Kajian Ketahanan Siber - Manajemen Kerentanan
  • Cover
  • Tim Redaksi
  • Kata Pengantar
  • Kata Sambutan
    • Sambutan Kepala Badan Siber dan Sandi Negara - Letjen TNI (Purn) Hinsa Siburian
    • Sambutan Deputi Bidang Operasi Keamanan Siber dan Sandi - Mayjen TNI Dominggus Pakel, S.Sos. M.M.S.I
  • Prakata
    • Prakata - Direktur Operasi Keamanan Siber - Andi Yusuf, M.T.
    • Direktur Politeknik Siber dan Sandi Negara - Marsekal Pertama TNI R. Tjahjo Khurniawan S.T, M.Si
  • Ringkasan Eksekutif
  • BAB I. Latar Belakang
    • A. Lanskap Keamanan Siber Indonesia
    • B. Tren Kerentanan Sistem Elektronik Instansi Pemerintah di Indonesia
    • C. Urgensi Manajemen Kerentanan di Indonesia
  • BAB II. Dasar Hukum Keamanan Sistem Elektronik
    • Dasar Hukum Keamanan Sistem Elektronik
  • BAB III. Kerangka Kerja Manajemen Kerentanan di Indonesia
    • A. Kerangka Kerja Manajemen Kerentanan di Indonesia
    • B. Kolaborasi Manajemen Kerentanan pada Tingkat Nasional
    • C. Peran Setiap Pemangku Kepentingan pada Manajemen Kerentanan Tingkat Nasional
  • BAB IV. Benchmark Organisasi dan Tata Kelola Terkait Manajemen Kerentanan
    • A. Benchmark Organisasi dalam Praktik Manajemen Kerentanan
    • B. Standar Internasional dan Panduan Praktik Tata Kelola Manajemen Kerentanan
  • BAB V. Siklus Manajemen Kerentanan di Indonesia
    • A. Gambaran Umum Program Manajemen Kerentanan
    • B. Tahap Identifikasi
    • C. Tahap Prioritisasi
    • D. Tahap Penanganan
    • E. Tahap Verifikasi
    • F. Tahap Evaluasi
  • BAB VI. Strategi Penerapan Manajemen Kerentanan pada Organisasi
    • Strategi Penerapan Manajemen Kerentanan pada Organisasi
    • A. Tahap Identifikasi
    • B. Tahap Prioritisasi
    • C. Tahap Penanganan
    • D. Tahap Verifikasi
    • E. Tahap Evaluasi
  • BAB VII. Pengembangan Bakat Terkait Manajemen Kerentanan
    • A. Peta Okupasi
    • B. Kursus/sertifikasi Terkait
    • C. Kode Etik Pegiat Keamanan Siber
  • BAB VIII. Kesimpulan dan Rekomendasi
    • A. Kesimpulan
    • B. Rekomendasi
  • Daftar Pustaka
Powered by GitBook
On this page
  • National Institute of Standards and Technology (NIST)[13]
  • European Union Agency for Cybersecurity (ENISA)[14]
  • Forum of Incident Response and Security Teams (FIRST)[15]
  • Center for Internet Security (CIS)[16]
  • International Organization for Standardization (ISO)[19]
  • MITRE[20]
  • Open Web Application Security Project (OWASP)[21]
  • SANS Institute[22]
  • Australian Cyber Security Centre (ACSC)[23]
  • Tabel 2. Perbandingan Lembaga Keamanan Siber dan Pendekatan Manajemen Kerentanan
  1. BAB IV. Benchmark Organisasi dan Tata Kelola Terkait Manajemen Kerentanan

B. Standar Internasional dan Panduan Praktik Tata Kelola Manajemen Kerentanan

Beberapa standar internasional dan panduan praktik terbaik yang diterbitkan oleh organisasi terkemuka menawarkan pedoman komprehensif untuk mengatur dan mengelola manajemen kerentanan. Berikut ini adalah panduan yang diterbitkan oleh beberapa organisasi internasional:

National Institute of Standards and Technology (NIST)[13]

NIST, sebagai lembaga non-regulasi dari Departemen Perdagangan Amerika Serikat, memainkan peran penting dalam menetapkan standar dan panduan untuk keamanan siber, termasuk manajemen kerentanan. NIST mengembangkan kerangka kerja sebagai berikut:

1) NIST Special Publication 800-40 Revision 4: Guide to Enterprise Patch Management Planning - Panduan ini membahas manajemen tambalan dan cara yang efektif untuk mengelola kerentanan melalui pembaruan perangkat lunak.

