KURSUS KESELAMATAN ICT UNTUK STAF SKIM F

KURSUS KESELAMATAN ICT UNTUK STAF SKIM FTs. Mohd Firdaus Fairoz bin Zairolazhar

5 – 6 Julai 2021

Anjuran ILD Perak

• Kursus ini memberi pendedahan mengenaikeselamatan ICT di pejabat.

• Diakhir kursus ini, anda boleh:– Mengetahui prinsip, garis panduan dan dasar keselamatan

ICT– Mengetahui ancaman dan risiko keselamatan ICT– Mengetahui kaedah menjaga keselamatan ICT

KURSUS KESELAMATAN ICTUNTUK STAF SKIM F

3

Tentatif

1

4

Masa 5 Julai 2021 6 Julai 2021

09.00 – 10.45 Pengenalan Keselamatan Web

11.00 – 12.45 Akses Keselamatan Ujilari Keselamatan Web

12.45 - 14.00 Rehat

14.00 - 15.15 Keselamatan Emel Penyelenggaraan Keselamatan ICT

15.30 – 16.45 Keselamatan Maklumat Aduan Keselamatan ICT

Pengenalan

Keselamatan Emel

KANDUNGAN

1Akses Keselamatan 2

3

5

Keselamatan Maklumat 4

KANDUNGAN (samb.)

6

Keselamatan Web

Penyelenggaraan Keselamatan ICT

5Ujilari Keselamatan Web 6

7Aduan Keselamatan ICT 8

7

Populasi Malaysia32.57 juta orang

Pengguna Internet27.43 juta orang

Pengguna Aktif Social Media28 juta orang

Langganan Mobile39.99 juta akaun

Sumber: https://datareportal.com/

Global Digital Report – Jan 2021

84% daripada populasi

86% daripada populasi

8


Global Digital Report – Jan 2021 (samb.)

Purata masa penggunaanInternet sehari

9 Jam 17 Minit

Purata masa penggunaanSocial Media sehari

3 Jam 01 Minit

Purata masa menonton TV / Streaming Media sehari

2 Jam 55 Minit

Purata masa mendengarmuzik (streaming) sehari

1 Jam 35 Minit

9


17.6%

19.5%

19.6%

23.3%

25.4%

30.4%

33.1%

35.5%

37.8%

41.5%

49.0%

64.3%

74.7%

89.1%

91.9%

93.7%

Tumblr

Reddit

Line

Snapchat

Skype

Pinterest

LinkedIn

Tiktok

Telegram

WeChat

Twitter

FB Messenger

Instagram

Facebook

Whatsapp

Youtube

Platform Social Media Paling Aktif

Global Digital Report – Jan 2021 (samb.)

10


58%

44%40%

34%

27%

16 - 24 tahun 25 - 34 tahun 35 - 44 tahun 45 - 54 tahun 55 - 64 tahun

Covid-19: Peningkatan Penggunaan Media Sosial Berdasarkan Kumpulan Umur

Global Digital Report – Julai 2020

11


57%

42%37%

34%

26%

59%

48%43%

34%30%

16 - 24 tahun 25 - 34 tahun 35 - 44 tahun 45 - 54 tahun 55 - 64 tahun

Covid-19: Peningkatan Penggunaan Media Sosial Berdasarkan Kumpulan Umur

Lelaki Perempuan

Global Digital Report – Julai 2020 (samb.)

12

Sumber: Bernama.com & Star Online

Berita

13

Sumber: ITU Telecommunication Development

Global Cybersecurity Index 2018

14

Global Cybersecurity Index 2018 (samb.)

Sumber: ITU Telecommunication Development

16

Intelligent Connectivity – 2021

17

Gambaran Web

18

Ancaman Siber

Penipuan AtasTalian

KetirisanMaklumat TerperingkatNegara

Hacktivism PenggunaanInternet oleh GerakanTerancang

Serangan ke atasinfrastrukturmaklumat kritikalnegara

KandunganInternet (negatif), laman web & blog yang mempengaruhifikiran masyarakat

19

Aplikasi apa lagi yang menggunakanakaun email?

Media Sosial?

Aplikasi pembelian online?

Maklumat perbankan / kata laluan / peribadi di dalam emel?

