Mohon tunggu...
nanda fatar julaidi manurung
nanda fatar julaidi manurung Mohon Tunggu... Auditor - 55519120014

Magister Akuntansi Univ Mercu Buana Jakarta

Selanjutnya

Tutup

Ruang Kelas

TB2 Prof Apollo "Pentingnya Dilakukan Audit Web Server dan Web Aplikasi"

17 Mei 2021   17:10 Diperbarui: 18 Mei 2021   14:54 737
+
Laporkan Konten
Laporkan Akun
Kompasiana adalah platform blog. Konten ini menjadi tanggung jawab bloger dan tidak mewakili pandangan redaksi Kompas.
Lihat foto
Gambar 1 - Flow Web Server

Pendahuluan
Web Server adalah saluran komunikasi bisnis yang luar biasa - ia menyampaikan informasi dengan murah, nyaman kepada hampir semua orang. Secara tradisional, menurut saya pengalaman, Web bukanlah area yang dianggap serius oleh auditor hingga saat ini, karena belum digunakan untuk melakukan transaksi bisnis, tetapi hanya untuk mempublikasikan organisasi. Sebagian besar perusahaan menjalankan aplikasi Web mereka pada antarmuka firewall atau antarmuka di luar jaringan internal, sehingga audit, lebih memperhatikan inti aplikasi bisnis, dapat mengandalkan firewall untuk melindungi dari peretas, dan memperlakukan server Web sebagai, paling buruk, sebagai bastion host.
Server web yang digunakan perusahaan untuk menjalankan situs web mereka dapat diakses oleh karyawan, pelanggan, atau mitra bisnis, yang berarti mereka menangani banyak informasi sensitif. Serangan baru-baru ini telah menyoroti pentingnya keamanan informasi dengan mengingatkan bisnis tentang dampak pelanggaran dunia maya --- tindakan hukum, denda, dan hilangnya kepercayaan pelanggan. Sebagai akibat dari pelanggaran profil tinggi ini, mandat peraturan di seluruh dunia menuntut sistem keamanan yang lebih ketat untuk meningkatkan deteksi dan resolusi insiden. Mereka juga menekankan pemberitahuan pelanggaran wajib yang memperingatkan otoritas yang mengatur tentang pelanggaran dalam kerangka waktu yang ditentukan.

Pengertian Dan Penjelasan Web Server Dan Web Aplikasi

Web Server  adalah perangkat lunak dan perangkat keras yang menggunakan HTTP (Hypertext Transfer Protocol) dan protokol lain untuk menanggapi klien yang permintaandibuat melalui World Wide Web. Tugas utama server web adalah menampilkan konten situs web melalui penyimpanan, pemrosesan, dan pengiriman halaman web kepada pengguna. Selain HTTP, web server juga mendukung SMTP (Simple Mail Transfer Protocol) dan FTP (File Transfer Protocol), digunakan untuk email, transfer file, dan penyimpanan.
Perangkat keras web server terhubung ke internet dan memungkinkan data untuk dipertukarkan dengan perangkat lain yang terhubung, sementara perangkat lunak web server  mengontrol bagaimana pengguna mengakses file yang dihosting. Proses web server adalah contoh model klien / server . Semua komputer yang menghosting situs web harus memiliki perangkat lunak server web.
Sedangkan aplikasi web adalah program komputer yang menggunakan browser web untuk menjalankan fungsi tertentu. Contoh sederhananya adalah formulir kontak di situs web.
Aplikasi web adalah program klien-server. Ini berarti memiliki sisi klien dan sisi server. Istilah "klien" di sini mengacu pada program yang digunakan individu untuk menjalankan aplikasi. Ini adalah bagian dari lingkungan klien-server, di mana banyak komputer berbagi informasi. Misalnya, dalam kasus database, klien adalah program yang digunakan pengguna untuk memasukkan data. Server adalah aplikasi yang menyimpan informasi.

Cara Kerja Web Server
Perangkat lunakweb server diakses melalui nama domain situs web dan memastikan pengiriman konten situs ke pengguna yang meminta. Sisi perangkat lunak juga terdiri dari beberapa komponen, dengan setidaknya server HTTP. Server HTTP dapat memahami HTTP dan URL. Sebagai perangkat keras, web server adalah komputer yang menyimpan perangkat lunak web server dan file lain yang terkait dengan situs web, seperti HTML dokumen, gambar, dan JavaScript file.