2) NIST Special Publication 800-53 Revision 5: Security and Privacy Controls for Information Systems and Organizations - Dokumen ini mencakup kontrol keamanan dan privasi, termasuk yang berkaitan dengan manajemen kerentanan. Kontrol tersebut bisa mencakup pembaruan sistem, pengujian keamanan, dan pemantauan kerentanan.

3) NIST Special Publication 800-115: Technical Guide to Information Security Testing and Assessment - Panduan ini memberikan wawasan tentang pengujian keamanan dan penilaian yang dapat membantu dalam mengidentifikasi dan mengelola kerentanan.

4) NIST Special Publication 800-30 Revision 1: Guide for Conducting Risk Assessments - Meskipun fokus utamanya adalah penilaian risiko, panduan ini juga memberikan kerangka kerja untuk mengidentifikasi dan mengelola kerentanan sebagai bagian dari proses manajemen risiko.

5) NIST Special Publication 800-61 Revision 2: "Computer Security Incident Handling Guide" – Ini memberikan panduan untuk menangani insiden keamanan, termasuk aspek terkait dengan kerentanan.

Kerangka kerja yang diberikan oleh NIST dirancang untuk integrasi yang mudah dengan kebijakan dan prosedur keamanan yang ada di organisasi, memungkinkan pendekatan yang fleksibel namun sistematis dalam manajemen kerentanan. Melalui publikasinya, NIST membantu organisasi dalam memahami risiko keamanan, menerapkan kontrol yang tepat, dan memelihara postur keamanan yang tangguh melalui penerapan terbaik dan penilaian yang terus-menerus.

European Union Agency for Cybersecurity (ENISA)[14]

ENISA berperan sebagai pusat keahlian di Eropa, fokus pada peningkatan keamanan siber di seluruh Uni Eropa. Melalui panduan dan alatnya, ENISA mendukung negara-negara anggota, institusi swasta, serta bisnis dalam meningkatkan kemampuan mereka untuk mencegah, mendeteksi, dan merespons insiden siber, termasuk manajemen kerentanan. Organisasi ini mengusulkan kerangka kebijakan yang memfasilitasi pertukaran informasi dan praktik terbaik antara negara anggota.

Dengan berfokus pada kolaborasi lintas batas dan peningkatan kapabilitas keamanan siber, ENISA juga mendukung inisiatif penelitian dan pengembangan yang bertujuan mengidentifikasi dan mengatasi celah keamanan baru. Misalnya, ENISA menyelenggarakan latihan keamanan siber tahunan dan lokakarya yang membantu memperkuat kerja sama internasional dan kesiapan terhadap serangan siber, sekaligus meningkatkan efektivitas manajemen kerentanan dalam berbagai konteks.

Forum of Incident Response and Security Teams (FIRST)[15]

FIRST adalah forum global yang terdiri dari tim respons keamanan dan insiden dari lebih dari 80 negara. Organisasi ini berfokus pada peningkatan kerjasama dan koordinasi dalam menanggapi insiden keamanan siber, serta manajemen kerentanan. FIRST menyediakan standar, alat, dan praktik terbaik untuk meningkatkan kemampuan anggotanya dalam menangani insiden siber secara efektif.

Anggota FIRST, yang meliputi pemerintah, universitas, dan korporasi, saling berbagi pengetahuan dan sumber daya tentang insiden keamanan terbaru, kerentanan, dan ancaman siber. Melalui pertemuan, konferensi, dan sistem pelaporan kerentanan bersama, FIRST memungkinkan pertukaran informasi yang cepat dan efisien, memperkuat kemampuan global untuk merespons dan mengelola risiko keamanan siber secara lebih proaktif.

