Tryhackme - Free Roadmap Overview Part 1 Cybersecurity Basic Bahasa

Halo semuanya, pada kesempatan hari ini saya ingin membagikan catatan saya selama mempelajari Room-room yang ada di Tryhackme, disini saya akan memfokuskan catatan saya pada bagian Free Roadmapnya. Karena roadmapnya cukup panjang, saya akan membagi blog ini menjadi beberapa part. Bagian pertama kita akan eksplor **Cyber Security Basic**. ![image](https://hackmd.io/_uploads/SkxTOVJqyg.png) Tanpa menunggu lama-lama lagi mari kita langsung masuk saja. # A. Careers in Cyber ![image](https://hackmd.io/_uploads/Sy3BoELtke.png "Career" =450x450) ## 1. Security Analyst **Analis** membangun langkah-langkah keamanan di seluruh organisasi. Analis mengeksplorasi dan mengevaluasi jaringan perusahaan untuk mengungkap data yang ditindaklanjuti dan merekomendasikan langkah-langkah pencegahan. Mereka harus berkompromi dengan pemangku kepentingan untuk memahami syarat dan lanskap keamanan. Tanggung jawab: * Bekerja sama dengan pemangku kepentingan untuk menganalisa keamanan siber perusahaan * Menyusun laporan berkelanjutan tentang keamanan jaringan dan tindakan yang diambil sebagai respon * Mengembangkan rencana keamanan, dengan melihat alat dan tren serangan yang diperlukan seluruh tim untuk menjaga keamanan data. ## 2. Security Engineer **Security Engineer** mengembangkan solusi keamanan dengan data ancaman dan kerentanan. Tujuannya untuk mempertahankan dan mengadopsi langkah-langkah keamanan untuk mengurangi resiko serangan Tanggung jawab: * Menguji dan menyaring langkah-langkah keamanan di seluruh perangkat lunak * Memantau jaringan dan laporan untuk memperbarui sistem dan mengurangi kerentanan * Mengidentifikasi dan mengimplimentasikan sistem yang diperlukan untuk keamanan optimal. ## 3. Incident Responder **Incident responder** merespon pelanggaran keamanan yang terjadi secara langsung. Tujuannya untuk mendapat respon cepat & efektif, mempertahankan posisi keuangan dan menghindari implikasi pelanggaran yang negatif. Tanggung jawab: * Mengembangkan dan mengadopsi rencana respon insiden * Menjaga praktik terbaik keamanan dan mendukung langkah-langkah respon insiden * Pelaporan paska insiden dan persiapan serangan di masa mendatang ## 4. Digital Forensic Examiner Berfokus mengumpulkan dan menganalisa bukti juga menganalisa insiden, seperti pelanggaran kebijakan. Tanggung jawab: * Mengumpulkan jejak digital sambil mengamati prosedur hukum * Analisis bukti digital untuk menemukan jawaban terkait kasus * Dokumentasikan temuan dan melaporkan kasus tersebut. ## 5. Malware Analyst Bertugas menganalisa program mencurigakan, dan melaporkan hasil temuannya. Tujuannya untuk mengetahui semua aktivitas yang dilakukan program berbahaya. Tanggung jawab: * Melakukan **analisis statis** program berbahaya * Melakukan **analisis dinamis** sampel dengan memantau aktivitasnya di dalam lingkungan terkontrol * Mendokumentasi dan melaporkan seluruh temuan. ## 6. Pentester Bertugas menguji keamanan sistem dan software perusahaan, dengan menemukan celah dan kerentanan. Tanggung jawab: * Melakukan pengujian terhadap aplikasi dan sistem perusahaan * Melakukan penilaian keamanan, audit dan analisa kebijakan. * Melaporkan hasil pengujian dan memberi rekomendasi tindakan untuk pencegahan penyerangan. ## 7. Red Teamer **Red Teamer** bertugas menguji kemampuan deteksi dan respons perusahaan. Diharuskan meniru penjahat siber, mempertahankan aksesnya, dan menghindari deteksi. Tanggung jawab: * Meniru pelaku ancaman untuk mengungkap kerentanan * Menilai kontrol keamanan organisasi * Mengevaluasi dan melaporkan wawasan dengan data yang dapat ditindaklanjuti perusahaan. # B. Security Principles ![image](https://hackmd.io/_uploads/ByEykhdF1x.png) ## 1. CIA **CIA** adalah tiga serangkai untuk menentukan suatu sistem aman atau tidak. Isi dari CIA adalah sebagai berikut: * **Confidentiality**: Hanya orang berwenang yang mendapat akses * **Integrity**: Memastikan data tidak dapat dirubah * **Availability**: Memastikan sistem tetap ada ketika dibutuhkan. Selain ketiga hal tersebut, tentu ada hal lainnya yang