Bitlab Developers
  • Introduction
  • 🐧Linux
    • Perkenalan Linux
    • DVWA: Install On Kali Linux
    • MYSQL: Kali Linux
    • How To Add Apps In Kali Linux
    • Initial Linux Installation
    • Linux: Fundamentals
    • Linux: Privilege Escalation
  • 💾HackLovers ID
    • Penestration Testing
    • Check Kerentanan Manual
    • Security Models
    • Pentesting Fundamentals
    • Metodologi Hacking
      • Metodologi By Anonputraid
    • Scope Penestration
    • Pengumpulan Informasi
    • 📑Learning Path !
  • SQL Injection
    • Perkenalan SQL-Injection
    • Examining the Database
    • Cheat Sheet
    • Union Attack
    • Subverting application logic
    • Retrieving Hidden Data
    • Blind vulnerabilities
      • Blind SQL-Injection: Triggering Conditional Responses
      • Blind SQL injection: Triggering Time Delays
      • Blind SQL Injection: Triggering SQL Errors
      • Blind SQL injection: Out Of Band (OAST)
  • ⚡Networking
    • Network Fundamental
  • Burp-Suite
    • Burp Suite: List
    • Burp Suite: Profesional Install
    • Burp Suite: The Basic
      • Burp Suite: What is Burp Suite?
      • Burp Suite: How To install
      • Burp Suite: The Dashboard
      • Burp Suite: Navigation
      • Burp Suite: Introduction to the Burp Proxy
      • Burp Suite: Connecting through the Proxy (FoxyProxy)
      • Burp Suite: Proxying HTTPS
      • Burp Suite: The Burp Suite Browser
      • Burp Suite: Scoping and Targeting
      • Burp Suite: Site Map and Issue Definitions
      • Burp Suite: Example Attack
    • Burp Suite: Repeater
      • Burp Suite: What is Repeater?
      • Burp Suite: Basic Usage
      • Burp Suite: Inspector
      • Burp Suite: Views
      • Burp Suite: Challenge
      • Burp Suite: SQLi with Repeater
    • Overview of Burp Suite
      • 📋Burp Suite: Anonputraid Tips
        • Burp Suite: Cross-Site Scripting
  • 🤖Hackthebox
    • Pekernalan Hackthebox
    • Hackthebox Machines
    • Tips & Trick
      • Basic Web Enumeration
      • SSRF & CRLF Attacks
      • Metasploit MsfVenom Apk
      • HashCat: Rules Type Base64
      • Forensic Knowledge
      • Gitlab Laboratory
      • Proxychains & DNS
  • Tryhackme
    • Perkenalan Try Hack Me
    • Learning Path
  • 🖥️Mac Os
    • Catalina Tools
      • Visual Studio Code
    • Dual Boot Kali Linux On Mac
    • How To Change Theme Refind
    • How To Remove Refind
    • Tips to Beautify Terminal
    • Macos For Hacking
    • How To Change Icon Macos
  • Pascal
    • Learning Path
    • Struktur Program Pascal
      • Judul program
      • Bagian Pernyataan/Terproses
      • Bagian Deklarasi
        • Deklarasi prosedur dan Fungsi
        • Deklarasi variabel/perubah
        • Deklarasi Tipe
        • Deklarasi Label
        • Deklarasi Konstanta
    • The Basic
      • Tipe Data
        • Tipe Data standar
          • Tipe Data Integer
          • Tipe data real
          • Tipe Data Karakter
          • Tipe Data String
          • Tipe Sata Boolean
        • Tipe Data Terdefinisi
          • Tipe Data Subjangkauan
          • Tipe Data Terbilang
          • Tipe Data Larik (array)
          • Tipe data record dan file
      • Statemen-statemen
        • Reserved Word
      • Perintah Perintah
