bahagian pematuhan ict - direktori.mampu.gov.my
TRANSCRIPT
Bersama Melaksana Transformasi1
BAHAGIAN PEMATUHAN ICT
Bersama Melaksana Transformasi2
TUJUAN TAKLIMAT
PELAKSANAAN SPA
Pengumpulan Maklumat
Kick Off Meeting
Penyemakan Dasar Keselamatan ICT
Penilaian Keselamatan Fizikal
Pengujian Penembusan
Penilaian Keselamatan Rangkaian
OS Review
Network Device Review
Network Design Review
Wireless Assessment
Pelaporan
Bersama Melaksana Transformasi3
Berkongsi pengalaman PRISMA, MAMPU melaksanakan SPA di agensi kerajaan
Pengalaman PRISMA Pelaksanaan SPA bersama Pembekal
E-Tanah
SMPKE
Pelaksanaan SPA sepenuhnya oleh PRISMAKementerian Pelancongan Malaysia
Sasaran Tahunan2 Agensi Kerajaan
Menerangkan aktiviti-aktiviti terlibat di dalam SPA
Bersama Melaksana Transformasi4
Anggaran Kos pelaksanaan SPA oleh Pembekal
Bersaiz Kecil - 4 Pelayan, 2 Network Device, 1 Network segmen=> RM45,000.00
Bersaiz Sederhana- 8 Pelayan, 4 Network Device, 2 Network segmen=> RM80,000.00
Bersaiz Besar- 15 Pelayan, 10 Network Device, 4 Network segmen=> RM150,000.00
Kos tidak termasuk Tindakan Pengukuhan
Bersama Melaksana Transformasi5
Mencadangkan amalan terbaik Keselamatan ICT seperti MS ISO 27001, MyMIS dan lain-lain kepada agensi;
Mengenalpasti ancaman-ancaman pencerobohan, serta risiko-risiko yang mungkin dihadapi agensi
Mengenalpasti tahap keselamatan rangkaian ICT semasa agensi dan mencadangkan langkah pengukuhan bagi meningkatkan tahap keselamatan
Bersama Melaksana Transformasi6
LANGKAH 1
Pengumpulan Maklumat
Bersama Melaksana Transformasi7
Sebelum pelaksanaan SPA, maklumat-maklumat diperlukan adalah seperti berikut:
Memohon agensi menyenaraikan IP dalaman dan luaran bagi pelayan dan juga host untuk dibuat penilaian
Bil IP Address Luaran Sistem Pengoperasian Keterangan/Hostname
1. 202.190.210.139 Win2003 Spambuster
2. 202.190.210.143 CentOS DNS Motour
3. 202.190.210.144 CentOS Zimbra Mail Server
Bil IP Address Dalaman Sistem Pengoperasian Keterangan/Hostname
1. 172.17.10.210Win2003 Spambuster
2 172.17.10.11CentOS DNS Motour
3. 172.17.10.10CentOS Zimbra Mail Server
Bersama Melaksana Transformasi8
Memohon agensi menyenaraikan Network devices seperti Routers, Switch, Firewall serta configuration file (format txt)
Item IP Address Description
1. 192.168.210.140 Load Balancer (AscenLink)
2. 202.190.210.141 Router Jaring Cisco 2600)
3. 202.186.12.162 Router (Jaring Cisco 2600)
4. 192.168.1.254 Cisco ASA 5520 Firewall
5. 192.168.1.2 CoreSwitch (Cisco 4510R)(PWTC)
6. 172.17.51.0 MainSwitch Cisco 3550 (TheMall)
Softcopy Dasar Keselamatan ICT agensi
Bersama Melaksana Transformasi9
Memohon gambarajah logikal struktur rangkaian agensi.
Bersama Melaksana Transformasi10
Memohon nama-nama pegawai agensi yang terlibat di dalam struktur Pasukan Projek bagi pihak agensi
MAMPU AGENSI
SPA Project ManagerROSLI MD ZAIN
SPA Project Manager
SPA Team Members
FATMAWATI;SITI AMINAH HANUM;
NORMAZIAH MADZIZAT;NORISAH AKBAR.
