7
BAB II
TINJAUAN PUSTAKA DAN DASAR TEORI
Tinjauan Pustaka
Untuk memahami penelitian – penelitian sebelumnya yang terkait dengan
penelitian ini, maka perlu dilakukan tinjauan pustaka mengenai implementasi
security auditor dengan CIS Benchmark yaitu:
Tabel 2. 1 Penelitian sebelumnya
No Penulis Judul Objek Teknologi
1 Dika Priska
Prastika
, Joko
Triyono
, Uning
Lestari,
2018
Audit dan
Implementasi Cis
Benchmark pada
Sistem Operasi Linux
Debian Server (Studi
Kasus: Server
LaboratoriumJaringan
dan Komputer 6,
Institut Sains &
Teknologi Akprind
Yogyakarta)
Server
Laboratorium
Jaringan Dan
Komputer 6,
Institut Sains &
Teknologi
Akprind
Yogyakarta
(Debian 8)
CIS
Benchmark
2 Muhammad
Faris ‘Afif,
2017
Implementasi
Keamanan Owasp
terhadap
Aplikasi
berbasis
GTFW(Xplorin)
Open
Web
Application
Security
8
Aplikasi Berbasis
GTFW
Project
(OWASP)
3 Nepal, A.
K. (2013)
Linux Server &
Hardening Security
layanan Linux
umum seperti
Secure Shell
(SSH), Apache
Web Server,
dan konfigurasi
firewall
berbasis host
(IPTABLES
SSH,
Apache
Web Server,
IPTABLES
4 Muhammad
Najib
(2020)
Implementasi
Security Auditor
untuk Standardisasi
Instalasi Server pada
Layanan Saas
Ecampuz
Menggunakan Cis
Benchmark
Layanan SaaS
eCampuz
(Centos 6.10)
CIS
Benchmark,
Docker,
9
Dasar Teori
2.2.1 Serangan Siber
Serangan siber adalah sebuah tindakan yang bersifat ofensif yang dilakukan
oleh negara, individu, kelompok, atau organisasi yang menargetkan sebuah sistem
informasi, infrastruktur, jaringan komputer, dan/atau perangkat komputer pribadi
untuk melakukan tindakan berbahaya seperti mencuri data pribadi tanpa
sepengetahuan, melakukan pemalsuan data, atau membocorkan data yang bersifat
rahasia atau melakukan perusakan pada sebuah sistem sehingga tidak berjalan
sebagai mana mestinya.
Data yang dihimpun oleh Pusopskamsinas BSSN, hingga 12 April 2020
telah terjadi 25 serangan siber menggunakan latar belakang isu pandemi Covid-19,
dimana terdapat 17 serangan dengan target secara global dan 8 serangan yang
menargetkan suatu negara. Pada bulan Januari dan Februari masing-masing terjadi
satu serangan siber yang menggunakan latar belakang isu pandemi Covid-19,
serangan tersebut berjenis Malicious Email Phising. Pada bulan Maret terjadi
serangan paling banyak, mencapai 22 serangan siber yang menggunakan latar
belakang isu pandemi Covid-19, serangan tersebut dengan berbagai jenis serangan
diantaranya Trojan HawkEye Reborn, Blackwater malware, BlackNET RAT,
DanaBot Banking Trojan, Spynote RAT, ransomware Netwalker, Cerberus Banking
Trojan, malware Ursnif, Adobot Spyware, Trojan Downloader Metasploit,
Projectspy Spyware, Anubis Banking Trojan, Adware, Hidden Ad (Android),
AhMyth Spyware, Metasploit, Xerxes Bot, dan Covid19 Tracker Apps. Pada bulan
April hanya terjadi satu serangan siber yang menggunakan latar belakang isu
10
pandemi Covid-19, serangan tersebut berjenis Malicious Zoom. Pada tanggal 1
April 2020 tercatat serangan siber yang menggunakan latar belakang isu pandemi
Covid-19 terhadap Aplikasi Zoom secara global dimana aplikasi ini telah disisipi
Malicious Zoom yang menggunakan pengkodean yang berisi modul metasploit,
adware, dan juga hiddenad/hiddad. (BSSN, 2020)
2.2.2 Sistem Manajemen Keamanan Informasi
Keamanan Informasi di dunia maya atau kemanan siber (bahasa inggris :
cyber security) adalah teknologi, proses dan praktik yang dirancang untuk
melindungi jaringan, komputer, program dan data dari serangan, kerusakan atau
akses yang tidak sah. Cyber security juga disebut sebagai upaya untuk melindungi
informasi dari adanya cyber attack. (Phintraco, 2019)
Sistem Manajemen Keamanan Informasi adalah suatu sistem manajemen
yang berhubungan dengan penerapan keamanan informasi di suatu organisasi yang
meliputi kegiatan perancangan, penerapan, dan pemeliharan suatu rangkaian
terpadu proses dan sistem untuk secara efektif mengelola keamanan informasi
khususnya kerahasian, integritas, dan ketersediaan aset informasi sekaligus
meminimalisasi risiko yang menyertainya.
