Kajian Ketahanan Siber - Manajemen Kerentanan
  • Cover
  • Tim Redaksi
  • Kata Pengantar
  • Kata Sambutan
    • Sambutan Kepala Badan Siber dan Sandi Negara - Letjen TNI (Purn) Hinsa Siburian
    • Sambutan Deputi Bidang Operasi Keamanan Siber dan Sandi - Mayjen TNI Dominggus Pakel, S.Sos. M.M.S.I
  • Prakata
    • Prakata - Direktur Operasi Keamanan Siber - Andi Yusuf, M.T.
    • Direktur Politeknik Siber dan Sandi Negara - Marsekal Pertama TNI R. Tjahjo Khurniawan S.T, M.Si
  • Ringkasan Eksekutif
  • BAB I. Latar Belakang
    • A. Lanskap Keamanan Siber Indonesia
    • B. Tren Kerentanan Sistem Elektronik Instansi Pemerintah di Indonesia
    • C. Urgensi Manajemen Kerentanan di Indonesia
  • BAB II. Dasar Hukum Keamanan Sistem Elektronik
    • Dasar Hukum Keamanan Sistem Elektronik
  • BAB III. Kerangka Kerja Manajemen Kerentanan di Indonesia
    • A. Kerangka Kerja Manajemen Kerentanan di Indonesia
    • B. Kolaborasi Manajemen Kerentanan pada Tingkat Nasional
    • C. Peran Setiap Pemangku Kepentingan pada Manajemen Kerentanan Tingkat Nasional
  • BAB IV. Benchmark Organisasi dan Tata Kelola Terkait Manajemen Kerentanan
    • A. Benchmark Organisasi dalam Praktik Manajemen Kerentanan
    • B. Standar Internasional dan Panduan Praktik Tata Kelola Manajemen Kerentanan
  • BAB V. Siklus Manajemen Kerentanan di Indonesia
    • A. Gambaran Umum Program Manajemen Kerentanan
    • B. Tahap Identifikasi
    • C. Tahap Prioritisasi
    • D. Tahap Penanganan
    • E. Tahap Verifikasi
    • F. Tahap Evaluasi
  • BAB VI. Strategi Penerapan Manajemen Kerentanan pada Organisasi
    • Strategi Penerapan Manajemen Kerentanan pada Organisasi
    • A. Tahap Identifikasi
    • B. Tahap Prioritisasi
    • C. Tahap Penanganan
    • D. Tahap Verifikasi
    • E. Tahap Evaluasi
  • BAB VII. Pengembangan Bakat Terkait Manajemen Kerentanan
    • A. Peta Okupasi
    • B. Kursus/sertifikasi Terkait
    • C. Kode Etik Pegiat Keamanan Siber
  • BAB VIII. Kesimpulan dan Rekomendasi
    • A. Kesimpulan
    • B. Rekomendasi
  • Daftar Pustaka
Powered by GitBook
On this page
  • 1. Identifikasi Aset
  • 2. Identifikasi Kerentanan
  • a) Vulnerability Assessment
  • b) Penetration Testing
  • 3. Laporan Kerentanan
  • a) Call Center/ Pusat Bantuan
  • b) Vulnerability Disclosure Program
  • c) Threat Intelligence Feeds
  1. BAB V. Siklus Manajemen Kerentanan di Indonesia

B. Tahap Identifikasi

PreviousA. Gambaran Umum Program Manajemen KerentananNextC. Tahap Prioritisasi

Last updated 3 months ago

1. Identifikasi Aset

Sebelum melaksanakan rangkaian manajemen kerentanan, seluruh aset TI milik organisasi harus dapat diidentifikasi dengan baik. Identifikasi ini dapat dilakukan dengan mengumpulkan informasi-informasi yang relevan dari aset perangkat keras (hardware) dan perangkat lunak (software) (NIST, 2012). Identifikasi aset digunakan untuk mengetahui aset TI yang dimiliki oleh organisasi dan mengelompokkannya berdasarkan level prioritas dan kategorisasi tertentu sehingga dapat dijadikan sasaran manajemen kerentanan dengan tepat. Selain itu, dalam melakukan identifikasi aset, organisasi perlu memastikan bahwa informasi terkait identifikasi aset tersebut diperbarui secara berkala untuk mendapatkan daftar terbaru aset TI yang dimiliki organisasi.

