Apa itu Network Security Audit ?
Ketika network sudah digunakan selama beberapa waktu, cepat atau lambat akan muncul persoalan-persoalan yang terkait dengan security, khususnya network security. Sehingga diperlukan proses evaluasi, analisa, penilaian, update, dan upgrade guna mempertahankan dan meningkatkan kemanan network
Proses evaluasi ini biasa disebut sebagai audit. Umummya security audit dilakukan oleh pihak ketiga atau lembaga independen. Namun tidak ada larangan bagi pihak internal untuk melakukan audit. Nah, terkait dengan hal ini mungkin kita sering mendengar kegiatan serupa yang disebut network assessment security. Apakah perbedaaan antara audit dan assessment ini?
Menurut CPA (Certified Public Accountants), assessment adalah:
“…to measure something or calculate a value for it. Although the process of producing an assessment may involve an audit by an independent professional, its purpose is to provide a measurement rather than to express an opinion about the fairness of statements or quality of performance.”
Sedangkan audit adalah:
“Audits provide third party assurance to various stakeholders that the subject matter is free from material misstatement.”
Walaupun tidak mudah membuat definisi formal, namun secara umum dapat dijelaskan bahwa audit merupakan bagian dari assessment. Assessment dilakukan untuk “mengukur dan menentukan sesuatu”. Sedangkan audit dilakukan (umumnya oleh pihak ketiga) sekedar “mengukur sesuatu” mengikuti standar tertentu (regulatory compliance).
Biasanya hasil audit hanya berupa “opinion” (pendapat saja). Sedangkan assessment sampai pada tahap “action” apa yang harus dilakukan dari hasil audit tersebut dalam bentuk kegiatan peningkatan atau perbaikan.
Setelah kita mengertahui apa itu audit selanjutnya kita akan mengenal tentang security audit
Security Audit Lebih Detail
Seperti halnya security yang dapat dikelompokkan menjadi beberapa katagori, seperti: information security, computer security, network security, dan sebagainya, maka security audit pun dapat dikelompokkan menjadi beberapa katagori, seperti: computer security audit, network security audit.
untuk mendapatkan informasi lainya bisa klik disini
Dari segi istilah, yang dimaksud dengan security audit adalah:
“A systematic evaluation of the company’s information system by comparing it to an established set of criteria. A security audit produces a written record of the results that document the system capabilities”.
Computer security audit (audit keamanan komputer) adalah penilaian atau evaluasi teknis yang sistematis dan terukur mengenai keamanan komputer dan aplikasinya. Secara umum ada dua metoda dan proses computer security audit, yaitu:
- Audit secara otomatis, yaitu dengan bantuan software khusus untuk security audit
- Audit secara manual (non-otomatis), berhubungan dengan kegiatan wawancara, evaluasi keamanan komputer, pengamatan terhadap akses ke sistem operasi dan software aplikasinya, analisis semua akses fisik terhadap sistem komputer secara menyeluruh.
Sedangkan network security audit saat ini masih belum didefinisikan secara formal Network security audit merupakan bagian dari computer security audit Network security audit dapat dijelaskan sebagai penilaian atau evaluasi teknis yang sistematis dan terukur mengenai keamanan Jaringan komputer berdasarkan sekumpulan kriteria tertentu.
Network Security Assessment
Karena saat ini kita sedang membahas komputer dan jaringan komputer, maka penjelasan audit akan difokuskan pada bidang ini saja. Mungkin di antara Pembaca ada yang pernah membaca dokumen yang menjelaskan kegiatan audit di bidang lain. Sehingga informasi yang diperoleh sedikit berbeda dengan apa yang akan Penulis jelaskan.
Seperti yang pernah dijelaskan sebelumnya bahwa audit dapat dipandang sebagai bagian dari assessment. Mengenai pemahaman ini pun sebenarnya masih dijumpai perbedaan pendapat di antara para pakar security.
Penulis telah membuat semacam rangkuman dan mudah-mudahan dapat memberikan gambaran tentang assessment, khususnya pada bidang network security.
