bahagian pematuhan ict - direktori.mampu.gov.my
TRANSCRIPT
![Page 1: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/1.jpg)
Bersama Melaksana Transformasi1
BAHAGIAN PEMATUHAN ICT
![Page 2: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/2.jpg)
Bersama Melaksana Transformasi2
TUJUAN TAKLIMAT
PELAKSANAAN SPA
Pengumpulan Maklumat
Kick Off Meeting
Penyemakan Dasar Keselamatan ICT
Penilaian Keselamatan Fizikal
Pengujian Penembusan
Penilaian Keselamatan Rangkaian
OS Review
Network Device Review
Network Design Review
Wireless Assessment
Pelaporan
![Page 3: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/3.jpg)
Bersama Melaksana Transformasi3
Berkongsi pengalaman PRISMA, MAMPU melaksanakan SPA di agensi kerajaan
Pengalaman PRISMA Pelaksanaan SPA bersama Pembekal
E-Tanah
SMPKE
Pelaksanaan SPA sepenuhnya oleh PRISMAKementerian Pelancongan Malaysia
Sasaran Tahunan2 Agensi Kerajaan
Menerangkan aktiviti-aktiviti terlibat di dalam SPA
![Page 4: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/4.jpg)
Bersama Melaksana Transformasi4
Anggaran Kos pelaksanaan SPA oleh Pembekal
Bersaiz Kecil - 4 Pelayan, 2 Network Device, 1 Network segmen=> RM45,000.00
Bersaiz Sederhana- 8 Pelayan, 4 Network Device, 2 Network segmen=> RM80,000.00
Bersaiz Besar- 15 Pelayan, 10 Network Device, 4 Network segmen=> RM150,000.00
Kos tidak termasuk Tindakan Pengukuhan
![Page 5: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/5.jpg)
Bersama Melaksana Transformasi5
Mencadangkan amalan terbaik Keselamatan ICT seperti MS ISO 27001, MyMIS dan lain-lain kepada agensi;
Mengenalpasti ancaman-ancaman pencerobohan, serta risiko-risiko yang mungkin dihadapi agensi
Mengenalpasti tahap keselamatan rangkaian ICT semasa agensi dan mencadangkan langkah pengukuhan bagi meningkatkan tahap keselamatan
![Page 6: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/6.jpg)
Bersama Melaksana Transformasi6
LANGKAH 1
Pengumpulan Maklumat
![Page 7: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/7.jpg)
Bersama Melaksana Transformasi7
Sebelum pelaksanaan SPA, maklumat-maklumat diperlukan adalah seperti berikut:
Memohon agensi menyenaraikan IP dalaman dan luaran bagi pelayan dan juga host untuk dibuat penilaian
Bil IP Address Luaran Sistem Pengoperasian Keterangan/Hostname
1. 202.190.210.139 Win2003 Spambuster
2. 202.190.210.143 CentOS DNS Motour
3. 202.190.210.144 CentOS Zimbra Mail Server
Bil IP Address Dalaman Sistem Pengoperasian Keterangan/Hostname
1. 172.17.10.210Win2003 Spambuster
2 172.17.10.11CentOS DNS Motour
3. 172.17.10.10CentOS Zimbra Mail Server
![Page 8: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/8.jpg)
Bersama Melaksana Transformasi8
Memohon agensi menyenaraikan Network devices seperti Routers, Switch, Firewall serta configuration file (format txt)
Item IP Address Description
1. 192.168.210.140 Load Balancer (AscenLink)
2. 202.190.210.141 Router Jaring Cisco 2600)
3. 202.186.12.162 Router (Jaring Cisco 2600)
4. 192.168.1.254 Cisco ASA 5520 Firewall
5. 192.168.1.2 CoreSwitch (Cisco 4510R)(PWTC)
6. 172.17.51.0 MainSwitch Cisco 3550 (TheMall)
Softcopy Dasar Keselamatan ICT agensi
![Page 9: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/9.jpg)
Bersama Melaksana Transformasi9
Memohon gambarajah logikal struktur rangkaian agensi.