Cara Kerja Web Aplikasi

            Untuk mengakses yang dibutuhkan adalah koneksi internet dan web browser yang digunakan sebagai penghubung ke aplikasi yang ingin diakses.

Gambar 2 - elemen web aplikasi
Gambar 2 - elemen web aplikasi

Ancaman Terhadap Web Server

Web adalah pintu gerbang untuk komunikasi antara internet dan jaringan perusahaan Anda. Aplikasi web mengharuskan port tertentu terbuka untuk komunikasi dengan pengguna akhir, yang berarti peretas dapat menggunakan teknik serangan canggih untuk mengeksploitasi kerentanan di web server Anda dan membahayakan keamanan jaringan Anda. Server web rentan terhadap berbagai ancaman keamanan, seperti permintaan yang mencoba menjalankan skrip berbahaya.

Gambar 3 - Beberapa ancaman terhadap web server
Gambar 3 - Beberapa ancaman terhadap web server

Langkah Untuk Melakukan Audit Web Server dan Web Aplikasi 

Sebelum melakukan audit terhadap web server dan web aplikasi, auditor harus melakukan survei pendahuluan untuk memastikan beberapa hal berikut:

  • Apakah sistem harus tersedia 24 x 7?
  • Apa persyaratan aksesnya? Apakah akses ke sistem / data dibatasi di dalam perusahaan hanya untuk manajemen senior? Apakah pelanggan / mitra bisnis / pesaing diizinkan mengakses bagian mana pun dari sistem (terutama untuk sistem bisnis elektronik)?
  • Berapa banyak pengguna yang menggunakan sistem rata-rata dan pada waktu puncak?
  • Berapa banyak data yang disimpan?
  • Apakah ada persyaratan hukum untuk menyimpan data dalam jangka waktu tertentu?
  • Apakah ada persyaratan hukum untuk melindungi data dari penyusup?
  • Seberapa sensitif data disimpan? Seberapa buruk pengaruhnya terhadap bisnis jika pesaing atau penyusup lain memiliki akses ke data tersebut atau menghancurkan data?
  • Seberapa sensitif sistem itu sendiri? Seberapa buruk pengaruhnya terhadap bisnis bagi pengguna yang tidak sah untuk mendapatkan akses ke berbagai bagian sistem?

Setelah melakukan survei pendahuluan dan telah dilakukan penilaian terhadap web server dan web aplikasi yang akan diaudit ada beberapa hal lain yang menjadi pertimbangan auditor saat melakukan audit terhadap web server dan web aplikasi, yaitu:

a.Keamanan fisik
Dalam memeriksa keamanan fisik, auditor harus memperhatikan lokasi fisik sistem dan lokasi fisik sistem dapat diakses.
Untuk kebanyakan perusahaan, server data dan perangkat keras server diletakkan di ruangan ber-AC yang tidak memiliki jendela dan tidak mudah diakses (diakses menggunakan kartu keamanan atau sistem entri kode kunci). Untuk sistem yang lebih kritis, mungkin penting juga untuk memeriksa para pemegang kartu keamanan tersebut atau mengubah kode kunci yang digunakan untuk memasuki ruang server secara teratur.
Bergantung pada tingkat keamanan yang diperlukan, mungkin perlu untuk memeriksa bahwa penjaga keamanan dipekerjakan untuk menjaga dari penyusup  dapat dipercaya dan dapat diandalkan serta telah menjalani pemeriksaan pihak keamanan.
Perlu juga memeriksa lokasi web server cadangan yang berperan sebagai mirroring atau backup web server utama jika terjadi bencana termasuk provider internetnya. Apakah hanya menggunakan satu isp atau lebih sebagai cadangan jika terjadi masalah dengan ispnya. Begitu juga jaringan router, hub, firewall dan lainnya.

