# PAKET SOAL LATIHAN KEAMANAN JARINGAN ## PAKET 1: CTF, Cyber Range, Sertifikasi, dan MITRE ATT&CK ### Bagian 1: Pilihan Ganda **Soal 1:** Dalam kompetisi Capture The Flag (CTF), string teks tersembunyi yang harus ditemukan peserta untuk membuktikan keberhasilan eksploitasi disebut... a. Key b. Token c. Flag ✓ d. Hash e. Payload > **Penjelasan:** Dalam CTF, flag adalah string teks unik (biasanya dalam format `flag{...}` atau `CTF{...}`) yang menjadi bukti keberhasilan menyelesaikan tantangan. Flag adalah objective utama yang harus ditemukan atau dicuri dalam berbagai kategori tantangan. **Soal 2:** Jenis format CTF di mana setiap tim memiliki server sendiri yang harus mereka pertahankan dari serangan tim lain sembari berusaha menyerang server lawan disebut... a. Jeopardy Style b. Attack-Defense Style ✓ c. King of the Hill d. Linear Style e. Mixed Style > **Penjelasan:** Attack-Defense Style CTF mengharuskan setiap tim untuk mempertahankan server mereka sendiri (defense) sambil mengeksploitasi server tim lain (attack). Poin diperoleh dari menjaga layanan tetap hidup dan berhasil mengeksploitasi celah di server lawan. **Soal 3:** Apa perbedaan mendasar antara CTF dan Cyber Range? a. CTF untuk edukasi, Cyber Range untuk hiburan b. CTF selalu berbayar, Cyber Range selalu gratis c. CTF adalah kompetisi gamifikasi, Cyber Range adalah lingkungan simulasi realistis untuk latihan berkelanjutan ✓ d. CTF hanya untuk Red Team, Cyber Range hanya untuk Blue Team e. Tidak ada perbedaan, keduanya sama > **Penjelasan:** CTF bersifat kompetitif dengan sistem poin dan waktu terbatas, sedangkan Cyber Range adalah platform simulasi yang mereplikasi infrastruktur nyata untuk pelatihan dan pengujian keamanan tanpa tekanan kompetisi. **Soal 4:** Sertifikasi manakah di bawah ini yang dikeluarkan oleh OffSec (Offensive Security) dan terkenal dengan ujian praktiknya yang berlangsung selama 24 jam penuh? a. CEH (Certified Ethical Hacker) b. CISSP (Certified Information Systems Security Professional) c. OSCP (Offensive Security Certified Professional) ✓ d. CompTIA Security+ e. CISA (Certified Information Systems Auditor) > **Penjelasan:** OSCP (Offensive Security Certified Professional) adalah sertifikasi hands-on dari Offensive Security yang terkenal dengan ujian 24 jam di mana peserta harus berhasil meretas mesin target dan menyusun laporan profesional. **Soal 5:** Sertifikasi manakah yang sering dianggap sebagai sertifikasi "entry-level" atau fundamental untuk memahami teori peretasan etis dan sering menjadi syarat administrasi HRD? a. OSEP b. CEH (Certified Ethical Hacker) ✓ c. GXPN d. OSCE e. LPT > **Penjelasan:** CEH (Certified Ethical Hacker) dari EC-Council dianggap sebagai sertifikasi entry-level yang fokus pada teori, metodologi, dan pengenalan tools. Sering menjadi persyaratan formal meski tidak menguji keterampilan praktik mendalam. **Soal 6:** Kepanjangan dari akronim "ATT&CK" dalam MITRE ATT&CK adalah... a. Advanced Tactics, Techniques, and Common Knowledge b. Adversarial Tactics, Techniques, and Common Knowledge ✓ c. Automated Threats, Tools, and Cyber Kinetics d. Attackers Tactics, Tools, and Computer Knowledge e. Advanced Threats, Techniques, and Cyber Killchain > **Penjelasan:** MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) adalah basis pengetahuan tentang perilaku penyerang yang dikumpulkan dari observasi dunia nyata. **Soal 7:** Dalam matriks MITRE ATT&CK, kolom-kolom bagian atas (seperti Initial Access, Execution, Persistence) disebut sebagai... a. Techniques (Teknik) b. Procedures (Prosedur) c. Tactics (Taktik) ✓ d. Sub-techniques e. Mitigations > **Penjelasan:** Tactics (Taktik) adalah tujuan taktis penyerang dalam suatu fase serangan (APA yang ingin dicapai). Contoh: Initial Access, Execution, Persistence, Privilege Escalation, dll. **Soal 8:** Apa perbedaan antara "Tactic" dan "Technique" dalam framework MITRE? a. Tactic adalah "bagaimana" cara menyerang, Technique adalah "mengapa" menyerang b. Tactic adalah alat yang digunakan, Technique adalah orang yang menyerang c. Tactic adalah tujuan taktis adversari (the WHY), Technique adalah cara mencapai tujuan tersebut (the HOW) ✓ d. Tactic untuk Blue Team, Technique untuk Red Team e. Tactic bersifat teknis, Technique bersifat manajerial > **Penjelasan:** Tactic adalah "WHY" (tujuan), contoh: "Ingin mendapatkan akses awal". Technique adalah "HOW" (cara), contoh: "Melakukan phishing dengan attachment berbahaya". --- ### Bagian 2: Soal Essay **Soal 1: Perbedaan format CTF Jeopardy vs Attack-Defense** **Jawaban:** * **Format Jeopardy:** Peserta menyelesaikan tantangan independen dalam berbagai kategori (Web, Cryptography, Forensics, Reverse Engineering, dll.) untuk mendapatkan flag bernilai poin berbeda. Setiap tantangan berdiri sendiri, sifatnya statis, dan biasanya bisa diselesaikan secara individual. * **Format Attack-Defense:** Setiap tim memiliki server sendiri yang berisi berbagai layanan dengan celah keamanan. Tim harus mempertahankan server mereka (menambal celah) sambil menyerang server tim lain (mengeksploitasi celah). Poin dinamis berdasarkan status layanan dan keberhasilan eksploitasi. **Untuk pemula:** Format Jeopardy lebih cocok