![Page 10: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/10.jpg)
Bersama Melaksana Transformasi10
Memohon nama-nama pegawai agensi yang terlibat di dalam struktur Pasukan Projek bagi pihak agensi
MAMPU AGENSI
SPA Project ManagerROSLI MD ZAIN
SPA Project Manager
SPA Team Members
FATMAWATI;SITI AMINAH HANUM;
NORMAZIAH MADZIZAT;NORISAH AKBAR.
AGENCY LIASON OFFICER
1. DBA;2. System Admin;3. Developer;4. ICTSO
SPA Team LeaderROSZELINDA KHALID
Langkah 1 – Surat Pekeliling Am Bil. 3 Tahun 2009
![Page 11: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/11.jpg)
Bersama Melaksana Transformasi11
LANGKAH 2
Mesyuarat Kick-Off
![Page 12: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/12.jpg)
Bersama Melaksana Transformasi12
Dihadiri bersama oleh pihak pengurusan agensi
Tujuan kick-off meeting:Menerangkan tujuan SPA diadakan
Menerangkan aktiviti-aktiviti yang terlibat di dalam SPA
Berbincang dan mendapat persetujuan bersama berhubung:
Senarai pelayan/host/network device. Persetujuan ini bagi mengelakkan sebarang perubahan pelayan/host semasa SPA dilaksanakan
Senarai nama pegawai agensi yang terlibat (agency liason officer) di dalam pasukan projek
![Page 13: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/13.jpg)
Bersama Melaksana Transformasi13
Penerangan tugas dan tanggungjawab pelaksana, Pengurus Projek, Ketua pasukan projek, Ahli pasukan projek.
Jawatan Tanggungjawab
Pengurus Projek
Mengurus keseluruhan projek
Menyelesaikan isu-isu pelaksanaan;
Memastikan projek mengikut tempoh masa
Ketua Pasukan
Bertanggungjawab pelaksanaan keseluruhan
SPA
Penyediaan Laporan Penuh SPA
Ahli Pasukan
Melaksanakan aktiviti–aktiviti SPA;
Menganalisa data penemuan;
Cadangan dan tindakan untuk pengukuhan;
![Page 14: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/14.jpg)
Bersama Melaksana Transformasi14
Persetujuan ke atas Jadual pelaksanaan projek SPA
#Keterangan Bil. Hari Bekerja Tempoh Masa
1 Mesyuarat Kick-Off 1 12 Ogos
2 Pelaksanaan SPA
Semakan Dasar Keselamatan ICT 3 13 – 17 Ogos
Pengujian Penembusan Luaran 15 17 Ogos – 7 September
Pengujian Penembusan Dalaman
Mesyuarat Kemajuan Projek - 01 1 8 September
Tindakan Pengukuhan 14 9 – 18 September
(21 – 25 Sept. Cuti Raya)
28 September – 5
Oktober
Penilian Keselamatan Fizikal
OS Review
Network Device Review
![Page 15: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/15.jpg)
Bersama Melaksana Transformasi15
# Keterangan Bil. Hari Bekerja Tempoh Masa
Mesyuarat Kemajuan Projek - 02 1 6 Oktober
Network Design Review 7 7 – 16 Oktober
Wireless Assessment
Tindakan Pengukuhan
4 Analisis Data & Penyediaan Laporan 5 12 – 19 Oktober
5 Penghantaran Draft Laporan 1 19 Oktober
6 Maklumbalas Draf Laporan 5 20 – 26 Oktober
7Mesyuarat Penutup Projek
Penghantaran Laporan Penuh.
1 30 Oktober
Jumlah Hari 55 Hari
![Page 16: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/16.jpg)
Bersama Melaksana Transformasi16
Penerangan rules of engagement
Pengujian penembusan yang dijalankan non-intrusive dan tidakakan mengubah, menghapuskan sebarang maklumat di dalamsistem agensi
Menunjukkan kelemahan yang ditemui boleh mencapaimaklumat agensi walaupun kelemahan tersebut berkeupayaanmenghapus atau mengubah maklumat.
