Bersama Melaksana Transformasi1

ROSLINA BINTI YUSUF

BAHAGIAN PEMATUHAN ICT

6 Mac 2012

Bersama Melaksana Transformasi2

AGENDA1. ANCAMAN KESELAMATAN ICT

2. KENAPA BERLAKU

3. IMPLIKASI

4. AMALAN TERBAIK

5. INISIATIF MAMPU

6. CABARAN

7. PENGESANAN INSIDEN

Bersama Melaksana Transformasi3

Bersama Melaksana Transformasi4

� Contoh kata nama dan kata laluan yang lemah adalah :

Kata nama Kata laluan

admin admin

administrator password

root root

root [blank]

admin123 admin123

admin pass

admin 1234

Katalaluan dan Password yang diberikan oleh pengeluar produk

Bersama Melaksana Transformasi5

http://www.phenoelit-us.org/dpl/dpl.html

Bersama Melaksana Transformasi6

Bersama Melaksana Transformasi7

Bersama Melaksana Transformasi8

Bersama Melaksana Transformasi9

Bersama Melaksana Transformasi10

Bersama Melaksana Transformasi11

Bersama Melaksana Transformasi12

Bersama Melaksana Transformasi13

Bersama Melaksana Transformasi14

Ancaman Anonymous ke atas portal Kerajaan Malaysia :14 Jun 2011

Bersama Melaksana Transformasi15

Laman Web/Portal Agensi Sektor Awam yang dicerobohi

Perang siber antara penceroboh Malaysia dan Indonesia : Mei 2011 – Julai 2011

Bersama Melaksana Transformasi16

Kenapa Berlaku

Bersama Melaksana Transformasi17

� Pengguna lebih selesa menggunakan kata laluanyang mudah

� Menggunakan default configuration yang tanpamerujuk kepada amalan terbaik.

� Tidak mengemaskini server dengan services yang terkini bersesuaian dengan sistem

� Laman web yang dibangunkan tidak menggunakankaedah pengkodan yang selamat (secured programming)

� Senang mendapatkan sumber pengetahuan dantools serangan di Internet.

� Kurang kepakaran untuk tindakan pengukuhan� Kes pencerobohan yang melibatkan isu sosial,

ekonomi politik dan dasar negara

Bersama Melaksana Transformasi18

Implikasi

Bersama Melaksana Transformasi19

� Kebocoran dan kecurian maklumat

� Kerosakan ke atas sistem perisian atau perkakasan

� Kerugian dari segi masa dan kewangan

� Hilang keyakinan terhadap sistem penyampaian perkhidmatan kerajaan

� Menjejaskan imej agensi kerajaan

Bersama Melaksana Transformasi20

Amalan Terbaik

Bersama Melaksana Transformasi21

Manusia

• Mengadakan program kesedaran penggunaan katalaluan yang selamat

Proses

• Membangun atau menyemak dan mengemaskini polisi berkenaan kata laluan

Teknologi

• Menguatkuasakan polisi katalaluan pada sistem operasi atau aplikasi yang digunakan seperti password strength, password length, dan password aging; dan

• Menguji kekuatan kata laluan yang digunakan dengan perisian seperti Cain & Abel, THC Hydra, dan sebagainya

Mencegah Kata laluan pengguna mudah diteka atau crack

(1) Pengurusan Kata laluan yang baik

Bersama Melaksana Transformasi22

� Sekurang-kurangnya 12 aksara

� Penggunaan kombinasi aksara, simbol khas dan nombor;

� Kerap menukar kata laluan;

� Tidak membenarkan menukar kata laluan yang sama sebanyak 3 kali.

� Tidak berkaitan dengan maklumat peribadi seperti nombor kad pengenalan, pendaftaran kereta, tarikh lahir dan nombor rumah.