Adakah kata laluan ini samauntuk aplikasi yang lain?

20

Sumber: Cyber Security Malaysia

5 Jenis Penjenayah Siber

The social engineer

The Spear Phisher

The Hacker

The Rogue Employee

The Ransom Artist

• Black Hat– Penggodam yang tidak diberikan kebenaran untuk mengakses

sistem komputer dan mengeksploitasi untuk kepentinganperibadi atau kumpulan.

• White Hat– Penggodam yang diberikan kebenaran oleh pemilik untuk

menguji keselamatan sistem komputer dan melaporkan hasilpenggodaman kepada pemilik.

Jenis Penggodam

22

• Hacking (godam)– adalah perbuatan mengubah fungsi perisian atau perkakasan

• Ethical (Beretika)– mempunyai etika atau berpegang pada etika (Kamus Bahasa

Melayu, Dewan Bahasa dan Pustaka)

• Ethical Hacking = Penetration Testing• Ethical Hacking = White Hat

Ethical Hacking

23

24

Ancaman Siber (LIVE)

• https://cybermap.kaspersky.com

• https://threatmap.fortiguard.com

• https://threatmap.checkpoint.com/ThreatPortal/livemap.html

Link tersebut adalah betul dan boleh digunakan semasa nota ini disediakan.

25

Google Dorking

• “hacked by” site:domain.edu.my• “greetz” site:domain.edu.my• “defaced by” site:domain.edu.my

26

Google Dorking (samb.)

• “hacked by” site:uitm.edu.my• “greetz” site:uitm.edu.my• “defaced by” site:uitm.edu.my• site:uitm.edu.my filetype:xls• site:uitm.edu.my filetype:doc

27

https://thehackernews.com

Isu Semasa Keselamatan ICT


Pengenalan

1

Simulasi Keselamatan

29

1

Risiko

30

1

Keseimbangan Sistem ICT

31

1Kebolehgunaan

(Usability)Keselamatan

(Security)

Jika mahukan privasi

32

1

Lebih privasi• DuckDuckGo• iPhone• Signal• ProtonMail• VPN

Kurang privasi• Google• Android• Whatsapp• GMail• Tanpa VPN

Sumber: https://www.freemalaysiatoday.com/category/opinion/2021/02/09/5-more-steps-to-stop-your-smartphone-spying-on-you-secretly/

Prinsip asas keselamatan ICT

33

Confidentiality (Kerahsiaan)

Integrity (Keutuhan)

Availability (Ketersediaan)

1

Kawalan keselamatan ICT

34

Password, Identity

Infrastructure, Hardware, Software

Backup

1

• Sebagai rujukan utamamengenai Keselamatan ICT

• Supaya staf UiTM dan pihakketiga– Patuh dengan peraturan Dasar

Keselamatan ICT– Menggunakan kemudahan ICT

dengan berhemah– Menjaga keselamatan aset ICT

Dasar Keselamatan ICT v2.0

35

1

• Objektif– Memastikan kelancaran operasi universiti– Melindungi kepentingan staf dan sistem aplikasi– Memastikan aset ICT terlindung daripada

ancaman– Mencegah kes-kes penyalahgunaan

Dasar Keselamatan ICT v2.0 (samb.)

36

1

• Common Vulnerabilities and Exposure (CVE)– Sistem kaedah rujukan kelemahan dan keselamatan– Format CVE - <tahun> - <no. indeks>– Contoh CVE-2018-0001

• Common Weakness Enumeration (CWE)– Sistem pengkategorian kelemahan perisian berindeks

• Common Vulnerability Scoring System (CVSS)– Skor 0 hingga 10– Skor 10 paling lemah atau berisiko tinggi– Versi terkini versi 3

Sistem Penilaian Kelemahan

37

1

Sistem Penilaian Kelemahan (samb.)

38

CVE CWE CVSS

What is it?A dictionary of publicly known security vulnerabilities and exposures.

A community-developed dictionary of software weakness types.

A vendor-agnostic industry open-standard designed to convey vulnerability severity.

Main Benefit

Easier to share vulnerability data across different databases and tools. Different security tools can now “talk” to each other using a common language.

Provides a standard measuring stick for software security.