        • Statemen Input/output
          • Read/readln(Prosedur)
          • ReadKey(fungsi)
          • Write/writeln(prosedur)
        • Statemen Pengaturan Letak Di Layer
          • Clrscr(prosedur)
          • Gotoxy(prosedur)
          • Delline(prosedur)
          • Insline(prosedur)
          • Delay(prosedur)
        • Statemen Memanipulasi String
          • Concat(fungsi)
          • Copy(fungsi)
          • Delete(prosedur)
          • Insert(Prosedur)
          • Length(fungsi)
          • Pos(fungsi)
          • Str(prosedur)
          • Val(prosedur)
          • Upcase(fungsi)
        • Statemen Perhitungan Aritmatik
          • Abs(Fungsi)
          • Arctan(fungsi)
          • Cos(fungsi)
          • Exp(fungsi)
          • Frac(fungsi)
          • Int(fungsi)
          • LN(fungsi)
          • Sin(fungsi)
          • Sqr(fungsi)
          • SQRT(fungsi)
        • Statemen Transfer Nilai Dari Suatu Variable
          • Chr(fungsi)
          • Ord(fungsi)
          • Round(fungsi)
          • Trunc(fungsi)
        • Statemen Memanipulasi Data
          • Pred(fungsi)
          • Succ(fungsi)
          • INC(fungsi)
          • DEC(fungsi)
        • Statemen Tambahan (warna,suara dan window)
          • Sound(prosedur)
          • TextMode(prosedur)
          • Window(prosedur)
          • Textbackground(prosedur)
          • TextColor(prosedur)
      • Bentuk Perulangan
        • Perulangan FOR
          • Perulangan FOR negatif
          • Perulangan FOR positif
          • Perulangan FOR tersarang
        • Perulangan WHILE-DO
      • Record
        • Deklarasi Record
        • Statemen with
        • Record Dalam Array
        • Field Record Bertipe Array
        • Tipe Data Record Dengan Field Tipe Record
      • Procedure
        • Template Latihan Proseduce
        • Parameter Dalam Procedure
        • Pengiriman parameter Secara Nilai
        • Pengiriman Parameter Secara Acuan (By Reference)
        • Procedure Memanggil Procedure Yang Lain
        • Procedure Tersarang
        • Procedure Memanggil Dirinya Sendiri (Rekursi)
      • Function
        • Rekursi Pada Function
        • Parameter Nilai Dalam Function
        • Function Dengan Parameter Acuan
        • Function tanpa parameter
      • File Teks
        • Membuat File Teks
        • Deklarasi File Teks
        • Pernyataan Rese
        • Pernyataan Rewrite
        • Pernyataan Close
      • File Binary
      • Pascal Library
        • Free Pascal Game
        • SDL: Simple DirectMedia Layer
          • SDL: Language Bindings
        • How To Install ?
      • Pascal Examples
        • Pascal Exercises
          • Exersices 1
          • Exersices 2
          • Exersices 3
          • Exersices 4
        • Pascal Quiz
          • Question 1
      • Perkenalan Pascal
  • Dart Programming
    • Install Dart On Linux
  • ⚙️Technical
    • Pengantar Sistem Informasi
    • Perkenalan UEFI & Legacy
  • Git Dan Github
    • Download Git & Setting
    • Membuat Portofolio GitHub
  • Xampp
    • Error Mysql Xampp
Powered by GitBook
On this page
  • Triad CIA
  • Principles of Privileges
  • Security Models Continued
  • The Bell-La Padula Model
  • Biba Model
  • Threat Modelling & Incident Response