Contoh katalaluan yang kukuh :

p@$5w0rd 54y4

Bersama Melaksana Transformasi23

Manusia

• Latihan untuk mengukuhkan sistem operasi atau aplikasi yang digunakan. Contohnya, garispanduan yang dikeluarkan oleh Center for Internet Security boleh digunakan

• http://cisecurity.org/en-us/?route=default

Proses

• Aspek pengukuhan keselamatan sistem perlu dirundingkan dan dimasukkan dalam kontrak perolehan aset ICT

Teknologi

• Menggunakan alatan untuk mengukur benchmarkkonfigurasi sistem yang digunakan seperti alatan yang dikeluarkan oleh Center for Internet Security, Bastille, Titan Altiris SecurityExpressionsdan sebagainya

Sistem operasi atau aplikasi dikonfigurasi dengan aspek keselamatan semasapemasangan.

(2) Tidak menggunakan default configuration

Bersama Melaksana Transformasi24

Manusia

• Latihan pengujian dan pemasangan patches yang berkaitan (terutamanya aplikasi seperti pangkalan data yang digunakan oleh agensi)

Proses

• Menyemak atau membangun tatacara yang berkaitan dengan pengujian dan pemasangan patches

Teknologi

• Memasang perisian yang boleh menyemak dan memasang patches secara automatik dan berkebolehan menyokong pelbagai platformyang dipasang oleh agensi

Sistem operasi dan/atau aplikasi dikemaskini dengan memasang patches terkini

(3) Mengemaskini Sistem Operasi dan/atau Aplikasi

Bersama Melaksana Transformasi25

Manusia

• Hadir latihan berkenaan ancaman terhadap laman web

• Menggunakan secure programming dalammembangun sistem

• Sentiasa pekadengan isu-isuberhubungkelemahan lamanweb

Proses

• Memasukan terma-terma keselamatan ICT, khasnya berkaitan dengan keselamatan laman web dalam kontrak perolehan aplikasi

• Memastikan lamanweb tidak mudahdicerobohi

Teknologi

• Menjalankan imbasan dan ujian penembusan/mengaudit kod sumber oleh pihak ketiga yang mempunyai kepakaran

• Mengunakan teknologi seperti web application firewalldan database firewall

Pencegahan Laman web terhadap pelbagai jenis serangan seperti Cross Site

Scripting dan SQL injection.

(4) Secured Programming

Bersama Melaksana Transformasi26

� Jangan mudah mempercayai maklumat yang diterima melalui emel

� Jangan mendedahkan maklumat rahsia seperti kata laluan akaun bank sekiranya diminta melalui emel

� Tingkatkan kesedaran berkenanaan keselamatan ICT melalui pembacaan dan menghadiri seminar atau latihan

Bersama Melaksana Transformasi27

� Kelemahan ini wujud kerana cara pengkodan yang digunakan bagi pembangunan sistem aplikasi/web tidak mematuhi kaedah pengkodan yang selamat (Secured Programming)

� Tindakan bagi pembangun sistem:◦ Pastikan mekanisme untuk memeriksa input dari

pengguna ke dalam borang yang disediakan◦ Sentiasa menggunakan secured programming dalam

pembangunan sistem◦ Tingkatkan kepakaran dan kesedaran dalam

pembangunan sistem

Bersama Melaksana Transformasi28

Inisiatif MAMPU

Bersama Melaksana Transformasi29

� PRISMA - Pemantauan Rangkaian ICT Sektor Awam bertujuan melindungi aset ICT kerajaan.

� Pemantauan bermula pada tahun 2004

� Perkhidmatan secara masa nyata (real time) dan berterusan 24 jam sehari (24x7x365).

Bersama Melaksana Transformasi30

Rangka Dasar Keselamatan Teknologi Maklumat dan Komunikasi Kerajaan

MAMPU adalah agensi pusat yang bertanggungjawab terhadap keselamatan ICT kerajaan

Bersama Melaksana Transformasi31 31

Mekanisme Pelaporan Insiden Keselamatan Teknologi Maklumat dan Komunikasi (ICT)

Insiden berkaitan ICT perlu dilapor kepada GCERT, MAMPU

Bersama Melaksana Transformasi32

SURAT PEKELILING AM BIL. 4 TAHUN 2006

Memperkemaskan pengurusan pengendalian insiden keselamatan ICT bagi Sektor Awam

Menubuhkan CERT Agensi

Menyediakan garis panduan dan panduan operasi standard pengurusan pengendalian insiden keselamatan ICT