Helps determine urgency and priority of response when vulnerabilities are detected.

SolutionProvides a baseline for evaluating the coverage of an organization’s security tools.

Provides a common baseline for weaknesses identification, mitigation and prevention efforts.

Solves the problem of multiple incompatible scoring systems.

More information http://cve.mitre.org/index.html https://cwe.mitre.org http://www.first.org/cvss

Sumber : https://www.acunetix.com/blog/articles/better-scan-results-cvss-cve-cwe/

1

• https://ppii.uitm.edu.my > Muat Turun > Dasar dan Pekeliling ICT > Dasar, GarisPanduan dan MPK

Dasar Keselamatan ICT v2.0 (samb.)

39

1


• Panduan terkini keselamatan ICT UiTM bolehdirujuk di laman web PPII

• https://ppii.uitm.edu.my > Muat Turun > Nota, Panduan dan FAQ > Panduan ICT

Panduan Keselamatan ICT

40

1


41

https://www.hacksplaining.com/lessons

Tutorial Keselamatan ICT


1

People

TechnologyProcess

People-Process-Technology Framework

42

1

Akses Keselamatan

2

44

https://haveibeenpwned.com/Passwords

Kata Laluan 2


Kata Laluan

45

2• Mesti melebihi 8 aksara yang mengandungi:

– Huruf besar, huruf kecil– Nombor– Simbol

Atau

• Menggunakan passphrase• Contoh : Sayasukamakannasikerabu!

Kata Laluan (samb.)

46

2• Kata laluan ibarat Berus Gigi

– Perlu kerap ditukar– Jangan kongsi kata laluan dengan orang lain

• Gunakan kata laluan berbeza untuk aplikasi berbeza• Contoh:

Olymp!cJapan2021@facebookOlymp!cJapan2021@xyzbankOlymp!cJapan2021@gmail

Kata Laluan (samb.)

47

• Gunakan akaun emel berbeza untuk setiap aspek kehidupan(rasmi, sosial, perbankan dan lain-lain)

• Gunakan two factor authentication jika disediakan

2

Kata Laluan (samb.)

48

2

49

https://howsecureismypassword.net

Kata Laluan (samb.) 2


Web SSO

50

2• Kemudahan warga UiTM untuk mengakses aplikasi

UiTM dalam 1 portal (https://sso.uitm.edu.my)

• Pengguna perlu gunakan 1 akaun untuk mengakses– Emel UiTM– FinePortal– StaffPortal– Dan banyak lagi

https://sso.uitm.edu.my/

Web SSO (samb.)

51

2• Pengesahan pengguna sistem aplikasi (user

authentication) boleh dihubungkan menggunakan:– LDAP– OAuth– SAML

• Mengisi tiket UnITS• Kategori : Keselamatan – Web SSO• Sub kategori : Others• Details:

– Jenis permohonan : LDAP / Oauth / SAML*– Nama Aplikasi: <nama aplikasi> (<redirect url selepas

login>)– Jenis Pengguna: Staf / Pelajar / Staf dan Pelajar– Akses dari: Intranet / Internet

• Attachment: *fail metadata sistem aplikasi (Jika permohonan SAML)

2Permohonan pembangunan SSO untukaplikasi

Lightweight Access Protocol (LDAP)• Menggunakan Directory Service untuk menyimpan data pengguna• User Authentication setempat• Pengurangan pengesahan aplikasi• Mudah untuk pelarasan polisi kata laluan di seluruh aplikasi• Membolehkan penggunaan 1 kata laluan untuk perkhidmatan kendiri (Reset Kata

Laluan)• Tidak perlu kefahaman enkripsi dan algoritma hashing untuk menggunakan LDAP

binding untuk pengesahan• Kata laluan pengguna tidak disimpan dalam teks yang jelas• Rekabentuk login page tidak terikat dengan login page WebSSO• Pengaturcara boleh mereka login page yang khusus untuk sistem aplikasi

2Pembangunan SSO untuk aplikasi

Security Assertion Markup Language (SAML)• Berasaskan rangka kerja Extensible Markup Language (XML) yang digunakan untuk

menyatakan Penggesahan Pengguna, Kelayakan, dan Maklumat Atribut di antaraIdentity Provider dan Service Provider

• Cenderung ke arah Enterprise Security• SAML menggunakan sesi pelayar untuk penggesahan pengguna. Jadi ia sesuai untuk

aplikasi yang digunakan dalam tempoh singkat seperti sistem perbankan.• Identity Provider (SSO UiTM)• Service Provider (Sistem aplikasi UiTM)

2Pembangunan SSO untuk aplikasi (samb.)

