Berkarier Sebagai Praktisi Keamanan Informasi

10 min readJun 2, 2020

Disclaimer: Tulisan ini adalah opini dan hasil analisis penulis pribadi tanpa mewakili pihak/institusi manapun.

Dalam tulisan ini, saya akan coba membahas sedikit tentang karier di bidang Keamanan Informasi / Cyber Security. Tulisan saya ini berdasarkan pengalaman pribadi dengan kapasitas saya sebagai Praktisi/Konsultan Keamanan Informasi global dan rangkuman hasil diskusi dengan beberapa rekan praktisi Keamanan Informasi dan IT GRC baik di Indonesia maupun di luar negeri.

Sumber: https://www.slideshare.net/proferyk/cybersecurity-skills-in-industry-40

Tulisan ini saya ambil juga berdasarkan referensi tulisan dan presentasi saya sebelumnya.

Tulisan Cybersecurity Teaming
Presentasi Cybersecurity Skills

Membahas karier di bidang Keamanan Informasi ini akan cukup subyektif tergantung dari perspektif kita sebagai konsultan atau end-user. Dari perspektif end-user, saya akan coba rangkum berdasarkan pengelaman project saya selama ini di klien/end-user dalam proyek-proyek transformasi keamanan informasi yang saya kerjakan. Dari situ saya dapat banyak fakta dan cerita menarik dari end-user.

Saya akan coba tulis dengan sederhana agar pembaca yang bukan praktisi keamanan informasi bisa memahami isinya.

Mengenal Fondasi Tim Keamanan Informasi

Pada bagian awal tulisan ini, saya akan bahas tentang “Teaming” atau struktur organisasi Keamanan Informasi. Setelah itu baru saya akan bahas sekilas skill apa saja yang dibutuhkan.

Jika mengacu pada referensi di atas, secara kapabilitas dasar, tim Keamanan Informasi terbagi menjadi empat, yaitu:

Red Team. Tim yang bersifat offensive / menyerang. Secara dasar, pekerjaan yang minimal ada di red team adalah Penetration Tester atau “White Hacker”. Saya asumsikan di sini adalah pentester internal. Ada juga profesi “Bug Hunter/Bug Bounter” jika organisasi memang memiliki program Bug Bounty baik yang dikelola sendiri maupun dikelola oleh platform Bug Bounty.
Blue Team. Tim yang bersifat defensive / bertahan. Tim ini menerapkan kontrol untuk melakukan proteksi, deteksi, dan respon insiden keamanan informasi. Profesi pada area ini biasanya adalah Security Analyst dan Security Engineer.
White Team. Tim yang lebih mengurusi perihal Governance, Risk, dan Compliance. Tim ini banyak berurusan dengan kebijakan dan prosedur, regulasi, standardm audit, dan memberikan awareness kepada karyawan.
Purple Team. Tim yang unik, merupakan gabungan atau kolaborasi dari Red and Blue Team. Tim ini memiliki tugas untuk memastikan skenario “Active Defense” organisasi dapat berjalan. Tim ini juga harus memiliki skillset yang dimiliki Red dan Blue Team.

Kebutuhan Skill Tiap Tim

Sebelum saya mengulas masing-masing tim, ada baiknya saya sebutkan dulu bahwa untuk technical area (Red, Blue, dan Purple), seorang praktisi keamanan informasi harus memiliki dasar keilmuan dan pengalaman terkait:

Operating System (e.g. Windows, Linux, Mac)
Network (Konsep jaringan, common port, dan penggunaan perangkat network & network security jika memungkinkan)
Database (Minimal ngerti SQL query)
Programming (Tergantung mau web atau mobile)
Malware (Memahami cara kerja berbagai jenis malware dan cara mendeteksinya)
Reporting (Penting ini kalau anda ingin belajar berkomunikasi dengan manusia beneran)

Berikut adalah ulasan skill dasar yang perlu dimiliki oleh masing-masing tim.

Red Team

Kemampuan hacking tentunya menjadi skill utama dalam tim ini. Lalu, bagaimana kita mempelajari ilmu hacking ini? Harus dari mana belajarnya?

Kalau pengalaman pribadi waktu saya masih SMP, pertama belajar hacking dari buku Jasakom, Googling, dan bergabung di forum hacker (misalnya echo.or.id). Generasi zaman now sudah enak. Googling saja sudah cukup nemu banyak informasi gratis. Selain itu dengan adanya Social Media (e.g. FB, Twitter, dll.), Messaging (WhatsApp, Telegram, Slack, dll.), dan media komunikasi lainnya seperti Youtube dan Conference software (e.g. Zoom, Teams, Meets, dll.) sangat memudahkan anda untuk belajar.

