkah 1 – Surat Pekeliling Am Bil. 3 Tahun 2009


LANGKAH 2

Mesyuarat Kick-Off


Dihadiri bersama oleh pihak pengurusan agensi

Tujuan kick-off meeting:Menerangkan tujuan SPA diadakan

Menerangkan aktiviti-aktiviti yang terlibat di dalam SPA

Berbincang dan mendapat persetujuan bersama berhubung:

Senarai pelayan/host/network device. Persetujuan ini bagi mengelakkan sebarang perubahan pelayan/host semasa SPA dilaksanakan

Senarai nama pegawai agensi yang terlibat (agency liason officer) di dalam pasukan projek


Penerangan tugas dan tanggungjawab pelaksana, Pengurus Projek, Ketua pasukan projek, Ahli pasukan projek.

Jawatan Tanggungjawab

Pengurus Projek

Mengurus keseluruhan projek

Menyelesaikan isu-isu pelaksanaan;

Memastikan projek mengikut tempoh masa

Ketua Pasukan

Bertanggungjawab pelaksanaan keseluruhan

SPA

Penyediaan Laporan Penuh SPA

Ahli Pasukan

Melaksanakan aktiviti–aktiviti SPA;

Menganalisa data penemuan;

Cadangan dan tindakan untuk pengukuhan;


Persetujuan ke atas Jadual pelaksanaan projek SPA

#Keterangan Bil. Hari Bekerja Tempoh Masa

1 Mesyuarat Kick-Off 1 12 Ogos

2 Pelaksanaan SPA

Semakan Dasar Keselamatan ICT 3 13 – 17 Ogos

Pengujian Penembusan Luaran 15 17 Ogos – 7 September

Pengujian Penembusan Dalaman

Mesyuarat Kemajuan Projek - 01 1 8 September

Tindakan Pengukuhan 14 9 – 18 September

(21 – 25 Sept. Cuti Raya)

28 September – 5

Oktober

Penilian Keselamatan Fizikal

OS Review



# Keterangan Bil. Hari Bekerja Tempoh Masa

Mesyuarat Kemajuan Projek - 02 1 6 Oktober

Network Design Review 7 7 – 16 Oktober

Wireless Assessment

Tindakan Pengukuhan

4 Analisis Data & Penyediaan Laporan 5 12 – 19 Oktober

5 Penghantaran Draft Laporan 1 19 Oktober

6 Maklumbalas Draf Laporan 5 20 – 26 Oktober

7Mesyuarat Penutup Projek

Penghantaran Laporan Penuh.

1 30 Oktober

Jumlah Hari 55 Hari


Penerangan rules of engagement

Pengujian penembusan yang dijalankan non-intrusive dan tidakakan mengubah, menghapuskan sebarang maklumat di dalamsistem agensi

Menunjukkan kelemahan yang ditemui boleh mencapaimaklumat agensi walaupun kelemahan tersebut berkeupayaanmenghapus atau mengubah maklumat.

Memberitahu tools yang akan digunakan semasa SPA dilaksanakan

Setelah selesai pelaksanaan SPA, MAMPU akan memastikansemua tools yang digunakan akan dikeluarkan darirangkaian/pelayan/host agensi


Deliverables SPA

Pembentangan penemuan kelemahan – Mesyuarat Kemajuan Projek (2 atau 3 kali)

Laporan Penuh SPA

Keperluan Semasa Pelaksanaan SPAPass masuk premis

Tempat/bilik untuk pasukan projek melaksanakan SPA

Network Connection untuk setiap ahli pasukan projek

Capaian ke atas aset ICT dengan hak pengguna(end user)


LANGKAH 3

SEMAKAN DASAR KESELAMATAN ICT



Tujuan Menyemak dasar keselamatan ICT agensi bagi memastikan sistem penyampaian perkhidmatan ICT senantiasa dalam keadaan tersedia dan boleh dipercayai

Kaedah PenilaianPerbincangan/Menemubual

Menggunakan Dasar Keselamatan ICT MAMPU sebagai penanda aras (Benchmark) atau senarai semak


Dasar Keselamatan ICT (DKICT) mengandungi :

Peraturan-peraturan yang perlu dipatuhi dalam menggunakan aset ICT;

Menerangkan kepada semua pengguna mengenai tanggungjawab dan peranan warga agensi dalam melindungi aset ICT.