Center for Internet Security (CIS)[16]

CIS adalah organisasi non-profit yang berdedikasi menyediakan solusi keamanan siber bagi sektor publik dan swasta. Entitas ini dikenal luas melalui CIS Benchmarks[17] dan CIS Controls[18], yaitu serangkaian standar dan rekomendasi yang dirancang untuk meningkatkan postur keamanan organisasi. CIS Controls secara khusus menangani manajemen kerentanan dengan menyediakan panduan langkah demi langkah yang membantu organisasi dalam mengidentifikasi, menilai, dan mengurangi kerentanan yang ada. Dengan mengikuti standar ini, organisasi dapat mengadopsi praktik terbaik untuk memperkuat keamanan sistem mereka serta meminimalkan risiko terhadap potensi ancaman siber. Selain menyediakan Benchmark, CIS juga menawarkan alat dan layanan yang membantu organisasi dalam menerapkan kontrol keamanan yang efektif dan efisien. Dengan fokus pada praktik terbaik industri dan kerja sama komunitas, CIS memfasilitasi pembelajaran dan pertukaran pengetahuan antar anggota, yang meliputi berbagai industri dan pemerintahan, untuk secara kolektif meningkatkan keamanan siber.

International Organization for Standardization (ISO)[19]

ISO, sebagai organisasi internasional yang mengembangkan dan menerbitkan standar global, menawarkan sejumlah standar yang penting untuk sistem manajemen keamanan informasi. Dalam konteks manajemen kerentanan, berbagai standar ISO memberikan panduan yang signifikan untuk praktik keamanan informasi yang efektif. ISO/IEC 27001:2013 merupakan standar utama yang menetapkan persyaratan untuk sistem manajemen keamanan informasi (ISMS) dan mencakup berbagai aspek pengelolaan risiko, termasuk penanganan kerentanan. ISO/IEC 27002:2022 melengkapi ISMS dengan panduan praktis mengenai kontrol keamanan informasi, menekankan penerapan kontrol yang dapat mengatasi kerentanan dengan lebih efisien.

Selain itu, ISO/IEC 27005:2018 memperluas cakupan manajemen risiko keamanan informasi dengan fokus pada identifikasi dan mitigasi kerentanan sebagai bagian integral dari proses manajemen risiko. ISO/IEC 29147:2018 memberikan pedoman tentang cara menangani laporan kerentanan, mencakup prosedur untuk penanganan yang efektif. ISO/IEC 30111:2019 melengkapi panduan ini dengan prosedur untuk perbaikan dan resolusi kerentanan yang ditemukan. Secara keseluruhan, standar-standar ini membentuk kerangka kerja yang komprehensif, memfasilitasi identifikasi, penilaian, dan pengelolaan kerentanan, serta meningkatkan keamanan informasi dan perlindungan sistem secara keseluruhan.

MITRE[20]

MITRE adalah organisasi yang mengelola dan mendukung berbagai inisiatif keamanan siber, termasuk Common Vulnerabilities and Exposures (CVE) dan Common Weakness Enumeration (CWE). CVE menyediakan identifikasi standar untuk kerentanan keamanan siber yang diketahui, memungkinkan pertukaran data antara berbagai produk keamanan dan memudahkan organisasi untuk menilai tingkat ancaman dari kerentanan yang ditemukan. CWE, di sisi lain, adalah daftar kondisi umum dalam kode yang dapat menyebabkan kerentanan.

Dengan menyediakan sumber daya ini, MITRE memainkan peran penting dalam memfasilitasi pengenalan dan penanganan kerentanan di seluruh industri. Organisasi ini juga terlibat dalam pengembangan kerangka kerja ATT&CK, yang digunakan untuk meningkatkan pemahaman tentang taktik, teknik, dan prosedur yang digunakan oleh para pelaku ancaman, sehingga membantu dalam mempersiapkan dan merespons ancaman siber secara lebih efektif.