perlu diperhatikan: * Authenticity: Memastikan data dari sumber sebenarnya * Non repudiation: Memastukan sumber aslinya tidak bisa menolak bahwa mereka adalah sumber dari data tersebut * Utility: Memastikan kebergunaan suatu informasi * Possession: Menjaga informasi dari hal yang tidak sah. ## 2. DAD **DAD** adalah kebalikan dari CIA, yang berarti menunjukkan suatu sistem tidak aman Isi dari DAD adalah sebagai berikut: * **Disclosure**: Kebocoran data ke pihak yang tidak berwenang * **Alteration**: Data dapat dirubah * **Destruction**: Sistem tidak ada ketika dibutuhkan. ## 3. Security Models ### a. Bell - Lapadula Model **Bell-Lapadula Model** bertujuan mencapai Confidentiality dengan 3 aturan: * **Simple Security Property**: Subjek yang punya kredensial lebih rendah tidak bisa melihat objek dengan tingkat lebih tinggi * **Star Security Property**: Subjek yang punya kredensial lebih tinggi tidak bisa menulis ke objek yang lebih rendah * **Discretionary Security Property**: Menggunakan akses matrix untuk perizinan membaca dan menulis. **Batasan**: Tidak bisa untuk file-sharing ### b. Biba Model **Biba Model** bertujuan mencapai integrity dengan dua aturan: * **Simple Integrity Property**: Subjek dengan integrity lebih tinggi tidak boleh membaca dari objek lebih rendah * **Star Integrity Property**: Subjek dengan integrity lebih rendah tidak boleh menulis ke objek lebih tinggi **Batasan**: Tidak mengurus *Insider Threat* ### c. Clark-Wilson Model **Clark-Wilson Model** bertujuan mencapai Integrity dengan konsep: * **Constrained Data Item (CDI)**: Tipe data yang integritasnya ingin disimpan * **Unconstrained Data Item**: Data diluar CDI, seperti masukan pengguna * **Transformation Procedures**: Operasi yang diprogram, dengan tujuan mempertahankan CDI * **Integrity Verification Procedures**: Prosedur mengecek dan memastikan validitas CDI ## 4. ISO 19249 5 prinsip arsitektur **ISO 19249**: * **Domain Separation** Setiap kumpulan komponen yang saling berkaitan digabungkan menjadi satu entitas. Dimana setiap entitas diberikan domain dan atribut keamanan tertentu. * **Layering** Sistem distruktur ke dalam banyak tingkatan, sehingga bisa menerapkan kebijakan keamanan ke berbagai tingkatan, * **Enkapsulasi** Menyembunyikan implementasi tingkat rendah dan mencegah manipulasi langsung suatu objek dengan menyediakan metode khusus. * **Redundancy** Memastikan *availibility* dan *integrity*. * **Virtualization** Berbagi satu set perangkat keras diantara beberapa sistem operasi 5 prinsip desain ISO 19249: * **Least Privilege** Hanya memberikan akses sesuai kebutuhan * **Attack Surface Minimisation** Meminimalisir jangkauan serangan dengan menggunakan layanan yang dibutuhkan saja * **Centralised Parameter Validation** Menentukan parameter yang bisa sistem urus/tangani, dan validasi dilakukan di satu sistem yang tersentralisasi * **Centralised General Security Services** Sentralisasi semua layanan keamanan * **Preparing for Error and Exception Handling** Selalu siap dengan error dan exception yang terjadi ## 5. Zero Trust vs Trust but Verify ### a. Trust but Verify Verifikasi meskipun kita percaya dengan entitas dan aktivitasnya. Automasi berupa* IDS, Proxy dan IPS* ### b. Zero Trust Menganggap percaya sebagai suatu kerentanan dan bisa menghalau ancaman dari dalam ## 6. Threat vs Risk * **Kerentanan**: Titik yang bisa diserang * **Threat**: Bahaya yang mungkin berkaitan dengan kerentanan * **Risk**: Kemungkinan penjahat mengeksploitasi kerentanan # C. Governance & Regulation ![image](https://hackmd.io/_uploads/ryqn5NJqJl.png) ## 1. Kenapa Penting? Terminologi: * **Governance**: Mengelola dan mengarahkan sistem mencapai tujuannya dan memastikan kepatuhan terhadap regulasi * **Regulasi**: Aturan yang ditegakkan untuk memastikan kepatuhan dan melindungi dari bahaya * **Compliance**: Keadaan mematuhi regulasi yang berlaku pada suatu organisasi atau sistem. Proses Security Governance: * **Strategi**: Mengembangkan dan menerapkan strategi keamanan informasi komprehensif yang selaras dengan tujuan bisnis organisasi secara keseluruhan * **Policing