Menerangkan perlindungan ke atas semua bentuk maklumat yang diwujud, dimusnah, disimpan, dijana, dicetak, diakses, diedar, dan yang dibuat salinan


Skop perlindungan merangkumi perisian, perkakasan, Data/Maklumat, Manusia, Premis dan Komunikasi

Prinsip asas Dasar Keselamatan ICT

Akses atas dasar perlu mengetahui

Hak akses minimum

Akauntabiliti

Pengasingan

Pengauditan

Pematuhan


Dasar Keselamatan perlu merangkumi 11 Bidang

1. Pembangunan dan Penyenggaraan DasarMenerangkan tentang pelaksanaan, penyebaran, penyelenggaraan , pengecualian dasar.

Contoh: Penyelenggaraan Dasar

“Dasar Keselamatan ICT MAMPU tertakluk kepada semakan danpindaan dari semasa ke semasa selaras dengan perubahanteknologi, aplikasi, prosedur, perundangan,dasar Kerajaan dankepentingan sosial.

Prosidur penyelenggaraan :

(a) Kenalpasti perubahan yang diperlukan;

(b) Kemuka cadangan pindaan kepada ICTSO untuk persetujuanJawatankuasa Keselamatan ICT (JKICT);

(c) Maklum kepada semua pengguna perubahan yang dipersetujui”


2. Organisasi KeselamatanMenerangkan peranan dan tanggungjawab individu yang terlibat denganlebih jelas dalam mencapai objektif Dasar Keselamatan ICT seperti KetuaPengarah, CIO, ICTSO, Pengurus IT

Contoh: Peranan ICTSO

“Peranan dan tanggungjawab ICTSO seperti berikut:

(a) Mengurus keseluruhan program-program keselamatan ICT MAMPU;

(b) Menguatkuasakan pelaksanaan Dasar Keselamatan ICT MAMPU;

(c) Memberi penerangan dan pendedahan Dasar Keselamatan ICT MAMPU kepada semua pengguna;

(d) Memberi amaran terhadap kemungkinan berlakunya ancamanberbahaya seperti virus dan memberi khidmat nasihat sertamenyediakan langkah-langkah perlindungan yang bersesuaian;

(e) Melaporkan insiden keselamatan ICT kepada Pasukan TindakbalasInsiden Keselamatan ICT Kerajaan (GCERT), MAMPU”


Dasar Keselamatan perlu merangkumi 11 Bidang

3. Pengurusan Aset

4. Keselamatan Sumber Manusia

5. Keselamatan Fizikal

6. Pengurusan Operasi dan Komunikasi

7. Kawalan Capaian

8. Perolehan, Pembangunan dan Penyelenggaraan Sistem

9. Pengurusan Pengendalian Insiden Keselamatan ICT

10. Dasar Kesinambungan Perkhidmatan

11. Pematuhan


LANGKAH 4

Penilaian KeselamatanFizikal


Langkah 3 – Surat Pekeliling Am Bil.3 Tahun 2009

TujuanMenilai kekuatan dan kelemahan kawalan keselamatan fizikal melalui pemerhatian persekitaran fizikal dan langkah keselamatan sedia ada

Kaedah PenilaianTemuduga/Pemerhatian/Pelan layout bangunan

Berdasarkan kepada senarai semak mengikut Standard ISMS (MS ISO 27001)/BS17999

Senarai semak


Results Summary for Physical Security Review

Location #

Checks

#

Passed

#

Failed

#

NA/NR

%

Passed

%

Failed

%

NA/NR

Server

Room 29 14 15 0 48% 52% 0%

Contoh Ringkasan Penemuan


LANGKAH 5



Langkah 4 – Surat Pekeliling Am Bil. Tahun 2009

Tujuan

Mengenalpasti tahap keselamatan sistem rangkaian dan aset ICT dari ancaman pencerobohan secara luaran dan dalaman;

Untuk mengenalpasti kewujudan kelemahan yang sedia ada dan mengambil tindakan pengukuhan ke atas kelemahan tersebut.


Kaedah Pengujian

Pengujian Penembusan Luaran – Penilaian dilakukan secara jarak jauh (PRISMA) ke atas aset ICT yang boleh diakses dari luar/internet

Pengujian Penembusan Dalaman – Penilaian dilakukan ke atas aset ICT agensi melalui rangkaian dalaman.


Metodologi Pengujian Penembusan


Vulnerability Assessment

Melaksanakan imbasan ke atas sistem rangkaian dan aset ICT agensi

Laporan imbasan mengandungi keterangan kelemahan yang ditemui serta kategori risiko kelemahan samada Tinggi, Sederhana, Rendah.

Menerangkan saranan/cadangan pengukuhan bagi mengatasi kelemahan


# Nama FUNGSI

1. Nmap Port Scanner

2. Nessus / Newt Pro Vulnerabilities Scanner

3. Amap Application Fingerprinting

4. Paros Application Proxy and Scanner

5. Spike proxy Application proxy and scanner

6. Nikto Web App vulnerability scanner

7. Nbtdump NetBIOS scanner


Name PHP < 5.2.1 Multiple Vulnerabilities (Plugin ID: 24907)Port http (80/tcp)Risk Level HighDetail Synopsis :

The remote web server uses a version of PHP that is affected by multiple flaws.

