Network Security Audit Atau Audit Keamanan Jaringan

Apa itu Network Security Audit ?

Ketika network sudah digunakan selama beberapa waktu, cepat atau lambat akan muncul persoalan-persoalan yang terkait dengan security, khususnya network security. Sehingga diperlukan proses evaluasi, analisa, penilaian, update, dan upgrade guna mempertahankan dan meningkatkan kemanan network

Proses evaluasi ini biasa disebut sebagai audit. Umummya security audit dilakukan oleh pihak ketiga atau lembaga independen. Namun tidak ada larangan bagi pihak internal untuk melakukan audit. Nah, terkait dengan hal ini mungkin kita sering mendengar kegiatan serupa yang disebut network assessment security. Apakah perbedaaan antara audit dan assessment ini?

Network Security Audit

Menurut CPA (Certified Public Accountants), assessment adalah:

“…to measure something or calculate a value for it. Although the process of producing an assessment may involve an audit by an independent professional, its purpose is to provide a measurement rather than to express an opinion about the fairness of statements or quality of performance.”

Sedangkan audit adalah:

“Audits provide third party assurance to various stakeholders that the subject matter is free from material misstatement.”

Walaupun tidak mudah membuat definisi formal, namun secara umum dapat dijelaskan bahwa audit merupakan bagian dari assessment. Assessment dilakukan untuk “mengukur dan menentukan sesuatu”. Sedangkan audit dilakukan (umumnya oleh pihak ketiga) sekedar “mengukur sesuatu” mengikuti standar tertentu (regulatory compliance).

Biasanya hasil audit hanya berupa “opinion” (pendapat saja). Sedangkan assessment sampai pada tahap “action” apa yang harus dilakukan dari hasil audit tersebut dalam bentuk kegiatan peningkatan atau perbaikan.

Setelah kita mengertahui apa itu audit selanjutnya kita akan mengenal tentang security audit

Security Audit Lebih Detail

Seperti halnya security yang dapat dikelompokkan menjadi beberapa katagori, seperti: information security, computer security, network security, dan sebagainya, maka security audit pun dapat dikelompokkan menjadi beberapa katagori, seperti: computer security audit, network security audit.
untuk mendapatkan informasi lainya bisa klik disini

Dari segi istilah, yang dimaksud dengan security audit adalah:

“A systematic evaluation of the company’s information system by comparing it to an established set of criteria. A security audit produces a written record of the results that document the system capabilities”.

Computer security audit (audit keamanan komputer) adalah penilaian atau evaluasi teknis yang sistematis dan terukur mengenai keamanan komputer dan aplikasinya. Secara umum ada dua metoda dan proses computer security audit, yaitu:

  • Audit secara otomatis, yaitu dengan bantuan software khusus untuk security audit
  • Audit secara manual (non-otomatis), berhubungan dengan kegiatan wawancara, evaluasi keamanan komputer, pengamatan terhadap akses ke sistem operasi dan software aplikasinya, analisis semua akses fisik terhadap sistem komputer secara menyeluruh.

Sedangkan network security audit saat ini masih belum didefinisikan secara formal Network security audit merupakan bagian dari computer security audit Network security audit dapat dijelaskan sebagai penilaian atau evaluasi teknis yang sistematis dan terukur mengenai keamanan Jaringan komputer berdasarkan sekumpulan kriteria tertentu.

Network Security Assessment

Karena saat ini kita sedang membahas komputer dan jaringan komputer, maka penjelasan audit akan difokuskan pada bidang ini saja. Mungkin di antara Pembaca ada yang pernah membaca dokumen yang menjelaskan kegiatan audit di bidang lain. Sehingga informasi yang diperoleh sedikit berbeda dengan apa yang akan Penulis jelaskan.

Seperti yang pernah dijelaskan sebelumnya bahwa audit dapat dipandang sebagai bagian dari assessment. Mengenai pemahaman ini pun sebenarnya masih dijumpai perbedaan pendapat di antara para pakar security.

Penulis telah membuat semacam rangkuman dan mudah-mudahan dapat memberikan gambaran tentang assessment, khususnya pada bidang network security.

