seminar 6 mac 2012 - edaran
TRANSCRIPT
Bersama Melaksana Transformasi2
AGENDA1. ANCAMAN KESELAMATAN ICT
2. KENAPA BERLAKU
3. IMPLIKASI
4. AMALAN TERBAIK
5. INISIATIF MAMPU
6. CABARAN
7. PENGESANAN INSIDEN
Bersama Melaksana Transformasi4
� Contoh kata nama dan kata laluan yang lemah adalah :
Kata nama Kata laluan
admin admin
administrator password
root root
root [blank]
admin123 admin123
admin pass
admin 1234
Katalaluan dan Password yang diberikan oleh pengeluar produk
Bersama Melaksana Transformasi15
Laman Web/Portal Agensi Sektor Awam yang dicerobohi
Perang siber antara penceroboh Malaysia dan Indonesia : Mei 2011 – Julai 2011
Bersama Melaksana Transformasi17
� Pengguna lebih selesa menggunakan kata laluanyang mudah
� Menggunakan default configuration yang tanpamerujuk kepada amalan terbaik.
� Tidak mengemaskini server dengan services yang terkini bersesuaian dengan sistem
� Laman web yang dibangunkan tidak menggunakankaedah pengkodan yang selamat (secured programming)
� Senang mendapatkan sumber pengetahuan dantools serangan di Internet.
� Kurang kepakaran untuk tindakan pengukuhan� Kes pencerobohan yang melibatkan isu sosial,
ekonomi politik dan dasar negara
Bersama Melaksana Transformasi19
� Kebocoran dan kecurian maklumat
� Kerosakan ke atas sistem perisian atau perkakasan
� Kerugian dari segi masa dan kewangan
� Hilang keyakinan terhadap sistem penyampaian perkhidmatan kerajaan
� Menjejaskan imej agensi kerajaan
Bersama Melaksana Transformasi21
Manusia
• Mengadakan program kesedaran penggunaan katalaluan yang selamat
Proses
• Membangun atau menyemak dan mengemaskini polisi berkenaan kata laluan
Teknologi
• Menguatkuasakan polisi katalaluan pada sistem operasi atau aplikasi yang digunakan seperti password strength, password length, dan password aging; dan
• Menguji kekuatan kata laluan yang digunakan dengan perisian seperti Cain & Abel, THC Hydra, dan sebagainya
Mencegah Kata laluan pengguna mudah diteka atau crack
(1) Pengurusan Kata laluan yang baik
Bersama Melaksana Transformasi22
� Sekurang-kurangnya 12 aksara
� Penggunaan kombinasi aksara, simbol khas dan nombor;
� Kerap menukar kata laluan;
� Tidak membenarkan menukar kata laluan yang sama sebanyak 3 kali.
� Tidak berkaitan dengan maklumat peribadi seperti nombor kad pengenalan, pendaftaran kereta, tarikh lahir dan nombor rumah.
Contoh katalaluan yang kukuh :
p@$5w0rd 54y4
Bersama Melaksana Transformasi23
Manusia
• Latihan untuk mengukuhkan sistem operasi atau aplikasi yang digunakan. Contohnya, garispanduan yang dikeluarkan oleh Center for Internet Security boleh digunakan
• http://cisecurity.org/en-us/?route=default
Proses
• Aspek pengukuhan keselamatan sistem perlu dirundingkan dan dimasukkan dalam kontrak perolehan aset ICT
Teknologi
• Menggunakan alatan untuk mengukur benchmarkkonfigurasi sistem yang digunakan seperti alatan yang dikeluarkan oleh Center for Internet Security, Bastille, Titan Altiris SecurityExpressionsdan sebagainya
Sistem operasi atau aplikasi dikonfigurasi dengan aspek keselamatan semasapemasangan.
(2) Tidak menggunakan default configuration
Bersama Melaksana Transformasi24
Manusia
• Latihan pengujian dan pemasangan patches yang berkaitan (terutamanya aplikasi seperti pangkalan data yang digunakan oleh agensi)
Proses
• Menyemak atau membangun tatacara yang berkaitan dengan pengujian dan pemasangan patches
Teknologi
• Memasang perisian yang boleh menyemak dan memasang patches secara automatik dan berkebolehan menyokong pelbagai platformyang dipasang oleh agensi
Sistem operasi dan/atau aplikasi dikemaskini dengan memasang patches terkini
(3) Mengemaskini Sistem Operasi dan/atau Aplikasi
Bersama Melaksana Transformasi25
Manusia
• Hadir latihan berkenaan ancaman terhadap laman web
• Menggunakan secure programming dalammembangun sistem
• Sentiasa pekadengan isu-isuberhubungkelemahan lamanweb
Proses
• Memasukan terma-terma keselamatan ICT, khasnya berkaitan dengan keselamatan laman web dalam kontrak perolehan aplikasi
• Memastikan lamanweb tidak mudahdicerobohi
Teknologi
• Menjalankan imbasan dan ujian penembusan/mengaudit kod sumber oleh pihak ketiga yang mempunyai kepakaran
• Mengunakan teknologi seperti web application firewalldan database firewall
Pencegahan Laman web terhadap pelbagai jenis serangan seperti Cross Site
Scripting dan SQL injection.