Description :

According to its banner, the version of PHP installed on the remote host is older than 5.2.1.

Such versions may be affected by several issues, including buffer overflows, format string

vulnerabilities,arbitrary code execution, 'safe_mode' and 'open_basedir' bypasses, and

clobbering of super-globals.

Output:

PHP version 5.2.0 appears to be running on the remote host based on the following Server

response header :

Server: Apache/2.2.3 (Win32) DAV/2 mod_ssl/2.2.3 OpenSSL/0.9.8d mod_autoindex_color

PHP/5.2.0

Reference :

CVE: CVE-2006-6383, CVE-2007-0905, CVE-2007-0906, CVE-2007-0907, CVE-2007-

0908

Solution Upgrade to PHP version 5.2.1 or later.


Name Web Server info.php / phpinfo.php Detection (Plugin ID: 11229)

Port http (80/tcp)

Risk Level Medium

Detail Synopsis :

The remote web server contains a PHP script that is prone to an information disclosure

attack.

Description :

Many PHP installation tutorials instruct the user to create a PHP file that calls the PHP

function 'phpinfo()' for debugging purposes. Various PHP applications may also include such

a file. By accessing such a file, a remote attacker can discover a large amount of

information about the remote web server, including :

- The IP address of the host.

- The version of the operating system.

- The web server version.

- The root directory of the web server.

- Configuration information about the remote PHP

installation.

Output:

Nessus discovered the following URL that calls phpinfo() : http://172.17.10.13/phpinfo.php

Solution Remove the affected file(s).


Manual Penetration Test

Memecah katalaluan (password cracking) sistem dan perisian yang digunakan;

Menjalankan pengujian keteguhan aplikasi dan rangkaian dari ancaman seperti denial of service;

Menjalankan ujian keselamatan aplikasi melalui teknik-teknik seperti SQL Injection, Cross-site Scripting, URL Injection, Injection Flaws, Malicious File Execution, Web Defacement, Man In The Midle Attack , Directory Harvesting, Parameter Tampering, Backdoor Access dan lain-lain;


Finding 1 Mail Server Weak Password

Risk Level HIGH

URL / IP 202.190.210.144

Description

Attacker able to login into the mail system by using a simple username and password. • [email protected]:123456• [email protected]:123456• [email protected]:123456• [email protected]:654321• [email protected]:123456

Impact Attacker could take control the mail.


Finding 1 Mail Server Weak Password

Solution Set the strong or complex password

Able to access the mail using username=info and password 123456


Finding 2 PHPMyAdmin without Password

Risk Level HIGH

Affected URL / IP 172.17.10.13

DescriptionPhpMyAdmin is a tool written in PHP intended to handle the

administration of MySQL over the Web

Impact

It can create and drop databases, create/drop/alter tables,

delete/edit/add fields, execute any SQL statement, manage

key on fields.


Finding 2 PHPMyAdmin without Password

SolutionCreate Authentication page for allowing authorised user

only

http://172.17.10.13/phpmyadmin


Finding 3 Blind SQL Injection

Risk Level HIGH

Affected URL / IP 172.17.10.16

Description

The vulnerability is present when user input is either

incorrectly filtered for string literal escape characters

embedded in SQL statements or user input is not strongly

typed and thereby unexpectedly executed.

Impact‘No. Kad Pengenalan” field in Login page are prone to SQL

Injection attack.


Able to inject backdoor

using SQL Map


Finding 3 SQL Injection

SolutionFilter user supplied value before use in any SQL

query.


LANGKAH 6

OS Review



Tujuan

Menyemak keselamatan sistem pengoperasian berdasarkankepada amalan terbaik.

Kaedah

Menyemak konfigurasi/setting sistem pengoperasian pelayandengan senarai semak berdasarkan amalan terbaik - Center For Internet Security Benchmark (www.cisecurity.org)

Semakan secara Manual atau menggunakan Tools –Helix/Nessus (Windows), Bastille/Lynis – Linux/OpenBSD




Muat Turun Senarai Semak/Checklist


Ref. No Policy Name Policy Value (value data)