Dalam proses manajemen kerentanan, langkah awal yang krusial adalah memastikan bahwa informasi yang dikumpulkan terkait aset TI hanya mencakup data yang relevan dan diperlukan. Informasi ini harus diidentifikasi, dikelompokkan, dan diprioritaskan untuk memfasilitasi pengelolaan kerentanan yang efektif. Rincian yang harus dikumpulkan meliputi nama sistem dan pengidentifikasi aset, nomor serial, serta informasi tentang pemilik dan administrator aset. Lokasi fisik aset dan detail mengenai port koneksi juga harus dicatat.

Selain itu, konfigurasi perangkat lunak dan perangkat keras dari setiap aset harus didokumentasikan dengan cermat. Untuk perangkat lunak, ini mencakup sistem operasi beserta nomor versinya, daftar aplikasi dan versi perangkat lunak, layanan jaringan yang aktif, serta alamat IP. Untuk perangkat keras, informasi yang relevan meliputi spesifikasi CPU, memori, ukuran penyimpanan, alamat ethernet, konfigurasi jaringan nirkabel, dan pengaturan I/O perangkat. Terakhir, versi firmware yang digunakan harus dicatat. Pengelompokan dan penentuan prioritas dari informasi ini akan membantu dalam penilaian dan mitigasi kerentanan yang lebih efektif, memungkinkan organisasi untuk menanggapi ancaman dengan lebih terstruktur dan tepat waktu.

Setelah dilakukan pengelompokan aset, maka dapat ditentukan level prioritas dari tiap aset TI. Penentuan level prioritas tersebut berguna untuk memetakan risiko yang terdapat pada tiap aset, mengetahui aset-aset yang membutuhkan perhatian khusus, dan menentukan pihak-pihak yang bertanggung jawab atas risiko awal yang muncul.

Dalam menentukan level prioritas aset, beberapa pertimbangan penting perlu diperhatikan untuk memastikan manajemen kerentanan yang efektif. Pertama, selera risiko organisasi menjadi faktor utama, yang mencerminkan tingkat risiko umum yang dapat diterima berdasarkan kebijakan dan strategi keamanan informasi organisasi. Selera risiko ini memberikan panduan tentang seberapa besar risiko yang bersedia diambil dan bagaimana hal tersebut memengaruhi prioritas pengelolaan aset.

Kedua, tingkat toleransi risiko organisasi juga berperan penting. Parameter ini menunjukkan tingkat risiko aset TI yang masih dapat diterima dan dikelola oleh organisasi tanpa mengganggu operasi atau keamanan. Toleransi risiko ini menentukan seberapa banyak risiko yang dapat dihadapi sebelum dianggap tidak dapat diterima dan memerlukan perhatian khusus.

Ketiga, mitigasi risiko yang dilakukan menunjukkan langkah-langkah yang telah diambil untuk menangani risiko awal yang diidentifikasi pada aset TI. Termasuk di dalamnya kebijakan dan kontrol yang diterapkan untuk mengurangi atau mengelola risiko tersebut.

Penanganan risiko yang tersisa harus diperhitungkan setelah langkah mitigasi dilakukan. Hal ini mencakup risiko yang masih ada meskipun telah ada upaya mitigasi, dan memerlukan strategi tambahan untuk penanganan agar risiko tersebut tidak berdampak negatif pada organisasi. Dengan mempertimbangkan semua faktor ini, organisasi dapat menetapkan prioritas aset dengan lebih baik, memastikan sumber daya dialokasikan secara efektif untuk mengelola kerentanan yang paling kritis.