karena: 1. Fokus pada pengembangan skill spesifik dalam kategori tertentu 2. Tidak ada tekanan serangan balik secara real-time 3. Bisa belajar dengan tempo sendiri 4. Cocok untuk membangun dasar pengetahuan sebelum menghadapi dinamika Attack-Defense **Soal 2: Manfaat Cyber Range untuk organisasi** **Jawaban:** Alasan perusahaan besar/militer memilih Cyber Range sendiri: 1. **Replikasi Infrastruktur Nyata:** Cyber Range dapat meniru secara akurat arsitektur jaringan, aplikasi, dan workflow organisasi yang spesifik, termasuk sistem warisan (legacy systems) yang mungkin tidak ada di CTF umum. 2. **Simulasi Serangan Realistis:** Memungkinkan simulasi Advanced Persistent Threat (APT), ransomware, atau serangan terarget lain yang relevan dengan industri tertentu (contoh: SWIFT attack untuk perbankan). 3. **Pengujian Prosedur Respons Insiden:** Menguji dan melatih tim SOC, IRT (Incident Response Team), dan koordinasi antar-departemen dalam skenario yang terkontrol namun realistis. 4. **Evaluasi Teknologi dan Kontrol:** Menguji efektivitas alat keamanan baru, konfigurasi firewall, atau aturan SIEM sebelum diimplementasikan di lingkungan produksi. 5. **Pelatihan Berkelanjutan:** Tidak terbatas waktu seperti CTF, bisa digunakan untuk program pelatihan berulang dan pengembangan karir staf keamanan. 6. **Keamanan dan Kerahasiaan:** Menggunakan data dan skenario sensitif organisasi tanpa risiko eksposur ke publik. **Manfaat dalam konteks real-world:** * **People:** Melatih keterampilan teknis dan soft skill (komunikasi, decision-making) * **Process:** Memvalidasi dan memperbaiki prosedur operasional * **Technology:** Mengidentifikasi gap dalam arsitektur keamanan **Soal 3: Perbandingan CEH vs OSCP untuk Penetration Tester** **Jawaban:** Perbedaan Pendekatan Ujian: | Aspek | CEH (Certified Ethical Hacker) | OSCP (Offensive Security Certified Professional) | | :--- | :--- | :--- | | **Format Ujian** | Multiple-choice (125 soal, 4 jam) | Practical exam (24 jam, hands-on) | | **Fokus** | Teori, konsep, dan pengenalan tools | Keterampilan praktik penetration testing | | **Penilaian** | Berdasarkan jawaban teoritis | Berdasarkan kemampuan meretas mesin + laporan | | **Metodologi** | Mengikuti framework EC-Council | Mengikuti metodologi Offensive Security | | **Output** | Pemahaman konseptual | Kemampuan teknis nyata dalam pentesting | **Saran Urutan Pengambilan:** 1. **Ambil CEH terlebih dahulu jika:** * Masih pemula di bidang keamanan siber * Butuh sertifikasi untuk memenuhi persyaratan HRD/administratif * Perlu membangun fondasi teori yang kuat * Bekerja di lingkungan yang menghargai sertifikasi formal 2. **Kemudian ambil OSCP jika:** * Sudah memiliki dasar teori yang memadai * Ingin membuktikan kemampuan teknis praktis * Berencana berkarir sebagai penetration tester profesional * Bekerja di lingkungan yang menghargai kemampuan hands-on **Alasan:** CEH memberikan fondasi teori dan pengenalan tools yang baik, sementara OSCP menguji dan membuktikan kemampuan teknis nyata. Kombinasi keduanya memberikan keseimbangan antara pengetahuan konseptual dan keterampilan praktikal. **Soal 4: Konsep TTP dalam MITRE ATT&CK** **Jawaban:** TTP (Tactics, Techniques, and Procedures): 1. **Tactics (Taktik): The WHY** - Tujuan taktis penyerang dalam suatu fase serangan * Contoh: Initial Access, Execution, Persistence, Privilege Escalation 2. **Techniques (Teknik): The HOW** - Metode atau cara untuk mencapai tujuan taktis * Contoh: Spearphishing Attachment (T1566.001), Command and Scripting Interpreter (T1059) 3. **Procedures (Prosedur): The WHAT** - Implementasi spesifik teknik yang digunakan oleh grup ancaman tertentu * Contoh: Menggunakan PowerShell dengan parameter tertentu, tool Mimikatz dengan opsi spesifik **Contoh Alur Serangan TTP:** 1. **Tactic:** Initial Access * *Technique:* Spearphishing Attachment (T1566.001) * *Procedure:* Mengirim email dengan dokumen Word berisi makro jahat ke target spesifik 2. **Tactic:** Execution * *Technique:* Command and Scripting Interpreter: PowerShell (T1059.001) * *Procedure:* Makro menjalankan PowerShell untuk download malware dari C2 server 3. **Tactic:** Persistence * *Technique:* Registry Run Keys (T1547.001) * *Procedure:* Menambahkan entri registry untuk eksekusi otomatis malware saat startup 4. **Tactic:** Credential Access * *Technique:* OS Credential Dumping (T1003) * *Procedure:* Menggunakan Mimikatz untuk mengekstrak credential dari memory LSASS 5. **Tactic:** Exfiltration * *Technique:* Exfiltration Over C2 Channel (T1041) * *Procedure:* Mengkompres dan mengirim data curian melalui HTTPS ke server penyerang **Soal 5: Pemanfaatan MITRE ATT&CK untuk Evaluasi Cyber Range** **Jawaban:** Cara Security Analyst menggunakan MITRE ATT&CK: 1. **Pemetaan Skenario:** Memetakan setiap skenario latihan di Cyber Range ke Taktik dan Teknik spesifik dalam matriks ATT&CK * Contoh: Skenario phishing → T1566 (Phishing) * Skenario lateral movement → T1021 (Remote Services) 2. **Pengukuran Coverage:** Mengukur "cakupan" latihan dengan mengevaluasi: * Berapa banyak Teknik yang telah dilatih? * Apakah ada gap dalam fase serangan tertentu? * Contoh: "Apakah tim kita sudah terlatih mendeteksi T1059 (Command and Scripting Interpreter)?" 