  • Network assessment adalah review dari IT infrastructure, management, security, availability, dan performance sebuah organisasi
  • Network security assessment merupakan bagian dari network assessment. Network security assessment adalah sebuah aktifitas untuk mengidentifikasi network vulnerabilities yang berpotensi untuk di exploit dan merugikan organisasi

Security assessment dalam dunia IT merupakan sebuah aktifitas terencana dan umumnya mengikuti tahapan berikut ini:

Security assessment dalam dunia IT merupakan sebuah aktifitas terencana dan umumnya mengikuti tahapan berikut ini:

  • Initiation and Planning, yang terdiri atas:
    – Risk Assessment
    – Research
    – Preliminary Review
    – Audit Objectives
    –  Formal Agreement
    – Entrance Conference
  • Filedwork
    – Interview
    – Inspection
    – Observation
    –  Re-performance
    – Testing
  • Analysis
    – Confirmation
    – Verification
    – Reconciliation
    – Exit Conference
  • Reporting
    – Findings
    – Recommendations
    – Client Responses
    – Draft Reports
    – Final Report
    – Schedule Client, Corrective Action, Report
    – Plan for Follow-up Engagement
  • Follow-up
    – Confirm Corrective Action
    – Address Challenges
    –  Repeat Phases (as necessary)

Cukup sulit untuk menghapalkan, menjelaskan, dan mengimplementasikan semua tahapan di atas. Oleh sebab itu, Penulis akan merangkum tahapan tahapan di atas menjadi lebih sederhana. Penulis sering menggunakannya saat melakukan network security assessment.

  • Plan
    – Technical meeting
    – Gathering information from client
    – Choosing assessment methodology & tools
  • Do
    – Using proper applications & tools
    – Doing newtork assesment
  • Analyze
    – Identififying network security weakness
    – Scoring network security weakness
  • Report
    – Reporting network security weakness
    – Assisting to eliminate vulnerability (recommendation)

Diagram di atas merupakan gambaran umum proses network security assesment. Karena aktifitas dilakukan pada network “orang lain: maka sangatlah perlu mendiskusikannya dengan client sebelum melakukn aksi. Pada beberapa kasus, proses assesement hanya dapat dilakukan setelah mendapat aproval/legalitas (kelayakan administrasi) dari pihak client. Harap dimaklum, sebab kegiatan assessment saat ini sudah menjadi “barang dagangan” yang ditawarkan ke lembaga-lembaga swasta dan pemerintah.

Komponen Network

Baiklah, kita akan fokus saja pada kegiatan audit. Sebab cakupannya lebih kecil dibandingkan assessment, dan condong hanya terkait dengan persoalan “tekniks”.

Agar proses audit dapat dilakukan secara optimal, biasanya seorang auditor akan mengidentifikasi network dan membagi-bagi network menjadi komponen-komponen yang lebih kecil, seperti:

  • Physical security
  • Mobile security
  • Network architecture
  • Remote access
  • Routers, hubs, and firewalls
  • Server equipment and configuration
  • Social engineering
  • Virtual infrastructure
  • Virtual private networks (VPNS)
  • VoIP security
  • War dialing
  • Wireless security
  • Workstations using Microsoft Windows
  • Workstations using UNIX environments

Mungkin masih ada komponen lain yang perlu ditambahkan (atau dikurangi) dari rencana audit. Hal ini harus disesuaikan dengan kondisi masing-masing network.

Dengan membagi network menjadi komponen-komponen yang lebih kecil maka auditor dapat lebih fokus mengevaluasi network. Masing-masing komponen perlu dievaluasi dengan menggunakan metoda atau teknik yang berbeda-beda.

Sebagai contoh, proses audit wireless network akan berbeda dibandingkan dengan wire network. Teknik audit perangkat switch buatan Cisco berbeda dengan perangkat switch merk lain. Dan seterusnya.

