Terima kasih telah menghadiri acara tahunan kami DCC (Dymar Customer Conference) 2022. 

Silahkan kunjungi link di bawah ini untuk mengakses recorded webinar, materi presentasi dan sesi Q&A.


Recorded Video


Materi Presentasi


(Q)uestions & (A)nswers

 

Q: Apakah konsep atau pola enkripsi end-to-end yang telah dipaparkan itu sama dengan hal nya pada enkripsi end-to-end pada aplikasi WhatsApp?

A: Thales berkolaborasi dengan Dymar untuk konsep EE2E yang dipaparkan, dimana kami memastikan key custodian dan ownership ada di pihak customer. Pola EE2E WhatsApp mungkin punya konsep yang sama, tapi yang pasti, WhatsApp EE2E tidak memberi kesempatan kepada customer untuk manage key dan mendapatkan key ownership. Dan WhatsApp E2EE hanya digunakan untuk memproteksi data chatting, sedangkan E2EE Thales digunakan untuk memproteksi PIN, password sampai proses verifikasinya di dalam secure hardware (HSM) dan selain itu dapat memproteksi sensitive data pada aplikasi mobile ataupun web. 

 

Q: Saya ingin bertanya bagaimana kebutuhan pengukuran terhadap sizing dari produk ini (KMS)?

A: KMS atau Key Management Server dalam hal ini adalah produk Thales CipherTrust. Untuk pengukuran sizing, perlu dilakukan terlebih dahulu analisa terhadap kebutuhan. Tergantung dari sizing apa yang ingin ditentukan? Sizing performa, kapasitas key atau sizing untuk mencapai availability misalnya. Kami menyarankan untuk mengadakan sesi privat dengan tim Dymar untuk membahas kebutuhan ini. 

 

Q: Terkait dengan security di Database Cloud itu di level protocol nya apa dari sisi cloudbase nya? Dari Dymar menggunakan apa?

A: Solusi enkripsi di Cloud environment beragam. Mulai dari BYOE (Bring Your Own Encryption) sampai dengan BYOK (Bring Your Own Key). Untuk proteksi database pada cloud ada yang mengenkripsi pada level file system (mengenkripsi 1 file database) ataupun level aplikasi (mengenkrip per field database). Untuk info lebih lanjut silahkan menghubungi Account Manager kami.

 

Q: Mohon ijin bertanya, untuk serangan/ancaman cyber crime jenis apa aja yang sudah pernah dihadapi? Dan bagaimana cara mengatasinya? Terima kasih

A: Dymar mempunyai berbagai solusi untuk memproteksi kerahasiaan data dalam menangani jenis cyber crime seperti pencurian data penting. Salah satu solusinya dengan mengenkripsi data penting, mengelola kunci enkripsinya, sampai menggunakan software anti malware ataupun ransomware.  

 

Q: Apakah ada pendampingan dari teknisi Dymar untuk upgrade Thales payShield dari 9000 ke 10000?

A: Terima kasih atas pertanyaannya, untuk setiap pembelian payShield 10K dari Dymar akan memberikan pendampingan untuk proses migrasi dari payShield 9000 ke payShield 10K. Terima kasih.

 

Q: Apa yang membuat kami yakin apabila data perusahaan kami di simpan di Cloud? apakah ada metode khusus yang harus diterapkan….misal dari sisi infrastruktur atau security nya….terimakasih

A: Metode yang disediakan ada beragam, beberapa pilihannya mulai dari native encryption, BYOK (Bring Your Oen Key), HYOK (Hold Your Own Key) sampai dengan BYOE (Bring Your Own Encryption). Untuk info lebih lanjut silahkan menghubungi Account Manager kami.

 

Q: Seberapa perlukah kita menggunakan 3rd party security untuk environment kita yg ada di cloud? apakah security end-to-end yg ada di vendor cloud sudah dibilang cukup powerful? Sejauh ini saya belum pernah mendengar ada security leak di cloud seperti AWS GCP dan lainnya, mungkin ada pandangan lain juga dari bapak-bapak panelist.