Memberitahu tools yang akan digunakan semasa SPA dilaksanakan
Setelah selesai pelaksanaan SPA, MAMPU akan memastikansemua tools yang digunakan akan dikeluarkan darirangkaian/pelayan/host agensi
![Page 17: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/17.jpg)
Bersama Melaksana Transformasi17
Deliverables SPA
Pembentangan penemuan kelemahan – Mesyuarat Kemajuan Projek (2 atau 3 kali)
Laporan Penuh SPA
Keperluan Semasa Pelaksanaan SPAPass masuk premis
Tempat/bilik untuk pasukan projek melaksanakan SPA
Network Connection untuk setiap ahli pasukan projek
Capaian ke atas aset ICT dengan hak pengguna(end user)
![Page 18: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/18.jpg)
Bersama Melaksana Transformasi18
LANGKAH 3
SEMAKAN DASAR KESELAMATAN ICT
![Page 19: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/19.jpg)
Bersama Melaksana Transformasi19
Langkah 2 – Surat Pekeliling Am Bil. 3 Tahun 2009
Tujuan Menyemak dasar keselamatan ICT agensi bagi memastikan sistem penyampaian perkhidmatan ICT senantiasa dalam keadaan tersedia dan boleh dipercayai
Kaedah PenilaianPerbincangan/Menemubual
Menggunakan Dasar Keselamatan ICT MAMPU sebagai penanda aras (Benchmark) atau senarai semak
![Page 20: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/20.jpg)
Bersama Melaksana Transformasi20
Dasar Keselamatan ICT (DKICT) mengandungi :
Peraturan-peraturan yang perlu dipatuhi dalam menggunakan aset ICT;
Menerangkan kepada semua pengguna mengenai tanggungjawab dan peranan warga agensi dalam melindungi aset ICT.
Menerangkan perlindungan ke atas semua bentuk maklumat yang diwujud, dimusnah, disimpan, dijana, dicetak, diakses, diedar, dan yang dibuat salinan
![Page 21: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/21.jpg)
Bersama Melaksana Transformasi21
Skop perlindungan merangkumi perisian, perkakasan, Data/Maklumat, Manusia, Premis dan Komunikasi
Prinsip asas Dasar Keselamatan ICT
Akses atas dasar perlu mengetahui
Hak akses minimum
Akauntabiliti
Pengasingan
Pengauditan
Pematuhan
![Page 22: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/22.jpg)
Bersama Melaksana Transformasi22
Dasar Keselamatan perlu merangkumi 11 Bidang
1. Pembangunan dan Penyenggaraan DasarMenerangkan tentang pelaksanaan, penyebaran, penyelenggaraan , pengecualian dasar.
Contoh: Penyelenggaraan Dasar
“Dasar Keselamatan ICT MAMPU tertakluk kepada semakan danpindaan dari semasa ke semasa selaras dengan perubahanteknologi, aplikasi, prosedur, perundangan,dasar Kerajaan dankepentingan sosial.