Jika anda tertarik menjadi red team, maka beberapa jenis assessment yang dapat anda kerjakan adalah:

Vulnerability Assessment (VA). Melakukan pencarian kerentanan sistem yang biasanya dilakukan dengan tools dan divalidasi secara manual. VA ini biasanya juga bagian dari Penetration Testing. Sekedar informasi, umumnya pada perusahaan yang well-regulated dan sudah aware (serta mau invest) akan melakukan VA secara rutin dengan target sistem yang bergantian. Tujuannya adalah agar scanning tools tidak mengganggu kinerja sistem (khususnya sistem production).
Penetration Testing. Melakukan pengujian secara intrusif dan eksploitasi terhadap kerentan, baik yang ditemukan dari hasil VA maupun dengan cara lain. Bedanya dengan VA, aktivitas pentest umumnya lebih agresif karena di suatu titik pentester akan mengembangkan atau menggunakan exploit, dimana exploit tersebut bisa berpotensi mengganggu availability sistem. Untuk hasilnya, tentu akan lebih akurat pentest daripada VA. Untuk target pentest, saat ini umumnya adalah Web dan Mobile Application.
Phishing Exercise. Melakukan pengujian tingkat awareness dari user dengan cara mengirimkan email ASPAL (Asli Tapi Palsu) kepada user untuk menguji apakah user dapat tertipu atau tidak. Hasil dari phishing exercide ini umumnya digunakan untuk mengukur efektivitas program security awareness organisasi. Kalau masih banyak yang ngeklik malicious URL, nge-download, dan menjalankan malicious document ya berarti awareness user masih rendah.
Social Engineering. Melakukan tipu-tipu terhadap user tidak hanya dengan email phishing, bisa juga dengan vishing (voice phishing), pretexting, dan lainnya. Ini biasanya video yang dipakai orang untuk presentasi tentang Social Engineering.
Red Teaming. Bisa dibilang, red teaming ini adalah “sophisticated” attack exercise karena menggunakan segala cara untuk mendapatkan obyektif yang telah ditentukan, misalnya akses terhadap informasi sensitif atau ke sistem kritikal tertentu. Red team ini gabungan dari berbagai area pengujian, termasuk social engineering, phishing, malware development, exploit development, Open Source Intelligence (OSINT), dan lain-lain. Contohnya ada pada gambar berikut,

Sumber: https://home.kpmg/content/dam/kpmg/ca/pdf/2017/10/redteam-services-kpmg-canada.pdf

Skillset yang diperlukan untuk Red Team adalah sebagai berikut.

Vulnerability Assessment. Minimal bisa jalanin Vulnerability Scanning tools dan memiliki dasar keilmuan yang sudah saya sebutkan di atas.
Penetration Testing. Memiliki kemampuan VA, dasar keilmuan di atas, dan juga kemampuan dalam exploit development dan reverse engineering (basic). Selain itu harus memahami metode / pendekatan dari pentration testing, misalnya untuk pentest infra bisa refer ke PTES atau web dan mobile app bisa mengacu ke OWASP.
Social Engineering dan Phishing. Minimal bisa setup infrastruktur untuk phishing exercise, memahami behavior organisasi & user, serta dapat menerapkan berbagai skenario phishing.
Red Teaming. The complex one. Harus memiliki kemampuan yang saya sebutkan di atas terkait Pentest dan Social Engineering, plus kemampuan dalam malware development serta memahami lebih dalam tentang Operating System dan deception technique.

Untuk belajar gimana? Banyak sumber belajar dari Google, cuma saya sebutkan beberapa course yang umumnya diambil oleh rekan-rekan.

Untuk pemula, bisa ambil course Certified Ethical Hacker (CEH) punya EC-Council. Materinya cukup basic. Dulu hanya pilihan ganda examnya, tapi sekarang ada yang pakai Lab.
Untuk level praktikal yang lebih menantang, bisa ambil course Penetration Testing with Kali Linux (PWK) untuk mendapatkan sertifikasi Offensive Security Certified Professional (OSCP).
Course PentesterAcademy. Murah ini coursenya (plus lab pula).
Latihan hacking di Hack the Box dan Vulnhub.
Untuk red teaming, wajib hukumnya memahami MITRE ATT&CK.

Cukup banyak resources yang dapat dijadikan acuan belajar cuma tidak mungkin saya tulis semua di sini. Silakan gunakan googling untuk informasi lebih lanjut.