A: Di dunia Digital, apalagi dari aspek keamanan, We need to have “Zero Trust” mindset. Bukan berarti belum pernah terjadi, resiko itu tidak ada. Biar bagaimanapun Cloud Provider adalah party yang berbeda dengan customer (dimana keduanya mempunyai tanggung jawab dan kepentingan yang berbeda). Lets say, terjadi kebocoran data, mungkin Cloud Provider mungkin terkena denda, tapi kerusakan dan kerugian customer selalu lebih besar. End-to-end encryption adalah salah satu teknologi yang dapat digunakan untuk membantu meningkatkan keamanan sistem di environment cloud.

 

Q: Bagaimana cara mengatasi email phising?

A: Dari Thales, solusi kami bisa berupa Email Signing dan Verification, menggunakan Digital Certificate. ini adalah salah satu enablement dari Public Key Infrastructure. Untuk solusi lainnya, Anda dapat mengandalkan solusi Sophos Web Protection.

 

Q: Terkait data at rest in the cloud dan BYOE (Bring Your Own Key), apakah encryption dapat tetap dilakukan dengan baik, jika diletakan di onPremise? Karena adanya latency karena jarak dan dibutuhkan bandwidth yang cukup besar.

A: Untuk latency kita akan ukur performance nya di team network, tapi untuk Crypto-processing yang diakukan, kita punya degradasi resource yang sangat minimal, kita punya datanya, bisa kita share bilamana diperlukan (intinya, resource yg digunakan rata 2-3% dari total Host processing diluar latency). Bila sangat concern mengenai latency karena bandwidth network, enkripsi bisa dilakukan dengan solusi Thales CipherTrust Aplication Data Protection (CADP). Proses enkripsi akan menggunakan resource komputasi lokal, sedangakan kebutuhan network hanya untuk update key saja ke key management. Ada pula solusi enkripsi di level OS dengan menggunakan agent, Thales punya teknologi LDT (Live Data Transformation) artinya pada saat data sedang dienkrip, user masih bisa mengolah datanya dengan transparan tanpa ada downtime, jadi dengan ini kita tidak perlu takut bahkan dengan crypto processing karena tidak kena SLA availibility.

 

Q: Untuk SaaS bagaimana mengimplementasikan BYOK dimana kita bisa me manage Key hosted in Cloud (saya sebagai customer pembeli product)?

A: Untuk produk-produk cloud, sebagai contoh seperti Office365 (SaaS) actually, mereka punya subscribe E3 yang memungkinkan data nya encrypted, dan key nya disimpan dalam AKV(Azure Key Vault). Nah, Thales Ciphertrust Manager dapat terintegrasi dengan AKV, sehingga kita bahkan bisa menarik key dari AKV ke Thales Ciphertrust. Banyak contoh lainnya, kita bisa diskusikan offline.

 

Q: Apa kelemahan Bringing On key?

A: Kekurangan BYOK, kita masi rely (percaya saja) dengan mekanisme proses native encryption dari Cloudnya, kita sebenarnya tidak melakukan crypto-process apapun, selain dari memanage key nya saja.

 

Q: Best practicenya untuk key ceremony nya untuk cloud key management?

A: Key yang digunakan dalam hal ini tidak dilakukan secara ceremony, karena pihak yang terlibat hanya kita saja sebagai customer, Cloud Provider bahkan tidak boleh terlibat menjadi Custodian Key nya. Nah, disini kita punya pilihan, pilihan 1, kita bisa gunakan template dari Native Cloud, atau bisa menggunakan template dari Thales Ciphertrust.

 

Q: Produk cloud apa saja yg dapat digunakan bringing on key?

A: Azure, AWS, GCP,IBM Cloud, SalesForce, (AliCloud – On-progress).

 

Q: Pada saat berpindah brand dari Cloud A ke Cloud B, apakah settingan parameter, rule, policy akan langsung termigrasi as is atau harus ada settingan lagi?

A: Kalau kita BYOE (Bring Your Own Key), migrasi dari cloud A ke B akan sangat mudah, simply just copy dari Cloud A and restore ke Cloud B, karena semua mekanisme enkripsi nya semua ada di Thales Ciphertrust Manager nya.

 

Q: Apakah enkripsi end-to-end bisa disadap?