Prosidur penyelenggaraan :
(a) Kenalpasti perubahan yang diperlukan;
(b) Kemuka cadangan pindaan kepada ICTSO untuk persetujuanJawatankuasa Keselamatan ICT (JKICT);
(c) Maklum kepada semua pengguna perubahan yang dipersetujui”
![Page 23: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/23.jpg)
Bersama Melaksana Transformasi23
2. Organisasi KeselamatanMenerangkan peranan dan tanggungjawab individu yang terlibat denganlebih jelas dalam mencapai objektif Dasar Keselamatan ICT seperti KetuaPengarah, CIO, ICTSO, Pengurus IT
Contoh: Peranan ICTSO
“Peranan dan tanggungjawab ICTSO seperti berikut:
(a) Mengurus keseluruhan program-program keselamatan ICT MAMPU;
(b) Menguatkuasakan pelaksanaan Dasar Keselamatan ICT MAMPU;
(c) Memberi penerangan dan pendedahan Dasar Keselamatan ICT MAMPU kepada semua pengguna;
(d) Memberi amaran terhadap kemungkinan berlakunya ancamanberbahaya seperti virus dan memberi khidmat nasihat sertamenyediakan langkah-langkah perlindungan yang bersesuaian;
(e) Melaporkan insiden keselamatan ICT kepada Pasukan TindakbalasInsiden Keselamatan ICT Kerajaan (GCERT), MAMPU”
![Page 24: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/24.jpg)
Bersama Melaksana Transformasi24
Dasar Keselamatan perlu merangkumi 11 Bidang
3. Pengurusan Aset
4. Keselamatan Sumber Manusia
5. Keselamatan Fizikal
6. Pengurusan Operasi dan Komunikasi
7. Kawalan Capaian
8. Perolehan, Pembangunan dan Penyelenggaraan Sistem
9. Pengurusan Pengendalian Insiden Keselamatan ICT
10. Dasar Kesinambungan Perkhidmatan
11. Pematuhan
![Page 25: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/25.jpg)
Bersama Melaksana Transformasi25
LANGKAH 4
Penilaian KeselamatanFizikal
![Page 26: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/26.jpg)
Bersama Melaksana Transformasi26
Langkah 3 – Surat Pekeliling Am Bil.3 Tahun 2009
TujuanMenilai kekuatan dan kelemahan kawalan keselamatan fizikal melalui pemerhatian persekitaran fizikal dan langkah keselamatan sedia ada
Kaedah PenilaianTemuduga/Pemerhatian/Pelan layout bangunan
Berdasarkan kepada senarai semak mengikut Standard ISMS (MS ISO 27001)/BS17999
Senarai semak
![Page 27: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/27.jpg)
Bersama Melaksana Transformasi27
Results Summary for Physical Security Review
Location #
Checks
#
Passed
#
Failed
#
NA/NR
%
Passed
%
Failed
%
NA/NR
Server
Room 29 14 15 0 48% 52% 0%
Contoh Ringkasan Penemuan
![Page 28: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/28.jpg)
Bersama Melaksana Transformasi28
LANGKAH 5
Pengujian Penembusan
![Page 29: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/29.jpg)
Bersama Melaksana Transformasi29
Langkah 4 – Surat Pekeliling Am Bil. Tahun 2009
Tujuan
Mengenalpasti tahap keselamatan sistem rangkaian dan aset ICT dari ancaman pencerobohan secara luaran dan dalaman;
Untuk mengenalpasti kewujudan kelemahan yang sedia ada dan mengambil tindakan pengukuhan ke atas kelemahan tersebut.
![Page 30: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/30.jpg)
Bersama Melaksana Transformasi30
Kaedah Pengujian
Pengujian Penembusan Luaran – Penilaian dilakukan secara jarak jauh (PRISMA) ke atas aset ICT yang boleh diakses dari luar/internet
Pengujian Penembusan Dalaman – Penilaian dilakukan ke atas aset ICT agensi melalui rangkaian dalaman.
![Page 31: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/31.jpg)
Bersama Melaksana Transformasi31
Metodologi Pengujian Penembusan
![Page 32: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/32.jpg)
Bersama Melaksana Transformasi32
Vulnerability Assessment
Melaksanakan imbasan ke atas sistem rangkaian dan aset ICT agensi
Laporan imbasan mengandungi keterangan kelemahan yang ditemui serta kategori risiko kelemahan samada Tinggi, Sederhana, Rendah.
Menerangkan saranan/cadangan pengukuhan bagi mengatasi kelemahan
![Page 33: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/33.jpg)
Bersama Melaksana Transformasi33
# Nama FUNGSI
1. Nmap Port Scanner
2. Nessus / Newt Pro Vulnerabilities Scanner
3. Amap Application Fingerprinting
4. Paros Application Proxy and Scanner
5. Spike proxy Application proxy and scanner
6. Nikto Web App vulnerability scanner
7. Nbtdump NetBIOS scanner
![Page 34: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/34.jpg)
Bersama Melaksana Transformasi34
Name PHP < 5.2.1 Multiple Vulnerabilities (Plugin ID: 24907)Port http (80/tcp)Risk Level HighDetail Synopsis :
The remote web server uses a version of PHP that is affected by multiple flaws.
