Konsep Dasar serta Prinsip Sistem Keamanan Komputer CIA [Kategori dan Model Serangan]

Sistem Kemanan Komputer CIA (Confidentiality, Integrity, dan Availability)

Mendengar kata CIA mungkin sebagian orang akan merujuk pada sebuah badan intelijen milik Amerika Serikat. Namun, nyatanya ada perujukan lain untuk kata CIA pada sistem keamanan secara umum. CIA merupakan singkatan dari Confidentiality, Integrity, dan Availability. CIA atau sering juga disebut CIA Triangle merupakan salah satu aturan dasar dalam menentukan keamanan jaringan atau informasi. Aturan lainnya dikenal dengan Perkerian Hexad (Confidentiality, Posession or Control, Integrity, Authenticity, Availability, dan Utility).

1. Confidentiality (Rahasia)

Confidentiality (rahasia) berarti menjaga kerahasiaan informasi dengan melakukan pembatasan hak akses seseorang, yang paling umum dengan menggunakan enkripsi. Contoh data-data yang harus dijaga kerahasiaannya seperti data-data yang sifatnya pribadi (nama, tanggal lahir, penyakit yang pernah diderita, nomor kartu kredit, nama ibu kandung, dan sebagainya), data-data milik organisasi atau perusahaan. Ada kalanya confidentiality sejalan dengan privacy. Aspek ini bertujuan untuk:

• Membatasi pengaksesan terhadap informasi sesuai tingkat kerahasiaannya
• Melindungi data / informasi agar tidak diketahui oleh pihak yang tidak berwenangan

2. Integrity (Keaslian)

Integrity (keaslian) berarti menjamin bahwa data/informasi yang dimiliki terjaga keasliannya, tidak berubah tanpa pemilik informasi. Integrity merujuk pada tingkat kepercayaan terhadap suatu informasi. Di dalam integrity terdapat 2 mekanisme pengamanan yaitu mekanisme priventif dan mekanisme detektif. Mekanisme priventif merupakan kontrol akses untuk menghalangi terjadinya modifikasi data. Sedangkan mekanisme detektif adalah untuk melakukan deteksi terhadap modifikasi yang telah dilakukan oleh orang lain. Aspek ini bertujuan untuk:

• Melindungi data dan atau program agar tidak dimodifikasi tanpa izin oleh pihak yang tidak berwenang.
• Memberikan jaminan bahwa data / informasi yang ada pada resource dapat dipercaya.

3. Availability (Ketersediaan)

Availability (ketersediaan) berhubungan dengan ketersediaan informasi ketika dibutuhkan. Artinya, informasi harus selalu tersedia saat dibutuhkan oleh user, dan dapat dengan cepat diakses. Serangan yang paling lazim untuk jenis keamanan ini adalah Distributed Denial of Service (DDoS). Serangan ini memenuhi resource atau sumber informasi (server) dengan permintaan yang banyak atau permintaan diluar perkiraan sehingga server tidak dapat melayani permintaan lain atau bahkan down.

Kategori Ancaman Keamanan akan Sistem Komputer

Ancaman-ancaman yang sering dihadapi oleh masalah keamanan dapat dikategorikan sebagai berikut :

1. Manusia

Ancaman dari manusia kepada sistem komputer dapat berupa hacking, cracking atau sesiapa saja yang berusaha atau telah mengakses sistem tanpa izin dari pihak yang berwenang. Tujuannya bisa untuk melakukan pencurian data/informasi atau perusakan. Memasukkan program illegal seperti virus, worm (malicious software). Kemampuan user yang terbatas dalam menggunakan dan memelihara sistem serta rendahnya kesadaran akan keamanan sistem.

2. Kesalahan Hardware

Ancaman ini dapat berupa tidak stabilnya suplai listrik dalam jangka waktu panjang sehingga mengakibatkan kerusakan pada perangkat. Terjadinya korsleting listrik yang dapat mengakibatkan terhentinya proses sistem atau bahkan kerusakan sistem. Segala macam bentuk gangguan fisik yang berdampak langsung maupun tak langsung terhadap perangkat.

3. Kegagalan Software

Ancaman ini dapat berupa uji coba program yang tidak memadai sehingga menyisakan error pada perangkat lunak. Adanya kesalahan pada sistem operasi. Adanya kesalahan saat meng-update program.