A: Bisa kalau key nya sembarangan kita simpan, oleh karena itu, solusi EE2E sangat memerlukan Key Manager yang bisa kita nilai sangat aman (dilihat dari sertifikasi dan security featurenya) dan tentunya aplikasi yang hardened (sudah pernah di pentest atau vulneribility assestment, dan lainnya).

 

Q:  Disampaikan bahwa kita bisa “kill my keys with 100% assurance”, apakah semua penyedia cloud membenarkan dan memperbolehkan ini? atau tanpa sepengetahuan penyedia?

A: Yes, surely we have Right  – tentunya beserta dengan resiko nya, karena sebenarnya, tanggung jawab dari pihak provider Cloud adalah ketersediaan layanan, bukan kepemilikan data maupun key nya.

 

Q: Untuk layanan solusi yang disampaikan khususnya enkripsi cloud, bagaimana pengukuran sizing?

A: Kalau customer menggunakan native encryption bawaan cloud, kita tidak perlu sizing, karena itu Cloud Provider responsibility. Namun perlu diingat harga subscribe nya jadi lebih mahal biasanya :), tapi kalau kita menggunakan BYOE (Bring Your Own Key), memang kita perlu sizing data nya. Nah, kita perlu melakukan tahu secara akurat mana data yang dinilai sebagai data sensitif di platform (berdasarkan compliance) dan posisi nya ada dimana? Hal ini bisa dibantu dengan fitur DDC (Data Discovery and Classification) – salah satu fitur dari Thales Ciphertrust Manager. Untuk info lebih lanjut silahkan menghubungi Account Manager kami.

 

Q: Terkait upgrade ke payShield 10K, selain pendampingan untuk migrasi apakah termasuk maintenance selama masa garansi yang diberikan?

A: Tentu saja Dymar memberikan maintenance untuk setiap payShield 10K yang masih dalam masa garansi. Untuk info lebih detail mengenai servis maintenance yang disediakan Dymar, silahkan menghubungi Account Manager kami.

 

Q: Solusi apa yang bisa diberikan jika key untuk load HSM Thales payShield 9000 hilang?

A: Kami memiliki solusi dan prosedur untuk menangani kasus seperti ini. Silahkan menghubungi Account Manager atau tim Support kami.

 

Q: Belakangan ini banyak dibicarakan tentang SASE (Secure Access Service Edge) sebagai pengganti VPN, apakah Sophos juga memiliki solusi SASE ini? Kalau ada, produk Sophos apa saja yang diperlukan untuk menerapkan SASE ini? kalau belum ada, bagaimana solusi dari Sophos yg bisa menjawab kekurangan VPN dibandingkan SASE? Terima kasih.

A: Saat ini Sophos masih melakukan development mengenai SASE. Untuk pengganti VPN, Sophos memiliki Sophos ZTNA (Zero Trust Network Access).

 

Q: Dengan adanya implementasi Regulator seperti BI Fast, apakah BYOE (Bring Your Own Key) dapat diimplementasikan dalam Thales Luna HSM dengan produk digital bank itu sendiri?

A: Technically it is possible, tergantung aplikasi yang terkoneksi dengan Luna HSM. HSM lebih tepat sebagai secure repository key alongs with crypto-processor nya. Tapi masih sangat perlu aplikasinya untuk automatisasi nya. Tetapi penggunaan Thales Ciphertrust Manager untuk BYOE (Bring Your Own Key), digunakan sebagai ke otomatisasi key dan mekanismenya.

 

Q: Bagaimana langkah-langkah attackers melegetimate Windows?

A: Attacker memanfaatkan aplikasi legitimate yang ada di Windows. Cara masuknya ada banyak teknik yang digunakan salah satunya yang umum bisa melalui phising email, dari web browser addon.

 

Q: Apa saja yang perlu dipersiapkan agar data yang berada di cloud terjamin aman dan selalu mengikuti perkembangan yang ada? Terima kasih.

A: Selalu store data dalam keadaan protected, baik menggunakan mekanisme bawaan Cloud, atau bawaan sendiri. Dan posisi key nya direkomendasikan selalu terpisah dengan platformnya (aplikasi/cloud/database) dan ditempat yang aman dan dapat kita manage dengan proper. Anda dapat mengandalkan Thales CipherTrust sebagai solusinya.