Target Objektif

Setelah network dibagi menjadi komponen-komponen kecil, maka selanjutnya menentukan target objektif. Kita bisa membayangkan hasil akhir yang ingin didapatkan, sehingga bisa lebih fokus pada kegiatan audit. Umumnya target objektif yang diharapkan meliputi:

  • Dapat mengidentifikasi dan mengevaluasi aset-aset apa saja yang ada pada network
  • Dapat menentukan threats yang terkait dengan aset-aset tersebut
  • Dapat menemukan cara guna melindungi aset-aset dari threats

Fase Audit

Berikutnya adalah melakukan audit, yang terdiri atas beberapa tahap atau fase. Fase audit ini sangat mirip dengan metoda ethical hacking yang diajarkan dalam kursus CEH (Certified Ethical Hacker), yaitu:

Phase I-Footprint Analysis & Information Gathering
Phase II-Vulnerability Scanning & Assessment
Phase III-Penetration Testing & Assessment
Phase IV- Manual Vulnerability & Penetration Verification
Phase V-Vulnerability Analysis

Semua fase di atas dilakukan di jaringan internal. Karena kita tidak sedang bekerja sebagai hacker. Sehingga tidak peru bekerja melakukan audit dari luar jaringan. Kita telah mendapat izin penuh untuk melakukan audit :-). Berikut ini penjelasan singkat masing-masing fase.

a) Footprint Analysis & Information Gathering

Fase ini dilakukan untuk mendapatkan informasi sebanyak-banyaknya yang terkait dengan network inventory. Seperti perangkat apa saja yang digunakan, merk, tipe, nomor versi OS, topologi fisik network, topologi logika network, perangkat security, aplikasi security yang diinstal, network address, subnetting, dan lain-lain.

Tujuan yang hendak dicapai adalah memperoleh blueprint detail network dan juga profile security network. Tahap ini menjadi landasan penting untuk melanjutkan ke fase berikutnya. Tanpa mengetahui apa yang akan dievaluasi maka proses audit akan sangat terhambat. Seperti memasuki hutan belantara tanpa peta dan kompas.

Vulnerability Scanning & Assessment

Melakukan scanning network dengan memanfaatkan berbagai tools network scanning dan vulnerability. Tujuan yang ingin dicapai adalah memperoleh informasi vulnerability network tersebut, misal daftar port yang terbuka, bugs pada aplikasi server, dan lain-lain. Pada tahap ini data data yang sensitif dikumpulkan untuk memudahkan fase selanjutnya. Kadangkala fase ini disebut sebagai passive attack.

Penetration Testing & Assessmen

Pada fase ini sudah digunakan berbagai tools yang dapat melakukan active attack. Sehingga akan ada sesuatu yang berubah pada network tersebut.

Manual Vulnerability & Penetration Verification

di-exploit harus diverifikasi. Hal ini guna mengidentifikasi apa yang disebut dengan “false positives”. Karena ada kemungkinan vulnerability memang “disengaja” dibiarkan untuk menyesatkan hacker. Vulnerability juga sering muncul pada perangkat lama yang sudah tidak bisa lagi ditutupi kecuali membeli perangkat baru. Harus dipikirkan dampak yang akan ditimbulkan manakala perangkat tersebut diganti dengan yang baru.

Beberapa pakar di bidang security audit membolehkan auditor untuk mengabaikan fase ini. Karena seringkali fase ini tidak diperlukan. Jadi auditor harus jeli membaca situasi dan kondisi

Vulnerability Analysis

Fase terakhir yaitu menganalisis vulnerability. Pada fase ini auditor harus dapat menjelaskan penyebab (root cause) dan dapat memberikan rekomendasi bagaimana memperba atau menutupi vulnerability yang ada

Report

Salah satu bagian dari assessment adalah membuat laporan (report). Report merupakan pegangan bagi client untuk mengetahui apa saja yang sudah dilakukan oleh auditor. Pada report dapat dicantumkan daftar temuan, dan saran-saran perbaikan yang terkait dengan temuan.

Kita bisa menggunakan contoh-contoh template yang sudah dibuat oleh pihak ketiga. Namun tentu saja kita boleh memasukkan style yang merupakan ciri khas kita sendiri.

Sebagai referensi, Penulis akan menjelaskan sedikit tentang contoh template report yang sering digunakan oleh Penulis. Meskipun tidak sempurna namun semoga dapat membantu siapa saja yang mengalami kesulitan dalam membuat report.