AGENCY LIASON OFFICER
1. DBA;2. System Admin;3. Developer;4. ICTSO
SPA Team LeaderROSZELINDA KHALID
Langkah 1 – Surat Pekeliling Am Bil. 3 Tahun 2009
Bersama Melaksana Transformasi11
LANGKAH 2
Mesyuarat Kick-Off
Bersama Melaksana Transformasi12
Dihadiri bersama oleh pihak pengurusan agensi
Tujuan kick-off meeting:Menerangkan tujuan SPA diadakan
Menerangkan aktiviti-aktiviti yang terlibat di dalam SPA
Berbincang dan mendapat persetujuan bersama berhubung:
Senarai pelayan/host/network device. Persetujuan ini bagi mengelakkan sebarang perubahan pelayan/host semasa SPA dilaksanakan
Senarai nama pegawai agensi yang terlibat (agency liason officer) di dalam pasukan projek
Bersama Melaksana Transformasi13
Penerangan tugas dan tanggungjawab pelaksana, Pengurus Projek, Ketua pasukan projek, Ahli pasukan projek.
Jawatan Tanggungjawab
Pengurus Projek
Mengurus keseluruhan projek
Menyelesaikan isu-isu pelaksanaan;
Memastikan projek mengikut tempoh masa
Ketua Pasukan
Bertanggungjawab pelaksanaan keseluruhan
SPA
Penyediaan Laporan Penuh SPA
Ahli Pasukan
Melaksanakan aktiviti–aktiviti SPA;
Menganalisa data penemuan;
Cadangan dan tindakan untuk pengukuhan;
Bersama Melaksana Transformasi14
Persetujuan ke atas Jadual pelaksanaan projek SPA
#Keterangan Bil. Hari Bekerja Tempoh Masa
1 Mesyuarat Kick-Off 1 12 Ogos
2 Pelaksanaan SPA
Semakan Dasar Keselamatan ICT 3 13 – 17 Ogos
Pengujian Penembusan Luaran 15 17 Ogos – 7 September
Pengujian Penembusan Dalaman
Mesyuarat Kemajuan Projek - 01 1 8 September
Tindakan Pengukuhan 14 9 – 18 September
(21 – 25 Sept. Cuti Raya)
28 September – 5
Oktober
Penilian Keselamatan Fizikal
OS Review
Network Device Review
Bersama Melaksana Transformasi15
# Keterangan Bil. Hari Bekerja Tempoh Masa
Mesyuarat Kemajuan Projek - 02 1 6 Oktober
Network Design Review 7 7 – 16 Oktober
Wireless Assessment
Tindakan Pengukuhan
4 Analisis Data & Penyediaan Laporan 5 12 – 19 Oktober
5 Penghantaran Draft Laporan 1 19 Oktober
6 Maklumbalas Draf Laporan 5 20 – 26 Oktober
7Mesyuarat Penutup Projek
Penghantaran Laporan Penuh.
1 30 Oktober
Jumlah Hari 55 Hari
Bersama Melaksana Transformasi16
Penerangan rules of engagement
Pengujian penembusan yang dijalankan non-intrusive dan tidakakan mengubah, menghapuskan sebarang maklumat di dalamsistem agensi
Menunjukkan kelemahan yang ditemui boleh mencapaimaklumat agensi walaupun kelemahan tersebut berkeupayaanmenghapus atau mengubah maklumat.
Memberitahu tools yang akan digunakan semasa SPA dilaksanakan
Setelah selesai pelaksanaan SPA, MAMPU akan memastikansemua tools yang digunakan akan dikeluarkan darirangkaian/pelayan/host agensi
Bersama Melaksana Transformasi17
Deliverables SPA
Pembentangan penemuan kelemahan – Mesyuarat Kemajuan Projek (2 atau 3 kali)
Laporan Penuh SPA
Keperluan Semasa Pelaksanaan SPAPass masuk premis
Tempat/bilik untuk pasukan projek melaksanakan SPA
Network Connection untuk setiap ahli pasukan projek
Capaian ke atas aset ICT dengan hak pengguna(end user)
Bersama Melaksana Transformasi18
LANGKAH 3
SEMAKAN DASAR KESELAMATAN ICT
Bersama Melaksana Transformasi19
Langkah 2 – Surat Pekeliling Am Bil. 3 Tahun 2009
Tujuan Menyemak dasar keselamatan ICT agensi bagi memastikan sistem penyampaian perkhidmatan ICT senantiasa dalam keadaan tersedia dan boleh dipercayai
Kaedah PenilaianPerbincangan/Menemubual
Menggunakan Dasar Keselamatan ICT MAMPU sebagai penanda aras (Benchmark) atau senarai semak
Bersama Melaksana Transformasi20
Dasar Keselamatan ICT (DKICT) mengandungi :
Peraturan-peraturan yang perlu dipatuhi dalam menggunakan aset ICT;
Menerangkan kepada semua pengguna mengenai tanggungjawab dan peranan warga agensi dalam melindungi aset ICT.