 

Q: Ini yang di attack tadi spesifik Windows OS, bagaimana dengan Linux OS? Apakah juga bisa di attack? Kemudian apa yang perlu di persiapkan untuk memproteksinya? Terima kasih.

A: Linux OS juga bisa kena attack namun tidak sebanyak windows. Karena ransomware yang berkembang saat ini juga menyerang Linux dan Mac OS. Untuk proteksi dapat menggunakan Sophos Intercept X XDR.

 

Q: Apakah Sophos bisa mendeteksi terhadap jenis serangan bypass MFA?

A: Jika ada exploit atau script yang dijalankan untuk bypass MFA maka behaviour tersebut bisa dideteksi oleh Sophos. Karena umumnya jika aplikasi MFA terbypass berarti ada application atau script yang running dibelakangnya.

 

Q: Kalau kita sudah pasang Palo Alto Networks apakah sudah cukup untuk mencegah serangan dari Hacker?

A: Salah satu serangan yang populer saat ini adalah menyerang kelemahan dari proses otentikasi. Kami menyarankan untuk menerapkan MFA (Multi Factor Authentication) dari VPN Palo Alto misalnya. Anda dapat mengandalkan solusi PayConfirm dari Airome untuk MFA nya.

 

Q: Tolong dijelaskan fitur anti exploit.

A: Kami menyarankan untuk menghubungi Account Manager kami untuk mendapatkan info yang komprehensif tentang Sophos Anti Exploit.

 

Q: Bagaimana cara XDR ini integrasi dengan third party tool?

A: XDR bisa integrasi dengan SIEM dengan menggunakan API. XDR integrasi ke produk lain saat ini hanya ke Sophos.

 

Q: Apart from managing certificates, Can Venafi issue SSL Certificates for local purpose only?

A: Venafi can issue SSL certificates when integrated to your local or external CAs. Once Venafi is integrated to your local CA, we can issue SSL certificates from your local CA and automate all of the certificate lifecycle activities.

 

Q: Konsep Virtual patching pada Sophos, apakah hanya temporary atau permanen sehingga tidak diperlukan patching seperti biasa?

A: Sifatnya hanya sebagai protection untuk menutup vulnerability yang mungkin terjadi pada software. Jadi customer tetap dianjurkan untuk melakukan update patch.

 

Q: Apakah Sophos Intercept X akan tumpang tindih dengan antivirus eksisting yang sudah dimiliki perusahaan? Karena tadi dibilang Sophos Intercept X juga bekerja berdasarkan signature based? Lalu untuk fitur XDR nya apakah untuk sistem korelasi dari beberapa perangkat security akan sama dengan korelasi SIEM?

A: Pada umumnya bisa saja intercept X diinstall dengan AV existing, tapi akan lebih baik jika hanya menggunakan single brand saja. Karena behaviour nya antivirus, dia akan melakukan blocking terhadap antivirus lainnya. Untuk XDR nya informasinya akan lebih jauh dari SIEM karena dengan XDR kita bisa melakukan pengecekan sampai ke level hardware, patch OS, perubahan identifikasi dan lainnya.

 

Q: Apakah EDR Sophos ini bisa dikombinasikan dengan produk security brand lain, seperti Antivirus? Bagaimana komparasi efektifitas EDR dibandingkan dengan Traffic Mirroring yang capture dan dikirim ke SIEM?

A: Product MTR mungkin dan bisa dikombinasikan dengan brand lain, namun harus menggunakan AV yang dimiliki oleh Sophos. Karena team MTR sendiri akan memanfaatkan EDR tools yang dimiliki oleh Sophos. Efektif dan tidak nya tergantung dari expertise yang melakukannya, tidak hanya melakukan monitoring saja. Mungkin saat ini semua memiliki traffic monitoring dan SIEM, namun jika tidak dapat mengolahnya dan menganalisisnya dengan baik, akan menjadi sesuatu yang kurang punya value dari sisi security prevention.

 

Q: Bagaimana company bisa membuka peluang untuk setiap bisnis unik dengan/melalui ekosistem yang dinamis ketika migrasi ke cloud?

A: Kami menyarankan anda dapat berkonsultasi dengan penyedia Cloud.