dan Prosedur**: Menyiapkan prosedur dan kebijakan yang mengatur penggunaan dan perlindungan aset informasi *** Risk Management**: Melakukan penilaian resiko untuk mengidentifikasi potensi ancaman * **Performance Measurement**: Menentukan indikator kinerja utama untuk mengukur efektivitas program keamanan informasi * **Compliance**: Memastikan kepatuhan terhadap peraturan yang relevan. **Kegunaan** implementasi Governance: * Postur keamanan lebih kuat * Meningkatnya kepercayaan pemangku kepentingan * Kepatuhan terhadap peraturan * Penyelarasan yang lebih baik dengan tujuan bisnis * Pengambilan keputusan yang terinformasi * Keunggulan kompetitif Contoh regulasi: * **GDPR**: Membahas bagaimana organisasi mengelola dan mengamankan data * **HIPAA**: Sensitifitas informasi kesehatan masyarakat * **PCI-DSS**: Menunjukkan syarat teknis untuk memastikan error handling dan bagaimana data kartu digital * **GLBA**: Bisnis finansial harus menjaga informasi personal nonpublik. ## 2. Information Security Frameworks Seperangkat dokumen komprehensif yang mengurai pendekatan organisasi terhadap keamanan informasi dengan dokumen meliputi: * **Kebijakan**: Pernyataan yang menguraikan pedoman organisasi untuk mencapai tujuan tertentu * **Standar**: Dokumen yang menetapkan persyaratan untuk proses tertentu * **Pedoman**: Dokumen yang memberikan rekomendasi praktik terbaik * **Prosedur**: Serangkaian langkah khusus untuk melaksanakan tugas * **Dasar**: Serangkaian standar keamanan minimum yang harus dipenuhi **Langkah** umum mengembangkan kebijakan: * Identifikasi jangkauan dan tujuan * Penelitian dan pengecekan sumber relevan * Buat draf kebijakan * Buat draf yang akan dicek oleh pemangku kebijakan * Komunikasikan dokumen ke pegawai relevan * Cek dan tingkatkan secara periodik ## 3. Governance Risk and Compliance (GRC) **GRC** berfokus pada pengarahan tata kelola organisasi secara keseluruhan, manajemen resiko perusahaan dan kepatuhan secara terpadu Tiga **komponen** GRC: 1. **Komponen Governance** Melibatkan bimbingan suatu organisasi dengan menetapkan arahnya melalui strategi keamanan informasi 2. **Komponen Risk Management** Identifikasi, penilaian, dan penentuan resiko bagi organisasi serta pengendalian dan strategi mitigasi untuk mengelola resiko tersebut secara efektif 3. **Komponen Compliance** Menentukan bahwa organisasi mewajibkan kewajiban hukum, peraturan dan industrinya serta aktivitasnya selaras dengan kebijakan dan prosedurnya Secara umum, **cara mengembangkan** program GRC adalah sebagai berikut: * Definisikan ruang lingkup dan tujuan * Melakukan penilaian resiko * Kembangkan kebijakan dan prosedur * Tetapkan proses data kelola * Implementasikan kontrol * Memantau dan mengukur kinerja * Terus dilakukan peningkatan ## 4. Privacy & Data Protection Poin-poin utama undang-undang **GDPR**: * Persetujuan terlebih dahulu sebelum mengumpulkan data pribadi * Data pribadi harus diambil seminimum mungkin * Langkah-langkah yang memadai harus diambil untuk melindungi data pribadi yang disimpan Adapun, **denda ketidakpatuhan** memiliki tingkatan sebagai berikut: * **Tier 1**: Violasi skala besar. Maksimum penalti 4% * **Tier 2**: Violasi skala kecil. Maksimum penalti 2% ## 5. NIST Special Publication ### a. NIST 800-53 Berjudul ***"Security and Privacy Controls for Information Systems and Organisations"***. Publikasi ini berfungsi sebagai kerangka kerja bagi organisasi untuk menilai dan meningkatkan keamanan serta privasi sistem informasi dan mematuhi regulasi **NIST 800-53** mengorganisasi kontrol keamanan ke dalam 20 famili dengan detail sebagai berikut: **Administrative Control**: 1. Audit 1. Awareness 1. Program Management 1. Security Assessment 1. Configuration 1. Contingency 1. Risk Assessment 1. Incident Response 1. Maintenance **Technical Control**: 1. Access Control 2. Identification and Authentication 3. System Integrity 4. System Development 5. System & Communication 6. Authentication 7. Program System & Services Development **Physical Control**: 1. Personnel Security 2. Media Protection 3. Physical & Environmental Protection **Strategic Control**: 1. Planning ### b. Compliance Best Practice: * Temukan dan klasifikasi data sensitif * Petakan data dan izin * Kelola *akses kontrol* * Awasi data, aktivitas berkas, dan perbuatan pengguna ## 6. Information Security Management & Compliance **Manajemen keamanan informasi** bertujuan mengamankan aset informasi dari akses yang tidak sah. Sedangkan, **Compliance** mengarah untuk mengobservasi standar hukum, peaturan, kontrak, dan standar spesifik yang terkait dengan keamanan informasi. ### a. ISO/IEC 27001 **ISO 27001** adalah standar untuk merencanakan, mengembangkan, menjalankan dan mengembangkan ***Sistem Manajamen Keamanan Infomrasi (ISMS)***. **Komponen** ISO 27001: * Jangkauan: batasan ISMS * Kebijakan keamanan informasi * Penilaian resiko * Penanganan resiko * Statement of Applicability: Dokumen untuk mengontrol standar yang dapat diaplikasikan * Audit internal * Review manajemen ### b. SOC 2 **SOC 2** adalah kerangka kerja pengaudit. SOC 2 dapat memastikan kontrol yang memadai untuk melindungi sistem, data, dan informasi sensitifnya. # D. Cyber Kill Chain ![image](https://hackmd.io/_uploads/BJjq2Ey5Je.png) **Cyber Kill Chain** adalah langkah-langkah yang dilakukan oleh musuh atau aktor jahat dalam ruang siber. **Kerangka** Cyber Kill Chain dibuat oleh *Lockheed Martin* pada tahun 2011. Fase serangannya adalah sebagai berikut: ## 1. Reconnaisance (Recon) **Reconnaisance** adalah proses menemukan dan mengumpulkan informasi tentang sistem dan korban. Salah satu cara recon adalah dengan ***OSINT (Open Source Intelligence)***, di mana mereka mencari informasi ukuran perusahaan, alamat email, no. telepon dan lainnya dari sumber publik. Salah satu teknik OSINT adalah dengan *Email harvesting*, yaitu dengan mengambil alamat email dari sumber terbuka, baik berbayar maupun gratis. Contol tool: * theHarvester * hunter.io * OSINT Framework ## 2. Weaponization **Weaponization** adalah tahap pembuatan senjata untuk menyerang target. Contoh: * Membuat dokumen Word yang berisi kode jahat * Membuat Worm yang disimpan dalam flashdrive * Membuat C2 Server untuk mengeksekusi mesin korban * Menyimpan implan backdoor ## 3. Delivery **Delivery** adalah proses mengirimkan malware/payload ke target. Contoh: * Email Phising * Distribusi USB ke tempat umum * ***Watering hole***: Serangan yang menargetkan pihak tertentu dengan membobol situs yang biasa diakses target. ## 4. Exploitation **Exploitation** adalah tahap eksekusi malware yang dikirimkan. Setelah masuk ke sistem, penyerang akan masuk lebih ke dalam jaringan target, ini disebut sebagai lateral movement. ## 5. Installation **Installation** adalah proses penanaman *backdoor* persisten yang memungkinkan penyerang mengakses sistem yang telah diretas sebelumnya. Contoh cara: * Menanam webshell di server web * Implan backdoor pada mesin target, dengan *meterpreter* * Membuat atau memodifikasi layanan Windows * Membuat entri ke dalam *"run key"* untuk muatan berbahaya di dalam *Registry* atau *Startup Folder*. ## 6. Command and Control (C2) **C2** adalah proses eksekusi perintah ke mesin target melalui malware. **Channel** C2 yang umum digunakan: * Protokol HTTP port 80 dan HTTPS port 445 * DNS (Domain Name Server) dengan *DNS Poisoning* ## 7. Exfiltration **Exfiltration** adalah proses lawan mencapai tujuannya. Hal yang bisa **dilakukan** penyerang: * Mencuri kredensial pengguna * Recon internal * Melakukan eskalasi perizinan * Lateral movement melalui lingkungan perusahaan * Mencuri data sensitif * Menghapus backup dan shadow copy * Mengganti dan merusak data. # Penutup Itulah rangkuman saya mengenai apa yang dibahas pada bagian Cyber Security Basic di Free Roadmap Tryhackme. Cukup banyak istilah yang dipelajari pada bagian ini. Namun, hal-hal yang dibahas pada bagian ini sebagai fondasi awal tentang apa saja hal penting yang harus kamu ketahui sebelum masuk ke dalam hal-hal teknis. Semoga rangkuman ini bermanfaat, dan apabila ada kekurangan silahkan dikomentari saja ya. Jangan lupa juga untuk mencoba Room-room yang ada di Tryhackme. Sampai jumpa di lain kesempatan 😄