- Network assessment adalah review dari IT infrastructure, management, security, availability, dan performance sebuah organisasi
- Network security assessment merupakan bagian dari network assessment. Network security assessment adalah sebuah aktifitas untuk mengidentifikasi network vulnerabilities yang berpotensi untuk di exploit dan merugikan organisasi
Security assessment dalam dunia IT merupakan sebuah aktifitas terencana dan umumnya mengikuti tahapan berikut ini:
Security assessment dalam dunia IT merupakan sebuah aktifitas terencana dan umumnya mengikuti tahapan berikut ini:
- Initiation and Planning, yang terdiri atas:
– Risk Assessment
– Research
– Preliminary Review
– Audit Objectives
– Formal Agreement
– Entrance Conference
- Filedwork
– Interview
– Inspection
– Observation
– Re-performance
– Testing
- Analysis
– Confirmation
– Verification
– Reconciliation
– Exit Conference
- Reporting
– Findings
– Recommendations
– Client Responses
– Draft Reports
– Final Report
– Schedule Client, Corrective Action, Report
– Plan for Follow-up Engagement
- Follow-up
– Confirm Corrective Action
– Address Challenges
– Repeat Phases (as necessary)
Cukup sulit untuk menghapalkan, menjelaskan, dan mengimplementasikan semua tahapan di atas. Oleh sebab itu, Penulis akan merangkum tahapan tahapan di atas menjadi lebih sederhana. Penulis sering menggunakannya saat melakukan network security assessment.
- Plan
– Technical meeting
– Gathering information from client
– Choosing assessment methodology & tools - Do
– Using proper applications & tools
– Doing newtork assesment - Analyze
– Identififying network security weakness
– Scoring network security weakness - Report
– Reporting network security weakness
– Assisting to eliminate vulnerability (recommendation)
Diagram di atas merupakan gambaran umum proses network security assesment. Karena aktifitas dilakukan pada network “orang lain: maka sangatlah perlu mendiskusikannya dengan client sebelum melakukn aksi. Pada beberapa kasus, proses assesement hanya dapat dilakukan setelah mendapat aproval/legalitas (kelayakan administrasi) dari pihak client. Harap dimaklum, sebab kegiatan assessment saat ini sudah menjadi “barang dagangan” yang ditawarkan ke lembaga-lembaga swasta dan pemerintah.
Komponen Network
Baiklah, kita akan fokus saja pada kegiatan audit. Sebab cakupannya lebih kecil dibandingkan assessment, dan condong hanya terkait dengan persoalan “tekniks”.
Agar proses audit dapat dilakukan secara optimal, biasanya seorang auditor akan mengidentifikasi network dan membagi-bagi network menjadi komponen-komponen yang lebih kecil, seperti:
- Physical security
- Mobile security
- Network architecture
- Remote access
- Routers, hubs, and firewalls
- Server equipment and configuration
- Social engineering
- Virtual infrastructure
- Virtual private networks (VPNS)
- VoIP security
- War dialing
- Wireless security
- Workstations using Microsoft Windows
- Workstations using UNIX environments
Mungkin masih ada komponen lain yang perlu ditambahkan (atau dikurangi) dari rencana audit. Hal ini harus disesuaikan dengan kondisi masing-masing network.
Dengan membagi network menjadi komponen-komponen yang lebih kecil maka auditor dapat lebih fokus mengevaluasi network. Masing-masing komponen perlu dievaluasi dengan menggunakan metoda atau teknik yang berbeda-beda.
Sebagai contoh, proses audit wireless network akan berbeda dibandingkan dengan wire network. Teknik audit perangkat switch buatan Cisco berbeda dengan perangkat switch merk lain. Dan seterusnya.
