 Ancaman
(threat) dan kerentanan keamanan (vulnerability) adalah dua
istilah yang sering dipakai bersama-sama dalam pembicaraan
masalah keamanan jaringan. Karena eratnya hubungan kedua terminologi
ini, orang kadang keliru dalam penggunaannya. Sekedar klarifikasi,
berikut ini merupakan contoh ancaman dan kerentanan. Pintu
rumah yang tidak terkunci (kerentanan) akan mudah dimasuki
pencuri (ancaman). Sistem akses yang mempergunakan password,
yang terdiri atas kombinasi empat huruf (kerentanan) akan
mudah ditebak orang dengan melakukan brute-force attack (ancaman)
dalam tempo yang relatif singkat. Karyawan yang bertugas sebagai
programmer dan sekaligus sebagai operator program yang dibuatnya
(kerentanan) merupakan potensi malpraktik yang sangat mungkin
dilakukan bagi kepentingan perorangan (ancaman).
Tulisan ini bukan ditujukan untuk membahas perbedaan terminologi
tetapi lebih untuk menyikapi pertanyaan yang sering diajukan;
yaitu berapa persen suatu teknologi sekuriti dapat mencegah
atau mendeteksi suatu ancaman dan kerentanan keamanan jaringan
?
Ini adalah pertanyaan yang terus terang sulit dijawab. Pertama,
dasar apa yang digunakan dalam menghitung persentase? Apakah
jumlah hari dalam setahun dimana kita aman terhadap serangan,
atau jumlah serangan atau macamnya serangan. Kedua, kalau
kita menghitung persentase berdasarkan macam serangan/ancaman
misalnya, kita tidak tahu secara pasti jumlah macam serangan/ancaman.
Ketiga, dan ini merupakan yang terpenting yang perlu diperhatikan
dan merupakan inti dari tulisan ini adalah teknologi tidak
dapat berdiri sendiri tanpa dua faktor lainnya, yaitu sumber
daya manusia dan proses.
Proses
Banyaknya informasi tentang kerentanan dan ancaman terhadap
suatu jaringan membutuhkan penanganan yang serius. Sebagai
gambaran ada 1090 jumlah kerentanan sistem komputer yang dilaporkan
ke Carnegie Melon Computer Emergency Response Team (CERT)
(http://www.cert.org/stats/cert_stats.html)
pada tahun 2000, sedang untuk tahun 2001 dan 2002 berturut-turut
sebanyak 2437 dan 4129. Kalau dirata-rata ada 16 kerentanan
keamanan yang harus dicermati tiap hari kerjanya di tahun
2002; suatu pekerjaan yang cukup menyita waktu untuk menimbang,
mengevaluasi tingkat risiko, serta dalam melakukan langkah
perbaikan.
Secara garis besar ada empat tahapan yang dapat dilakukan
dalam manajemen ancaman dan kerentanan keamanan sistem jaringan,
yaitu :
1. Inventarisasi sistem. Mengetahui peralatan
dan aplikasi apa saja yang ada dalam perusahaan sangat menentukan
apakah informasi tentang ancaman dan kerentanan keamanan relevan
bagi perusahaan tersebut.
2. Menentukan sumber informasi. Mendapatkan
informasi kerentanan sistem bukan hal yang susah; dengan menggunakan
search engine seperti Google, kita bisa mendapatkan puluhan
web site yang jika ditotal berisikan ribuan halaman. Yang
menjadi persoalan adalah bagaimana kita mendapatkan informasi
yang relevan bagi jaringan kita secara tepat waktu dan praktis.
Beberapa situs yang dapat dijadikan acuan, antara lain CERT
(www.cert.org), ISS (www.iss.net), dan SecurityFocus (www.securityfocus.com).
3. Mendeteksi kerentanan sistem dan memonitor ancaman.
Langkah manual yang dapat dilakukan dalam mendeteksi kerentanan
sistem adalah dengan memadankan sistem yang ada dengan informasi
kerentanan yang didapat. Sedangkan untuk memonitor ancaman,
hal yang umum dilakukan adalah dengan melihat log suatu sistem.
Hasil yang diharapkan dari proses ini adalah berupa laporan
tentang kerentanan keamanan dan ancaman terhadap jaringan
yang ada. Dalam proses ini juga perlu ditetapkan prosedur
distribusi laporan; siapa yang perlu diberikan, informasi
apa saja yang perlu diberikan, kapan perlu diberikan. Dalam
prakteknya langkah manual ini akan sangat menyita waktu. Untuk
itu, teknologi sekuriti seperti Vulnerability Scanner dan
Intrusion Detection System berperan dalam mempercepat proses.
4. Pemecahan masalah kerentanan dan respon terhadap
ancaman. Proses ini dimulai dengan penetapan skala
prioritas terhadap masalah kerentanan maupun ancaman. Selanjutnya
diikuti dengan prosedur dalam melakukan perbaikan maupun dalam
menetapkan tindakan yang perlu diambil terhadap suatu ancaman.
Prosedur roll-back harus dimasukkan dalam proses ini untuk
mengantisipasi seandainya proses perbaikan tidak berjalan
sesuai rencana.
Sumber Daya Manusia
Tim yang terlibat dalam manajemen ini sebaiknya terdiri atas
manajemen tingkat atas, perwakilan dari unit bisnis, internal
auditor, staf teknik seperti administrator sistem dan jaringan,
staf sekuriti, dan staf lain jika diperlukan, seperti staf
dari bagian legal. Tugas dan tanggung jawab juga harus ditetapkan
dalam tim ini seperti tugas melakukan pendeteksian, monitoring,
perbaikan atas kerentanan, pengambilan keputusan dalam menetapkan
tindakan yang diperlukan terhadap ancaman dan sebagainya.
Selain itu perlu diidentifikasi keahlian (skill) yang dibutuhkan
untuk menunjang proses manajemen.
Teknologi
Teknologi digunakan untuk mempercepat proses pendeteksian
kerentanan dan monitoring ancaman secara lebih akurat. Teknologi
Vulnerabilities Scanner misalnya digunakan untuk mendeteksi
mulai dari sistem operasi, aplikasi-aplikasi yang terpasang
serta kerentanan keamanan yang ada dari suatu mesin secara
otomatis. Sedangkan teknologi Intrusion Detection System akan
sangat membantu mendeteksi ancaman berdasarkan hasil monitoring
trafik paket data maupun log suatu sistem. Laporan yang dihasilkan
dari produk sekuriti ini biasanya juga dapat dengan mudah
diklasifikasikan berdasarkan tingkat risiko, sistem operasi
atau jenis kerentanan beserta cara perbaikannya.•
Agus Pracoyo •channel manager / security consultant
pada PT. Indokom Primanusa dengan alamat e-mail: pracoyo@ipnsecurity.com
|