4. Alam

Ancaman dari lingkungan alam merupakan ancaman yang tidak bisa dicegah seperti banjir, gempa bumi, kebakaran, dan sebagainya. 

Model Serangan Terhadap Keamanan Sistem Komputer

Menurut Stalling terdapat beberapa model serangan terhadap keamanan, model-model in tentunya masih bisa bertambah seiring perkembangan komputer.

1. Fabrication

Serangan ini berupa pihak yang tidak berwenang menjadi seolah-olah pengguna sah dan mengirimkan pesan palsu kedalam sistem. Menyerang aspek autentikasi. Contoh dengan memasukkan pesan-pesan palsu seperti e-mail palsu ke jaringan komputer.

2. Modification

Serangan ini berupa pihak yang tidak memiliki wewenang berhasil memodifikasi aset atau data/informasi yang dimiliki organisasi/perusahaan.

3. Interception

Serangan ini berupa pihak yang tidak memiliki wewenang berhasil mengakses data / informasi. Misalnya dengan melakukan penyadapan (wiretapping).

4. Interruption

Serangan ini ditujukan untuk aspek ketersediaan (availability), yang menjadikan sistem tidak tersedia atau rusak. Contoh serangan denial of service attack

Social Engineering Type (Tipe Serangan Rekayasa Sosial)

social engineering atau rekayasa sosial adalah tindakan menipu seseorang untuk mengungkapkan informasi atau mengambil tindakan yang dilakukan melalui teknologi. Gagasan utamanya adalah untuk mengambil keuntungan dari kecenderungan alami dan reaksi emosional korban. Berikut 6 tipe dari serangan rekayasa sosial:

1. Vishing

Vishing adalah versi suara phishing. "V" adalah singkatan dari voice, tetapi sebaliknya, upaya penipuannya sama. Penjahat menggunakan telepon untuk menipu korban agar menyerahkan informasi yang berharga. Contoh Seorang penjahat mungkin memanggil seorang karyawan, menyamar sebagai rekan kerja. Penjahat mungkin menang atas korban untuk memberikan kredensial masuk atau informasi lain yang dapat digunakan untuk menargetkan perusahaan atau karyawannya.

2. Quid Pro Quo

Penipuan jenis ini melibatkan pertukaran tertentu. Pelaku mencoba membuat korban percaya bahwa pertukaran itu adil. Contoh Scammer dapat memanggil target, berpura-pura menjadi teknisi dukungan TI. Korban mungkin menyerahkan kredensial masuk ke komputer mereka, mengira mereka menerima dukungan teknis sebagai imbalan. Sebagai gantinya, scammer sekarang dapat mengendalikan komputer korban, memuatnya dengan malware atau, mungkin, mencuri informasi pribadi dari komputer untuk melakukan pencurian identitas.  

3. Pretexting

Pelaku menggunakan dalih yang menarik untuk menipu korban. Katakanlah Anda menerima email, menyebut Anda sebagai penerima wasiat. Email meminta informasi pribadi Anda untuk membuktikan bahwa Anda adalah penerima sebenarnya dan untuk mempercepat transfer warisan Anda. Sebaliknya, Anda berisiko memberi penipu kemampuan untuk tidak menambahkan ke rekening bank Anda, tetapi untuk mengakses dan menarik dana Anda.

4. Email hacking and Contact Spamming

Beberapa pelaku mengambil keuntungan dengan mencoba memerintahkan akun email dan daftar kontak akun spam. Contoh. Jika seorang teman mengirim email dengan subjek “Lihatlah situs ini”, mungkin kita tidak akan berpikir dua kali untuk membukanya. Dengan mengambil alih akun email seseorang, pelaku dapat membuat mereka yang ada di daftar kontak percaya bahwa mereka menerima email dari seseorang yang mereka kenal. Tujuannya adalah menyebarkan malware dan menipu orang-orang dari data mereka.

5. Phising

Phising adalah cara terkenal untuk mengambil informasi dari korban. Pelaku biasanya mengirim email atau teks ke target, mencari informasi yang dapat membantu kejahatan yang lebih signifikan.