Menerangkan perlindungan ke atas semua bentuk maklumat yang diwujud, dimusnah, disimpan, dijana, dicetak, diakses, diedar, dan yang dibuat salinan
Bersama Melaksana Transformasi21
Skop perlindungan merangkumi perisian, perkakasan, Data/Maklumat, Manusia, Premis dan Komunikasi
Prinsip asas Dasar Keselamatan ICT
Akses atas dasar perlu mengetahui
Hak akses minimum
Akauntabiliti
Pengasingan
Pengauditan
Pematuhan
Bersama Melaksana Transformasi22
Dasar Keselamatan perlu merangkumi 11 Bidang
1. Pembangunan dan Penyenggaraan DasarMenerangkan tentang pelaksanaan, penyebaran, penyelenggaraan , pengecualian dasar.
Contoh: Penyelenggaraan Dasar
“Dasar Keselamatan ICT MAMPU tertakluk kepada semakan danpindaan dari semasa ke semasa selaras dengan perubahanteknologi, aplikasi, prosedur, perundangan,dasar Kerajaan dankepentingan sosial.
Prosidur penyelenggaraan :
(a) Kenalpasti perubahan yang diperlukan;
(b) Kemuka cadangan pindaan kepada ICTSO untuk persetujuanJawatankuasa Keselamatan ICT (JKICT);
(c) Maklum kepada semua pengguna perubahan yang dipersetujui”
Bersama Melaksana Transformasi23
2. Organisasi KeselamatanMenerangkan peranan dan tanggungjawab individu yang terlibat denganlebih jelas dalam mencapai objektif Dasar Keselamatan ICT seperti KetuaPengarah, CIO, ICTSO, Pengurus IT
Contoh: Peranan ICTSO
“Peranan dan tanggungjawab ICTSO seperti berikut:
(a) Mengurus keseluruhan program-program keselamatan ICT MAMPU;
(b) Menguatkuasakan pelaksanaan Dasar Keselamatan ICT MAMPU;
(c) Memberi penerangan dan pendedahan Dasar Keselamatan ICT MAMPU kepada semua pengguna;
(d) Memberi amaran terhadap kemungkinan berlakunya ancamanberbahaya seperti virus dan memberi khidmat nasihat sertamenyediakan langkah-langkah perlindungan yang bersesuaian;
(e) Melaporkan insiden keselamatan ICT kepada Pasukan TindakbalasInsiden Keselamatan ICT Kerajaan (GCERT), MAMPU”
Bersama Melaksana Transformasi24
Dasar Keselamatan perlu merangkumi 11 Bidang
3. Pengurusan Aset
4. Keselamatan Sumber Manusia
5. Keselamatan Fizikal
6. Pengurusan Operasi dan Komunikasi
7. Kawalan Capaian
8. Perolehan, Pembangunan dan Penyelenggaraan Sistem
9. Pengurusan Pengendalian Insiden Keselamatan ICT
10. Dasar Kesinambungan Perkhidmatan
11. Pematuhan
Bersama Melaksana Transformasi25
LANGKAH 4
Penilaian KeselamatanFizikal
Bersama Melaksana Transformasi26
Langkah 3 – Surat Pekeliling Am Bil.3 Tahun 2009
TujuanMenilai kekuatan dan kelemahan kawalan keselamatan fizikal melalui pemerhatian persekitaran fizikal dan langkah keselamatan sedia ada
Kaedah PenilaianTemuduga/Pemerhatian/Pelan layout bangunan
Berdasarkan kepada senarai semak mengikut Standard ISMS (MS ISO 27001)/BS17999
Senarai semak
Bersama Melaksana Transformasi27
Results Summary for Physical Security Review
Location #
Checks
#
Passed
#
Failed
#
NA/NR
%
Passed
%
Failed
%
NA/NR
Server
Room 29 14 15 0 48% 52% 0%
Contoh Ringkasan Penemuan
Bersama Melaksana Transformasi28
LANGKAH 5
Pengujian Penembusan
Bersama Melaksana Transformasi29
Langkah 4 – Surat Pekeliling Am Bil. Tahun 2009
Tujuan
Mengenalpasti tahap keselamatan sistem rangkaian dan aset ICT dari ancaman pencerobohan secara luaran dan dalaman;
Untuk mengenalpasti kewujudan kelemahan yang sedia ada dan mengambil tindakan pengukuhan ke atas kelemahan tersebut.