Blue Team

Area dari Blue Team ini cukup banyak. Dasar keilmuan yang saya sebutkan di atas harus dimiliki oleh Blue Teamer. Berikut adalah contoh pekerjaan dari Blue Team.

Security Monitoring dan Analysis. Jika anda betah duduk di depan monitor, melihat traffic dan alert dari security event, profesi ini cocok untuk anda. Jika anda tertarik bekerja di bagian Security Operation Center (SOC), kemampuan dalam monitoring dan analisis security event dan incident ini penting dan memang kemampuan dasar yang harus dimiliki. Selain memiliki pemahaman atas keilmuan dasar, praktisi di area ini harus familiar, bisa menggunakan, bahkan mengoptimalkan teknologi/tools security monitoring and protection, misalnya Firewall, IDS/IPS, SIEM, SOAR, EDR, dan lain-lain. Dalam struktur tim SOC, biasanya security monitoring dan analyst ini bisa dibilang sebagai Level 1 / L1 Analyst.
System Hardening. Biasanya ini pekerjaan dari Security Engineer. Jadi selain melakukan implementasi dan konfigurasi perangkat network security, Security Engineer juga harus dapat melakukan pengujian dan perbaikan atas security hardening sistem. Tentunya pengetahuan spesifik tentang Operating System.
Incident Response. Dalam security opeation, incident response memegang peranan penting dalam penanganan insiden keamanan informasi. Tentunya incident responder harus memiliki kemampuan yang juga dimiliki oleh Security Monitoring Analysis dan pemahaman terhadap metode incident response. Dalam tim SOC, incident responder biasanya ada di L1 dan L2 Analyst.
Digital Forensic. Jika insiden keamanan informasi telah ditangani, jika organisasi penasaran ingin mencari sumber masalahnya dapat dilakukan dengan melakukan forensik. Digital forensic umumnya adalah personil yang ditunjuk sebagai Subject Matter Expert (SME) atau L3 Analyst pada suatu tim SOC. Kemampuan utama dari digital forensic adalah melakukan investigasi dan penanganan barang bukti. Dalam melakukan aktivitas forensik ini praktisi harus memahami dan menerapkan metode computer forensic yang sesuai dengan standar atau best practice, khususnya dalam penanganan barang bukti / Chain of Custody.
Threat Hunting. Inilah profesi yang saat ini sedang demanding. Bedanya dengan security monitoring dan analyst, Threat Hunter berusaha mencari “masalah” secara manual untuk threat yang bisa jadi tidak bisa dideteksi oleh tools monitoring karena kondisi tertentu. Kata kuncinya adalah pendeteksian berbasis Hipotesis. Aktivitas threat hunting selalu dimulai dengan Hipotesis. Misalnya saya punya hipotesis sistem telah tercompromise malware/APT xxx, saya punya hipotesis adanya aktivitas lateral movement (berpindah antar sistem menggunakan kerentanan yang berhasil dieksploitasi pada sistem yang belum dipatch), saya punya hipotesis adanya upaya privilege escalation (menaikkan hak akses dari user biasa ke super user), dan lain-lain.

Untuk belajar gimana? Resource belajarnya juga sangat banyak. Beberapa yang saya rekomendasikan.

Bebeberapa course dari EC-Council, misalnya CHFI, ECSA, CTIA, dan , ECIH.
Beberapa course dari SANS Institute bagi anda yang berduit karena course dan certnya mahal !! Tapi materinya memang oke dan high quality.
Course eLearnsecurity. Agak mahal tapi masih oke.
Bisa coba juga Mosse Institute. Platform ini gak seberapa terkenal. Tapi jangan salah. Melihat harga dan lab-lab yang ada di sini, oke banget. Kira-kira seperti PentesterLab.
Berbagai resource di Google.

White Team / Others

Umumnya skillset utama yang dibutuhkan untuk White Team adalah non-teknikal. Tapi bukan berarti dasar keilmuan yang saya sebutkan di atas tidak penting ya. TETAP PENTING !! Sebagai praktisi Keamanan Informasi, tetap harus memiliki keilmuan dasar yang saya sebutkan. Untuk level penguasaannya memang tidak harus deep. Again, bisa jadi anda akan jadi white team yang specialist di bidang tertentu, misal di kantor anda diassign sebagai IT Auditor untuk AS400 karena anda expert di bidang ini, sedangkan saat ini sudah jarang expert untuk AS400.

Untuk belajarnya gimana? Umumnya White Team ini akan banyak berususan hal-hal tekait regulasi, risk management, governance, strategy, standard, framework, arsitektur, kebijakan, dan hal-hal yang bersifat prosedural.