Was this helpful?

  1. HackLovers ID

Security Models

Author: Anonputraid

Last updated 2 years ago

Was this helpful?

Prinsip Dasar Keamanan Informasi:

  • Triad CIA

  • Principles of Privileges

  • Security Models Continued

  • Threat Modelling & Incident Response

Triad CIA

Triad Cia Adalah Model Keamanan Informasi Yang Digunakan Dalam Pertimbangan Selama Pembuatan Kebijakan Keamanan. Model Ini Memiliki Latar Belakang Yang Luas, Mulai Dari Yang Digunakan Pada Tahun 1998.

Sejarah ini karena keamanan informasi (keamanan informasi) tidak dimulai dan/atau diakhiri dengan keamanan siber, tetapi berlaku untuk skenario seperti pengarsipan, penyimpanan catatan, dll.

Terdiri dari tiga bagian: C onfidentiality, I ntegrity dan A vailability ( CIA ), Model Ini Dengan Cepat Menjadi Standar Industri Saat Ini. Model Ini Harus Membantu Menentukan Nilai Data Yang Diterapkan, Dan Pada Gilirannya, Perhatian Yang Dibutuhkan Dari Bisnis.

Triad Cia Tidak Seperti Model Tradisional Di Mana Anda Memiliki Bagian Individu; Sebaliknya, Ini Adalah Siklus Yang Berkelanjutan. Sementara Tiga Elemen Triad Cia Bisa Dibilang Tumpang Tindih, Bahkan Jika Hanya Satu Elemen Tidak Terpenuhi, Maka Dua Lainnya Dianggap Tidak Berguna (Mirip Dengan Segitiga Api). Jika Kebijakan Keamanan Tidak Menjawab Ketiga Bagian Ini, Jarang Ada Kebijakan Keamanan Yang Efektif.

Sementara Tiga Elemen Triad Cia Bisa Dibilang Cukup Jelas.

Mari Kita Jelajahi Ini Dan Mengontekstualisasikannya Ke Dalam Keamanan Siber.

Confidentiality

Elemen Ini Adalah Perlindungan Data Dari Akses Yang Tidak Sah Dan Penyalahgunaan. Organisasi Akan Selalu Memiliki Beberapa Bentuk Data Sensitif Yang Tersimpan Di Sistem Mereka. Memberikan Kerahasiaan Berarti Melindungi Data Ini Dari Pihak-pihak Yang Tidak Dimaksudkan.

Ada Banyak Contoh Dunia Nyata Untuk Ini, Misalnya, Catatan Karyawan Dan Dokumen Akuntansi Akan Dianggap Sensitif. Kerahasiaan Akan Diberikan Dalam Arti Bahwa Hanya Administrator Sdm Yang Akan Mengakses Catatan Karyawan, Di Mana Pemeriksaan Dan Kontrol Akses Yang Ketat Diterapkan. Catatan Akuntansi Kurang Berharga (Dan Karena Itu Kurang Sensitif), Jadi Tidak Ada Kontrol Akses Yang Ketat Untuk Dokumen-dokumen Ini. Atau, Misalnya, Pemerintah Menggunakan Sistem Peringkat Klasifikasi Sensitivitas (Rahasia, Rahasia, Tidak Terklasifikasi)

Integritas

Unsur integritas tiga serangkai CIA adalah kondisi di mana informasi disimpan secara akurat dan konsisten kecuali jika ada perubahan yang diizinkan. Ada kemungkinan informasi berubah karena akses dan penggunaan yang ceroboh, kesalahan dalam sistem informasi, atau akses dan penggunaan yang tidak sah. Dalam triad CIA, integritas dipertahankan ketika informasi tetap tidak berubah selama penyimpanan, transmisi, dan penggunaan tidak melibatkan modifikasi informasi. Langkah-langkah harus diambil untuk memastikan data tidak dapat diubah oleh orang yang tidak berwenang (misalnya, dalam pelanggaran kerahasiaan).

Banyak pertahanan untuk memastikan integritas dapat diterapkan. Kontrol akses dan otentikasi yang ketat dapat membantu mencegah pengguna yang berwenang membuat perubahan yang tidak sah. Verifikasi hash dan tanda tangan digital dapat membantu memastikan bahwa transaksi adalah asli dan file tidak dimodifikasi atau rusak.

Ketersediaan

Agar data bermanfaat, data harus tersedia dan dapat diakses oleh pengguna.

Perhatian utama dalam triad CIA adalah bahwa informasi harus tersedia ketika pengguna yang berwenang perlu mengaksesnya.

  • Memiliki perangkat keras yang andal dan teruji untuk server teknologi informasi mereka (yaitu server yang memiliki reputasi baik)

  • Memiliki teknologi dan layanan yang berlebihan jika terjadi kegagalan primer

  • Menerapkan protokol keamanan yang berpengalaman untuk melindungi teknologi dan layanan dari serangan

Ketersediaan sangat sering menjadi tolok ukur utama bagi sebuah organisasi. Misalnya, memiliki waktu aktif 99,99% di situs web atau sistem mereka (ini diatur dalam Perjanjian Tingkat Layanan). Ketika suatu sistem tidak tersedia, seringkali mengakibatkan kerusakan pada reputasi organisasi dan kerugian keuangan. Ketersediaan dicapai melalui kombinasi banyak elemen, termasuk:

  • Element Integrity Triad Adalah Berguna Untuk Memastikan Bahwa Data Tidak Dapat Diubah Oleh Tidak Berwenang Adalah

  • Element Availability Adalah Memastikan Bahwa Data Tersedia

  • Element confidentiality Untuk Memastikan Bahwa Data Hanya Diakses Oleh Berwenang

Principles of Privileges

Sangat penting untuk mengatur dan mendefinisikan dengan benar berbagai tingkat akses ke sistem teknologi informasi yang dibutuhkan individu.