Description :
According to its banner, the version of PHP installed on the remote host is older than 5.2.1.
Such versions may be affected by several issues, including buffer overflows, format string
vulnerabilities,arbitrary code execution, 'safe_mode' and 'open_basedir' bypasses, and
clobbering of super-globals.
Output:
PHP version 5.2.0 appears to be running on the remote host based on the following Server
response header :
Server: Apache/2.2.3 (Win32) DAV/2 mod_ssl/2.2.3 OpenSSL/0.9.8d mod_autoindex_color
PHP/5.2.0
Reference :
CVE: CVE-2006-6383, CVE-2007-0905, CVE-2007-0906, CVE-2007-0907, CVE-2007-
0908
Solution Upgrade to PHP version 5.2.1 or later.
![Page 35: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/35.jpg)
Bersama Melaksana Transformasi35
Name Web Server info.php / phpinfo.php Detection (Plugin ID: 11229)
Port http (80/tcp)
Risk Level Medium
Detail Synopsis :
The remote web server contains a PHP script that is prone to an information disclosure
attack.
Description :
Many PHP installation tutorials instruct the user to create a PHP file that calls the PHP
function 'phpinfo()' for debugging purposes. Various PHP applications may also include such
a file. By accessing such a file, a remote attacker can discover a large amount of
information about the remote web server, including :
- The IP address of the host.
- The version of the operating system.
- The web server version.
- The root directory of the web server.
- Configuration information about the remote PHP
installation.
Output:
Nessus discovered the following URL that calls phpinfo() : http://172.17.10.13/phpinfo.php
Solution Remove the affected file(s).
![Page 36: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/36.jpg)
Bersama Melaksana Transformasi36
Manual Penetration Test
Memecah katalaluan (password cracking) sistem dan perisian yang digunakan;
Menjalankan pengujian keteguhan aplikasi dan rangkaian dari ancaman seperti denial of service;
Menjalankan ujian keselamatan aplikasi melalui teknik-teknik seperti SQL Injection, Cross-site Scripting, URL Injection, Injection Flaws, Malicious File Execution, Web Defacement, Man In The Midle Attack , Directory Harvesting, Parameter Tampering, Backdoor Access dan lain-lain;
![Page 37: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/37.jpg)
Bersama Melaksana Transformasi37
Finding 1 Mail Server Weak Password
Risk Level HIGH
URL / IP 202.190.210.144
Description
Attacker able to login into the mail system by using a simple username and password. • [email protected]:123456• [email protected]:123456• [email protected]:123456• [email protected]:654321• [email protected]:123456
Impact Attacker could take control the mail.
![Page 38: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/38.jpg)
Bersama Melaksana Transformasi38
Finding 1 Mail Server Weak Password
Solution Set the strong or complex password
Able to access the mail using username=info and password 123456
![Page 39: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/39.jpg)
Bersama Melaksana Transformasi39
Finding 2 PHPMyAdmin without Password
Risk Level HIGH
Affected URL / IP 172.17.10.13
DescriptionPhpMyAdmin is a tool written in PHP intended to handle the
administration of MySQL over the Web
Impact
It can create and drop databases, create/drop/alter tables,
delete/edit/add fields, execute any SQL statement, manage
key on fields.
![Page 40: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/40.jpg)
Bersama Melaksana Transformasi40
Finding 2 PHPMyAdmin without Password
SolutionCreate Authentication page for allowing authorised user
only
http://172.17.10.13/phpmyadmin
![Page 41: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/41.jpg)
Bersama Melaksana Transformasi41
Finding 3 Blind SQL Injection
Risk Level HIGH
Affected URL / IP 172.17.10.16
Description
The vulnerability is present when user input is either
incorrectly filtered for string literal escape characters
embedded in SQL statements or user input is not strongly
typed and thereby unexpectedly executed.
Impact‘No. Kad Pengenalan” field in Login page are prone to SQL
Injection attack.
