Hala Tuju Kemahiran Keselamatan Komputer Dan Internet (ICT)
06 November 2012 | Label: Keselamatan, Security | | |
| OWASP Malaysia |
Panduan ringkas ini saya sediakan apabila seorang sahabat bertanya tentang kemahiran keselamatan ICT yang beliau boleh pelajari dan kuasai. Dalam bidang keselamatan ICT (Information Security) secara umum terbahagi kepada tiga bahagian.
1) Menjalankan kerja-kerja menguatkan (hardening) pertahanan server dalam sistem rangkaian (Network).
2) Menjalankan kerja-kerja audit kepada server dan sistem rangkaian dalam memastikan sistem pertahanan dalam keadaan baik.
3) Menjalankan ujian serangan anda sendiri bagi menguji pertahanan (Pentest)
Sebagai permulaan, mulakan dengan hardening dan membuat audit server. Laman web CISecurity menyediakan pelbagai dokumen benchmark yang boleh digunakan sebagai rujukan dalam usaha hardening server. Sila rujuk laman web ini :-
http://benchmarks.cisecurity.org/en-us/?route=default
Jika anda pengguna Ubuntu Server, sila Download dokumen bertajuk Debian Linux Benchmark. Baca dan ikut arahan-arahan dan panduan yang diberikan. Ini termasuk penjelasan mengapa ia perlu dilakukan dalam usaha hadening server.
Untuk hardening pensijilan seperti LPI1 dan LPI2 adalah sijil yang kita perlu ambil untuk nilaikan diri kita. Lawat Linux Professional Institute (LPI) http://www.lpi.org/ untuk maklumat lanjut persijilan ini. Di Malaysia sila sertai
Facebook LPI Malaysia http://www.facebook.com/LPI.Malaysia
Selepas kita harden server sudah tentu kita hendak menguji kemampuan ia. Kita perlu jalankan Penetration Test (Ujian penembusan). Dokumen ini agak lama, namun ia boleh digunakan untuk dapatkan konsep pentest.
http://www.sans.org/reading_room/whitepapers/testing/penetration-101-introduction-penetration-tester_266
Maka saya cadangkan Certified Ethical Hacker (CEH) untuk sijil
http://www.eccouncil.org/courses/certified_ethical_hacker.aspx
dan bapa kepada semua diatas adalah CISSP
https://www.isc2.org/cissp/default.aspx
dan Cybersecurity Malaysia ada sediakan latihan persediaan CISSP ini. Sila rujuk laman web http://www.cybersecurity.my/
Bagi yang mahu kembangkan lagi kemahiran dalam keselamatan ICT boleh mengambil pensijilan Red Hat Certified Security Specialist (RHCSS). Ia ada sijil keselamatan ICT bagi membukti kemahiran dalam penggunaan Red Hat Enterprise Linux dan SELinux.
http://sg.redhat.com/certification/rhcss/?sc_cid=70160000000TmB8AAK
Bagi yang hendak belajar sendiri boleh menggunakan merujuk kepada laman web ini :-
OWASP Webgoat
https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
Belajar dengan ketahui kelemahan server yang disediakan diatas oleh OWASP. Sertai OWASP Malaysia
https://www.owasp.org/index.php/Malaysia
1) Menjalankan kerja-kerja menguatkan (hardening) pertahanan server dalam sistem rangkaian (Network).
2) Menjalankan kerja-kerja audit kepada server dan sistem rangkaian dalam memastikan sistem pertahanan dalam keadaan baik.
3) Menjalankan ujian serangan anda sendiri bagi menguji pertahanan (Pentest)
Sebagai permulaan, mulakan dengan hardening dan membuat audit server. Laman web CISecurity menyediakan pelbagai dokumen benchmark yang boleh digunakan sebagai rujukan dalam usaha hardening server. Sila rujuk laman web ini :-
http://benchmarks.cisecurity.org/en-us/?route=default
Jika anda pengguna Ubuntu Server, sila Download dokumen bertajuk Debian Linux Benchmark. Baca dan ikut arahan-arahan dan panduan yang diberikan. Ini termasuk penjelasan mengapa ia perlu dilakukan dalam usaha hadening server.
Untuk hardening pensijilan seperti LPI1 dan LPI2 adalah sijil yang kita perlu ambil untuk nilaikan diri kita. Lawat Linux Professional Institute (LPI) http://www.lpi.org/ untuk maklumat lanjut persijilan ini. Di Malaysia sila sertai
Facebook LPI Malaysia http://www.facebook.com/LPI.Malaysia
Selepas kita harden server sudah tentu kita hendak menguji kemampuan ia. Kita perlu jalankan Penetration Test (Ujian penembusan). Dokumen ini agak lama, namun ia boleh digunakan untuk dapatkan konsep pentest.
http://www.sans.org/reading_room/whitepapers/testing/penetration-101-introduction-penetration-tester_266
Maka saya cadangkan Certified Ethical Hacker (CEH) untuk sijil
http://www.eccouncil.org/courses/certified_ethical_hacker.aspx
dan bapa kepada semua diatas adalah CISSP
https://www.isc2.org/cissp/default.aspx
dan Cybersecurity Malaysia ada sediakan latihan persediaan CISSP ini. Sila rujuk laman web http://www.cybersecurity.my/
Bagi yang mahu kembangkan lagi kemahiran dalam keselamatan ICT boleh mengambil pensijilan Red Hat Certified Security Specialist (RHCSS). Ia ada sijil keselamatan ICT bagi membukti kemahiran dalam penggunaan Red Hat Enterprise Linux dan SELinux.
http://sg.redhat.com/certification/rhcss/?sc_cid=70160000000TmB8AAK
Bagi yang hendak belajar sendiri boleh menggunakan merujuk kepada laman web ini :-
OWASP Webgoat
https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
Belajar dengan ketahui kelemahan server yang disediakan diatas oleh OWASP. Sertai OWASP Malaysia
https://www.owasp.org/index.php/Malaysia
dan juga disini untuk latihan bagi menguatkan Web Application, "Web Application Exploits and Defenses"
https://google-gruyere.appspot.com/
Jangan lupa kepada Smart phone security terutamanya telepon bimbit yang dijalankan oleh Google Android. Boleh gunakan panduan ini sebagai permulaan.
http://benchmarks.cisecurity.org/en-us/?route=downloads.show.single.android.100
Laman-laman web yang dicadangkan untuk dilawati untuk berita bugs dan masalah keselamatan ICT
http://www.linux.com/
http://www.sans.org/
http://www.cybersecurity.my/
Dapatkan notis keselamatan terkini daripada laman-laman web berikut :-
http://www.kb.cert.org/vuls/
http://packetstormsecurity.org/
http://www.mycert.org.my/
Internet Storm Center
http://isc.sans.edu/
Gunakan Google untuk mengetahui mana-mana laman web yang mungkin mempunyai masalah bugs atau exploit.
http://www.exploit-db.com/google-dorks/
Anda boleh daftarkan laman web anda dengan Google Webmaster Tools untuk mengetahui sebarang perubahan yang berlaku dalam isi kandungan laman web anda.
https://www.google.com/webmasters/tools/
Moga ia menjadi panduan semua.
Harisfazillah Jamel aka LinuxMalaysia
6 Nov 2012
This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 2.5 Malaysia License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-sa/2.5/my/ or send a letter to Creative Commons, 543 Howard Street, 5th Floor, San Francisco, California, 94105, USA.