Bersama Melaksana Transformasi33

Garis Panduan Penilaian Tahap Keselamatan Rangkaian dan Sistem ICT Sektor Awam

Kerajaan telah mengeluarkan Surat Pekeliling Am Bilangan 3 Tahun 2009

Berkuatkuasa pada 17 November 2009

Bersama Melaksana Transformasi34

Pengurusan Kesinambungan Perkhidmatan Agensi Sektor Awam

Garis Panduan dan program pelaksanaan pengurusan kesimbungan perkhidmatan di agensi

Bersama Melaksana Transformasi35

Perlaksanaan Pensijilan MS ISO/IEC 27001:2007 Dalam Sektor Awam

Panduan Keperluan Dan Persediaan Pelaksanaan Pensijilan MS ISO/IEC 27001:2007 Dalam Sektor Awam

Bertujuan untuk menjelaskan kaedah pelaksanaan dan pensijilan standard MS ISO/IEC 27001:2007 Pengurusan Sistem Keselamatan Maklumat (Information Security Management System - ISMS) di agensi-agensi Kerajaan

Bersama Melaksana Transformasi36

• Cadangan tindakan pengukuhan

• Pengendalian insiden

• Pelaksanaan ISMS

• Pembangunan Dasar dan Prosedur

• Ujian Penembusan

• Security Posture Assessment (SPA)

• Pengurusan Kesinambungan Perkhidmatan

Bersama Melaksana Transformasi37

• Seminar Keselamatan ICT

• Persidangan Pegawai Keselamatan ICT (ICTSO)

• PRISMA User Group Meeting

• Portal Keselamatan ICT

• GCERT dan CERT agensi

• Edaran Notis Makluman dan Notis Ancaman

Bersama Melaksana Transformasi38

Cabaran

Bersama Melaksana Transformasi39

CABARAN

• Keselamatan ICT proses berterusan• “Security is a journey, not a destination” - Bruce Shnaair• Pembangunan modal insan – ilmu pengetahuan, kepakaran dan

pengalaman• Program pembudayaan dan kesedaran yang berterusan

• Perubahan teknologi dan ancaman

• Tools mudah diperolehi daripada internet dan buku

• Internet sebagai media menyebarkan kelemahan dan teknik pencerobohan

• Komitmen pengurusan - sumber dan kewangan

• Kurang kepakaran

• Kes pencerobohan yang melibatkan isu sosial, ekonomi dan politik negara

• Penyebaran dan jangkitan kod malicious

• Pengunaan teknologi tanpa kawalan keselamatan seperti smartphone, wireless broadband dan virtualization/cloud computing

Bersama Melaksana Transformasi40

Pengesanan Insiden

Bersama Melaksana Transformasi41

PENGESANAN INSIDEN OLEH GCERT

Bersama Melaksana Transformasi42

Identification

Analysed & validated

by Security Analyst

Escalation

Centralised alert

notifications

Collection

500 sensors from 177 agencies

• Mengurangkan bilangan insiden ICTagensi pemantauan PRISMAObjektif

PENGURUSANANCAMAN OLEH PRISMA

Bersama Melaksana Transformasi43

• Mengenalpasti kelemahan aset ICT agensi

PRISMA

• Menyediakan cadangan pengukuhan

terhadap kelemahan yang dikesan

Objektif

PENGURUSAN KELEMAHANASET ICTAGENSI

Exploitation

Run Exploits

Elevate Privilege

Proof of Concept

Access to File/Database

Controlled defacement

Information Gathering

Network/Port Scanning

Vulnerability Scanning

Bersama Melaksana Transformasi44

ALAMAT EMEL UNTUK DIHUBINGI

helpdesk@prisma-mampu.gov.my

gcert@mampu.gov.my

Perkhidmatan PRISMA:

Pelaporan Insiden ICT:

03-8888 9593

012-3312205

Bersama Melaksana Transformasi45

Terima kasih

45