3. **Alignment dengan Ancaman Nyata:** Membandingkan skenario latihan dengan TTP yang digunakan oleh threat actor relevan * Contoh: Jika perusahaan di sektor finansial, fokus pada TTP yang digunakan oleh grup seperti Lazarus atau Carbanak 4. **Pengembangan Metrik:** Menciptakan metrik kuantitatif untuk mengukur efektivitas latihan * Contoh: "Detection rate untuk teknik T1078 (Valid Accounts) meningkat dari 60% ke 85% setelah pelatihan" **Keuntungan Memetakan ke MITRE ATT&CK:** 1. **Standarisasi:** Bahasa dan framework yang konsisten untuk mendeskripsikan serangan 2. **Relevansi:** Memastikan latihan sesuai dengan ancaman dunia nyata 3. **Measurability:** Kemampuan mengukur progress dan efektivitas pelatihan 4. **Prioritisasi:** Fokus pada teknik yang paling relevan dan sering digunakan 5. **Komunikasi:** Memudahkan komunikasi antara tim Red, Blue, dan Purple tentang apa yang sedang dilatih dan diuji --- ## PAKET 2: Packet Analysis, Firewall, WAF, IDS, SIEM, dan Security Intelligence ### Bagian 1: Pilihan Ganda **Soal 1:** Analisis paket Wireshark: `[SYN] → [SYN, ACK] → [RST]` menunjukkan... a. Melakukan koneksi HTTP yang sah b. Melakukan TCP Connect Scan c. Melakukan TCP SYN Scan (Stealth Scan) ✓ d. Mengalami putus koneksi internet e. Melakukan serangan Man-in-the-Middle > **Penjelasan:** Pola SYN → SYN-ACK → RST menunjukkan TCP SYN Scan (stealth scan). Penyerang mengirim SYN, jika port terbuka target membalas SYN-ACK, kemudian penyerang mengirim RST (Reset) untuk menghentikan koneksi tanpa menyelesaikan handshake. Ini membuat scan lebih "stealth" karena tidak menciptakan koneksi penuh yang mudah terdeteksi. **Soal 2:** Firewall vs SQL Injection a. Firewall tidak bisa membaca IP Address penyerang b. Firewall mengalami failure pada state table c. SQL Injection bekerja pada Layer 3 & 4, sedangkan Firewall bekerja pada Layer 7 d. Firewall paket filtering standar hanya memeriksa header (IP/Port), tidak memeriksa payload (isi data) aplikasi ✓ e. Penyerang menggunakan VPN > **Penjelasan:** Firewall tradisional bekerja pada Layer 3 (Network) dan Layer 4 (Transport), hanya memeriksa header paket (IP address, port, protocol). SQL Injection terdapat dalam payload Layer 7 (Application) di dalam paket HTTP yang sudah diizinkan melalui port 80/443. Web Application Firewall (WAF) dibutuhkan untuk memeriksa konten aplikasi. **Soal 3:** Mode operasi NIDS a. Inline Mode (Prevention) b. Promiscuous Mode (Passive Monitoring) ✓ c. Active Blocking Mode d. Layer 7 Inspection Mode e. Stateful Inspection > **Penjelasan:** Karena traffic tetap berjalan meski ada alert, berarti NIDS beroperasi dalam Promiscuous Mode (mode pasif). NIDS hanya memantau salinan traffic (via SPAN/mirror port) tanpa kemampuan memblokir. IPS (Intrusion Prevention System) yang beroperasi dalam Inline Mode bisa memblokir traffic. **Soal 4:** Contoh terbaik event correlation dalam SIEM a. Menyimpan semua log firewall selama 5 tahun b. Menampilkan grafik jumlah pengunjung website harian c. Mendeteksi 5 kali gagal login di Server A, diikuti 1 kali sukses login di Server B oleh user yang sama dalam waktu 1 menit ✓ d. Mengindeks log agar mudah dicari (searchable) e. Membuat backup log database secara otomatis > **Penjelasan:** Event correlation adalah kemampuan SIEM untuk menghubungkan event terpisah menjadi pola yang bermakna. Contoh C menunjukkan pola yang mengindikasikan potensi serangan brute force yang berhasil diikuti oleh lateral movement. **Soal 5:** Pyramid of Pain - IOC yang paling mudah diubah a. TTPs (Tactics, Techniques, and Procedures) b. Domain Names c. Hash Values (MD5/SHA256) ✓ d. Network/Host Artifacts e. IP Addresses > **Penjelasan:** Dalam Pyramid of Pain, Hash Values berada di dasar karena paling mudah diubah oleh penyerang. Cukup mengubah 1 bit pada file malware, hash-nya berubah total. Semakin ke atas pyramid (TTPs), semakin sulit diubah penyerang dan semakin bernilai bagi pertahanan. --- ### Bagian 2: Soal Essay **Soal 1: Perbedaan TCP Handshake Normal vs SYN Flood** **Jawaban:** **TCP 3-Way Handshake Normal:** * Client → Server: SYN (Synchronize) * Server → Client: SYN-ACK (Synchronize-Acknowledge) * Client → Server: ACK (Acknowledge) * *Di Wireshark:* Terlihat urutan paket yang teratur dari IP yang sama * *Flag TCP:* SYN → SYN-ACK → ACK * *Status koneksi:* ESTABLISHED * *Jumlah koneksi:* Normal, sesuai kebutuhan aplikasi **SYN Flood Attack:** * Attacker (IP spoofed) → Server: SYN * Server → IP spoofed: SYN-ACK * (Tidak ada ACK balasan) * *Di Wireshark:* * Banjir paket SYN dari berbagai IP address (banyak yang spoofed) * Banyak paket SYN-ACK dari server tanpa pasangan ACK * Timeout TCP pada setiap half-open connection * *Flag TCP:* Hanya SYN dan SYN-ACK, tidak ada ACK completion * *Status koneksi:* SYN_RECEIVED (half-open) * *Jumlah koneksi:* Ribuan dalam waktu singkat * *Dampak:* Server kehabisan resource untuk menangani koneksi baru (Denial of Service) **Perbedaan Kunci:** 1. **Volume:** SYN Flood memiliki volume SYN yang sangat tinggi 2. **Completion:** Tidak ada penyelesaian handshake (tidak ada ACK final) 3. **IP Source:** Banyak IP sumber palsu (spoofed) 4. **Tujuan:** Handshake normal untuk