Open-standard Authorization Protocol / Framework (OAuth)• Berasaskan rangka kerja JavaScript Object Notation (JSON)• Membolehkan rekabentuk capaian aplikasi yang selamat dan pengalaman mudah-

alih ringkas• Penggunaan Oauth sesuai untuk aplikasi web, konsol permainan dan Internet of

Things (IoT) kerana menggunakan Application Programming Interface (API)• Pengesahan pengguna dilakukan dengan menggunakan token pengesahan

(Authorization Token) sebagai bukti identity pengguna yang sah kepada penyediaperkhidmatan (Service Provider)

• Pengesahan pengguna dilakukan tanpa memindahkan kata laluan pengguna keaplikasi yang lain

• Meningkatkan tahap keselamatan kerana kata laluan pengguna kekal di dalampangkalan data penyedia identiti (Identity Provider)

2Pembangunan SSO untuk aplikasi

• Pembangun sistem perlu membuat konfigurasi akses SSO berdasarkan jadual di bawah

Status Sesi Selepas LOGOUT Redirect Page After Logout

Senario Authentication Medium / Type

Setiap aplikasi perlu ada logout page

Pernyataan berikut perlu dinyatakan dalam logout page“Sesi SSO hanya boleh tamat dengan Logout dari portal SSO / tutup

pelayar. “

URL Jenis Sesi LDAP OAuth SAML

Direct DomainSesi Aplikasi Tamat Tamat Tamat

Sesi SSO Tidakberkaitan Kekal Kekal

Redirect Page from SSO PortalSesi Aplikasi Tamat

Sesi SSO Kekal

* Pembangun sistem – apabila logout button/menu di klik, sesi aplikasi tersebut ditamatkan.

2Pembangunan SSO untuk aplikasi (samb.)

3

Keselamatan Emel

Keselamatan Emel

58

3• Terdapat 2 jenis ancaman keselamatan emel

– Emel SCAM (penipuan)– Emel Ugutan

Ciri-ciri emel SCAM

59

3• Menceritakan perkara yang meminta penerima

mengambil tindakan segera

• Selalunya emel dilampirkan dengan Attachment yang mengandungi malware dan/atau url link

• Teknik ini juga digunakan untuk memancing mangsauntuk memberikan kata laluan (teknik phishing)

Ciri-ciri emel SCAM (samb.)

60

3

Ciri-ciri emel Ugutan

61

3• Memaklumkan bahawa rahsia anda bakal

terbongkar jika tidak membayar sejumlahwang.

• Meminta wang dalam bentuk cryptocurrency dalam tempoh terhad

Ciri-ciri emel Ugutan (samb.)

62

3

Semakan emel

63

3

https://haveibeenpwned.comLink tersebut adalah betul dan boleh digunakan semasa nota ini disediakan.

Tindakan

64

3• Membuat aduan melalui Sistem Aduan ICT

(https://units.uitm.edu.my)

• Menghantar salinan emel kepada BahagianKeselamatan ICT

• Jangan mengambil tindakan untuk membalasatau mengikut kehendak pengirim emeltersebut

https://aduanict.uitm.edu.my/

Tips keselamatan Emel

65

• Gunakan akaun emel berbeza untuk setiap aspek kehidupan

• Contoh:• Emel rasmi• Emel urusan perbankan• Emel sosial

3

Keselamatan Maklumat

4

Data adalah Aset

67

https://ig.ft.com/how-much-is-your-personal-data-worth/Link tersebut adalah betul dan boleh digunakan semasa nota ini disediakan.

4

Data adalah Aset (samb.)

68

https://calc.datum.org/Link tersebut adalah betul dan boleh digunakan semasa nota ini disediakan.

4

Data adalah Aset (samb.)