Agar kerangka kerja keamanan siber lebih mudah dipahami, kita pisahkan
menjadi tiga kategori, antara lain :
1. Control Framework (kerangka kerja kendali)
Kerangka kerja dalam lingkup kategori ini contohnya adalah NIST 800-
53 dan CIS Control (CSC). Saat suatu organisasi mau menerapkan sistem
manajemen keamanan informasi biasanya kondisi organisasi relatif belum
11
matang dari perspektif tata kelola dan keamanan TI. Langka mudah yang
diambil umumnya adalah melakukan penentuan basic set of controls untuk
diterapkan. Control framework untuk melakukan hal-hal sebagai berikut :
Melaksanakan proses identifikasi set control yang akan menjadi
baseline.
Menerapkan kegiatan asesmen kondisi eksisting terkait dengan
kapabilitas teknis.
Melakukan proses prioritasi terhadap implementasi dari kontrol.
Kemudian mengembangkan roadmap initial untuk Tim Keamanan
TI.
2. Program Framework (kerangka kerja program).
Kerangka kerja atau framework yang dimasukkan dalam kategori ini
sebagai contoh adalah ISO 27001 dan NIST Cybersecurity Framework.
Umumnya program framework digunakan untuk hal-hal sebagaimana
berikut :
Melaksanakan asesmen kondisi keseluruhan program keamanan
yang ada dalam organisasi
Membangun dan mengembangkan program keamanan yang
komprehensif
Pengukuran terhadap level kematangan dan
memperbandingkannya dengan standar industri sejenis
Menyederhanakan proses komunikasi dengan para pemimpin
bisnis
12
Standardisasi ISO 27001 merupakan salah satu seri ISO untuk
standar Sistem Manajemen Keamanan Informasi yang menitikberatkan
pada pengembangan program keamanan, termasuk di dalamnya konteks
organisasi, kepemimpinan, perencanana, support, dokumentasi, operasi,
penilaian kinerja, dan peningkatan berkelanjutan.
3. Risk Framework (Kerangka kerja risiko).
Dalam kategori ini termasuk di dalamnya framework: NIST 800-39,
800-37, 800-30, ISO 27005, dan FAIR. Risk framework memungkinkan
kita dalam memastikan bahwa program keamanan informasi telah dikelola
dengan cara yang bermanfaat bagi stakeholder organisasi dan membantu
dalam menentukan bagaimana cara memprioritaskan aktivitas keamanan.
Risk framework digunakan untuk melakukan hal-hal sebagaimana berikut
dibawah ini :
Menentukan tahapan kunci atau penting dalam melakukan asesmen
dan mengelola risiko
Mewujudkan strukturisasi program manajemen risiko
Melaksanakan proses identifikasi, pengukuran, dan kuantifikasi
risiko
Melakukan prioritasi aktivitas keamanan
NIST Security memiliki risk framework yang cukup dikenal yaitu :
NIST SP 800-39 (menjelaskan semua resiko terkait manajemen proses),
NIST SP 800-37 (menjelaskan resiko terkait informasi yang berasal dari
federasi), and NIST SP 800-30 (menjelaskan terkait denda yang didapat dari
13
suatu resiko). Kemudian ada juga ISO 27005 mendefinisikan pendekatan
sistematis untuk mengelola risiko untuk organisasi, sementara FAIR adalah
standar internasional yang disupport oleh dua organisasi yang fokus pada
keamanan informasi. (Netsolutionhosting, 2020)
2.2.3 ISO 27001
ISO 27001 adalah standar sistem manajemen yang di terbitkan oleh ISO
(International Organization for Standardization) yang bekerja sama dengan IEC
(International Electrotechnical Commission) yang berfokus kepada sistem
keamanan informasi. Standar ini menggunakan pendekatan manajemen yang
berbasis kontrol berdasarkan analisis risiko. Standar ini banyak diterapkan terutama
bagi perusahaan/organisasi yang menganggap bahwa informasi merupakan aset
perusahaan yang harus dilindungi.(Qyusi Global Indonesia, 2016)
Selanjutnya ISO/IEC 27001 dijelaskan sebagai salah satu metode dengan
standard keamanan informasi yang diterbitkan International Organization for
Standarization dan International Electrotecnical Comission. ISO 27001 juga
didefinisikan sebagai dokumen standar Sistem Manajemen Keamanan Informasi
(SKMI) atau Information Security Management System, biasa disebut ISMS, yang
memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh
sebuah institusi dalam usaha mereka untuk mengevaluasi, mengimplementasikan,
dan memelihara keamanan informasi berdasarkan “best practice” dalam
pengamanan informasi.
