Bahan CISPP Domain 1 lainnya adalah membahas ancaman kepada perusahaan dan aset asetnya, ada banyak macam tipe yang membahayakan kerahasiaan ( confidentiallity, keutuhan ( integrity) dan ketersediaan ( availability dari aset aset perusahaan.
Kita akan dikenalkan beberapa type penyerangan :
Shoulder surfing :
Secara harfiah artinya adalah melakukan akifitas mengintip dari bahu mengenai aktifitas user, biasanya relatif pada screen shot yang mengambarkan aktifitas user tersebut. Dari Shoulder Surfing dapat diketahui misalnya password dan account user, no rekenning bank, no kartu kredit dan informasi informasi rahasia lainnya. Teknik ini paling umum digunakan dan sering kali efektif karena sasaran tidak aware dengan keadaan sekelilingnya.
Social Engineering:
Tipe Serangan yang kedua adalah menggunakan teknik untuk mengelabui lawan agar didapatkan informasi yang sensitif, dan rahasia. Inti dari teknik ini adalah cara bersosialisasi kepada sasaran dengan berpura pura menjadi rekanan, teman, atau kolega atau apapun yang berhubungan dengan sasaran kita. Contoh dari teknik social enginering ini adalah n dengan pura pura menelpun sebagai bank, layanan kesehatan dll yang mungkin mengatakan ada upgrade atau update informasi dan mereka bermaksud untuk mendapatkan informasi user account, password, no rekening, nomor kartu kredit, email, memos. Contoh teknik sosial engineering lainnya adalah menggali informasi melalui sampah dari sasaran, dari sampah milik target bisa diketahui hal hal personal lainnya misalnya makanan kesukaannya, hobbynya, bekas tagihan, copian transaksi kartu kredit, nomor rekening, nomor kartu kredit dll. Oleh karena itu fasilitas mesin shreder adalah wajib di suatu perusahaan yang notabene memiliki bahan bahan rahasia. Bagi kalangan personal biasanya merobek robek bekas tagihan kartu kredit dan informasi rahasia serta membuangnya tidak dalam satu tempat.
Man in the middle :
Tipe serangan ini adalah yang paling susah di deteksi karena ini berhubungan dengan “orang dalam”, informasi informasi rahasia bisa keluar dengan mudah karena Man in the middle ini bisa berperan sebagai pelaku social engineering dan shoulder surfing. Cara mengatasinya adalah dengan waspada, didalam konsep security semua diluar diri kita adalah bisa di threat sebagai ancaman , artinya meskipun dia adalah teman, anak buah yang kita percayai sebaikknya tetap informasi rahasia yang bersifat C(onfidentiality), I(ntegrity), A(vailability) tidak perlu kita share ke mereka.
Beberapa definisi dalam dunia Security :
- Vulnerability : Kelemahan suatu sistem
- Threat : ancaman untuk mengekploasi vulneralbility
- Threat agennt : component dari yeng membawa / melaksanakan serangan
- Risk : kemungkinan / probabliyas dari threat agen untuk mengekploitasi vulnerability dan impact dari kegiatan tersebut.
- Exposure = threat agent exploit vulnerability
- Hacker = Seseorang yang telah masuk kedalam jaringan , menjelajah vulnerability, atau seseorang melakukan social engineering
—
Salam Share
|EDy Susanto|
Completed [MSCE, CSSA, APP, RHCSE, RHCSA, CWNA, CWNE, CISA, CISM, C|EH, VCP, CISSP]