b.Prosedur, Peran, dan Tanggung Jawab
Ini adalah area yang terlalu sering diabaikan dalam audit keamanan. Auditor sering memusatkan perhatian pada aspek fisik dan teknis dari keamanan dan lupa untuk memastikan bahwa prosedur yang tepat telah tersedia, telah ditulis, dan diikuti. Namun itu bisa menjadi bagian kunci yang jika hilang akan menciptakan ancaman terbesar bagi keamanan.
Penting untuk memastikan bahwa kebijakan diterapkan untuk memastikan bahwa hasil audit dan rekomendasi audit selama ini telah digunakan secara efektif. Beberapa sistem akan diminta untuk mencatat lebih banyak daripada yang lain (untuk alasan hukum atau operasional), tetapi audit minimum yang harus dilakukan harus mencatat upaya login mana yang gagal dan dari alamat IP mana asalnya.
Apakah ada prosedur untuk memastikan bahwa log audit aktivitas sistem ditinjau secara berkala untuk mencari tanda-tanda niat jahat (seperti login berulang yang gagal)? Siapa yang melakukan prosedur ini, dan seberapa sering? Apakah mereka efektif?
Apakah ada kebijakan yang memastikan sandi tidak mudah ditebak? Misalnya, apakah kata sandi wajib terdiri dari delapan karakter dan terdiri dari campuran angka dan huruf? Apakah sistem memaksa pengguna untuk mengubah sandi secara teratur?
Perangkat lunak pemindai virus paling efektif di dunia tidak akan mampu mengatasi virus yang sangat baru sehingga belum ada "penawar" yang diciptakan. Adakah ada prosedur yang harus dilakukan jika diserang oleh virus? Banyak dari virus terbaru yang paling mematikan menggunakan VBScript untuk menulis sendiri ke halaman Web dan juga ke email, jadi ini dapat menjadi pertimbangan.
Dalam kemungkinan seperti itu, siapa yang harus diberitahu tentang wabah tersebut? Siapa yang bertanggung jawab untuk membuat keputusan tentang seberapa serius serangan tersebut?
Penting juga bagi auditor untuk memeriksa bahwa prosedur ini tidak hanya ditulis dalam dokumen dan dilupakan, tetapi juga diketahui oleh mereka yang perlu mengikutinya dan bahwa prosedur tersebut dilaksanakan secara efektif bila diperlukan.
Auditor yang efektif harus melihat tidak hanya semua rute fisik ke dalam sistem (perangkat keras), tetapi juga rute logis ke dalam sistem --- yaitu, dari jaringan mana sistem dapat diakses dan bagaimana? Apakah ada VPN yang mengizinkan akses ke jaringan area lokal dari luar gedung fisik? Apakah akses diperbolehkan dari situs Web ke bagian mana pun dari sistem? Dapatkah anggota staf melakukan panggilan langsung ke sistem internal menggunakan telepon rumah mereka?
Untuk setiap jalur akses logis, auditor harus memeriksa bahwa ada cara yang efektif untuk mengidentifikasi dan mengautentikasi kelompok pengguna yang diizinkan mengakses dari titik itu.

c.Persyaratan Arsitektur Teknis
Auditor harus memastikan bahwa arsitektur teknis dapat mendukung tingkat keamanan yang diperlukan.
Misalnya, persyaratan keamanan yang sangat berbeda ada untuk arsitektur teknis untuk menjalankan intranet daripada yang menjalankan situs Web Internet.
Arsitektur teknis intranet dirancang untuk memungkinkan akses ke data dan sistem internal hanya untuk pengguna internal (biasanya karyawan). Dalam skenario seperti itu, satu firewall atau server proxy mungkin menyediakan gateway di mana semua karyawan dapat mengakses Internet, tetapi tidak ada seorang pun di Internet yang dapat mengakses sistem internal.
d.Konfigurasi Server Web
Selain memeriksa penggunaan file, direktori, dan keamanan database di server Web, penting untuk memeriksa banyak aspek lain dari konfigurasi server Web. Instalasi dan konfigurasi server web telah ditentukan oleh Sans sebagai satu-satunya penyebab pelanggaran keamanan terbesar.
Sejumlah masalah instalasi / konfigurasi dan "lubang" keamanan telah ditemukan (dan akan terus ditemukan) di banyak server Web terkemuka, jadi sangat penting untuk memeriksa apakah administrator server Web selalu up-to-date dengan update system keamanan yang memperbaiki lubang keamanan tersebut.
Microsoft menyediakan alat untuk melakukan konfigurasi untuk aplikasi web server yang mereka sediakan yang dapat diakses melalui situs resmi mereka http://www.microsoft.com/technet/security/tools/locktool.asp.

e.Pengembangan Perangkat Lunak
Auditor harus memperhatikan dengan cermat cara pengembangan perangkat lunak untuk digunakan dalam sistem yang diaudit. Banyak masalah terkait keamanan di beberapa bagian karena "bug" yang diperkenalkan selama tahap pemrograman.
Desain, pengembangan, tinjauan kode, pengujian, dan kontrol kode sumber / proses manajemen perubahan harus diperiksa dengan cermat untuk memastikan bahwa mereka direkayasa untuk mengurangi kemungkinan masuknya bug ke dalam sistem.