69

https://www.privacyaffairs.com/dark-web-price-index-2021/Link tersebut adalah betul dan boleh digunakan semasa nota ini disediakan.

4

Ransomware

70

4

Back Up

71

4• Back Up adalah salinan sumber yang boleh

digunakan untuk menggantikan sumber utama yang gagal atau terhapus

• Setiap pentadbir sistem / pemilik server bertanggungjawab membuat Back Up seperti yang dinyatakan di dalam Dasar Keselamatan ICT

Back Up (samb.)

72

4• Sekurang-kurangnya 3 generasi Back Up perlu

diadakan

• Sekiranya berlaku masalah teknikal, back up ini sediauntuk digunakan

Grand Parent Parent Child Backup yang

terkini

Cloud

73

4• Pengunaan perkhidmatan Cloud sebagai alternatif

penyimpanan maklumat adalah digalakan.

• Antara perkhidmatan Cloud yang sedia ada dilangganoleh UiTM adalah Microsoft Office OneDrive dan Google Drive

• Pengaktifan akaun Microsoft Office 365 menggunakan domain <nama>@staf.uitm.edu.my diperlukan

Keselamatan Web

5

Perbandingan jangkitan 2017 - 2018

75

Sumber: Hacked Website Report 2018 – Sucurihttps://sucuri.net/reports/19-sucuri-2018-hacked-report.pdf

5

76

5

Sumber: https://sucuri.net/wp-content/uploads/2020/01/20-sucuri-2019-hacked-report-1.pdf

Perbandingan jangkitan 2018 - 2019

Jenis Jangkitan - 2018

77


5

Jenis Jangkitan - 2019

78

Sumber: https://sucuri.net/wp-content/uploads/2020/01/20-sucuri-2019-hacked-report-1.pdf

5

3 fail yang sering diubahsuai oleh Malware - 2018

79


wp-config.phpThis file contains sensitive information about the database, including name, host, username, and password

5

Versi PHP

80

Sumber:https://www.php.net/supported-versions.phphttps://sucuri.net/wp-content/uploads/2020/01/20-sucuri-2019-hacked-report-1.pdf

5

Plugin

81

• The most notorious threats to CMS’ stem from vulnerabilities introduced by add-on modules, plugins, themes, and extensions.


5

Modus Operandi Defacement

82

5

1. penggodam mendaftarkan akaunsebagai “pengguna” di dalam sistemdan memuatnaik fail backdoor bernama "uploader.php"

3. fail index.php yang mengandungi web defacement telah dimuatnaik

2. penggodam mengakses "uploader.php" untuk memuatnaik fail index.php

83

Amalan Baik Keselamatan Web Aplikasi

Ini bermakna terdapat kawalanpendaftaran pengguna yang

bukan staf UiTM.

Sebarang domain selain [email protected] adalah tidak dibenarkan.

Kawalan pendaftaran pengguna. Gunakanemel rasmi UiTM sebagai pengesahanidentiti pengguna

5

84

Amalan Baik Keselamatan Web Aplikasi(samb.)

[email protected]

Kemudian, Kod Pengaktifan akaun akan dihantar ke emel rasmi uitm. Ini bermakna pengguna tersebut perlu mengakses emel rasmiUiTM untuk mengaktifkan akaun.

Contoh: <akaun emel> @uitm.edu.my

sistem akan menolakakses tersebut.

5

85

– Rekodkan log pendaftaran pengguna, log akses masuk, dan log akses keluar di dalam pangkalan data berdasarkantarikh dan masa. Ini bagi memudahkan analisa forensikdilakukan jika berlaku suatu insiden.


– Masukkan fungsi CAPTCHA untuk membezakanpendaftaran tersebut dilakukan manusia dan bukannyaBOT.

5

86

• Kawalan pangkalan data– Jangan gunakan akaun root dalam database connection

untuk semua sistem.


– Ini meningkatkan risiko apabila akaun root diperolehi dan boleh digunakan untuk mengakses pangkalan data sistemlain yang terdapat dalam server tersebut.

5

87

• Kawalan file upload– Perlu ada kawalan jenis fail yang dibenarkan memuat naik

ke dalam sistem. Sudah tentu pengguna biasa tidak adakeperluan memuat naik fail jenis .php, .xml, .asp dan sebagainya.