komunikasi, SYN Flood untuk DoS **Soal 2: Argumentasi "NGFW sudah cukup, tidak perlu WAF"** **Jawaban:** Tidak Setuju dengan pernyataan tersebut. **Perbedaan Mendasar NGFW vs WAF:** | Aspek | Next-Generation Firewall (NGFW) | Web Application Firewall (WAF) | | :--- | :--- | :--- | | **Layer Kerja** | Layer 3-7 (dengan fokus pada Layer 3-4) | Layer 7 khusus (HTTP/HTTPS) | | **Fungsi Utama** | Network segmentation, IPS, URL filtering | Proteksi aplikasi web spesifik | | **Cakupan** | Seluruh traffic jaringan | Hanya traffic web (port 80/443) | | **Analisis** | Stateful inspection, deep packet inspection | Deep content inspection aplikasi web | **Mengapa WAF Masih Diperlukan:** 1. **Spesialisasi OWASP Top 10:** WAF secara khusus dirancang untuk mendeteksi dan mencegah: * SQL Injection * Cross-Site Scripting (XSS) * Cross-Site Request Forgery (CSRF) * File Inclusion * Security Misconfiguration 2. **Contoh Kasus:** * *Traffic:* `GET /products.php?id=1' OR '1'='1` * *NGFW:* Melihat ini sebagai traffic HTTP normal ke port 80 (diizinkan) * *WAF:* Mengenali pola SQL Injection dalam parameter id dan memblokir 3. **Learning Behavior:** WAF modern dapat mempelajari perilaku normal aplikasi (positive security model) dan mendeteksi anomaly 4. **Virtual Patching:** WAF dapat memberikan perlindungan sementara untuk vulnerability aplikasi sebelum patch diterapkan **Kesimpulan:** NGFW dan WAF saling melengkapi. NGFW melindungi perimeter jaringan, WAF melindungi aplikasi web. Serangan aplikasi web bisa lolos melalui port yang diizinkan NGFW. **Soal 3: False Positive vs False Negative dalam IDS Tuning** **Jawaban:** a. **Definisi:** * **False Positive:** Alert terpicu padahal tidak ada serangan yang sebenarnya terjadi. Traffic yang sah dianggap jahat. * *Contoh:* Software update yang melakukan banyak koneksi dianggap sebagai port scan * **False Negative:** Tidak ada alert padahal serangan sedang terjadi. Serangan lolos tanpa terdeteksi. * *Contoh:* Malware zero-day yang tidak dikenali signature-nya b. **Mana Lebih Berbahaya?** False Negative lebih berbahaya secara keamanan karena: 1. **Silent Breach:** Penyerang masuk dan melakukan aktivitas tanpa diketahui 2. **Waktu Respon:** Tidak ada alarm = tidak ada respons = lebih banyak waktu untuk penyerang 3. **Kerugian:** Potensi kerugian data, finansial, reputasi yang lebih besar 4. **Compliance:** Pelanggaran regulasi mungkin tidak terdeteksi sampai audit c. **Dampak Aturan Terlalu Ketat (Banyak False Positive):** 1. **Alert Fatigue:** Analis kelelahan karena terlalu banyak alarm, mulai mengabaikan alert 2. **Missed Alerts:** Alert penting tenggelam dalam noise, meningkatkan risiko false negative 3. **Biaya Operasional:** Waktu dan resource terbuang untuk investigasi alarm palsu 4. **Business Disruption:** Traffic bisnis yang sah terblokir 5. **Kepercayaan:** Tim kehilangan kepercayaan pada sistem deteksi **Strategi Tuning:** * **Baseline:** Memahami traffic normal jaringan * **Threshold:** Menetapkan threshold yang realistis * **Whitelist:** Menambahkan traffic sah ke whitelist * **Regular Review:** Mengevaluasi dan menyesuaikan aturan secara berkala **Soal 4: Integrasi Threat Intelligence dengan SIEM** **Jawaban:** **Cara Threat Intelligence Meningkatkan Kinerja SIEM:** 1. **Kontekstualisasi Alert:** Mengubah alert generik menjadi alert kontekstual * *Tanpa TI:* "Koneksi ke IP 1.2.3.4" * *Dengan TI:* "Koneksi ke C2 server malware Emotet (High Risk)" 2. **Prioritisasi:** Alert dapat diprioritaskan berdasarkan reputasi threat intelligence * IP known-malicious → Priority: Critical * IP suspicious → Priority: High 3. **Proactive Detection:** Mendeteksi threat yang belum ada signature-nya * IOC (Indicators of Compromise) dari intelijen dapat digunakan untuk hunting **Alur Kerja Integrasi:** `[Threat Intelligence Feed] ↓ (Update rutin)` `[SIEM - Threat Intelligence Platform] ↑` `[Log Sources: Firewall, Proxy, DNS, Endpoint] ↓` `[Correlation Engine membandingkan Log dengan IOC] ↓` `[Jika Match → Trigger Alert dengan Konteks TI]` **Contoh Alur Detil:** 1. **Log Masuk:** Firewall mengirim log ke SIEM: `Host-192.168.1.100 → IP-185.220.101.34:443` 2. **Pengecekan TI:** SIEM mengecek IP 185.220.101.34 di threat intelligence database 3. **Intel Ditemukan:** Database menunjukkan IP tersebut adalah: * Tor Exit Node (risk: medium) * Terkait dengan APT29 (risk: high) * Last seen: 2 hours ago 4. **Alert Dibuat:** SIEM membuat alert: * *SEVERITY:* HIGH * *TITLE:* Internal Host Communicating with Known APT Infrastructure * *DETAILS:* Host 192.168.1.100 connected to APT29-associated Tor node * *RECOMMENDATION:* Investigate host for compromise 5. **Automated Response:** (Opsional) SIEM dapat: * Membuat ticket di ticketing system * Mengisolasi host secara otomatis * Mengirim notifikasi ke SOC **Keuntungan Integrasi:** 1. **Reduced MTTR:** Mean Time To Respond lebih cepat 2. **Improved Accuracy:** Alert lebih akurat dan relevan 3. **Threat Hunting:** Kemampuan proaktif mencari threat 4. **Situational Awareness:** Pemahaman ancaman eksternal yang relevan --- ## PAKET 3: ISO 27001:2022 dan NIST CSF ### Bagian 1: Pilihan Ganda **Soal 1:** Analisis Konteks Organisasi (Clause 4) a. Penyusunan