Tingkat akses yang diberikan kepada individu ditentukan pada dua faktor utama:

  • Peran/fungsi individu dalam organisasi

  • Sensitivitas informasi yang disimpan di sistem

Dua konsep utama digunakan untuk menetapkan dan mengelola hak akses individu, dua konsep utama digunakan: Privileged Identity Management (PIM) and Privileged Access Management (or PAM for short).

  • PIM digunakan untuk menerjemahkan peran pengguna dalam suatu organisasi menjadi peran akses pada suatu sistem

  • PAM adalah pengelolaan hak istimewa yang dimiliki peran akses sistem, antara lain.

Apa yang penting ketika membahas hak istimewa dan kontrol akses adalah prinsip hak istimewa terkecil. Sederhananya, pengguna harus diberikan jumlah minimum hak istimewa, dan hanya yang benar-benar diperlukan bagi mereka untuk melakukan tugasnya. Orang lain harus bisa memercayai apa yang orang tulis.

Seperti yang kami sebutkan sebelumnya, PAM menggabungkan lebih dari menetapkan akses. Ini juga mencakup penegakan kebijakan keamanan seperti manajemen kata sandi, kebijakan audit, dan pengurangan permukaan serangan yang dihadapi sistem.

Kesimpulan:

  • PAM: Mengelola Hak Istimewa Yang Dimiliki Peran Akses Sistem

  • PIM: Membuat Peran Sistem Yang Didasarkan Pada Peran/tanggung Jawab Pengguna Dengan Suatu Organisasi

Security Models Continued

Mari kita telusuri beberapa model keamanan populer dan efektif yang digunakan untuk mencapai tiga elemen dari CIA triad :

The Bell-La Padula Model

Model Bell-La Padula digunakan untuk mencapai kerahasiaan. Model ini memiliki beberapa asumsi, seperti struktur hierarki organisasi yang digunakan, di mana tanggung jawab/peran setiap orang didefinisikan dengan baik.

Model ini bekerja dengan memberikan akses ke potongan data (disebut objek) dengan dasar yang sangat perlu diketahui. Model ini menggunakan aturan "no write down, no read up".

  • Kebijakan dalam model ini dapat direplikasi ke hierarki organisasi kehidupan nyata

  • Sederhana untuk diterapkan dan dipahami, dan telah terbukti berhasil.

  • Meskipun pengguna mungkin tidak memiliki akses ke suatu objek, mereka akan mengetahui keberadaannya -- jadi dalam aspek itu tidak bersifat rahasia.

  • Model ini bergantung pada sejumlah besar kepercayaan dalam organisasi.

Model Bell LaPadula populer di dalam organisasi seperti pemerintahan dan militer. Hal ini karena anggota organisasi dianggap telah melalui proses yang disebut vetting. Pemeriksaan adalah proses penyaringan di mana latar belakang pelamar diperiksa untuk menetapkan risiko yang mereka hadapi terhadap organisasi. Oleh karena itu, pelamar yang berhasil diseleksi dianggap dapat dipercaya - di situlah model ini cocok.

Biba Model

Model Biba bisa dibilang setara dengan model Bell-La Padula tetapi untuk integritas CIA triad.

Model ini menerapkan aturan untuk objek (data) dan subjek (pengguna) yang dapat diringkas sebagai "tidak menulis, tidak membaca". Aturan ini berarti bahwa subjek dapat membuat atau menulis konten ke objek pada atau di bawah levelnya tetapi hanya dapat membaca konten objek di atas level subjek.

Mari kita bandingkan beberapa kelebihan dan kekurangan dari model ini pada tabel di bawah ini:

  • Model ini sederhana untuk diterapkan.

  • Mengatasi keterbatasan model Bell-La Padula dengan menangani kerahasiaan dan integritas data.

  • Akan ada banyak level akses dan objek. Hal-hal dapat dengan mudah diabaikan saat menerapkan kontrol keamanan.

  • Sering mengakibatkan penundaan dalam bisnis. Misalnya, seorang dokter tidak akan bisa membaca catatan yang dibuat oleh seorang perawat di rumah sakit dengan model ini.

Model Biba digunakan dalam organisasi atau situasi di mana integritas lebih penting daripada kerahasiaan. Misalnya, dalam pengembangan perangkat lunak, pengembang mungkin hanya memiliki akses ke kode yang diperlukan untuk pekerjaan mereka. Mereka mungkin tidak memerlukan akses ke informasi penting seperti database, dll.