– Jika tiada kawalan, penyerang boleh memuat naik fail yang mengandungi backdoor untuk mengawal server tersebut.

5

Ujilari Keselamatan ICT

6

OWASP Top 10 - 2017

89

1. Injection2. Broken Authentication3. Sensitive Data Exposure4. XML External Entities (XXE)5. Broken Access Control

6. Security Misconfiguration7. Cross-Site Scripting (XSS)8. Insecure Deserialization9. Using Components with

Known Vulnerabilities10. Insufficient Logging and

Monitoring

Sumber: https://www.owasp.org

6

Hacked Website Report 2018

90

Common issues and themes in CMS vulnerabilities:• Improper deployment• Security configuration issues• A lack of security knowledge or resources• Overall site maintenance by webmasters• Broken authentication and session management


6

Hacked Website Report 2018 (samb.)

91

Websites are compromised daily due to outdated and insecure software, stolen credentials, and poorly configured environments. We believe this stems from a variety of reasons:• Issues with backwards compatibility• Reuse of leaked passwords• Cross-site contamination• Highly customized deployments• Pirated software with backdoors and other malware• Neglected sites or a lack of resources to migrate to newer

CMS versions


6

Carta Alir: Proses Kerja Permohonan Domain Bagi Sistem/Web

92

Sumber: http://ppii.uitm.edu.my/main/images/faq/Surat_Pemakluman_Proses_Permohonan_Domain_dan_Forensik_Digital.pdf

6

Carta Alir: Proses Kerja Forensik Digital

93

Sumber: http://ppii.uitm.edu.my/main/images/faq/Surat_Pemakluman_Proses_Permohonan_Domain_dan_Forensik_Digital.pdf

6

Tools

94

https://www.virustotal.comLink tersebut adalah betul dan boleh digunakan semasa nota ini disediakan.

6

Tools (samb.)

95

Nessus EssentialNmaphttps://observatory.mozilla.org

6

PenyelenggaraanKeselamatan ICT

7

Penyelenggaraan

97

7• Windows Update

– Pengguna perlu tahu pentingnya Windows Update– Windows Update membolehkan patch dilakukan– “Patch Tuesday” merupakan hari Selasa kedua dalam bulan

semasa untuk Windows Security Patch

• Anti Virus– Pastikan definition antivirus dikemaskini dan yang terkini– Kegagalan perisian mendapatkan definition terkini

mengakibatkan antivirus tidak dapat mengenalpasti jenisvirus baru

Anti Virus

98

7• Rename PC selepas klon• Pentadbir Sistem Anti Virus boleh mengakses

Console Anti Virus untuk melihat komputer yang paling banyak menerima serangan virus

• Kegagalan rename PC mengakibatkan hanya ada 1 nama PC sahaja dapat dilihat pada Console Anti Virus

Port Rangkaian - Common & Safe

99

Nama Port Inbound Outbound

FTP* 21 /

SSH* 22 / /

HTTP 80 / /

HTTPS 443 / /

SMB / File Sharing / Microsoft-ds* 445 /

RDP 3389 /

* Perlu pemantauan keselamatan ICT

Selain dari port yang dinyatakan admin server kena beri justifikasi kenapa perlu open pada server

7

AduanKeselamatan ICT

8

Sistem Aduan ICT

101

• Kategori Aduan di bawahKeselamatan ICT– Antivirus– Domain *.uitm.edu.my– Insiden– SMTP Gateway– SSL/TLS– Web Application Firewall (WAF)– Web SSO

• https://units.uitm.edu.my

8

Tips keselamatan ICT

102

• Sistem Maklumat PDRM – semak akaun bank / no. Telefon SCAM

http://ccid.rmp.gov.my/semakmule

8


Tips keselamatan ICT (samb.)

103

• Laporkan isu keselamatan siber kepada Cyber999– Telefon: 1-300-88-2999– Emel: [email protected]– Mobile Apps: Cyber999

8

TERIMA KASIH

KURSUS KESELAMATAN ICT UNTUK STAF SKIM F

Documents

Transcript of KURSUS KESELAMATAN ICT UNTUK STAF SKIM F