Risk Treatment Plan b. Identifikasi Kebutuhan Pihak Berkepentingan (Interested Parties) ✓ c. Pelaksanaan Audit Internal d. Pembuatan Kebijakan Clear Desk e. Penetapan Access Control > **Penjelasan:** Klausul 4.2 ISO 27001:2022 mewajibkan organisasi untuk mengidentifikasi interested parties (pihak berkepentingan) dan persyaratan mereka. Regulator keuangan adalah interested parties kritis yang persyaratan hukumnya harus dipahami dan dipenuhi. **Soal 2:** Risk Treatment (Clause 6.1.3) a. Risk Mitigation (Mengurangi risiko) b. Risk Transfer (Memindahkan risiko) c. Risk Avoidance (Menghindari risiko) d. Risk Acceptance (Menerima risiko) ✓ e. Risk Creation (Membuat risiko baru) > **Penjelasan:** Risk Acceptance adalah ketika organisasi secara sadar memutuskan untuk menerima risiko tertentu karena biaya kontrol melebihi dampak potensial, atau risiko berada dalam risk appetite organisasi. Harus didokumentasikan dan dipantau. **Soal 3:** Annex A: Categorization a. A.5 Organizational (Kebijakan) b. A.6 People (Kesadaran/Awareness & Training) ✓ c. A.8 Technological (Enkripsi) d. A.7 Physical (Pintu masuk) e. Clause 9 (Audit) > **Penjelasan:** Menulis password di sticky note menunjukkan kurangnya kesadaran keamanan, yang termasuk dalam tema People (A.6), khususnya kontrol A.6.2 tentang Information security awareness, education and training. **Soal 4:** Annex A: Cloud Services (Control 5.23) a. Karena AWS tidak memiliki sertifikasi ISO 27001 b. Karena ISO mewajibkan organisasi menetapkan proses penggunaan, pengelolaan, dan tanggung jawab keamanan (Shared Responsibility Model) sebelum menggunakan layanan cloud ✓ c. Karena cloud tidak diatur dalam Annex A d. Karena AWS hanya mengurus aspek fisik (A.7) e. Karena kontrak kerja belum ditandatangani > **Penjelasan:** Kontrol A.5.23 mewajibkan organisasi untuk menetapkan dan menerapkan proses untuk keamanan dalam penggunaan layanan cloud, termasuk menetapkan tanggung jawab berdasarkan shared responsibility model. Konfigurasi aplikasi adalah tanggung jawab pelanggan. **Soal 5:** Fungsi NIST CSF (Detect vs Respond) a. Identify b. Protect c. Detect d. Respond ✓ e. Recover > **Penjelasan:** Memutus koneksi internet adalah tindakan containment (penahanan) yang termasuk dalam fungsi Respond (RS) dari NIST CSF. Detect adalah identifikasi adanya insiden, Respond adalah tindakan untuk mengatasi insiden. **Soal 6:** NIST CSF: Identify a. Recover (RC) b. Protect (PR) c. Identify (ID) ✓ d. Detect (DE) e. Respond (RS) > **Penjelasan:** Inventarisasi aset adalah komponen kunci dari fungsi Identify (ID) dalam NIST CSF, khususnya kategori ID.AM (Asset Management). Prinsip dasar: "You can't protect what you don't know you have." --- ### Bagian 2: Soal Essay **Soal 1: Hubungan PDCA dan ISO 27001 (Clause 9 & 10)** **Jawaban:** **Tahap ACT dalam PDCA berdasarkan Clause 10.2:** 1. **Analisis Akar Masalah (Root Cause Analysis):** * Mengapa 30% karyawan gagal mengenali phishing? * *Kemungkinan penyebab:* * Training tidak menarik/tidak relevan * Frekuensi training tidak cukup * Tidak ada simulasi phishing rutin * Konten training tidak update dengan teknik phishing terbaru 2. **Tindakan Korektif (Corrective Actions):** * Klausul 10.2: "Organisasi shall react to nonconformities and take action to control and correct it" * *Contoh tindakan:* * Merancang ulang program awareness dengan konten yang lebih engaging * Implementasi phishing simulation bulanan * Training khusus untuk department yang paling rentan * Membuat campaign internal tentang pentingnya keamanan email 3. **Implementasi dan Pemantauan:** * Menetapkan target improvement (contoh: turunkan failure rate ke 10% dalam 6 bulan) * Menetapkan metrik pengukuran * Menugaskan penanggung jawab (misal: Security Awareness Team) 4. **Integrasi dengan Klausul Lain:** * Klausul 7.3 (Awareness): Memastikan personel menyadari kebijakan dan kontribusi mereka * Klausul 8.1 (Operational Planning): Mengintegrasikan program awareness ke dalam operasional * Klausul 9.1 (Monitoring): Memantau efektivitas program awareness **Siklus Continuous Improvement:** `Temuan Audit (Check) → Analisis Root Cause → Tindakan Korektif (Act) → Implementasi (Do) → Audit Berikutnya (Check)` **Soal 2: Analisis Pencurian Laptop dengan 4 Tema Annex A** **Jawaban:** **Analisis berdasarkan 4 Tema Annex A:** 1. **Tema Organizational (A.5):** * *Kontrol yang Gagal:* A.5.11 - Return of assets * *Analisis:* Tidak ada prosedur formal untuk pengamanan aset (laptop) saat tidak digunakan * *Kontrol Terkait:* A.5.9 (Inventory of information and associated assets), A.5.12 (Data classification) 2. **Tema People (A.6):** * *Kontrol yang Gagal:* A.6.2 - Information security awareness, education and training * *Analisis:* Direktur kurang awareness tentang physical security dan pentingnya mengamankan aset * *Kontrol Terkait:* A.6.3 (Disciplinary process - jika ada kelalaian) 3. **Tema Physical (A.7):** * *Kontrol yang Gagal:* * A.7.1 - Physical security perimeter * A.7.2 - Physical entry controls * A.7.3 - Securing offices, rooms and facilities * *Analisis:* Ruangan direktur tidak dikunci, tidak ada access control yang memadai * *Kontrol Terkait:* A.7.4 (Protection against external/environmental