6. Baiting

Jenis rekayasa sosial ini bergantung pada korban untuk mengambil “umpan” atau tidak sehingga melakukan tindakan tertentu. Conoth: seorang cybercriminal mungkin meninggalkan stik USB yang penuh dengan malware ditempat dimana target akan melihatnya yang sudah di labeli dengan kata-kata menarik seperti “rahasia” atau “bonus”. Target yang mengambil umpan akan mengambil USB tersebut dan menghubungkannya ke komputer untuk melihat apa yang ada didalamnya. Malware akan kemudian secara otomatis menginjeksi dirinya ke komputer.

Prinsip-prinsip Dasar Keamanan Sistem Komputer

Menurut Stoneburner terdapat tujuh prinsip dasar pada keamanan sistem komputer diantaranya :

1. Menetapkan kebijakan (policy) keamanan yang baik sebagai dasar untuk desain sistem.

Kebijakan keamanan merupakan dokumen penting untuk dikembangkan saat mencang sebuah sistem informasi. Dimulai dengan komitmen dasar organisasi untuk keamanan informasi dirumuskan sebagai pernyataan kebijakan umum. Kebijakan tersebut kemudian diterapkan untuk semua aspek desain sistem atau solusi keamanan saat terjadi insiden. Dokumen ini harus mengindentifikasi sasaran keamanan, berisi prosedur, standar, serta protokol yang digunakan sebagai arsitektur keamanan.

2. Perlakukan keamanan sebagai bagian integral dari keseluruhan sistem

Keamanan haruslah dipertimbangkan saat merancang sebuah sistem informasi. Keamanan akan sulit dan mahal untuk diimplementasikan ketika sistem telah selesai dikembangkan, sehingga harus diintegrasikan sepenuhnya kedalam proses siklus sistem.

3. Perjelas batas keamanan fisik dan logic yang diatur oleh dokumen kebijakan keamanan

Teknologi informasi berada di dua area yaitu area fisik dan area logic. Kedua area ini memiliki batasan yang jelas. Mengetahui tentang apa yang harus dilindungi dari factor eksternal dapat memastikan langkah-langkah perlindungan yang dibutuhkan. Oleh karena itu, batasan keamanan harus dipertimbangkan dan dimasukkan dalam dokumentasi sistem dan dokumen kebijakan keamanan.

4. Pastikan pengembang dilatih tentang cara mengembangkan keamanan perangkat lunak

Perlu dipastikan bahwa pengembang cukup terlatih dalam pengembangan perangkat lunak yang aman. Hal ini termasuk dalam perancangan, pengembangan, kontrol konfigurasi, integrasi dan pengujian.

5. Kurangi resiko ke tingkat yang dapat diterima

Resiko didefinisikan sebagai kombinasi dari kemungkinan ancaman tertentu (secara sengaja mengekpoitasi atau tidak sengaja memicu kerentanan sistem) dan dampak buruk yang dihasilkan pada operasi organisasi, asset organisasi, atau individu jika hal ini terjadi. Harus diakui bahwa analisis resiko efektif dari segi biaya. Analisis terhadap biaya dari kemungkinan-kemungikinan insiden keamanan harus dilakukan untuk setiap kontrol yang diusulkan. Tujuannya adalah untuk meningkatkan kemampuan bisnis dengan mengurangi resiko bisnis ke tingkat yang dapat diterima.

 6. Asumsikan bahwa sistem eksternal tidak aman

Secara umum, sistem eksternal seharusnya dianggap tidak aman. Oleh karena itu pengembang harus merancang fitur keamanan sedemikian rupa untuk mengatasi permasalahan ini. 

7. Identifikasi potensi pertukaran antara pengurakan resiko dengan peningkatan/penurunan biaya dalam aspek lain efektivitas operasional.

Prinsip ini berhubungan dengan prinsip nomor 4. Untuk memenuhi persyaratan keamanan maka perancang sistem perlu mengidentifikasi dan menangani semua kebutuhan operasional. Dalam memodifikasi tujuan keamanan, risiko biaya yang lebih besar mungkin tidak bisa dihindari. Dengan mengidentifikasi dan mengatasi masalah keamanan sedini mungkin, maka akan tercapai sistem yang lebih efektif.