Threat Modelling & Incident Response

Pemodelan ancaman adalah proses meninjau, meningkatkan, dan menguji protokol keamanan yang ada di infrastruktur dan layanan teknologi informasi organisasi.

Tahap kritis dari proses pemodelan ancaman adalah mengidentifikasi kemungkinan ancaman yang mungkin dihadapi oleh aplikasi atau sistem, kerentanan yang mungkin dialami oleh sistem atau aplikasi.

Proses pemodelan ancaman sangat mirip dengan penilaian risiko yang dibuat di tempat kerja untuk karyawan dan pelanggan. Semua prinsip kembali ke:

  • Persiapan

  • Identifikasi

  • Mitigasi

  • Tinjauan

Namun, ini adalah proses kompleks yang membutuhkan tinjauan dan diskusi terus-menerus dengan tim yang berdedikasi. Model ancaman yang efektif meliputi:

  • Intelijen ancaman

  • Identifikasi aset

  • Kemampuan mitigasi

  • Tugas beresiko

Untuk membantu hal ini, ada kerangka kerja seperti STRIDE ( S poofing identity, T with data, epudiation threat, information ampering disclosure, E Denial of Service and levation of privileges) dan PASTA ( A for ttack Process Simulation and infosec Ancaman Sebuah tidak pernah terasa begitu enak!. Mari kita detail STRIDE di bawah ini. STRIDE, yang ditulis oleh dua peneliti keamanan Microsoft pada tahun 1999 masih sangat relevan hingga saat ini. STRIDE mencakup enam prinsip utama, yang telah saya rinci dalam tabel di bawah ini:

Principle
Keterangan

Spoofing

Prinsip ini mengharuskan Anda untuk mengautentikasi permintaan dan pengguna yang mengakses sistem. Spoofing melibatkan pihak jahat yang secara salah mengidentifikasi dirinya sebagai pihak lain.

Kunci akses (seperti kunci API) atau tanda tangan melalui enkripsi membantu memulihkan ancaman ini.

Tampering

Dengan memberikan tindakan anti-gangguan ke sistem atau aplikasi, Anda membantu memberikan integritas pada data. Data yang diakses harus disimpan secara integral dan akurat.

Misalnya, toko menggunakan segel pada produk makanan.

Repudiation

Prinsip ini menentukan penggunaan layanan seperti pencatatan aktivitas untuk dilacak oleh sistem atau aplikasi.

Information Disclosure

Aplikasi atau layanan yang menangani informasi beberapa pengguna perlu dikonfigurasi dengan tepat agar hanya menampilkan informasi yang relevan dengan pemilik yang ditampilkan.

Denial of Service

Aplikasi dan layanan menggunakan sumber daya sistem, kedua hal ini harus memiliki langkah-langkah agar penyalahgunaan aplikasi/layanan tidak mengakibatkan penurunan seluruh sistem.

Elevation of Privilege

Ini adalah skenario terburuk untuk aplikasi atau layanan. Ini berarti bahwa pengguna dapat meningkatkan otorisasi mereka ke tingkat yang lebih tinggi yaitu administrator. Skenario ini sering mengarah pada eksploitasi lebih lanjut atau pengungkapan informasi.

Pelanggaran keamanan dikenal sebagai insiden. Dan terlepas dari semua model ancaman yang ketat dan desain sistem yang aman, insiden memang terjadi. Tindakan yang diambil untuk menyelesaikan dan memulihkan ancaman tersebut dikenal sebagai Incident Response (IR) dan merupakan keseluruhan jalur karir di bidang keamanan siber.

Insiden diklasifikasikan menggunakan peringkat urgensi dan dampak. Urgensi akan ditentukan oleh jenis serangan yang dihadapi, di mana dampaknya akan ditentukan oleh sistem yang terkena dampak dan apa dampaknya terhadap operasi bisnis.

Suatu insiden ditanggapi oleh ( kelompok CSIRT ) yang Tim Respons Insiden Keamanan Komputer . yang merupakan karyawan telah diatur sebelumnya dengan pengetahuan teknis tentang sistem dan/atau insiden saat ini Agar berhasil menyelesaikan suatu insiden, langkah-langkah ini sering disebut sebagai enam fase Respons Insiden yang terjadi, tercantum dalam tabel di bawah ini:

💾