Target Objektif
Setelah network dibagi menjadi komponen-komponen kecil, maka selanjutnya menentukan target objektif. Kita bisa membayangkan hasil akhir yang ingin didapatkan, sehingga bisa lebih fokus pada kegiatan audit. Umumnya target objektif yang diharapkan meliputi:
- Dapat mengidentifikasi dan mengevaluasi aset-aset apa saja yang ada pada network
- Dapat menentukan threats yang terkait dengan aset-aset tersebut
- Dapat menemukan cara guna melindungi aset-aset dari threats
Fase Audit
Berikutnya adalah melakukan audit, yang terdiri atas beberapa tahap atau fase. Fase audit ini sangat mirip dengan metoda ethical hacking yang diajarkan dalam kursus CEH (Certified Ethical Hacker), yaitu:
Phase I-Footprint Analysis & Information Gathering
Phase II-Vulnerability Scanning & Assessment
Phase III-Penetration Testing & Assessment
Phase IV- Manual Vulnerability & Penetration Verification
Phase V-Vulnerability Analysis
Semua fase di atas dilakukan di jaringan internal. Karena kita tidak sedang bekerja sebagai hacker. Sehingga tidak peru bekerja melakukan audit dari luar jaringan. Kita telah mendapat izin penuh untuk melakukan audit :-). Berikut ini penjelasan singkat masing-masing fase.
a) Footprint Analysis & Information Gathering
Fase ini dilakukan untuk mendapatkan informasi sebanyak-banyaknya yang terkait dengan network inventory. Seperti perangkat apa saja yang digunakan, merk, tipe, nomor versi OS, topologi fisik network, topologi logika network, perangkat security, aplikasi security yang diinstal, network address, subnetting, dan lain-lain.
Tujuan yang hendak dicapai adalah memperoleh blueprint detail network dan juga profile security network. Tahap ini menjadi landasan penting untuk melanjutkan ke fase berikutnya. Tanpa mengetahui apa yang akan dievaluasi maka proses audit akan sangat terhambat. Seperti memasuki hutan belantara tanpa peta dan kompas.
Vulnerability Scanning & Assessment
Melakukan scanning network dengan memanfaatkan berbagai tools network scanning dan vulnerability. Tujuan yang ingin dicapai adalah memperoleh informasi vulnerability network tersebut, misal daftar port yang terbuka, bugs pada aplikasi server, dan lain-lain. Pada tahap ini data data yang sensitif dikumpulkan untuk memudahkan fase selanjutnya. Kadangkala fase ini disebut sebagai passive attack.
Penetration Testing & Assessmen
Pada fase ini sudah digunakan berbagai tools yang dapat melakukan active attack. Sehingga akan ada sesuatu yang berubah pada network tersebut.
Manual Vulnerability & Penetration Verification
di-exploit harus diverifikasi. Hal ini guna mengidentifikasi apa yang disebut dengan “false positives”. Karena ada kemungkinan vulnerability memang “disengaja” dibiarkan untuk menyesatkan hacker. Vulnerability juga sering muncul pada perangkat lama yang sudah tidak bisa lagi ditutupi kecuali membeli perangkat baru. Harus dipikirkan dampak yang akan ditimbulkan manakala perangkat tersebut diganti dengan yang baru.
Beberapa pakar di bidang security audit membolehkan auditor untuk mengabaikan fase ini. Karena seringkali fase ini tidak diperlukan. Jadi auditor harus jeli membaca situasi dan kondisi
Vulnerability Analysis
Fase terakhir yaitu menganalisis vulnerability. Pada fase ini auditor harus dapat menjelaskan penyebab (root cause) dan dapat memberikan rekomendasi bagaimana memperba atau menutupi vulnerability yang ada
Report
Salah satu bagian dari assessment adalah membuat laporan (report). Report merupakan pegangan bagi client untuk mengetahui apa saja yang sudah dilakukan oleh auditor. Pada report dapat dicantumkan daftar temuan, dan saran-saran perbaikan yang terkait dengan temuan.
Kita bisa menggunakan contoh-contoh template yang sudah dibuat oleh pihak ketiga. Namun tentu saja kita boleh memasukkan style yang merupakan ciri khas kita sendiri.
Sebagai referensi, Penulis akan menjelaskan sedikit tentang contoh template report yang sering digunakan oleh Penulis. Meskipun tidak sempurna namun semoga dapat membantu siapa saja yang mengalami kesulitan dalam membuat report.
Sistematika Penulisan
Penulis sering menggunakan template report yang mengikuti sistematika penulisan sebagai berikut
I.Halaman Judul
II.Daftar Isi
III. Executive Summary
Berisi penjelasan singkat untuk apa dokumen report ini dibuat, siapa (auditor) yang membuatnya, dimana kegiatan akan dilakukan
IV. Pendahuluan
Menjelaskan tujuan audit dan standar yang digunakan, misal mengacu pada security control ISO 27001, NIST 800-53, dan seterusnya.