14
2.2.4 CIS Security
Center for Internet Security (CIS) organisasi nirlaba yang didedikasikan
untuk membantu para pengguna komputer guna membuat sistem mereka lebih
aman (Jr & Schell, 2007). Organisasi ini dibentuk pada Oktober 2000. Misinya
adalah untuk. Organisasi ini berkantor pusat di East Greenbush, New York, dengan
anggota termasuk perusahaan besar, lembaga pemerintah, dan lembaga akademik
(Cisecurity, n.d.).
CIS Sercuirty adalah sebuah metoda yang dikembangkan oleh CIS, yang
memiliki misi untuk identifikasi, pengembangan, validasi, promosi, dan
mempertahankan solusi terbaik untuk pertahanan cyber, membangun mindset
masyarakat untuk meningkatkan lingkungan terpercaya di dunia maya.
CIS Security memiliki program pada lingkungan-lingkungan :
CIS Control
CIS Benchmark
CIS Communities
CIS Cybermarket
2.2.5 CIS Control
CIS Control adalah data yang berisi daftar tindakan defensive berprioritas
tinggi dan sangat efektif yang memberikan titik awal “harus dilakukan, lakukan
pertama” untuk setiap perusahaan yang ingin meningkatkan pertahanan dunia maya
mereka. CIS Control ini ditindaklanjuti untuk pertahanan dunia maya ini
diformulasikan oleh sekelompok pakar TI menggunakan informasi yang
dikumpulkan dari serangan aktual dan pertahanan efektif. CIS Control memberikan
15
panduan khusus dan jalur yang jelas bagi organisasi untuk mencapai tujuan dan
sasaran yang dijelaskan oleh berbagai kerangka hukum, peraturan, dan
kebijakan.(ManageEngine, n.d.)
CIS Control berfokus pada implementasi teknis untuk memperkuat
keamanan siber, sedangkan ISO 27001 adalah sistem manajemen yang
membutuhkan kontrol ini, tetapi memerlukan lapisan manajemen untuk
mendukung kontrol teknis ini. CIS Control tidak memiliki lapisan manajemen ini.