![Page 42: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/42.jpg)
Bersama Melaksana Transformasi42
Able to inject backdoor
using SQL Map
![Page 43: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/43.jpg)
Bersama Melaksana Transformasi43
Finding 3 SQL Injection
SolutionFilter user supplied value before use in any SQL
query.
![Page 44: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/44.jpg)
Bersama Melaksana Transformasi44
LANGKAH 6
OS Review
![Page 45: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/45.jpg)
Bersama Melaksana Transformasi45
Langkah 5 – Surat Pekeliling Am Bil. 3 Tahun 2009
Tujuan
Menyemak keselamatan sistem pengoperasian berdasarkankepada amalan terbaik.
Kaedah
Menyemak konfigurasi/setting sistem pengoperasian pelayandengan senarai semak berdasarkan amalan terbaik - Center For Internet Security Benchmark (www.cisecurity.org)
Semakan secara Manual atau menggunakan Tools –Helix/Nessus (Windows), Bastille/Lynis – Linux/OpenBSD
![Page 46: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/46.jpg)
Bersama Melaksana Transformasi46
![Page 47: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/47.jpg)
Bersama Melaksana Transformasi47
![Page 48: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/48.jpg)
Bersama Melaksana Transformasi48
Muat Turun Senarai Semak/Checklist
![Page 49: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/49.jpg)
Bersama Melaksana Transformasi49
Ref. No Policy Name Policy Value (value data)
1.0 Auditing and Account Policies - Password Policy (PP)
1.1 Password History 24 passwords remembered
1.2 Maximum Password Age 90 Days
1.3 Minimum Password Age 1 Day
1.4 Minimum Password Length 12 Characters
2.0 Auditing and Account Policies - Account Lockout Policy (ALP)
2.1 Account Lockout Duration 15min
2.2 Account Lockout Threshold 3 attempts
3.0 Set The Audit Policy
3.1 Audit Account Logon Events Success, Failure
3.2 Audit Account Management Success, Failure
3.3 Audit Logon Events Success, Failure
3.4 Audit Object Access Success, Failure
3.5 Audit Policy Change Success, Failure
3.6 Audit System Events Success, Failure
Checklist - Windows
![Page 50: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/50.jpg)
Bersama Melaksana Transformasi50
Password Policy
# Policy NameConfiguration
Parameter
Recommended
Settings1 PSW-1. Force Users to Change their
Password PASS_MAX_DAYS 90
2 PSW-2. Force Users' password length
minimum to 12PASS_MIN_LEN 12
User Access Right via File Permissions Settings for Log Files
# Policy NameRecommended
Settings1 LOG-1. Make The File /var/log only Readable for Root 07002 LOG-2. Make The File /var/log/messages only Readable for Root 06003 LOG-3. Make The File /var/log/dmesg only Readable for Root 06004 LOG-4. Make The File /var/log/boot.log only Readable for Root 06005 LOG-5. Make The File /var/log/lastlog only Readable for Root 0600
Checklist – Linux/OpenBSD
![Page 51: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/51.jpg)
Bersama Melaksana Transformasi51
Contoh Ringkasan Penemuan
RESULT SUMMARYIP Address Server name # Checks # Passed # Failed
172.17.10.12 Jerejak 38 9 (24%) 27 (71%)
172.17.10.11 Tioman 38 11(29%) 26(68%)
172.17.10.80 Motour 72 33(46%) 38(53%)
172.17.35.24 Test_Server 72 32(44%) 38(53%)
![Page 52: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/52.jpg)
Bersama Melaksana Transformasi52
LANGKAH 6
Network Device Review
![Page 53: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/53.jpg)
Bersama Melaksana Transformasi53
Langkah 5– Surat Pekeliling Am Bil.3 Tahun 2009
Tujuan
Memastikan konfigurasi perkakasan seperti rangkaianrouters, switches dan firewall adalah selamat dan tidakmempunyai kelemahan yang boleh diexploitasi olehpenceroboh.