1.0 Auditing and Account Policies - Password Policy (PP)

1.1 Password History 24 passwords remembered

1.2 Maximum Password Age 90 Days

1.3 Minimum Password Age 1 Day

1.4 Minimum Password Length 12 Characters

2.0 Auditing and Account Policies - Account Lockout Policy (ALP)

2.1 Account Lockout Duration 15min

2.2 Account Lockout Threshold 3 attempts

3.0 Set The Audit Policy

3.1 Audit Account Logon Events Success, Failure

3.2 Audit Account Management Success, Failure

3.3 Audit Logon Events Success, Failure

3.4 Audit Object Access Success, Failure

3.5 Audit Policy Change Success, Failure

3.6 Audit System Events Success, Failure

Checklist - Windows


Password Policy

# Policy NameConfiguration

Parameter

Recommended

Settings1 PSW-1. Force Users to Change their

Password PASS_MAX_DAYS 90

2 PSW-2. Force Users' password length

minimum to 12PASS_MIN_LEN 12

User Access Right via File Permissions Settings for Log Files

# Policy NameRecommended

Settings1 LOG-1. Make The File /var/log only Readable for Root 07002 LOG-2. Make The File /var/log/messages only Readable for Root 06003 LOG-3. Make The File /var/log/dmesg only Readable for Root 06004 LOG-4. Make The File /var/log/boot.log only Readable for Root 06005 LOG-5. Make The File /var/log/lastlog only Readable for Root 0600

Checklist – Linux/OpenBSD


Contoh Ringkasan Penemuan

RESULT SUMMARYIP Address Server name # Checks # Passed # Failed

172.17.10.12 Jerejak 38 9 (24%) 27 (71%)

172.17.10.11 Tioman 38 11(29%) 26(68%)

172.17.10.80 Motour 72 33(46%) 38(53%)

172.17.35.24 Test_Server 72 32(44%) 38(53%)


LANGKAH 6



Langkah 5– Surat Pekeliling Am Bil.3 Tahun 2009

Tujuan

Memastikan konfigurasi perkakasan seperti rangkaianrouters, switches dan firewall adalah selamat dan tidakmempunyai kelemahan yang boleh diexploitasi olehpenceroboh.

Kaedah

Menyemak konfigurasi/setting perkakasan rangkaiandengan senarai semak amalan terbaik - Center For Internet Security Benchmark (www.cisecurity.org)


Semakan secara Manual atau menggunakan Tools – NIPPER (open source)

Configuration file yang dipohon kepada agensidalam format txt akan dianalisis oleh tools NIPPER

Contoh Penemuan Kelemahan Routers


Contoh firewall rules yang tidak mengikut amalan terbaik

Line Permission Protocol Source Source

Port

Destination Destination

Port

Log Active

1 Permit ip any any any any No Yes

2 Permit DM_INLINE_SERVI

CE_1

any any any any No No

3 Permit ip any any DM_INLINE_NET

WORK_2

any No No

4 Permit tcp jerejak any any any No No

5 Permit ip DM_INLINE_NETW

ORK_3

any any any No No

6 Permit tcp any any mail-int smtp No No

7 Permit tcp DM_INLINE_NETW

ORK_1

any any DM_INLINE

_TCP_1

No No

1. Protocol IP bermaksud – semua network protocol seperti icmp, udp, smtp

2. Source & Destination set from any to any


LANGKAH 7

Network Design Review


Contoh: RekabentukRangkaian yang baik

Langkah 5– Surat Pekeliling Am Bil. 3 Tahun 2009


LANGKAH 8

PENILAIAN WIRELESS LAN


TujuanMenilai tahap keselamatan sistem rangkaian tanpa wayar (wireless LAN) agensi.

KaedahWar Driving – bagi mengesan AP (Access Point) yang ada dan mengenalpasti kelemahan yang ada seperti jenis enkripsi yang digunakan (WEP,WPA,WPA2, Open)

Penilaian dilakukan berdasarkan kepada Surat Arahan KSN – Langkah-langkah memperkukuhkan Keselamatan Rangkaian Tanpa Wayar (Wireless LAN) Agensi Kerajaan

Tools - KISMET

Langkah 5– Surat Pekeliling Am Bil.3 Tahun 2009


LANGKAH 9

PELAPORAN


Laporan Berasingan

Rumusan Eksekutif

Laporan Teknikal

Laporan Penyemakan Dasar Keselamatan


Pengujian Penembusan Dalaman & Luaran

OS Review

Network Review (Network Design, Network

Device, Wireless Assessment)

Langkah 6 & 7– Surat Pekeliling Am Bil.3 Tahun 2009


Pelaksanaan aktiviti SPA melibatkan aktiviti:

Pengumpulan Maklumat, Pasukan Projek, Kick Off Meeting

Semakan Dasar Keselamatan



Penilaian OS, Network Device, Network Design dan Wireless

Analisa Penemuan dan Pelaporan

Agensi boleh melaksanakan SPA sendiri sepenuhnya;

Agensi boleh melaksanakan SPA sendiri kecuali melantik pembekaluntuk melaksanakan pengujian penembusan;

Melantik pembekal melaksanakan SPA dengan melibatkanpegawai agensi sepenuhnya untuk persediaan SPA seterusnya.


Documents

BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my