2. Identifikasi Kerentanan

Pada bagian ini, dijelaskan mengenai definisi, metodologi, dan pelaporan dari Vulnerability Assessment (VA) dan Penetration Testing (PT) dalam tahap identifikasi pada Program Manajemen kerentanan di Indonesia.

a) Vulnerability Assessment

VA merupakan proses sistematis yang melibatkan identifikasi dan evaluasi kelemahan keamanan pada sistem informasi dengan membandingkan konfigurasi sistem tersebut dengan profil kerentanan yang telah diketahui sebelumnya (K. A. Scarfone et al., 2008). VA bisa dilakukan sebagai bagian dari proses PT atau sebagai proses yang berdiri sendiri dengan tujuan identifikasi kerentanan secara cepat pada jaringan, sistem, atau aplikasi tertentu. Tujuan dari VA adalah untuk menyediakan gambaran risiko keamanan untuk pengambilan langkah-langkah mitigasi sebelum kerentanan-kerentanan pada sistem dieksploitasi oleh pihak yang tidak berwenang.

Secara umum, proses VA melibatkan penggunaan mesin otomatis untuk melakukan pemindaian terhadap jaringan, sistem, dan aplikasi untuk mendeteksi potensi kerentanan seperti kesalahan konfigurasi atau perangkat lunak yang sudah usang. Secara umum, VA terdiri dari beberapa proses yaitu pengumpulan informasi, pemindaian, analisis hasil, dan pelaporan seperti terlihat pada Gambar 12 (Sarker et al., 2023).

VA diawali dengan pengumpulan informasi yang diperlukan penguji untuk mengidentifikasi cakupan sistem, aplikasi, atau jaringan yang akan diuji (Goel & Mehtre, 2015; Sarker et al., 2023). Dari informasi yang didapatkan, dilakukan pemindaian terhadap target dengan tujuan mengidentifikasi kerentanan yang terdapat pada target. Hasil pemindaian kemudian dianalisis untuk menentukan tingkat prioritas dari kerentanan-kerentanan yang ditemukan untuk ditindaklanjuti. Langkah terakhir dalam proses VA adalah dokumentasi dan pelaporan.

b) Penetration Testing

PT adalah teknik pengujian keamanan pada aplikasi, sistem, atau jaringan dengan meniru serangan yang digunakan untuk mengeksploitasi suatu celah kerentanan (K. A. Scarfone et al., 2008). PT bertujuan untuk mengukur kemampuan sistem dalam menghadapi serangan dunia nyata dan menilai potensi kerugian akibat eksploitasi kerentanan. Oleh karena itu, PT harus direncanakan dengan baik dan dilakukan oleh ahli untuk meminimalkan risiko kerugian selama pengujian.

Dalam melakukan PT, penguji dapat menggunakan beberapa strategi seperti white box testing, black box testing, dan grey box testing (Goel & Mehtre, 2015; Sarker et al., 2023). Perbedaan utama dari ketiga strategi ini terletak pada jumlah informasi yang diberikan oleh pemilik sistem kepada penguji. Pada black box testing, penguji tidak mendapatkan informasi apa pun mengenai target, sedangkan pada white box testing, penguji mendapatkan akses penuh ke informasi sistem. Sedangkan pada Grey box testing menggabungkan keduanya, yaitu penguji diberikan sebagian informasi tentang sistem yang akan diuji. Tahapan PT dapat dilihat pada Gambar 13.

Pengujian menggunakan PT diawali dengan fase perencanaan (K. A. Scarfone et al., 2008). Pada fase ini, ditentukan hal-hal mengenai rangkaian pengujian seperti cakupan target dan peraturan yang perlu disepakati. Hal ini untuk meminimalisir risiko yang bisa saja berdampak ke sistem target pengujian. Pada tahap ini, belum ada pengujian yang benar-benar dilakukan.