threats) 4. **Tema Technological (A.8):** * *Kontrol yang Gagal:* * A.8.10 - Information deletion * A.8.11 - Data masking * A.8.12 - Data leakage prevention * A.8.24 - Use of cryptography ✓ (KEGAGALAN UTAMA) * *Analisis:* Data tidak dienkripsi → bisa dibaca pencuri * *Kontrol Terkait:* A.8.31 (Separation of development, test and production environments) **Rekomendasi Perbaikan:** 1. **Segera:** Implementasi full disk encryption untuk semua laptop 2. **Jangka Pendek:** Training awareness physical security, kebijakan clear desk 3. **Jangka Menengah:** Access control untuk ruangan penting, CCTV 4. **Jangka Panjang:** Data classification, DLP solution, asset tracking **Soal 3: Penerapan NIST CSF pada Serangan Ransomware** **Jawaban:** **Alur Penanganan dengan NIST CSF:** 1. **IDENTIFY (ID): Develop organizational understanding** * *Tindakan:* Identifikasi aset kritis dan data yang paling berharga * *Contoh:* Prioritisasi server database pelanggan, server HR, file server keuangan * *Kategori CSF:* ID.AM (Asset Management), ID.BE (Business Environment) 2. **PROTECT (PR): Develop safeguards** * *Tindakan:* Implementasi kontrol pencegahan * *Contoh:* * Backup rutin 3-2-1 (3 copy, 2 media, 1 offsite) * Patch management reguler * Antivirus/EDR dengan ransomware protection * Network segmentation * Principle of least privilege 3. **DETECT (DE): Develop monitoring capabilities** * *Tindakan:* Deteksi dini aktivitas ransomware * *Contoh:* * SIEM alert untuk pola enkripsi file massal * EDR detection untuk suspicious process * Network monitoring untuk komunikasi C2 * File integrity monitoring 4. **RESPOND (RS): Take action regarding a detected incident** * *Tindakan:* Respons cepat untuk membatasi kerusakan * *Contoh:* * Isolasi sistem terinfeksi (cabut network/disable NIC) * Aktivasi incident response plan * Notifikasi stakeholder dan regulator (jika perlu) * Preservasi evidence untuk investigasi * Komunikasi internal dan eksternal 5. **RECOVER (RC): Restore capabilities** * *Tindakan:* Pemulihan operasional * *Contoh:* * Restore sistem dari backup yang bersih * Rebuild sistem yang terinfeksi * Root cause analysis * Update kontrol berdasarkan lessons learned * Review dan perbaiki IRP **Siklus Continuous Improvement:** `Identify → Protect → Detect → Respond → Recover → (kembali ke Identify untuk perbaikan)` **Soal 4: Risk-Based Approach dalam ISO 27001** **Jawaban:** **Mengapa Risk Assessment Wajib Sebelum Implementasi Kontrol:** 1. **Prinsip Dasar ISO 27001:** `Business Objectives → Identify Risks → Assess Risks → Treat Risks → Implement Controls` 2. **Alasan Efisiensi Biaya:** * *Tanpa Risk Assessment:* Implementasi semua kontrol = biaya tinggi, mungkin tidak perlu * *Dengan Risk Assessment:* Alokasi budget optimal berdasarkan risk profile * *Contoh:* Server data publik vs server data nasabah bank membutuhkan level kontrol berbeda 3. **Business Relevance (Relevansi Bisnis):** * Kontrol harus sesuai dengan konteks bisnis organisasi * Perusahaan startup vs perusahaan finansial vs rumah sakit memiliki risiko berbeda * Risk assessment membantu identifikasi ancaman yang nyata untuk bisnis tertentu 4. **Resource Optimization:** * Personel terbatas → fokus pada risiko tinggi * Waktu terbatas → address most critical risks first * Formula sederhana: Risk = Likelihood × Impact 5. **Compliance and Justification:** * Keputusan keamanan berdasarkan data objektif, bukan asumsi * Mudah dijustifikasi ke management dan auditor * Memenuhi prinsip "proportionality" dalam regulasi (seperti GDPR) 6. **Contoh Praktis:** * *Tanpa RA:* Pasang CCTV mahal di semua ruangan * *Dengan RA:* Analisis menunjukkan risiko fisik rendah karena sudah ada security 24/7, access control biometric * *Keputusan:* Alokasi budget CCTV untuk ruangan server dan area recepsi saja **Risk Assessment Process:** 1. Identify assets, threats, vulnerabilities 2. Assess likelihood and impact 3. Calculate risk level 4. Compare with risk appetite 5. Select treatment options (mitigate, transfer, avoid, accept) 6. Select controls from Annex A atau custom controls **Kesimpulan:** ISO 27001 bukan checklist kontrol, tapi framework manajemen risiko. Risk assessment adalah jantung dari pendekatan ini, memastikan keamanan seimbang dengan kebutuhan bisnis. --- # Cheatsheet Fundamental Keamanan Jaringan & Offensive Security Ringkasan ini dirancang untuk pemahaman cepat konsep inti, perbedaan istilah, dan hierarki penting dalam keamanan siber. --- ## I. Fundamental Keamanan & Offensive Security ### 1. End-to-End CIA Protection (CIA Triad) Konsep perlindungan data menyeluruh pada tiga pilar utama keamanan informasi. "End-to-End" berarti perlindungan harus ada di setiap status data (*Data States*). #### 3 Pilar Utama (The Triad) * **Confidentiality (Kerahasiaan):** Hanya orang yang berwenang yang boleh melihat data. * *Teknik:* Enkripsi (AES, RSA), Access Control (MFA, Biometrik). * **Integrity (Integritas):** Data tidak boleh diubah oleh pihak yang tidak sah (harus asli/utuh). * *Teknik:* Hashing (SHA-256), Digital Signature, File Integrity Monitoring (FIM). * **Availability (Ketersediaan):** Data/Sistem bisa diakses saat dibutuhkan. * *Teknik:* Redundancy (RAID), Load Balancing, Disaster Recovery, Anti-DDoS. #### 3 Status Data (Data States) Agar "End-to-End", CIA harus diterapkan pada: 1. **Data at Rest:** Data diam di storage (Harddisk, Database). * *Solusi:* Full Disk Encryption. 