10 ancaman teratas terhadap keamanan layanan kesehatan 2022
Pelajari Daftar OWASP Top Ten yang Dapat Membantu Melindungi Anda dari Ancaman Keamanan Paling Berbahaya Show Keamanan web adalah bidang yang seringkali berubah-ubah dan ancaman tidak pernah berakhir. Jika satu ancaman dihentikan, maka hanya ada masalah waktu sampai ancaman lain muncul kembali. Tetapi dengan banyaknya ancaman yang mengintai di dunia maya, bagaimana Anda tahu ancaman mana yang paling kritikal dan paling umum? Nah, hari ini hari keberuntungan Anda karena Open Web Application Security Project (OWASP) telah membuat daftar OWASP Top Ten (10 teratas) dari ancaman terbesar yang dihadapi situs web Anda. Diperbarui setiap beberapa tahun, daftar ini adalah dokumen industri yang diterima secara luas dan harus dibaca oleh siapa pun yang menjalankan keamanan web pada situsnya. Tanpa ini, situs Anda dapat terpapar kerentanan paling berbahaya yang mengurangi risiko selama pengembangan dan penerapan situs ataupun web aplikasi. Apa sajakah 10 kerentanan teratas dan bagaimana Anda dapat melindungi diri sendiri dari kerentanan tersebut? Dan apa tindakan terbaik Anda jika Anda menjadi korban salah satunya? Mari kita bahas. Apakah OWASP Itu?Sebelum kita mencapai daftar OWASP Top Ten, mari kita bahas tentang OWASP sendiri. Yayasan OWASP didirikan pada 1 Desember 2001, dan mereka didirikan sebagai organisasi nirlaba di Amerika Serikat pada 21 April 2004. Dalam hampir dua dekade sejak diluncurkan, mereka telah berkembang menjadi hampir 32.000 sukarelawan di seluruh dunia. Mereka adalah nama yang terkenal dan tepercaya di industri ini, dengan lebih dari 275 cabang lokal di seluruh dunia. Pada dasarnya OWASP adalah gudang untuk segala hal yang berhubungan dengan keamanan aplikasi web, didukung oleh beragam pengetahuan dan pengalaman dari keanggotaan komunitas terbuka mereka. Grup ini berkomitmen untuk membantu organisasi membuat, mengembangkan, menyebarkan, mengoperasikan, dan memelihara situs web dan aplikasi yang aman. Selain menyediakan berbagai artikel, metodologi, dokumentasi, dan teknologi keanggotaan OWASP juga melakukan penilaian dan penelitian keamanan. Apa Itu Daftar OWASP Top Ten?Fokus dari Daftar OWASP Top Ten adalah pada kerentanan yang instan, memeriksa risiko serta dampaknya, dan tindakan pencegahan terbaik untuk memeranginya. Disusun oleh tim ahli keamanan dari seluruh dunia, daftar ini bertujuan untuk menciptakan kesadaran akan ancaman terbesar yang dihadapi organisasi. OWASP merekomendasikan agar semua perusahaan memasukkan segala temuan laporan ke dalam proses dan praktik keamanan mereka sehingga mereka dapat meminimalkan keberadaan kerentanan ini dalam produk. Adapun kerentanan itu sendiri, dinilai berdasarkan empat kriteria berbeda:
Pentingnya OWASP Top 10 ListAspek paling berguna dari Daftar OWASP Top Ten terletak pada informasi yang dapat ditindaklanjuti di dalamnya, yang membantu perusahaan memfokuskan upaya keamanan web mereka pada area yang paling penting dan efektif. Serangan pada web aplikasi dan situs telah menjadi penyebab paling umum dari pelanggaran data yang dikonfirmasi, menurut Laporan Investigasi Pelanggaran Data Verizon 2018. Sayangnya, banyak organisasi masih kesulitan dalam membuat dan memelihara program keamanan web aplikasi yang efektif karena mereka tidak tahu harus mulai dari mana. Bahkan tim keamanan tidak selalu memiliki gagasan paling akurat tentang apa yang sebenarnya diperlukan oleh keamanan aplikasi. Daftar OWASP Top Ten dapat membantu mengisi kesulitan tersebut dan dengan memperbaikinya, Anda akan sangat mengurangi risiko pelanggaran yang merugikan. Sekarang kita telah membahas apa daftar itu dan bagaimana seharusnya digunakan, mari kita lihat lebih dekat kerentanan yang mengganggu itu! Kerentanan OWASP Top 10# 1 INJEKSISerangan injeksi dapat terjadi pada hal-hal seperti database (SQL, noSQL), sistem operasi, atau server (melalui protokol seperti LDAP). Mereka terjadi ketika data yang tidak bersahabat dikirim ke interpreter sebagai bagian dari kueri atau perintah. Data ini kemudian mengelabui interpreter agar menjalankan perintah yang seharusnya terlarang bagi orang luar. Itu juga dapat digunakan untuk mengakses data pribadi tanpa otentikasi yang tepat. Misalkan, Anda menjalankan sebuah e-commerc, dan cara mengakses item tertentu adalah dengan memasukkan yang berikut ini ke bilah alamat browser Anda:
Di mana “999” menghasilkan kueri SQL untuk menampilkan item apa pun yang sesuai dengan “999”. Seorang penyerang dapat memanipulasi ini dengan memasukkan sesuatu seperti ini:
Kueri SQL yang dihasilkan adalah: Tetapi karena 1 selalu sama dengan 1, setiap nama dan deskripsi produk akan dikembalikan (bahkan yang mungkin tidak ingin Anda lihat oleh pemiliknya). Anda dapat melangkah lebih jauh dengan memasukkan:
Kueri SQL sekarang menjadi: Hasil akhirnya? Penghapusan table Anda. Bagaimana cara untuk melindunginya?