Bersama Melaksana Transformasi30
Kaedah Pengujian
Pengujian Penembusan Luaran – Penilaian dilakukan secara jarak jauh (PRISMA) ke atas aset ICT yang boleh diakses dari luar/internet
Pengujian Penembusan Dalaman – Penilaian dilakukan ke atas aset ICT agensi melalui rangkaian dalaman.
Bersama Melaksana Transformasi31
Metodologi Pengujian Penembusan
Bersama Melaksana Transformasi32
Vulnerability Assessment
Melaksanakan imbasan ke atas sistem rangkaian dan aset ICT agensi
Laporan imbasan mengandungi keterangan kelemahan yang ditemui serta kategori risiko kelemahan samada Tinggi, Sederhana, Rendah.
Menerangkan saranan/cadangan pengukuhan bagi mengatasi kelemahan
Bersama Melaksana Transformasi33
# Nama FUNGSI
1. Nmap Port Scanner
2. Nessus / Newt Pro Vulnerabilities Scanner
3. Amap Application Fingerprinting
4. Paros Application Proxy and Scanner
5. Spike proxy Application proxy and scanner
6. Nikto Web App vulnerability scanner
7. Nbtdump NetBIOS scanner
Bersama Melaksana Transformasi34
Name PHP < 5.2.1 Multiple Vulnerabilities (Plugin ID: 24907)Port http (80/tcp)Risk Level HighDetail Synopsis :
The remote web server uses a version of PHP that is affected by multiple flaws.
Description :
According to its banner, the version of PHP installed on the remote host is older than 5.2.1.
Such versions may be affected by several issues, including buffer overflows, format string
vulnerabilities,arbitrary code execution, 'safe_mode' and 'open_basedir' bypasses, and
clobbering of super-globals.
Output:
PHP version 5.2.0 appears to be running on the remote host based on the following Server
response header :
Server: Apache/2.2.3 (Win32) DAV/2 mod_ssl/2.2.3 OpenSSL/0.9.8d mod_autoindex_color
PHP/5.2.0
Reference :
CVE: CVE-2006-6383, CVE-2007-0905, CVE-2007-0906, CVE-2007-0907, CVE-2007-
0908
Solution Upgrade to PHP version 5.2.1 or later.
Bersama Melaksana Transformasi35
Name Web Server info.php / phpinfo.php Detection (Plugin ID: 11229)
Port http (80/tcp)
Risk Level Medium
Detail Synopsis :
The remote web server contains a PHP script that is prone to an information disclosure
attack.
Description :
Many PHP installation tutorials instruct the user to create a PHP file that calls the PHP
function 'phpinfo()' for debugging purposes. Various PHP applications may also include such
a file. By accessing such a file, a remote attacker can discover a large amount of
information about the remote web server, including :
- The IP address of the host.
- The version of the operating system.
- The web server version.
- The root directory of the web server.
- Configuration information about the remote PHP
installation.
Output:
Nessus discovered the following URL that calls phpinfo() : http://172.17.10.13/phpinfo.php
Solution Remove the affected file(s).
Bersama Melaksana Transformasi36
Manual Penetration Test
Memecah katalaluan (password cracking) sistem dan perisian yang digunakan;
Menjalankan pengujian keteguhan aplikasi dan rangkaian dari ancaman seperti denial of service;
Menjalankan ujian keselamatan aplikasi melalui teknik-teknik seperti SQL Injection, Cross-site Scripting, URL Injection, Injection Flaws, Malicious File Execution, Web Defacement, Man In The Midle Attack , Directory Harvesting, Parameter Tampering, Backdoor Access dan lain-lain;
Bersama Melaksana Transformasi37
Finding 1 Mail Server Weak Password
Risk Level HIGH
URL / IP 202.190.210.144
Description
Attacker able to login into the mail system by using a simple username and password. • [email protected]:123456• [email protected]:123456• [email protected]:123456• [email protected]:654321• [email protected]:123456
Impact Attacker could take control the mail.