Fase selanjutnya dalam proses PT adalah fase peninjauan yang terdiri dari pengumpulan informasi dan pemindaian. Pengumpulan informasi dilakukan secara pasif maupun secara aktif. Pengumpulan informasi secara pasif berarti penguji mencoba mengumpulkan informasi-informasi yang sudah tersedia tanpa berinteraksi dengan sistem yang menjadi target pengujian. Sementara itu, pengumpulan informasi secara aktif melibatkan teknik-teknik yang dilakukan untuk mendeteksi kerentanan atau mendapatkan informasi dengan cara berinteraksi langsung dengan sistem target pengujian.

Fase penyerangan adalah inti dari PT. Informasi-informasi yang sudah dikumpulkan sebelumnya, disusun suatu rangkaian serangan untuk melakukan eksploitasi kerentanan sebagai verifikasi potensi kerentanan yang teridentifikasi. Jika eksploitasi berhasil dilakukan, maka kerentanan dianggap valid dan disusun langkah-langkah remediasi untuk menutup kerentanan tersebut. Beberapa teknik eksploitasi kerentanan membuat penguji dapat melakukan peningkatan hak akses pada sistem untuk mendapatkan lebih banyak informasi. Jika hal tersebut terjadi, maka diperlukan analisis lebih mendalam terkait tingkat risiko sebenarnya dari suatu kerentanan.

Fase pelaporan sebagai bagian dari PT merupakan fase terakhir. Dilakukan penyusunan laporan akhir dari hasil pengumpulan informasi hingga pengujian serangan terhadap sistem. Laporan akhir berisi mengenai kerentanan-kerentanan yang sudah divalidasi dan diberikan Langkah-langkah remediasi.

VA dan PT memiliki kelebihan dan kekurangan masing-masing dalam pengujian keamanan (Goel & Mehtre, 2015; Sarker et al., 2023; K. A. Scarfone et al., 2008). VA digunakan sebagai solusi untuk melakukan identifikasi kerentanan dengan cakupan yang luas dengan waktu yang relatif singkat. Sementara itu, PT digunakan untuk memvalidasi kerentanan teridentifikasi secara mendalam dan menilai dampak yang ditimbulkan jika kerentanan tersebut tereksploitasi. Meskipun memiliki kegunaan yang berbeda, hasil akhir berupa laporan VA maupun PT dapat digunakan sebagai masukan proses identifikasi pada rangkaian proses Manajemen kerentanan.

3. Laporan Kerentanan

a) Call Center/ Pusat Bantuan

Penerimaan aduan siber, berupa temuan kerentanan memainkan peran penting dalam meminimalkan risiko serta memberikan informasi yang esensial untuk identifikasi dan pengelolaan kerentanan (National Cyber Security Centre, 2022). Pentingnya aduan kerentanan dapat meminimalkan risiko di antaranya:

1) Mengurangi Risiko Eksploitasi Kerentanan oleh Penyerang Tidak Beretika

Penerimaan aduan siber dapat mengurangi jumlah kerentanan yang mungkin dieksploitasi oleh penyerang tidak beretika. Dengan demikian, risiko kerentanan ditemukan oleh pihak yang tidak bertanggung jawab dapat diminimalisir (National Cyber Security Centre, 2022).

2) Mencegah Dampak Publikasi Kerentanan oleh Penyerang

Tanpa adanya pusat aduan yang efektif, terdapat kemungkinan penyerang akan mempublikasikan kerentanan yang dapat merusak reputasi pemilik sistem. Oleh karena itu, penyediaan kontak pusat aduan sangat penting untuk memastikan adanya komunikasi yang efektif antara pelapor dan pemilik sistem (National Cyber Security Centre, 2022).