# 2 KERUSAKAN AUTENTIKASIAutentikasi yang rusak mengacu pada contoh ketika fungsi autentikasi dan sesi manajemen diterapkan secara tidak benar. Kredensial seperti kata sandi, kunci, atau token sesi dapat dicegat dan mengasumsikan identitas pengguna lain. Serangan bahkan dapat memperoleh akses ke akun admin yang dapat membahayakan seluruh sistem. Credential Stuffing adalah contoh serangan autentikasi yang rusak. Ini terjadi ketika penyerang menggunakan daftar kata sandi yang diketahui (memperolehnya dari pelanggaran data) untuk mencoba dan mendapatkan akses dengan aplikasi bertindak sebagai mekanisme validasi untuk setiap upaya kata sandi. Bagaimana melindungi situs ataupun web aplikasi dari ancamana ini?
# 3 TERPAPARNYA DATA YANG BERSIFAT SENSITIFEksposur data sensitif terjadi ketika aplikasi web dan API gagal melindungi data sensitif seperti informasi keuangan atau perawatan kesehatan. Data yang terlindungi secara lemah ini dapat dengan mudah dicuri oleh penyerang untuk melakukan penipuan, pencurian identitas, dan kejahatan lainnya. Jika situs web tidak menggunakan sertifikat SSL/TLS berkualitas untuk semua halaman, maka penyerang dapat memantau lalu lintas, mengubah koneksi dari HTTPS ke HTTP, dan kemudian mencuri sesi cookie untuk mendapatkan akses. Contoh lainnya adalah hash yang kurang. Jika hash sederhana digunakan untuk menyimpan kata sandi dan penyerang memperoleh akses ke database, hash dapat dengan mudah dirusak.Bagaimana untuk mengamankan data dari aksi eskposur?
# 4 XML EXTERNAL ENTITIES (XXE)Serangan semacam ini menargetkan aplikasi web yang mengurai input XML. Prosesor XML yang lebih lama atau tidak dikonfigurasi dengan benar dapat mengevaluasi referensi entitas eksternal (seperti hard drive) dalam dokumen XML. Hal ini dapat mengelabui pengurai XML agar mengirimkan data ke entitas eksternal yang tidak sah, yang kemudian dapat mengirim data sensitif langsung ke peretas. Dan penyerang juga bisa mendapatkan informasi tentang jaringan pribadi dengan mengubah baris ENTITY. Amankan dengan cara:
# 5 KONTROL AKSES RUSAKIni terjadi ketika pembatasan tentang apa yang diizinkan/tidak diizinkan oleh pengguna yang diberlakukan autentikasi secara tidak benar. Serangan kemudian dapat memanfaatkan untuk mendapatkan fungsionalitas yang tidak sah, termasuk mengakses dan mengubah akun pengguna, file sensitif, data pengguna, hak akses, dan banyak lagi. Apa yang harus dilakukan untuk mencegahnya?