2. **Data in Transit:** Data bergerak di jaringan. * *Solusi:* HTTPS/TLS, VPN. 3. **Data in Use:** Data sedang diproses di RAM/CPU. * *Solusi:* Secure Enclave, Memory isolation. ### 2. Career Path & Expertise Cybersecurity Peta karir dibagi menjadi sisi "Serang" (Red), "Bertahan" (Blue), dan "Tata Kelola" (Management). | Domain | Role / Profesi | Deskripsi Singkat | Skill Utama | | :--- | :--- | :--- | :--- | | **Offensive (Red Team)** | **Penetration Tester** | Mencari celah keamanan secara legal. | Ethical Hacking, Scripting, Exploit Dev. | | | **Red Teamer** | Simulasi serangan musuh sungguhan (APT). | Social Engineering, Evasion, C2. | | **Defensive (Blue Team)** | **SOC Analyst** | Memantau log & alert serangan (L1/L2/L3). | SIEM, Log Analysis, Triage. | | | **Incident Responder** | "Pemadam kebakaran" saat data breach terjadi. | Forensics, Malware Analysis. | | | **Engineering DevSecOps** | Mengamankan kode aplikasi sejak awal (Shift Left). | CI/CD, SAST/DAST, Container Security. | | **Governance (GRC)** | **Auditor / Compliance** | Memastikan perusahaan patuh aturan (ISO/UU). | Risk Mgmt, Policy writing, Legal. | > **Jenjang Karir Umum:** Junior Analyst -> Senior Consultant -> Architect / Manager -> CISO (Chief Information Security Officer). ### 3. CTF vs. Cyber Range Perbedaan antara kompetisi gamifikasi dengan simulasi realistis. #### CTF (Capture The Flag) * **Definisi:** Kompetisi keamanan siber berbasis teka-teki untuk mendapatkan "Flag" (string teks). * **Format:** 1. *Jeopardy:* Menyelesaikan soal per kategori (Web, Crypto, Pwn, Forensic). Statis. 2. *Attack-Defense:* Tiap tim punya server, saling serang dan saling tambal. Dinamis. * **Tujuan:** Mengasah hard skill spesifik, berpikir kreatif (*out of the box*), edukasi cepat. #### Cyber Range * **Definisi:** Lingkungan virtual hyper-realistis yang meniru infrastruktur IT perusahaan/militer. * **Karakteristik:** Ada simulasi traffic pengguna, server email, database, dan skenario serangan kompleks (Ransomware, APT). * **Tujuan:** Melatih Proses, koordinasi tim (*People*), dan pengujian alat pertahanan (*Technology*) dalam kondisi seperti perang nyata. ### 4. Sertifikasi Offensive Security Hierarki sertifikasi untuk karir Penetration Tester / Ethical Hacker. | Tingkat | Sertifikasi Populer | Penerbit | Karakteristik Ujian | | :--- | :--- | :--- | :--- | | **Entry Level** | **eJPT** (Jr. PenTester) | eLearnSecurity | Praktik ringan, bagus untuk pemula total. | | | **CEH** (Cert. Ethical Hacker)| EC-Council | Teori (Pilihan Ganda). Syarat lolos filter HRD ("HR Gold"). | | **Intermediate**| **OSCP** (OffSec Cert. Prof.)| OffSec | Standar Industri. Praktik 24 jam meretas 3-5 mesin. Sangat teknis. | | | **PNPT** | TCM Security | Simulasi pentest profesional (termasuk report & presentasi). | | **Advanced** | **OSEP** (Evasion) | OffSec | Fokus membypass Antivirus/EDR. | | | **OSCE3** | OffSec | Level pakar (Exploit Dev, Web Adv, Evasion). | > **Pro-Tip:** Untuk skill teknis diakui, kejar **OSCP**. Untuk administrasi kerja (PNS/BUMN), kejar **CEH**. ### 5. MITRE ATT&CK Framework Kamus besar perilaku peretas dunia nyata. *Kepanjangan:* **A**dversarial **T**actics, **T**echniques, **&** **C**ommon **K**nowledge. #### Struktur Matriks (TTP) 1. **Tactics (The WHY):** Tujuan taktis penyerang. * *Contoh:* Initial Access (Ingin masuk), Credential Access (Ingin password), Exfiltration (Ingin curi data). 2. **Techniques (The HOW):** Cara mencapai tujuan tersebut. * *Contoh:* Phishing (Cara masuk), Brute Force (Cara dapat password). 3. **Procedures (The DETAILS):** Implementasi spesifik / alat yang dipakai. * *Contoh:* Menggunakan tool Mimikatz v2.1 dengan perintah `sekurlsa::logonpasswords`. #### Kegunaan Utama * **Threat Hunting:** Mencari jejak serangan yang lolos dari antivirus berdasarkan perilaku TTP. * **Gap Analysis:** Memetakan pertahanan kita ("Apakah firewall kita bisa mendeteksi T1059?"). * **Adversary Emulation:** Red Team meniru perilaku grup hacker tertentu (misal: APT29) menggunakan panduan MITRE. --- ## II. Fundamental Network Defense & Operations Bagian ini berfokus pada alat dan teknik yang digunakan oleh **Blue Team** untuk mendeteksi dan mencegah serangan. ### 1. Packet Analysis (Analisis Paket) Proses membedah lalu lintas jaringan hingga level mikroskopis (bit & byte). * **Tools Utama:** Wireshark (GUI), tcpdump (CLI). * **Konsep Kunci:** * *Pcap (Packet Capture):* File rekaman lalu lintas jaringan. * *TCP 3-Way Handshake:* Pola koneksi normal (SYN -> SYN-ACK -> ACK). * **Anomali:** * *SYN Flood:* Banyak SYN tanpa ACK (tanda serangan DoS). * *Plaintext:* Menemukan password terbaca jelas (HTTP/Telnet vs HTTPS/SSH). * **Analogi:** Seperti melihat rekaman CCTV frame-per-frame untuk melihat wajah pencuri secara detail. ### 2. Firewall vs. WAF Sering tertukar, padahal bekerja di lapisan (Layer) yang berbeda. | Fitur | Network Firewall | WAF (Web Application Firewall) | | :--- | :--- | :--- | | **Fokus** | Mengamankan