Kaedah
Menyemak konfigurasi/setting perkakasan rangkaiandengan senarai semak amalan terbaik - Center For Internet Security Benchmark (www.cisecurity.org)
![Page 54: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/54.jpg)
Bersama Melaksana Transformasi54
Semakan secara Manual atau menggunakan Tools – NIPPER (open source)
Configuration file yang dipohon kepada agensidalam format txt akan dianalisis oleh tools NIPPER
Contoh Penemuan Kelemahan Routers
![Page 55: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/55.jpg)
Bersama Melaksana Transformasi55
Contoh firewall rules yang tidak mengikut amalan terbaik
Line Permission Protocol Source Source
Port
Destination Destination
Port
Log Active
1 Permit ip any any any any No Yes
2 Permit DM_INLINE_SERVI
CE_1
any any any any No No
3 Permit ip any any DM_INLINE_NET
WORK_2
any No No
4 Permit tcp jerejak any any any No No
5 Permit ip DM_INLINE_NETW
ORK_3
any any any No No
6 Permit tcp any any mail-int smtp No No
7 Permit tcp DM_INLINE_NETW
ORK_1
any any DM_INLINE
_TCP_1
No No
1. Protocol IP bermaksud – semua network protocol seperti icmp, udp, smtp
2. Source & Destination set from any to any
![Page 56: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/56.jpg)
Bersama Melaksana Transformasi56
LANGKAH 7
Network Design Review
![Page 57: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/57.jpg)
Bersama Melaksana Transformasi57
Contoh: RekabentukRangkaian yang baik
Langkah 5– Surat Pekeliling Am Bil. 3 Tahun 2009
![Page 58: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/58.jpg)
Bersama Melaksana Transformasi58
LANGKAH 8
PENILAIAN WIRELESS LAN
![Page 59: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/59.jpg)
Bersama Melaksana Transformasi59
TujuanMenilai tahap keselamatan sistem rangkaian tanpa wayar (wireless LAN) agensi.
KaedahWar Driving – bagi mengesan AP (Access Point) yang ada dan mengenalpasti kelemahan yang ada seperti jenis enkripsi yang digunakan (WEP,WPA,WPA2, Open)
Penilaian dilakukan berdasarkan kepada Surat Arahan KSN – Langkah-langkah memperkukuhkan Keselamatan Rangkaian Tanpa Wayar (Wireless LAN) Agensi Kerajaan
Tools - KISMET
Langkah 5– Surat Pekeliling Am Bil.3 Tahun 2009
![Page 60: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/60.jpg)
Bersama Melaksana Transformasi60
LANGKAH 9
PELAPORAN
![Page 61: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/61.jpg)
Bersama Melaksana Transformasi61
Laporan Berasingan
Rumusan Eksekutif
Laporan Teknikal
Laporan Penyemakan Dasar Keselamatan
Penilaian Keselamatan Fizikal
Pengujian Penembusan Dalaman & Luaran
OS Review
Network Review (Network Design, Network
Device, Wireless Assessment)
Langkah 6 & 7– Surat Pekeliling Am Bil.3 Tahun 2009
![Page 62: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/62.jpg)
Bersama Melaksana Transformasi62
Pelaksanaan aktiviti SPA melibatkan aktiviti:
Pengumpulan Maklumat, Pasukan Projek, Kick Off Meeting
Semakan Dasar Keselamatan
Penilaian Keselamatan Fizikal
Pengujian Penembusan
Penilaian OS, Network Device, Network Design dan Wireless
Analisa Penemuan dan Pelaporan
Agensi boleh melaksanakan SPA sendiri sepenuhnya;
Agensi boleh melaksanakan SPA sendiri kecuali melantik pembekaluntuk melaksanakan pengujian penembusan;
Melantik pembekal melaksanakan SPA dengan melibatkanpegawai agensi sepenuhnya untuk persediaan SPA seterusnya.
![Page 63: BAHAGIAN PEMATUHAN ICT - direktori.mampu.gov.my](https://reader030.vdocuments.net/reader030/viewer/2022012700/61a37daeb2b1c43cb329fbec/html5/thumbnails/63.jpg)
Bersama Melaksana Transformasi63