Kemampuan untuk menerima dan merespons aduan siber, baik dalam bentuk kerentanan maupun insiden sangat penting untuk memastikan keberlangsungan keamanan sistem. Aduan kerentanan dan insiden harus disalurkan ke titik kontak TTIS untuk segera ditindak lanjuti. Aduan siber yang diterima oleh CSIRT organisasi dapat langsung divalidasi dan dilakukan tindakan perbaikan. Sementara itu, aduan siber yang diterima oleh TTIS Nasional akan divalidasi sebelum diteruskan diteruskan ke TTIS Sektoral dan TTIS organisasi yang terdampak. Penempatan informasi kontak aduan berupa email ataupun nomor telepon juga sangat penting, informasi terkait kontak aduan harus ditempatkan pada halaman web organisasi yang mudah ditemukan (BSSN, 2024). Proses pelaporan kerentanan dan insiden melalui pusat aduan diilustrasikan pada Gambar 13.

Gambar 13 menunjukkan alur pelaporan insiden dan kerentanan melalui pusat aduan, yang berjalan berdasarkan diagram alur dengan input dan output yang jelas (IoT Security Foundation, 2021; Badan Siber dan Sandi Negara, 2024):

1) Pelapor: Entitas yang melaporkan insiden atau kerentanan terkait dengan sistem yang terdampak. Pelapor merupakan seorang individu, organisasi, amatir, profesional, pengguna akhir, peneliti keamanan, vendor, pemerintah atau pihak berkepentingan lainya.

2) Penerimaan Laporan Insiden/Kerentanan: Laporan yang diterima dari pelapor melalui pusat aduan yang tersedia pada sistem.

3) Validasi: Proses investigasi penyebab utama terjadinya insiden atau pengecekan kerentanan yang dilaporkan. Jika insiden atau kerentanan dianggap valid, laporan tersebut akan menjadi input dalam proses manajemen kerentanan dan dilanjutkan dengan komunikasi kepada pelapor. Sebaliknya, jika insiden atau kerentanan dianggap tidak valid, laporan tersebut tidak dapat diterima dan akan dikomunikasikan kepada pelapor. Idealnya, komunikasi dengan pelapor harus berkelanjutan selama proses validasi berlangsung.

b) Vulnerability Disclosure Program

Berdasarkan data yang dihimpun oleh BSSN dalam rentang waktu 2020-2023, terdapat sebanyak 1436 laporan kerentanan yang diterima dari komunitas atau masyarakat umum. Fakta ini menunjukkan tingginya kontribusi publik dalam melaporkan temuan kerentanan pada sistem elektronik di Indonesia. Oleh karena itu, penting bagi organisasi untuk menyediakan jalur khusus yang efektif untuk menerima dan menindaklanjuti setiap laporan kerentanan yang masuk. Salah satu solusi yang dapat diterapkan adalah melalui penyelenggaraan program Pengungkapan Kerentanan (Vulnerability Disclosure Program), yang memungkinkan partisipasi masyarakat dalam menjaga keamanan sistem organisasi secara proaktif.

Salah satu elemen terpenting dalam Program Pengungkapan Kerentanan adalah publikasi kebijakan yang jelas dan mudah diakses oleh semua pihak yang terlibat, termasuk pelapor dan pengguna sistem. Kebijakan ini harus mencakup cakupan kerentanan yang dapat dilaporkan, proses pelaporan yang harus diikuti, serta tindakan yang diharapkan dari organisasi dalam menanggapi laporan tersebut. Dengan mempublikasikan kebijakan secara transparan, organisasi dapat memperjelas ekspektasi dan mendorong pelapor untuk berpartisipasi secara aktif dan bertanggung jawab.

Menurut ISO/IEC 29147:2018(E) (ISO, 2018), organisasi perlu menetapkan kebijakan yang jelas dan transparan terkait proses pelaporan, penanganan, serta tindak lanjut laporan kerentanan. Tujuannya adalah untuk menyepakati maksud dan tujuan program serta menyamakan persepsi antara pelapor, pengguna, dan pemangku kepentingan lainnya.