Sistematika Penulisan

Penulis sering menggunakan template report yang mengikuti sistematika penulisan sebagai berikut

I.Halaman Judul
II.Daftar Isi
III. Executive Summary

Berisi penjelasan singkat untuk apa dokumen report ini dibuat, siapa (auditor) yang membuatnya, dimana kegiatan akan dilakukan

IV. Pendahuluan

Menjelaskan tujuan audit dan standar yang digunakan, misal mengacu pada security control ISO 27001, NIST 800-53, dan seterusnya.

Bagian ini juga mencantumkan tanggal kegiatan, bentuk kegiatan, nama/kontak auditor, dan lokasi kegiatan. Audit yang dilaksanakan di kantor berukuran besar mungkin tidak bisa diselesaikan dalam waktu satu hari. Apalagi jika lokasinya berbeda-beda. Sehingga harus direncanakan dengan matang dan jadwal kegiatannya harus dijabarkan dalam bentuk tulisan.

Penulis biasa membagi bab Pendahuluan menjadi dua subbab, yaitu:
a) Tujuan
b) Ruang Lingkup Pekerjaan Jika dirasa perlu dapat ditambah dengan yang lain.

V. Metodologi

Bagian ini boleh ada atau tidak ada, bergantung selera. Penulis lebih senang untuk mencantumkannya agar siapa pun yang membaca report dapat memahami apa yang dimaksud dengan secure pemahaman yang berlaku umum.

Jika kita membaca dokumentasi yang dibuat oleh ISO atau NIST, maka kita akan menemukan apa yang disebut Risk Level. Tentang risk level ini akan dibahas kemudian. Intinya sesuatu dikatakan secure atau tidak secure harus mengikuti Risk Level.

Penulis biasa menyertakan dua buah subbab, sehingga orang dapat memahami standar yang digunakan dalam melakukan penilaian hasil audit.
1) Security Model
2) Risk Level

VI. Temuan

Merupakan bagian yang menjelaskan temuan-temuan selama kegiatan audit. Temuan dapat dilengkapi dengan tabel, foto-foto alat, diagram topologi, dan temuan lainnya.

Beberapa temuan yang mungkin, antara lain:

1. Network infrastructure weakness
2. Physical security problems
3. Password/credential weakness
4. Device outage
5. Port scanning Result
6. Vulnerabilities scanning Result
7. Wireless network weakness
8. Applications error
9. Link error
10. Single point of failure
11. dan sebagainya

VII. Analisis Vulnerability

Analisis vulnerability dapat dikaitkan dengan standar compliance yang digunakan, misal ISO, NIST, PCI, dan lain-lain. Hasil analisa dapat dibuat dalam bentuk tabel-tabel yang dilengkapi dengan kolom Risk Level.

VIII. Saran

Berisi saran-saran perbaikan dari setiap vulnerability. Kadangkala saran perbaikan (remediation) ini tidak dipisah dari bab Analisa Vulnerability. Tentang format penulisan boleh disesuaikan dengan kebutuhan.

Risk Level

Risk merupakan impact (loss atau damage) yang diakibatkan oleh threat (yang berhasil melakukan exploit). Risk seringkali dikaitkan dengan kerugian secara finansial. Namun kali ini kita hanya akan menilai risk tanpa perlu berpikir bagaimana menghitung kerugian finansial.

Vulnerability, threat, dan risk saling berkaitan. Diagram berikut menggambarkan kaitan antara risk, threat, dan vulnerabilities.

Ketika membuat laporan audit, kita akan diminta untuk menentukan risk level. Risk level ini menjadi semacam acuan untuk menentukan tingkat security. Bagaimana menentukan risk level?

Risk level sangat bergantung pada standar yang digunakan. Jika menggunakan standar ISO 27001, maka acuan yang digunakan untuk menentukan risk level dapat dilihat pada tabel berikut.