Bersama Melaksana Transformasi38
Finding 1 Mail Server Weak Password
Solution Set the strong or complex password
Able to access the mail using username=info and password 123456
Bersama Melaksana Transformasi39
Finding 2 PHPMyAdmin without Password
Risk Level HIGH
Affected URL / IP 172.17.10.13
DescriptionPhpMyAdmin is a tool written in PHP intended to handle the
administration of MySQL over the Web
Impact
It can create and drop databases, create/drop/alter tables,
delete/edit/add fields, execute any SQL statement, manage
key on fields.
Bersama Melaksana Transformasi40
Finding 2 PHPMyAdmin without Password
SolutionCreate Authentication page for allowing authorised user
only
http://172.17.10.13/phpmyadmin
Bersama Melaksana Transformasi41
Finding 3 Blind SQL Injection
Risk Level HIGH
Affected URL / IP 172.17.10.16
Description
The vulnerability is present when user input is either
incorrectly filtered for string literal escape characters
embedded in SQL statements or user input is not strongly
typed and thereby unexpectedly executed.
Impact‘No. Kad Pengenalan” field in Login page are prone to SQL
Injection attack.
Bersama Melaksana Transformasi42
Able to inject backdoor
using SQL Map
Bersama Melaksana Transformasi43
Finding 3 SQL Injection
SolutionFilter user supplied value before use in any SQL
query.
Bersama Melaksana Transformasi44
LANGKAH 6
OS Review
Bersama Melaksana Transformasi45
Langkah 5 – Surat Pekeliling Am Bil. 3 Tahun 2009
Tujuan
Menyemak keselamatan sistem pengoperasian berdasarkankepada amalan terbaik.
Kaedah
Menyemak konfigurasi/setting sistem pengoperasian pelayandengan senarai semak berdasarkan amalan terbaik - Center For Internet Security Benchmark (www.cisecurity.org)
Semakan secara Manual atau menggunakan Tools –Helix/Nessus (Windows), Bastille/Lynis – Linux/OpenBSD
Bersama Melaksana Transformasi46
Bersama Melaksana Transformasi47
Bersama Melaksana Transformasi48
Muat Turun Senarai Semak/Checklist
Bersama Melaksana Transformasi49
Ref. No Policy Name Policy Value (value data)
1.0 Auditing and Account Policies - Password Policy (PP)
1.1 Password History 24 passwords remembered
1.2 Maximum Password Age 90 Days
1.3 Minimum Password Age 1 Day
1.4 Minimum Password Length 12 Characters
2.0 Auditing and Account Policies - Account Lockout Policy (ALP)
2.1 Account Lockout Duration 15min
2.2 Account Lockout Threshold 3 attempts
3.0 Set The Audit Policy
3.1 Audit Account Logon Events Success, Failure
3.2 Audit Account Management Success, Failure
3.3 Audit Logon Events Success, Failure
3.4 Audit Object Access Success, Failure
3.5 Audit Policy Change Success, Failure
3.6 Audit System Events Success, Failure
Checklist - Windows
Bersama Melaksana Transformasi50
Password Policy
# Policy NameConfiguration
Parameter
Recommended
Settings1 PSW-1. Force Users to Change their
Password PASS_MAX_DAYS 90
2 PSW-2. Force Users' password length
minimum to 12PASS_MIN_LEN 12
User Access Right via File Permissions Settings for Log Files
# Policy NameRecommended
Settings1 LOG-1. Make The File /var/log only Readable for Root 07002 LOG-2. Make The File /var/log/messages only Readable for Root 06003 LOG-3. Make The File /var/log/dmesg only Readable for Root 06004 LOG-4. Make The File /var/log/boot.log only Readable for Root 06005 LOG-5. Make The File /var/log/lastlog only Readable for Root 0600
Checklist – Linux/OpenBSD
Bersama Melaksana Transformasi51
Contoh Ringkasan Penemuan
RESULT SUMMARYIP Address Server name # Checks # Passed # Failed
172.17.10.12 Jerejak 38 9 (24%) 27 (71%)
172.17.10.11 Tioman 38 11(29%) 26(68%)
172.17.10.80 Motour 72 33(46%) 38(53%)
172.17.35.24 Test_Server 72 32(44%) 38(53%)
Bersama Melaksana Transformasi52
LANGKAH 6
Network Device Review
Bersama Melaksana Transformasi53
Langkah 5– Surat Pekeliling Am Bil.3 Tahun 2009
Tujuan
Memastikan konfigurasi perkakasan seperti rangkaianrouters, switches dan firewall adalah selamat dan tidakmempunyai kelemahan yang boleh diexploitasi olehpenceroboh.