(4) Secured Programming
Bersama Melaksana Transformasi26
� Jangan mudah mempercayai maklumat yang diterima melalui emel
� Jangan mendedahkan maklumat rahsia seperti kata laluan akaun bank sekiranya diminta melalui emel
� Tingkatkan kesedaran berkenanaan keselamatan ICT melalui pembacaan dan menghadiri seminar atau latihan
Bersama Melaksana Transformasi27
� Kelemahan ini wujud kerana cara pengkodan yang digunakan bagi pembangunan sistem aplikasi/web tidak mematuhi kaedah pengkodan yang selamat (Secured Programming)
� Tindakan bagi pembangun sistem:◦ Pastikan mekanisme untuk memeriksa input dari
pengguna ke dalam borang yang disediakan◦ Sentiasa menggunakan secured programming dalam
pembangunan sistem◦ Tingkatkan kepakaran dan kesedaran dalam
pembangunan sistem
Bersama Melaksana Transformasi29
� PRISMA - Pemantauan Rangkaian ICT Sektor Awam bertujuan melindungi aset ICT kerajaan.
� Pemantauan bermula pada tahun 2004
� Perkhidmatan secara masa nyata (real time) dan berterusan 24 jam sehari (24x7x365).
Bersama Melaksana Transformasi30
Rangka Dasar Keselamatan Teknologi Maklumat dan Komunikasi Kerajaan
MAMPU adalah agensi pusat yang bertanggungjawab terhadap keselamatan ICT kerajaan
Bersama Melaksana Transformasi31 31
Mekanisme Pelaporan Insiden Keselamatan Teknologi Maklumat dan Komunikasi (ICT)
Insiden berkaitan ICT perlu dilapor kepada GCERT, MAMPU
Bersama Melaksana Transformasi32
SURAT PEKELILING AM BIL. 4 TAHUN 2006
Memperkemaskan pengurusan pengendalian insiden keselamatan ICT bagi Sektor Awam
Menubuhkan CERT Agensi
Menyediakan garis panduan dan panduan operasi standard pengurusan pengendalian insiden keselamatan ICT
Bersama Melaksana Transformasi33
Garis Panduan Penilaian Tahap Keselamatan Rangkaian dan Sistem ICT Sektor Awam
Kerajaan telah mengeluarkan Surat Pekeliling Am Bilangan 3 Tahun 2009
Berkuatkuasa pada 17 November 2009
Bersama Melaksana Transformasi34
Pengurusan Kesinambungan Perkhidmatan Agensi Sektor Awam
Garis Panduan dan program pelaksanaan pengurusan kesimbungan perkhidmatan di agensi
Bersama Melaksana Transformasi35
Perlaksanaan Pensijilan MS ISO/IEC 27001:2007 Dalam Sektor Awam
Panduan Keperluan Dan Persediaan Pelaksanaan Pensijilan MS ISO/IEC 27001:2007 Dalam Sektor Awam
Bertujuan untuk menjelaskan kaedah pelaksanaan dan pensijilan standard MS ISO/IEC 27001:2007 Pengurusan Sistem Keselamatan Maklumat (Information Security Management System - ISMS) di agensi-agensi Kerajaan
Bersama Melaksana Transformasi36
• Cadangan tindakan pengukuhan
• Pengendalian insiden
• Pelaksanaan ISMS
• Pembangunan Dasar dan Prosedur
• Ujian Penembusan
• Security Posture Assessment (SPA)
• Pengurusan Kesinambungan Perkhidmatan
Bersama Melaksana Transformasi37
• Seminar Keselamatan ICT
• Persidangan Pegawai Keselamatan ICT (ICTSO)
• PRISMA User Group Meeting
• Portal Keselamatan ICT
• GCERT dan CERT agensi
• Edaran Notis Makluman dan Notis Ancaman
Bersama Melaksana Transformasi39
CABARAN
• Keselamatan ICT proses berterusan• “Security is a journey, not a destination” - Bruce Shnaair• Pembangunan modal insan – ilmu pengetahuan, kepakaran dan
pengalaman• Program pembudayaan dan kesedaran yang berterusan
• Perubahan teknologi dan ancaman
• Tools mudah diperolehi daripada internet dan buku
• Internet sebagai media menyebarkan kelemahan dan teknik pencerobohan
• Komitmen pengurusan - sumber dan kewangan
• Kurang kepakaran
• Kes pencerobohan yang melibatkan isu sosial, ekonomi dan politik negara
• Penyebaran dan jangkitan kod malicious
• Pengunaan teknologi tanpa kawalan keselamatan seperti smartphone, wireless broadband dan virtualization/cloud computing
Bersama Melaksana Transformasi42
Identification
Analysed & validated
by Security Analyst
Escalation
Centralised alert
notifications
Collection
500 sensors from 177 agencies
• Mengurangkan bilangan insiden ICTagensi pemantauan PRISMAObjektif
PENGURUSANANCAMAN OLEH PRISMA
Bersama Melaksana Transformasi43
• Mengenalpasti kelemahan aset ICT agensi
PRISMA
• Menyediakan cadangan pengukuhan
terhadap kelemahan yang dikesan
Objektif
PENGURUSAN KELEMAHANASET ICTAGENSI
Exploitation
Run Exploits
Elevate Privilege
Proof of Concept
Access to File/Database
Controlled defacement
Information Gathering
Network/Port Scanning
Vulnerability Scanning
Bersama Melaksana Transformasi44
ALAMAT EMEL UNTUK DIHUBINGI
Perkhidmatan PRISMA:
Pelaporan Insiden ICT:
03-8888 9593
012-3312205