Bagian ini juga mencantumkan tanggal kegiatan, bentuk kegiatan, nama/kontak auditor, dan lokasi kegiatan. Audit yang dilaksanakan di kantor berukuran besar mungkin tidak bisa diselesaikan dalam waktu satu hari. Apalagi jika lokasinya berbeda-beda. Sehingga harus direncanakan dengan matang dan jadwal kegiatannya harus dijabarkan dalam bentuk tulisan.
Penulis biasa membagi bab Pendahuluan menjadi dua subbab, yaitu:
a) Tujuan
b) Ruang Lingkup Pekerjaan Jika dirasa perlu dapat ditambah dengan yang lain.
V. Metodologi
Bagian ini boleh ada atau tidak ada, bergantung selera. Penulis lebih senang untuk mencantumkannya agar siapa pun yang membaca report dapat memahami apa yang dimaksud dengan secure pemahaman yang berlaku umum.
Jika kita membaca dokumentasi yang dibuat oleh ISO atau NIST, maka kita akan menemukan apa yang disebut Risk Level. Tentang risk level ini akan dibahas kemudian. Intinya sesuatu dikatakan secure atau tidak secure harus mengikuti Risk Level.
Penulis biasa menyertakan dua buah subbab, sehingga orang dapat memahami standar yang digunakan dalam melakukan penilaian hasil audit.
1) Security Model
2) Risk Level
VI. Temuan
Merupakan bagian yang menjelaskan temuan-temuan selama kegiatan audit. Temuan dapat dilengkapi dengan tabel, foto-foto alat, diagram topologi, dan temuan lainnya.
Beberapa temuan yang mungkin, antara lain:
1. Network infrastructure weakness
2. Physical security problems
3. Password/credential weakness
4. Device outage
5. Port scanning Result
6. Vulnerabilities scanning Result
7. Wireless network weakness
8. Applications error
9. Link error
10. Single point of failure
11. dan sebagainya
VII. Analisis Vulnerability
Analisis vulnerability dapat dikaitkan dengan standar compliance yang digunakan, misal ISO, NIST, PCI, dan lain-lain. Hasil analisa dapat dibuat dalam bentuk tabel-tabel yang dilengkapi dengan kolom Risk Level.
VIII. Saran
Berisi saran-saran perbaikan dari setiap vulnerability. Kadangkala saran perbaikan (remediation) ini tidak dipisah dari bab Analisa Vulnerability. Tentang format penulisan boleh disesuaikan dengan kebutuhan.
Risk Level
Risk merupakan impact (loss atau damage) yang diakibatkan oleh threat (yang berhasil melakukan exploit). Risk seringkali dikaitkan dengan kerugian secara finansial. Namun kali ini kita hanya akan menilai risk tanpa perlu berpikir bagaimana menghitung kerugian finansial.
Vulnerability, threat, dan risk saling berkaitan. Diagram berikut menggambarkan kaitan antara risk, threat, dan vulnerabilities.
Ketika membuat laporan audit, kita akan diminta untuk menentukan risk level. Risk level ini menjadi semacam acuan untuk menentukan tingkat security. Bagaimana menentukan risk level?
Risk level sangat bergantung pada standar yang digunakan. Jika menggunakan standar ISO 27001, maka acuan yang digunakan untuk menentukan risk level dapat dilihat pada tabel berikut.