Open Web Application Security Project (OWASP)[21]

OWASP menyediakan berbagai panduan yang sangat berguna untuk manajemen kerentanan dalam aplikasi web. Salah satu panduan utama adalah OWASP Top Ten, yang mengidentifikasi dan mendokumentasikan sepuluh risiko keamanan aplikasi web yang paling kritis. Panduan ini memberikan wawasan mendalam tentang kerentanan umum yang sering dimanfaatkan oleh penyerang, seperti injeksi, pelanggaran autentikasi, dan eksposur data sensitif. Dengan memahami dan menerapkan rekomendasi dari OWASP Top Ten, organisasi dapat mengurangi risiko yang terkait dengan kerentanan aplikasi web mereka secara signifikan. Panduan ini juga mencakup langkah-langkah mitigasi dan kontrol yang dapat diterapkan untuk memperbaiki kelemahan yang teridentifikasi.

Selain OWASP Top Ten, OWASP Application Security Verification Standard (ASVS) menyediakan kerangka kerja yang komprehensif untuk mengukur dan memverifikasi keamanan aplikasi. ASVS menawarkan serangkaian kontrol dan kriteria verifikasi yang dirancang untuk memastikan bahwa aplikasi memenuhi standar keamanan yang tinggi. Panduan ini mencakup berbagai tingkat verifikasi, dari pengujian dasar hingga evaluasi mendalam, untuk menilai kekuatan perlindungan terhadap kerentanan.

SANS Institute[22]

SANS Institute adalah lembaga riset dan pendidikan terkemuka di bidang keamanan informasi dan jaringan, yang menawarkan pelatihan dan sertifikasi ekstensif dalam berbagai topik keamanan siber, termasuk manajemen kerentanan. Institusi ini menggabungkan teori terbaru dengan praktik terbaik industri dan studi kasus untuk menyediakan pengetahuan praktis yang langsung dapat diterapkan oleh profesional di lapangan. Selain pelatihan, SANS juga menyediakan berbagai alat keamanan seperti poster dan lembar tips yang membantu profesional dalam tugas sehari-hari mereka. Melalui konferensi dan lokakarya yang rutin diadakan, SANS memfasilitasi pertukaran pengetahuan dan menawarkan sumber daya pendidikan terbaru untuk komunitas keamanan global.

Dalam konteks manajemen kerentanan, SANS Institute telah mengeluarkan panduan penting seperti SANS Critical Security Controls dan SANS Top 20 Critical Security Controls. Kontrol 4: Vulnerability Assessment dari SANS Critical Security Controls menekankan pemindaian kerentanan secara rutin, pembaruan, dan pemprioritasan kerentanan berdasarkan risiko, serta penerapan patch untuk mengurangi eksposur terhadap ancaman. Sementara itu, Kontrol 7: Continuous Vulnerability Assessment and Remediation dalam SANS Top 20 Critical Security Controls menggarisbawahi pentingnya penilaian kerentanan yang berkelanjutan dan perbaikan yang cepat untuk menjaga ketahanan sistem. Panduan-panduan ini memberikan kerangka kerja yang praktis dan terstruktur untuk meningkatkan keamanan dengan fokus pada pemantauan, mitigasi, dan penanganan kerentanan, membantu organisasi membangun program manajemen kerentanan yang proaktif untuk meningkatkan keamanan informasi dan mitigasi risiko secara keseluruhan.

Australian Cyber Security Centre (ACSC)[23]

ACSC bertindak sebagai otoritas keamanan siber di Australia, menyediakan kepemimpinan, koordinasi, dan dukungan untuk mencegah dan merespons insiden keamanan siber di negara tersebut. Sebagai bagian dari kegiatan mereka, ACSC menyediakan panduan yang komprehensif untuk manajemen kerentanan, mendukung organisasi dan warga Australia dalam melindungi infrastruktur kritis dan informasi pribadi.

ACSC secara teratur memperbarui dan mengkomunikasikan ancaman siber melalui peringatan keamanan, panduan teknis, dan rekomendasi untuk praktik terbaik dalam manajemen kerentanan dan keamanan siber secara umum. Dengan menggabungkan sumber daya dari pemerintah, sektor privat, dan masyarakat, ACSC berupaya memperkuat ketahanan nasional terhadap ancaman siber, memastikan pendekatan yang lebih terkoordinasi dan efektif dalam manajemen kerentanan.