 

Q:  Apakah dengan Sophos ini bisa mendeteksi penyebaran virus/malware dari suatu Endpoint sampai sejauh mana virus/malware ini sudah menyebar ke endpoint lainnya?

A: Sangat bisa, karena Sophos Intercept X dengan synchronized security nya bisa mencegah terjadinya penyebaran atau lateral movement.

 

Q: Untuk Sophos MTR, apakah monitoring traffic akan menyebabkan latency?

A: Hal ini bisa dilakukan dengan memanfaatkan Live Discover dari XDR. Untuk query XDR dengan jumlah yang banyak, bisa menyebabkan terjadinya latency.

 

Q: Pertanyaan ini seputar HSM Modul. Sesuai yang dijelaskan sebelumnya mengenai sudah banyak nya teknologi beralih dari on-prem ke hybrid ataupun full cloud. Apakah ada solusi di cloud untuk HSM seperti HSM Thales payShield 10K untuk dapat mensupport applikasi kami jika aplikasi kami berada di cloud? Mengingat best practice nya adalah applikasi sebisa mungkin dekat / direct ke aplikasi kami. Seandainya pun di set hybrid pasti akan ada concern latency dan lainnya karena sebelum-sebelumnya aplikasi dekat/direct ke HSM. Terimakasih.

A: Untuk GP (General Purpose) HSM, Thales sudah memulai hosting HSM di cloud, we called it DPOD, tapi belum memungkinkan digunakan karena posisi geolocationnya masih di luar ASEAN. Thales juga open collaboration bagi cloud provider yang mau hosting HSM di Indonesia, menjadi HSM-as-a-Service, ini masih dalam proses, mengikuti regulasi yang ada di Indonesia. Jadi memang sejauh ini, kami masih rekomendasikan Key Manager (Thales Ciphertrust Manager) untuk customer yang mau memulai untuk transformasi ke Cloud. Untuk HSM payShield 10K kami juga merekomendasikan untuk hosting hardware payShield 10K HSM di Cloud provider lokal dan menggunakan performa yang tinggi untuk mengurangi efek latency.

 

Q: Untuk perusahaan kami yang rata-rata menggunakan VSAT di lokasi remote, apakah solusi Sophos dari antivirus di PC client sampai dengan MTR (Manage Threat Response) dapat berjalan maksimal dan tidak mengganggu operasional remote site dari sisi network connection?

A: Kami harus lakukan assessment terlebih dahulu, karena akan berpengaruh terhadap bandwidth yang berada di lokasi remote.

 

Q: Produk Sophos apakah memiliki fitur DLP?

A: Sophos memiliki fitur DLP.

 

Q: Apakah Sophos dapat terintegrasi dgn SIEM?

A: Bisa, dengan menggunakan Sophos Central API.

 

Q: Dalam standar PCI DSS apakah ada kewajiban mengenkripsi nomor kartu dalam database pada aplikasi Card Management?

A: Betul, sesuai PCI DSS requirement poin 3 ada disebutkan bahwa nomor kartu perlu dilakukan proteksi misal dengan enkripsi atau tokenisasi ataupun masking. Anda dapat menggunakan solusi Thales CipherTrust ataupun HSM untuk membantu memenuhi beberapa persyaratan PCI DSS.  Untuk solusi otentikasi dan identifikasi user, Anda dapat mengandalkan solusi PayConfirm. Dan untuk Antivirus, Anda dapat mengandalkan Sophos. Silahkan kunjungi halaman berikut untuk informasi lebih lanjut tentang solusi Dymar untuk memenuhi PCI DSS: https://dymarjaya.co.id/solution/pci-dss/

 

Q: Produk Thales payShield 10k apakah sudah mendukung cloud?

A: Thales payShield 10K HSM dapat dihosting di provider Cloud untuk menjadi HSM Cloud. Thales payShield 10K dapat diupgrade sampai dengan 10.000 TPS (Transaction Per Second) per unit nya, untuk performa yang lebih baik saat dihosting di Cloud. Thales payShield 10K HSM juga memiliki fitur whitelist untuk membatasi akses aplikasi yang akan mengakses ke HSM ketika HSM harus dipublikasi di Cloud environment.