Tabel: Risk Level menurut ISO

Kategori RiskNilaiKeterangan
 100Dokumen dan implementasi berjalan efektif dengan baik sesuai dengan persyratan (C-C)
 50Salah satu dokumen atau implementasi tidak memenuhi persyaratan (C-NC)
 Tidak ada dokumen dan implementasi tidak berjalan sama sekali

Score yang digunakan antara o s.d. 100. Jika menggunakan standar NIST, maka risk level dapat dicari dengan menggunakan rumusan seperti tabel berikut

Tabel: Risk Level menurut NIST

Threat LikelihoodImpact
Low (10)Medium (50)High (100)
High (1.0)Low 10 X 1.0 = 10Medium 50 X 1.0 = 50High 100 X 1.0 = 100
Medium (0.5)Low 10 X 0.5 = 5Medium 50 X 0.5 = 25High 100 X 0.5 = 50
Low (0.1)Low 10 X 0.1 = 1Medium 50 X 0.1 = 5High 100 X 0.1 = 10

Risk scale: High (>50 to 100); Medium (>10 to 50); Low (1 to 10)8

Contoh hasil perhitungan risk level menggunakan standart NIST dan Security control NIST 800-53 dituangkan dalam tabel (ada kolom yang dihilangkan) berikut. Tentang security control ini akan dijelaskan lagi pada sub bab berikutnya

Asscess. CodeItem IdentifiedLikehood [low (.1), medium (.5), high (1)]Impact [low (10), medium (50), high (100)]Risk (L X I) [low (1-100), medium (>10-5), high (>50-100)]
INetwork topology diagram0.1101 (Low)
Invetory document0.1101 (Low)
Network discovery0.1101 (Low)
IIGeneral network monitoring system (NMS)0.55025 (Medium)
IIBandwidth manager & monitiring system0.1501 (Low)
IIILogs server & logs report system aplication1100100 (High)
  IVAntivirus server1100100 (High)
Antivirus application on client computer15050 (Medium)
VTicketing system application0.1101 (Low)
VITicketing system application0.1101 (Low)
VIIChange control document (word, excel, ect)0.55025 (Medium)
VIIIRegular port scanning application (Nessus, IDS, etc)0.55025 (Medium)
Firewall device0.55025 (Medium)
Vulnerability scanning application Nessus, IDS, etc)0.55025 (Medium)
IXTechnical meeting & documentation0.5105 (Low)
XData center or server room1100100 (High)
Rack switch/server1100100 (High)
UPS, generator, power backup15050 (Medium)

Tentukan saja kita bebas membuat standar sendiri dan juga risk level sendiri asalkan bisa dipertanggung-jawabkan, khususnya manakala audit dilakukan di network milik sendiri. Berikut ini contoh risk level yang tidak mengikuti standart ISO dan NIST.

Tools dan Aplikasi

Untuk memudahkan kegiatan audit dapat digunakan tools dan aplikasi yang tepat. Tools mungkin saja sama dengan aplikasi (software). Namun ada kalanya tools hanya berapa dokumen yang berisi semacam guideline. Sedangkan aplikasi adalah software untuk security audit, baik free maupun komersial yang dapat dijalankan di komputer

Ada cukup banyak aplikasi yang dapat dipilih, baik yang gratis maupun berbayar. Sebelum mencoba aplikasi komersial (yang umumnya cukup mahal), cobalah menggunakan aplikasi open source atau free. Beberapa aplikasi untuk keperluan security audit antara lain:

  • NMAP (http://nmap.org)
  • Hping (http://hping.org)
  • Tenable Nessus (http://nessus.org)
  • RedSeal SRM (http://www.redseal.net)
  • TepDump (http://sourceforge.net/projects/tcpdump)
  • Wireshark (http://www.wireshark.org)
  • Core Impact (http://www.coresecurity.com)
  • Metasploit Project (http://www.metasploit.com)
  • Backtrack (http://www.backtrack-linux.org)
  • Microsoft Software Inventory Analyzer (MSIA)
  • Spiceworks
  • Solarwinds LAN Surveyor
  • LookAILAN
  • SoftperfectEthical Hacking, Keamanan Teknologi Informasi, Literasi Keamanan Digital, Cyber Security

Leave a Reply

Your email address will not be published. Required fields are marked *