Tabel 2 merinci peranan, kerangka kerja, dan fokus pada manajemen kerentanan dari berbagai lembaga keamanan siber yang penting di tingkat global.

Tabel 2. Perbandingan Lembaga Keamanan Siber dan Pendekatan Manajemen Kerentanan

No.

Lembaga

Peran Utama

Kerangka Kerja dan Panduan

Fokus pada Manajemen Kerentanan

1

NIST

Menetapkan standar dan panduan keamanan siber

  • NIST SP 800-40: Patch management

  • NIST SP 800-53: Security & Privacy Controls

  • NIST SP 800-115: Security Testing

  • NIST SP 800-30: Risk Assessment

  • NIST SP 800-61: Incident Handling

Memfasilitasi identifikasi, pemantauan, dan mitigasi kerentanan melalui pendekatan sistematis dalam keamanan dan penilaian risiko.

2

ENISA

Peningkatan keamanan siber di Eropa

  • Latihan keamanan tahunan

  • Lokakarya peningkatan kapabilitas keamanan siber

Fokus pada kolaborasi lintas negara, berbagi praktik terbaik, dan mendukung penelitian untuk mengatasi celah keamanan baru.

3

FIRST

Forum respons keamanan global

  • Standar dan alat respons insiden

  • Konferensi dan pertukaran informasi

Memperkuat koordinasi global dalam menanggapi insiden keamanan dan mengelola kerentanan secara proaktif.

4

CIS

Solusi keamanan siber untuk sektor publik & swasta

  • CIS Controls

  • CIS Benchmarks

Panduan langkah demi langkah untuk mengidentifikasi, menilai, dan mengurangi kerentanan melalui penerapan standar terbaik.

5

ISO

Pengembangan standar global

  • ISO/IEC 27001: ISMS

  • ISO/IEC 27002: Practical Controls

  • ISO/IEC 27005: Risk Management

  • ISO/IEC 29147: Vulnerability Handling

  • ISO/IEC 30111: Vulnerability Resolution

Standar komprehensif untuk identifikasi, penilaian, dan mitigasi kerentanan dalam sistem manajemen keamanan informasi.

6

MITRE

Pengelolaan CVE dan CWE

  • CVE: Common Vulnerabilities and Exposures

  • CWE: Common Weakness Enumeration

  • ATT&CK Framework

Meningkatkan identifikasi dan penanganan kerentanan melalui daftar standar untuk kode yang rentan serta pemahaman tentang taktik serangan.

7

OWASP

Keamanan aplikasi web

  • OWASP Top Ten

  • ASVS (Application Security Verification Standard)

Panduan penting untuk mengurangi risiko kerentanan aplikasi web dengan kontrol dan langkah mitigasi terstruktur.

8

SANS Institute

Riset dan pendidikan keamanan siber

  • SANS Critical Security Controls

  • SANS Top 20 Critical Security Controls

Panduan untuk penilaian dan mitigasi kerentanan yang berkelanjutan, dengan fokus pada kontrol yang praktis.

9

ACSC

Otoritas keamanan siber Australia

  • Peringatan keamanan

  • Panduan teknis dan praktik terbaik

Fokus pada pertahanan nasional dan perlindungan infrastruktur kritis dengan pendekatan yang terkoordinasi untuk manajemen kerentanan.

[13] https://www.nist.gov/

[14] https://www.enisa.europa.eu/

[15] https://www.first.org/about/mission

[16] https://www.cisecurity.org/

[17] https://www.cisecurity.org/cis-benchmarks

[18] https://www.cisecurity.org/controls

[19] https://www.iso.org/home.html

[20] https://www.mitre.org/who-we-are/our-story

[21] https://owasp.org/

[22] https://www.sans.org/

[23] https://www.cyber.gov.au/

PreviousA. Benchmark Organisasi dalam Praktik Manajemen KerentananNextBAB V. Siklus Manajemen Kerentanan di Indonesia

Last updated 3 months ago