Jika dibandingkan kedua sistem dalam tabel, maka akan terlihat seperti
berikut ini :
16
Gambar 2. 1 Tabel perbandingan ISO 27001 dan CIS Control
Warna merah memerlukan kajian mendalam agar dapat sesuai dengan ISO
27001 karena CIS Control berfokus pada tindakan defensif yang dapat dilakukan
pada server sedangkan ISO membahas keseluruhan dari manajemen keamanan
informasi. CIS Control tidak dibuat untuk menggantikan kerangka kerja
(framework) yang ada di dunia keamanan cyber seperti NIST, ISO 27001/27002,
PCI DSS, dll. Akan tetapi digunakan sebagai alternatif panduan untuk melakukan
praktik pertahanan terbaik di dunia siber pada tataran organisasi(Prastika et al.,
2018). Dalam melakukan tindakan defensif CIS Control berfokus dengan 20 butir
dari kontrol terhadap manajemen keamanan informasi. Terdapat 3 point penting
17
yaitu Basic CIS Control, Foundational CIS Control dan Organizational CIS
Control, Berikut adalah 20 point kontrol dari CIS Control :
Gambar 2. 2 20 point kontrol dari CIS Control
Kontrol CIS Dasar (Basic CIS Control)
1. Inventarisasi dan Pengendalian Aset Perangkat Keras
2. Inventaris dan Pengendalian Aset Perangkat Lunak
3. Manajemen Kerentanan Berkelanjutan
4. Penggunaan Hak Istimewa Administratif yang Terkendali
5. Konfigurasi Aman untuk Perangkat Keras dan Perangkat Lunak pada
Perangkat Seluler, Laptop, Workstation dan Server
6. Pemeliharaan, Pemantauan dan Analisis Log Audit
18
Kontrol CIS Fundamental (Foundational CIS Control)
7. Perlindungan Email dan Web Browser
8. Pertahanan Malware
9. Batasan dan Kontrol Port Jaringan, Protokol dan Layanan
10. Kemampuan Pemulihan Data
11. Konfigurasi Aman untuk Perangkat Jaringan, seperti Firewall, Router
dan Switch
12. Pertahanan Batas
13. Perlindungan Data
14. Akses Terkendali Berdasarkan Yang Perlu Diketahui
15. Kontrol Akses Nirkabel
16. Pemantauan dan Pengendalian Akun
Kontrol CIS Organisasi (Organizational CIS Control)
17. Terapkan Program Kesadaran Keamanan dan Pelatihan
18. Keamanan Perangkat Lunak Aplikasi
19. Respon dan Manajemen Insiden
20. Tes Penetrasi dan Latihan Tim Merah (CIS Security, n.d.)
2.2.6 CIS Benchmark
CIS Benchmark merupakan garis dasar konfigurasi dan praktik terbaik
untuk mengonfigurasi sistem dengan aman. Setiap rekomendasi panduan merujuk
pada satu atau lebih CIS Control yang dikembangkan untuk membantu organisasi
meningkatkan kemampuan pertahanan dunia maya mereka. CIS Control
memetakan ke banyak standar yang ditetapkan dan kerangka kerja peraturan,
19
termasuk Kerangka Kerja Keamanan Siber (CSF) NIST dan NIST SP 800-53, seri
standar ISO 27000, PCI DSS, HIPAA, dan lainnya. (CIS Security, n.d.)
Dapat diarktikan juga CIS Benchmark adalah sebuah best-pratice yang
diterbitkan oleh Center for Internet Security (CIS) dan didokumentasikan untuk
mengonfigurasi sistem, perangkat lunak, dan jaringan teknologi informasi dengan
aman. CIS Benchmark dikembangkan melalui proses berbasis konsensus unik yang
melibatkan komunitas profesional keamanan siber dan pakar materi pelajaran di
seluruh dunia, yang masing-masing terus mengidentifikasi, menyempurnakan, dan
memvalidasi praktik terbaik keamanan dalam area fokus mereka.
Contoh dokumen dari CIS Benchmark adalah sebagai berikut :
Gambar 2. 3 Isi Dokumen dari CIS Benchmark
20
Dari gambar 2.3 terlihat bahwa dokumen CIS Benchmark berisi penjelasan
terkait script dari setiap audit yang dilakukan pada sebuah sistem dan korelasi apa
yang ingin diaudit agar sesuai dengan kontrol yang sesuai dengan CIS Control,
beserta dengan penilaian berdasarkan CIS Benchmark
2.2.7 PHP
PHP adalah kependekan dari PHP Hypertect Preprocessor yaitu sebuah
bahasa pemrograman yang bersifat server-side. PHP melakukan pemrosesan data
pada sisi server kemudian server yang akan menerjemahkan skrip program,
kemudian hasilnya akan dikirim kepada client yang melakukan permintaan.(Firman
et al., 2016)
PHP adalah salah satu bahasa pemrograman open source yang sangat cocok
atau dikhususkan untuk pengembangan web dan dapat ditanamkan pada sebuah
skripsi HTML. Bahasa PHP dapat dikatakan menggambarkan beberapa bahasa
pemrograman seperti C, Java, dan Perl serta mudah untuk dipelajari.