# 6 KESALAHAN KONFIGURASI KEAMANANIni adalah kerentanan paling umum pada Daftar OWASP Top Ten dan biasanya disebabkan oleh penggunaan konfigurasi/kredensial default atau menampilkan pesan kesalahan yang panjang dan tidak perlu. Pesan-pesan ini berpotensi mengungkapkan kerentanan dalam aplikasi. Contohnya akan menampilkan pesan atau notifikasi error seperti di bawah ini: Seperti yang Anda lihat, detail kode aplikasi terungkap, yang dapat dimanfaatkan oleh pihak ketiga yang tidak bertanggung jawab. Perbaiki kesalahan tersebut dengan:
# 7 CROSS-SITE SCRIPTING (XXS)Jenis kerentanan ini merupakan hasil dari sesi manajemen yang lemah dan terjadi saat aplikasi web memungkinkan pengguna menambahkan kode khusus ke URL atau situs yang akan ditampilkan kepada orang lain. Kode JavaScript berbahaya kemudian dapat dijalankan di browser mereka. Seorang peretas yang berpura-pura dari bank tepercaya dapat mengirim email kepada seseorang, termasuk tautan ke situs web bank di dalam email. Tautan tersebut, bagaimanapun, mungkin memiliki kode berbahaya yang ditambahkan ke akhir URL. Jika situs bank tidak diamankan dengan baik, maka kode berbahaya akan dijalankan di browser korban setelah mereka mengkliknya.Bagaimana untuk mencegahnya?
# 8 DESERIALISASI YANG TIDAK AMANSerialisasi adalah ketika objek dari kode aplikasi diubah menjadi format yang dapat digunakan untuk tujuan lain, seperti streaming. Deserialization adalah kebalikannya, dan ini memungkinkan peretas untuk mengeksekusi kode berbahaya di server. Meskipun kerentanan tidak mengakibatkan eksekusi kode jarak jauh, penyerang masih dapat menggunakannya untuk melakukan tindakan seperti serangan berulang, serangan injeksi, dan serangan eskalasi hak istimewa. Analoginya adalah saat Anda bergerak. Serialisasi adalah saat Anda mengemas kotak dengan semua harta benda Anda. Deserialisasi terjadi saat Anda membukanya di tempat baru. Deserialisasi yang tidak aman akan terjadi jika penggerak menambahkan, melepas, dan mengatur ulang barang sebelum dibongkar. Lakukan tindakan preventif dari deserialisasi ini untuk mengamankan web aplikasi Anda:
# 9 PENGGUNAAN KOMPONEN DENGAN KERENTANAN YANG TIDAK DIKETAHUIWeb developer sering menggunakan komponen yang ada dalam aplikasi untuk menghindari pekerjaan yang berlebihan sambil menyediakan fungsionalitas yang dibutuhkan. Penyerang akan mencari kerentanan di dalam komponen ini yang dapat mereka manfaatkan untuk melakukan serangan pada aplikasi itu sendiri. Komponen populer dapat digunakan di ratusan ribu situs, dan satu kerentanan dapat membuat semuanya berisiko. Pelanggaran Equifax pada tahun 2017 adalah contoh sempurna dari jenis kerentanan ini. Disebabkan oleh penggunaan versi Apache Struts yang memiliki kerentanan yang ditemukan enam bulan sebelum serangan. Andai saja mereka membaca OWASP Top 10 List terlebih dahulu, maka 700 juta USD mereka bisa diselamatkan. Amankan kompones web aplikasi Anda dengan menerapkan tindakan-tindakan berikut:
# 10 PENCATATAN & PEMANTAUAN YANG TIDAK MEMADAIPencatatan (logging) dan pemantauan harus dilakukan secara rutin untuk membantu memastikan keamanan web bekerja maksimal. Kegagalan mampu meningkatkan risiko serangan yang dapat terjadi dan menghambat waktu respons situs Anda. Hal ini pada gilirannya memberi penyerang cukup banyak waktu untuk merusak, mengekstrak, atau menghancurkan data, beralih ke sistem lain, dan mengacak-acak semua yang ada di dalamnya. Seperti aksi credential stuffing, di mana penyerang berulang kali mencoba menggunakan nama pengguna dan pasangan kata sandi yang bocor. Katakanlah setelah 100 percobaan, mereka akhirnya mencapai kombinasi yang tepat untuk akun tertentu. Karena tidak ada logging atau pemantauan di tempat, tidak ada yang pernah diberitahu tentang tingginya jumlah upaya login pada akun tersebut. Jika tidak, aktivitas tersebut akan dianggap mencurigakan dan pelanggaran dapat dengan mudah dicegah. Apa tindakan terbaik untuk masalah ini?
Daftar OWASP Top Ten – Alat Berharga bagi Keamanan Web AndaSeperti yang telah kita lihat, OWASP Top 10 bertindak sebagai dasar yang sangat baik untuk langkah-langkah keamanan Anda. Melindungi dari item di OWASP Top 10 harus menjadi minimal, dan idealnya langkah pertama menuju kerangka keamanan yang lebih komprehensif untuk perusahaan Anda. Dengan melindungi diri Anda dari kerentanan yang paling umum, Anda secara drastis dan segera menurunkan risiko Anda. |