f.Perangkat Lunak Pemindai Virus
Kebijakan ini akan memastikan bahwa semua PC yang mengakses jaringan telah menginstal dan mengaktifkan antivirus dan memperbarui secara teratur (seberapa sering tergantung pada risiko yang dianggap organisasi). Jika suatu sistem pernah menonaktifkan pemindaian virus, seluruh sistem harus dipindai lagi sebelum terhubung kembali ke jaringan. Selanjutnya, server file dan server Web (dan perangkat keras lain yang terhubung ke jaringan) harus memiliki virus- perangkat lunak pemindaian terpasang.

g.Konfigurasi Browser
Auditor keamanan harus memastikan bahwa browser di seluruh perusahaan diatur untuk menerapkan kebijakan seluruh perusahaan yang disepakati di mana konten harus dapat diunduh / digunakan dalam perusahaan.
Implikasi dari mengizinkan kontrol ActiveX yang tidak diotorisasi dan skrip VB di dalam browser harus dipertimbangkan dengan sangat hati-hati, karena teknologi seperti itu, meskipun kuat, akan tetapi membawa serta risiko keamanan yang besar: Mereka memungkinkan konten yang diunduh untuk berinteraksi dengan file dan sistem operasi pada mesin klien.

Kesimpulan
Saat ini diera digitalisasi, keberadaan sebuah web server dan web aplikasi banyak membantu manusia dalam menjalankan aktivitasnya terutama terkait dengan sebuah organisasi perusahaan, oleh karena itu penting untuk menjaga keamanan dari sebuah fasilitas web server dan web aplikasi yang digunakan karena hampir dipastikan investasi yang dilakukan tidak sedikit dan sangat mempengaruhi kegiatan operasional sebuah organisasi perusahaan.
Dalam melakukan audit terhadap web server dan web aplikasi, auditor harus terlebih dahulu memahami profil pengguna web server dan web aplikasi tersebut, bagaimana web server dan web aplikasi tersebut diperuntukkan, kontrol atas  akses ke web server dan web aplikasi tersebut. Sehingga audit program dapat dirancang dengan komprehensif dan menghasilkan sebuah hasil atau rekomendasi yang benar-benar dibutuhkan dan bisa diaplikasikan.

Daftar Pustaka

Web Server. (2017). Encyclopedia of GIS, 2498--2498.

Webb, A. (2001). Why Audit a Web Server? Network Security, 2001(9), 11--14.

Eshete, B., Villafiorita, A., & Weldemariam, K. (2011). Early detection of security misconfiguration vulnerabilities in web applications. Proceedings of the 2011 6th International Conference on Availability, Reliability and Security, ARES 2011, January, 169--174.

Huang, Y. W., Huang, S. K., Lin, T. P., & Tsai, C. H. (2003). Web application security assessment by fault injection and behavior monitoring. Proceedings of the 12th International Conference on World Wide Web, WWW 2003, 148--159.

Wu, M., & Moon, Y. (2018). DACDI (Define, Audit, Correlate, Disclose, and Improve) framework to address cyber-manufacturing attacks and intrusions. Manufacturing Letters, 15, 155--159.

Ruppert, B. (n.d.). Auditing a Web Application Brad Ruppert. Security.

Interested in learning more ? Auditing an Apache for Windows Web Server : An Auditor ' s Perspective. (n.d.). Audit 507.

Baca konten-konten menarik Kompasiana langsung dari smartphone kamu. Follow channel WhatsApp Kompasiana sekarang di sini: https://whatsapp.com/channel/0029VaYjYaL4Spk7WflFYJ2H

HALAMAN :
  1. 1
  2. 2
  3. 3
Mohon tunggu...

Lihat Konten Ruang Kelas Selengkapnya
Lihat Ruang Kelas Selengkapnya
Beri Komentar
Berkomentarlah secara bijaksana dan bertanggung jawab. Komentar sepenuhnya menjadi tanggung jawab komentator seperti diatur dalam UU ITE

Belum ada komentar. Jadilah yang pertama untuk memberikan komentar!
LAPORKAN KONTEN
Alasan
Laporkan Konten
Laporkan Akun