Beberapa hal yang dapat anda pelajari untuk menguasai area ini.

Standard. Beberapa standar internasional (untuk kebutuhan sertifikasi) yang umum adalah ISO 27001 & 27002 (serta turunan ISO 27000 lainnya) dan PCI-DSS. Saya sarankan anda pelajari juga ISO 31000 tentang Risk Management.
Framework. Framework yang umum digunakan adalah NIST Cybersecurity Framework, NIST-SP 800–53, turunan NIST SP yang lain, SABSA, dan COBIT.
Best Practice & Guideline. Umumnya praktisi menggunakan CIS SAN Top 20 Critical Security Control dan CIS Benchmark
Regulasi. Ini disesuaikan dengan negara dan industri masing-masing. Untuk di Indonesia, anda wajib memahami beberapa UU (misalnya UU ITE), Peraturan Pemerintah (misal PP 71), Peraturan Menteri (misal PerMen Kominfo No 4 Tahun 2016 dan No 20 Tahun 2016), dan peraturan sektoral (misalnya untuk sektor keuangan, berarti Peraturan OJK dan Bank Indonesia).

Masih banyak standar, framework, best practice, dan regulasi lain yang perlu anda perhatikan. Mengingat saat ini banyak negara sudah mulai concern masalah Data Privacy & Data Protection, saya sarankan anda mulai aware dengan hal ini juga. Setidaknya anda baca-baca dikit tentang GDPR Eropa, PerMen Kominfo No 20 Tahun 2016, dan juga RUU Perlindungan Data Pribadi.

Sekalian promosi, saya sarankan anda join channel telegram yang saya buat berikut.

Di medium saya juga anda dapat baca beberapa artikel tentang Data Privacy dan Data Governance. Rencananya saya akan tulis dalam beberapa part.

Purple Team

Skillset purple team ini cukup jelas, yaitu skillset yang dimiliki oleh Red Team dan Blue Team.

Berikut adalah beberapa cuplikan slide presentasi saya.

Mengenal Organisasi Keamanan Informasi Global

Jika ditinjau dari struktur organisasi, terlepas dari pembagian tim keamanan informasi di atas, berikut adalah contoh struktur organisasi keamanan informasi pada sebuah perusahaan global yang tidak bisa disebutkan namanya.

Beberapa bagian sengaja saya samarkan untuk menjaga kerahasiaan informasi, karena ini project nyata. Pada gambar ini sebenarnya saya hanya ingin menunjukkan bahwa cukup banyak yang bisa dilakukan oleh praktisi keamanan informasi. Kalau saya pribadi, karena sudah mengerjakan beberapa project berkaitan dengan transformasi keamanan informasi dan beberapa project yang lebih teknis, maka hampir semua area security tersebut pernah saya kerjakan, kecuali Forensic (karena selama ini, ada tim khusus forensik, dan saya bukan di tim tersebut).

Jika anda sudah sempat membaca presentasi saya tentang Enterprise Cybersecurity, materi ini cukup high level karena mencakup area strategis yang mencover semua area keamanan informasi.

Silakan japri saya jika anda memiliki problem yang berkaitan dengan transformasi, organisasi, dan operating model dari keamanan informasi. Barangkali anda membutuhkan Virtual CISO (vCISO).

Untuk Operating Model sendiri saya pernah memberikan knowledge dasarnya pada presentasi tentang IT Operating Model.

Tambahan Knowledge

Beberapa kemampuan di luar Keamanan Informasi yang saya sarankan untuk dipelajari, mengingat saat ini teknologi sudah sedemikian canggih dan bermacam-macam.

Saya sendiri terus belajar, tidak hanya bidang Keamanan Informasi, namun juga emerging technology dan platform tertentu yang memang harus saya pelajari karena tuntutan pekerjaan dan passion. Gambar di atas adalah teknologi dimana saya pernah ada pengalaman untuk berbagai macam proyek keamanan informasi dan juga karena menjadi area topik riset saya saat S2 (Magister Ilmu Komputer).

Kesimpulan

Tentunya artikel ini masih belum sempurna dan banyak informasi yang belum tersampaikan karena keterbatasan ruang dan waktu. Semoga artikel yang singkat ini dapat memberikan gambaran bagi rekan-rekan yang ingin meniti karier di bidang Keamanan Informasi.

Jika ada pertanyaan lebih lanjut, silakan japri ya. Saya berharap bisa membantu anda.

Semoga bermanfaat. Keep learning and keep sharing :)

Salam,

Eryk Budi Pratama

(Slideshare) (Linkedin)