Best Practice System Security Hardening
ISO/IEC 27001:2013 merupakan standar internasional yang berisi persyaratan dan spesifikasi untuk penerapan sistem manajemen keamanan informasi, dalam Annex 12.6.1 mengenai Management of technical vulnerabilities dan Annex 14.2.8 mengenai System security testing yang mempersyaratkan bagaimana sebuah sistem atau aplikasi harus dilakukan pengamanan dan salah satu bentuk pengamanan yang dapat dilakukan oleh organisasi yaitu dengan melakukan system hardening untuk melindungi sistem atau aplikasi dari serangan peretas.
Dalam dunia IT biasanya kita sering mendengar istilah “security hardening”, terutama ketika sebuah sistem atau aplikasi akan di-deploy atau naik ke production. Apa sebenarnya security atau system hardening?
System hardening pada dasarnya adalah sekumpulan tools, teknik, atau best practices untuk mengurangi kerentanan (risiko diretas) suatu teknologi baik dalam bidang aplikasi, sistem, infrastruktur, firmware, dan bidang lainnya. Tujuan dari hardening adalah mengurangi risiko keamanan dengan menurunkan atau menghilangkan potensi vektor serangan (dikenal dengan istilah attack vector) dan lanskap serangan pada sistem (dikenal dengan istilah attack surface). Dengan menghilangkan hal-hal yang berpotensi menjadi pintu masuk serangan maka penyerang ataupun malware berupa virus / worm memiliki lebih sedikit peluang untuk mendapatkan kesempatan berhasil masuk kedalam ekosistem IT.
System hardening menuntut pendekatan metodis untuk mengaudit, mengidentifikasi, menutup, dan mengendalikan kerentanan keamanan yang berpotensi dapat merusak ekosistem IT sebuah organisasi. Secara sederhana ada 5 jenis aktivitas hardening, diantaranya:
- Application hardening
- Operating system hardening
- Server hardening
- Database hardening
- Network hardening
Meskipun prinsip-prinsip system hardening bersifat universal, namun tools ataupun teknik yang digunakan bervariasi, tergantung pada jenis system hardening yang akan dilakukan. System hardening sebaiknya dilakukan secara berkala dan berkesinambungan sepanjang lifecycle teknologi, mulai dari instalasi awal pada production system / live system, hingga saat teknologi tersebut berjalan. Beberapa standar industri seperti Payment Card Industry Data Security Standard (PCI DSS) yang umumnya digunakan pada industri finansial ataupun Health Insurance Portability and Accountability Act (HIPAA) yang umum digunakan dalam industri kesehatan seperti sistem informasi untuk melindungi data pasien, menpersyaratkan pemberlakukan system hardening sehingga aktivitas tersebut wajib diketahui oleh para pengembang .
Dalam melakukan proses system hardening, beberapa pihak dapat mengembangkan metode otomasi proses hardening untuk mempermudah dan mempercepat proses. . Organisasi dapat memilih metode hardening sesuai dengan aplikasi atau sistem yang dimiliki organisasi.
Apakah hardening dapat melindungi sehingga 100% aman dari serangan peretas? Jawabannya adalah tidak, dan sebenarnya tidak ada pihak yang dapat menjamin bahwa sebuah sistem 100% aman.
Sebagaimana dibahas di awal tulisan bahwa hardening akan membuat tingkat risiko dari serangan menurun, artinya sistem yang di-hardening akan mempersulit penyerang dalam melakukan aksinya atau bisa juga sistem yang di-hardening akan membuat kategori penyerang berkurang, jika awalnya setiap penyerang dengan kemampuan ‘biasa saja’ dapat masuk kedalam sistem maka apabila sistem telah di-hardening, hanya penyerang-penyerang dengan kemampuan ‘menengah keatas’ saja yang mampu masuk kedalam sistem, sehingga yang dimiliki organisasi akan lebih aman.
IT GRC Team
Robere & Associates (Indonesia)