2.2.8 MySQL
MySQL Merupakan sebuah database server yang free, artinya kita bebas
menggunakan database ini untuk keperluan pribadi atau usaha tanpa harus membeli
atau membayar lisensinya. MySQL pertama kali dirintis oleh seorang programmer
database bernama Michael Widenius. Selain database server, MySQl juga
merupakan program yang dapat mengakses suatu database MySQL yang berposisi
sebagai server, yang berarti program kita berposisi sebagai Client. Jadi MySQL
adalah sebuah database yang dapat digunakan sebagai client mupun
server.(Rahmawita & Fazri, 2018)
21
MySQL mampu menerima dan mengirimkan data dengan cepat, multi user
serta menggunakan peintah dasar SQL (Structured Query Language), suatu bahasa
permintaan database yang terstruktur. SQL terbagi menjadi tiga bentuk sebagai
berikut:
1. DDL (Data Definition Language)
Merupakan query yang digunakan untuk mendefinisikan data. Contohnya
seperti CREATE, DROP, dan ALTER.
2. DML (Data Manipulation Language)
Merupakan query yang digunakan untuk memanipulasi data. Contohnya
seperti INSERT, UPDATE, dana DELETE.
3. DCL (Data Control Language)
Merupakan query yang digunakan untuk memberikan hak otorisasi
mengakses Database, mengalokasikan space, pendefinisian space, dan
pengauditan penggunaan database. Contohnya seperti GRANT, REVOKE
GRANT, COMMIT, dan ROLLBACK.
2.2.9 Nginx
Nginx adalah software open-source yang memiliki kinerja tinggi sebagai
server HTTP dan reverse proxy. Nginx dengan cepat memberikan konten statis
dengan penggunaan efisien sumber daya sistem. Hal ini dapat menyebarkan
dinamis HTTP konten di jaringan menggunakan FastCGI handler untuk script, dan
dapat berfungsi sebagai perangkat lunak yang sangat mampu penyeimbang beban.
Nginx dibangun secara modular dan dengan demikian mampu mendukung berbagai
fitur seperti Load Balancing dan Reverse Proxying, Virtual hosts berbasis nama dan
22
IP, Fast CGI, akses langsung ke cache, SSL, Flash Video Streaming dan sejumlah
fitur-fitur standar lainnya. Nginx dapat dijalankan dan tersedia untuk platform
Unix, Linux, varian dari BSD, MacOS X, Solaris, dan Microsoft Windows.(Aziz &
Tampati, 2015)
Dalam penelitian ini penulis menggunakan NGINX sebagai reverse proxy
yang pada penelitian ini berfungsi untuk meneruskan layanan dari docker yang akan
dibuka pada port local dari docker yang kemudian mengkonfigurasi NGINX untuk
membuka ip dari docker tersebut kedalam sebuah virtualhost yang akan dijalankan
pada sebuah subdomain yang mengarah pada IP Publik dari server pool.
2.2.10 Docker
Docker adalah suatu platform terbuka bagi pengembang perangkat lunak
dan pengelola sistem jaringan untuk membangun, mengirimkan dan menjalanan
aplikasi-aplikasi terdistribusi. Definisi tersebut membawa pengertian praktis bahwa
Docker merupakan suatu cara memasukkan layanan ke dalam lingkungan terisolasi
bernama container, sehingga layanan tersebut dapat dipaketkan menjadi satu
bersama dengan semua pustaka dan software lain yang dibutuhkan. (Bik, 2017)
Pada penjelasan lain mengatakan bahwa, docker adalah platform perangkat
lunak yang memungkinkan untu membuat, menguji, dan menerapkan aplikasi
dengan cepat. Docker mengemas perangkat lunak ke dalam unit standar yang
disebut kontainer yang memiliki semua yang diperlukan perangkat lunak agar dapat
berfungsi termasuk pustaka, alat sistem, kode, dan waktu proses. Dengan
23
menggunakan Docker, dapat dengan cepat menerapkan dan menskalakan aplikasi
ke lingkungan apa pun dan yakin bahwa kode yang dimiliki akan berjalan. (AWS,
n.d.)
Dapat diartikan juga bahwa docker adalah sebuah virtualisasi yang bersifat
microservices yang memberikan layanan praktis berupa environment sebuah sistem
yang ingin kita buat yang memungkinkan kita untuk melakukan instalasi sebuah
virtualisasi pada sebuah PC/Server yang sifatnya tidak menyeluruh. Misalkan kita
hanya ingin membuat sebuah environment berbasis Apache-PHP maka hanya ada
kedua servis tersebut pada image dan container yang akan dijalankan. Berikut ini
adalah perbedaan dari teknologi container dari Docker dan Virtual Machines pada
umumnya.
Gambar 2. 4 Perbandingan Teknologi Container dan Virtual
Machines(Docker.com, n.d.)