Jaringan (Infrastruktur). | Mengamankan Aplikasi Web (Website/API). | | **OSI Layer** | Layer 3 (IP) & Layer 4 (Port/TCP/UDP). | Layer 7 (Application/HTTP/HTTPS). | | **Logika** | "Siapa Anda?" (Cek Source IP & Dest Port). | "Apa isi tas Anda?" (Cek isi paket/payload). | | **Menangkis** | Port Scanning, Unauthorized Access. | SQL Injection, XSS, OWASP Top 10. | > **Stateful Firewall:** Firewall modern yang "ingat" status koneksi (jika Anda kirim permintaan keluar, balasan yang masuk otomatis diizinkan). ### 3. IDS vs. IPS Sistem alarm untuk mendeteksi pola serangan yang lolos dari Firewall. * **IDS (Intrusion Detection System):** * *Mode:* Pasif (Promiscuous mode). Hanya memantau salinan trafik. * *Action:* Memberi **Alert** (Peringatan) ke admin. Tidak memblokir. * *Risiko:* Serangan tetap masuk, tapi admin tahu. * **IPS (Intrusion Prevention System):** * *Mode:* Aktif (Inline mode). Berada di jalur utama kabel jaringan. * *Action:* Otomatis **Drop/Block** paket jahat. * *Risiko:* Jika salah deteksi (*False Positive*), trafik sah (bisnis) ikut terblokir. **Metode Deteksi:** 1. **Signature-based:** Mencocokkan database virus (seperti Antivirus). Cepat, tapi buta terhadap *Zero-day*. 2. **Anomaly-based:** Mempelajari kebiasaan normal (*Baseline*). Jika menyimpang, alarm bunyi. Bisa deteksi *Zero-day*, tapi rawan *False Positive*. ### 4. SIEM (Security Information and Event Management) "Otak" dari operasi keamanan (SOC). * **Fungsi Utama:** 1. **Log Aggregation:** Mengumpulkan log dari berbagai sumber ke satu tempat. 2. **Log Correlation:** Menghubungkan kejadian terpisah menjadi satu cerita. * **Contoh Korelasi:** > Kejadian A: 5x Gagal Login di Server HRD. > + > Kejadian B: Koneksi keluar ke IP Rusia. > = **ALERT! Potensi Brute Force sukses + Exfiltration Data.** * **Tools:** Splunk, ELK Stack, IBM QRadar, Wazuh. ### 5. Security Intelligence (Threat Intel) Informasi tentang musuh untuk memperkuat pertahanan. * **IOC (Indicators of Compromise):** Jejak digital penyerang. #### Pyramid of Pain Seberapa sulit bagi penyerang jika kita memblokir jejak mereka: 1. **Trivial (Mudah):** Hash Values (Ubah 1 bit, hash berubah). 2. **Easy:** IP Address (Hacker mudah ganti IP/Proxy). 3. **Simple:** Domain Name (Bisa beli domain baru). 4. **Annoying:** Network/Host Artifacts (User-agent, registry key). 5. **Challenging:** Tools (Hacker harus bikin software baru). 6. **Tough (Sulit):** **TTPs** (Perilaku/Kebiasaan). Pertahanan terbaik fokus di sini. #### Ringkasan Alur Kerja (The Big Picture) 1. **Threat Intel** info ke SIEM: "Hati-hati, IP 1.2.3.4 jahat." 2. **Firewall** menyaring pintu depan (L3/4). 3. **IPS/WAF** menyaring isi paket (L7). 4. **Packet Analysis** (Wireshark) untuk investigasi manual jika lolos. 5. **SIEM** mengumpulkan dan mengkorelasi semua log. --- ## III. Fundamental GRC (Governance, Risk, and Compliance) Fokus pada ISO 27001 dan NIST Cybersecurity Framework (CSF). ### 1. ISO/IEC 27001 (The Gold Standard) Standar internasional untuk Sistem Manajemen Keamanan Informasi (SMKI/ISMS). #### Filosofi Utama * **Risk-Based Approach:** Menilai risiko lalu menerapkan kontrol yang sesuai. * **CIA Triad:** Fokus menjaga Confidentiality, Integrity, Availability. * **Bukan Produk, tapi Proses:** Menjamin manajemen yang baik untuk menangani risiko. #### Siklus PDCA * **Plan:** Menilai risiko (Risk Assessment) & menetapkan sasaran. * **Do:** Menerapkan kontrol keamanan. * **Check:** Audit Internal & Monitoring. * **Act:** Perbaikan (Corrective Action). #### Struktur ISO 27001:2022 * **A. Mandatory Clauses (4-10):** Wajib dilakukan (Context, Leadership, Planning, Support, Operation, Performance Eval, Improvement). * **B. Annex A (Daftar 93 Kontrol):** Opsi kontrol keamanan dalam 4 tema: 1. *Organizational* (Kebijakan, Cloud). 2. *People* (Screening, Training). 3. *Physical* (CCTV, Kunci Pintu). 4. *Technological* (Enkripsi, Firewall, Malware protection). ### 2. NIST Cybersecurity Framework (NIST CSF) Kerangka kerja sukarela dengan bahasa yang mudah dipahami (Focus on Outcome). #### The Core (5 Fungsi Utama - IPDRR) 1. **Identify (ID):** "Kenali Diri Sendiri" (Aset apa yang kita punya? Apa risikonya?). 2. **Protect (PR):** "Lindungi Aset" (Mencegah serangan: Login, Enkripsi, Firewall). 3. **Detect (DE):** "Temukan Serangan" (Monitoring Log, SIEM, IDS). 4. **Respond (RS):** "Lawan Balik" (Incident Response, Containment). 5. **Recover (RC):** "Pulihkan Keadaan" (Restore Backup, PR). *(Note: NIST CSF 2.0 menambahkan fungsi "Govern", tapi IPDRR adalah fundamental dasar).* ### 3. Perbedaan Utama: ISO 27001 vs NIST CSF | Fitur | ISO 27001 | NIST CSF | | :--- | :--- | :--- | | **Sifat** | Sertifikasi (Bisa diaudit & dapat sertifikat). | Guidance/Framework (Sukarela, panduan). | | **Biaya** | Berbayar (Dokumen & Audit mahal). | Gratis (Dokumen publik). | | **Fokus** | Manajemen & Proses (ISMS). Trust B2B. | Operasional & Teknis (Risk Mgmt). Komunikasi CEO-Teknisi. | | **Implementasi**| Kaku (Harus ikut klausul). | Fleksibel (Ambil yang butuh saja). | > **Tips Praktis:** Gunakan **NIST CSF** untuk operasional teknis sehari-hari, tetapi kejar **ISO 27001** untuk kebutuhan legalitas dan kepercayaan pelanggan (bisnis).