Tabel: Risk Level menurut ISO
Kategori Risk | Nilai | Keterangan |
100 | Dokumen dan implementasi berjalan efektif dengan baik sesuai dengan persyratan (C-C) | |
50 | Salah satu dokumen atau implementasi tidak memenuhi persyaratan (C-NC) | |
0 | Tidak ada dokumen dan implementasi tidak berjalan sama sekali |
Score yang digunakan antara o s.d. 100. Jika menggunakan standar NIST, maka risk level dapat dicari dengan menggunakan rumusan seperti tabel berikut
Tabel: Risk Level menurut NIST
Threat Likelihood | Impact | ||
Low (10) | Medium (50) | High (100) | |
High (1.0) | Low 10 X 1.0 = 10 | Medium 50 X 1.0 = 50 | High 100 X 1.0 = 100 |
Medium (0.5) | Low 10 X 0.5 = 5 | Medium 50 X 0.5 = 25 | High 100 X 0.5 = 50 |
Low (0.1) | Low 10 X 0.1 = 1 | Medium 50 X 0.1 = 5 | High 100 X 0.1 = 10 |
Risk scale: High (>50 to 100); Medium (>10 to 50); Low (1 to 10)8
Contoh hasil perhitungan risk level menggunakan standart NIST dan Security control NIST 800-53 dituangkan dalam tabel (ada kolom yang dihilangkan) berikut. Tentang security control ini akan dijelaskan lagi pada sub bab berikutnya
Asscess. Code | Item Identified | Likehood [low (.1), medium (.5), high (1)] | Impact [low (10), medium (50), high (100)] | Risk (L X I) [low (1-100), medium (>10-5), high (>50-100)] |
I | Network topology diagram | 0.1 | 10 | 1 (Low) |
Invetory document | 0.1 | 10 | 1 (Low) | |
Network discovery | 0.1 | 10 | 1 (Low) | |
II | General network monitoring system (NMS) | 0.5 | 50 | 25 (Medium) |
II | Bandwidth manager & monitiring system | 0.1 | 50 | 1 (Low) |
III | Logs server & logs report system aplication | 1 | 100 | 100 (High) |
IV | Antivirus server | 1 | 100 | 100 (High) |
Antivirus application on client computer | 1 | 50 | 50 (Medium) | |
V | Ticketing system application | 0.1 | 10 | 1 (Low) |
VI | Ticketing system application | 0.1 | 10 | 1 (Low) |
VII | Change control document (word, excel, ect) | 0.5 | 50 | 25 (Medium) |
VIII | Regular port scanning application (Nessus, IDS, etc) | 0.5 | 50 | 25 (Medium) |
Firewall device | 0.5 | 50 | 25 (Medium) | |
Vulnerability scanning application Nessus, IDS, etc) | 0.5 | 50 | 25 (Medium) | |
IX | Technical meeting & documentation | 0.5 | 10 | 5 (Low) |
X | Data center or server room | 1 | 100 | 100 (High) |
Rack switch/server | 1 | 100 | 100 (High) | |
UPS, generator, power backup | 1 | 50 | 50 (Medium) |
Tentukan saja kita bebas membuat standar sendiri dan juga risk level sendiri asalkan bisa dipertanggung-jawabkan, khususnya manakala audit dilakukan di network milik sendiri. Berikut ini contoh risk level yang tidak mengikuti standart ISO dan NIST.
Tools dan Aplikasi
Untuk memudahkan kegiatan audit dapat digunakan tools dan aplikasi yang tepat. Tools mungkin saja sama dengan aplikasi (software). Namun ada kalanya tools hanya berapa dokumen yang berisi semacam guideline. Sedangkan aplikasi adalah software untuk security audit, baik free maupun komersial yang dapat dijalankan di komputer
Ada cukup banyak aplikasi yang dapat dipilih, baik yang gratis maupun berbayar. Sebelum mencoba aplikasi komersial (yang umumnya cukup mahal), cobalah menggunakan aplikasi open source atau free. Beberapa aplikasi untuk keperluan security audit antara lain:
- NMAP (http://nmap.org)
- Hping (http://hping.org)
- Tenable Nessus (http://nessus.org)
- RedSeal SRM (http://www.redseal.net)
- TepDump (http://sourceforge.net/projects/tcpdump)
- Wireshark (http://www.wireshark.org)
- Core Impact (http://www.coresecurity.com)
- Metasploit Project (http://www.metasploit.com)
- Backtrack (http://www.backtrack-linux.org)
- Microsoft Software Inventory Analyzer (MSIA)
- Spiceworks
- Solarwinds LAN Surveyor
- LookAILAN
- SoftperfectEthical Hacking, Keamanan Teknologi Informasi, Literasi Keamanan Digital, Cyber Security