Kaedah
Menyemak konfigurasi/setting perkakasan rangkaiandengan senarai semak amalan terbaik - Center For Internet Security Benchmark (www.cisecurity.org)
Bersama Melaksana Transformasi54
Semakan secara Manual atau menggunakan Tools – NIPPER (open source)
Configuration file yang dipohon kepada agensidalam format txt akan dianalisis oleh tools NIPPER
Contoh Penemuan Kelemahan Routers
Bersama Melaksana Transformasi55
Contoh firewall rules yang tidak mengikut amalan terbaik
Line Permission Protocol Source Source
Port
Destination Destination
Port
Log Active
1 Permit ip any any any any No Yes
2 Permit DM_INLINE_SERVI
CE_1
any any any any No No
3 Permit ip any any DM_INLINE_NET
WORK_2
any No No
4 Permit tcp jerejak any any any No No
5 Permit ip DM_INLINE_NETW
ORK_3
any any any No No
6 Permit tcp any any mail-int smtp No No
7 Permit tcp DM_INLINE_NETW
ORK_1
any any DM_INLINE
_TCP_1
No No
1. Protocol IP bermaksud – semua network protocol seperti icmp, udp, smtp
2. Source & Destination set from any to any
Bersama Melaksana Transformasi56
LANGKAH 7
Network Design Review
Bersama Melaksana Transformasi57
Contoh: RekabentukRangkaian yang baik
Langkah 5– Surat Pekeliling Am Bil. 3 Tahun 2009
Bersama Melaksana Transformasi58
LANGKAH 8
PENILAIAN WIRELESS LAN
Bersama Melaksana Transformasi59
TujuanMenilai tahap keselamatan sistem rangkaian tanpa wayar (wireless LAN) agensi.
KaedahWar Driving – bagi mengesan AP (Access Point) yang ada dan mengenalpasti kelemahan yang ada seperti jenis enkripsi yang digunakan (WEP,WPA,WPA2, Open)
Penilaian dilakukan berdasarkan kepada Surat Arahan KSN – Langkah-langkah memperkukuhkan Keselamatan Rangkaian Tanpa Wayar (Wireless LAN) Agensi Kerajaan
Tools - KISMET
Langkah 5– Surat Pekeliling Am Bil.3 Tahun 2009
Bersama Melaksana Transformasi60
LANGKAH 9
PELAPORAN
Bersama Melaksana Transformasi61
Laporan Berasingan
Rumusan Eksekutif
Laporan Teknikal
Laporan Penyemakan Dasar Keselamatan
Penilaian Keselamatan Fizikal
Pengujian Penembusan Dalaman & Luaran
OS Review
Network Review (Network Design, Network
Device, Wireless Assessment)
Langkah 6 & 7– Surat Pekeliling Am Bil.3 Tahun 2009
Bersama Melaksana Transformasi62
Pelaksanaan aktiviti SPA melibatkan aktiviti:
Pengumpulan Maklumat, Pasukan Projek, Kick Off Meeting
Semakan Dasar Keselamatan
Penilaian Keselamatan Fizikal
Pengujian Penembusan
Penilaian OS, Network Device, Network Design dan Wireless
Analisa Penemuan dan Pelaporan
Agensi boleh melaksanakan SPA sendiri sepenuhnya;
Agensi boleh melaksanakan SPA sendiri kecuali melantik pembekaluntuk melaksanakan pengujian penembusan;
Melantik pembekal melaksanakan SPA dengan melibatkanpegawai agensi sepenuhnya untuk persediaan SPA seterusnya.
Bersama Melaksana Transformasi63