Setiap organisasi dapat memiliki kebijakan yang berbeda sesuai dengan kebutuhan masing-masing. Kebijakan tersebut harus menyatakan maksud organisasi, tanggung jawab, serta harapan terhadap pihak yang terlibat dalam program ini. Adapun hal-hal yang perlu dituangkan dalam kebijakan Program Pengungkapan Kerentanan menurut (ISO, 2018) adalah sebagai berikut:

1) Jalur Komunikasi

Setiap organisasi perlu menyertakan jalur komunikasi yang ditentukan bagi pelapor untuk mengirimkan detail kerentanan yang ditemukan. Jalur tersebut dapat berupa alamat e-mail, nomor telepon, formulir pada situs web, atau customer service.

- Alamat e-mail, contoh dari alamat email yang dapat digunakan untuk penerimaan laporan adalah sebagai berikut:

  • csirt@instansi.go.id

  • security@instansi.go.id

  • lapor-kerentanan@instansi.go.id

  • dan lainnya;

- Nomor telepon;

- Formulir pada situs web. Organisasi dapat menyediakan halaman khusus pada situs web, seperti situs CSIRT atau lainnya, yang berisi formulir pelaporan kerentanan. Langkah ini memudahkan pelapor dalam menyampaikan detail kerentanan sesuai dengan informasi yang telah ditentukan dalam formulir.

- Customer service, kontak customer service juga dapat digunakan untuk pelaporan kerentanan selama customer service telah dilatih untuk menerima laporan kerentanan.

2) Substansi Laporan

Organisasi perlu mencantumkan informasi apa saja yang dibutuhkan untuk memahami kerentanan yang ditemukan oleh pelapor. Substansi laporan harus mencakup informasi teknis yang lengkap dan relevan untuk membantu organisasi dalam memahami, mereproduksi, dan menilai kerentanan yang ditemukan. Laporan setidaknya mencakup deskripsi detail tentang kerentanan, sistem atau komponen yang terdampak, langkah-langkah untuk mereproduksi kerentanan, serta potensi dampak atau risiko keamanan yang ditimbulkan. Selain itu, pelapor juga perlu menyertakan bukti (proof-of-concept) atau hasil eksploitasi untuk menunjukkan bahwa kerentanan tersebut valid.

Menurut Bugcrowd (2022), sebuah laporan kerentanan setidaknya memuat:

- Judul, memberikan gambaran singkat tentang jenis kerentanan yang ditemukan, lokasinya, serta dampaknya. Sebagai contoh, “Remote File Inclusion pada Formulir Unggah CV memungkinkan eksekusi kode jarak jauh”;

- Target, sistem atau komponen atau situs yang terdampak oleh kerentanan tersebut, dapat berupa URL atau nama aplikasi;

- Tingkat kerentanan, tingkat kerentanan yang dihitung berdasarkan standar tertentu, seperti CVSS;

- Detail kerentanan, berisi informasi rinci mengenai kerentanan yang ditemukan. Mencakup penjelasan kerentanan, langkah-langkah eksploitasi, serta dampaknya.

- Lampiran, berisi bukti-bukti tambahan untuk melengkapi laporan, dapat berupa kode eksploitasi yang digunakan, tangkapan layar, rekaman layar dan sebagainya.

3) Opsi komunikasi yang aman

Dalam menerima laporan kerentanan, organisasi perlu memastikan komunikasi yang digunakan aman. Apabila jalur komunikasi yang digunakan menggunakan email, maka perlu disediakan OpenPGP untuk enkripsi email yang dikirimkan. Adapun bila jalur komunikasi menggunakan formulir pada situs web, maka perlu dipastikan situs web telah menerapkan TLS (HTTPS).

4) Standar Komunikasi

Di antara hal yang penting dalam penyelenggaraan Program Pengungkapan Kerentanan adalah memastikan komunikasi dengan pelapor terjalin dengan baik. Organisasi perlu menyampaikan standar komunikasi yang dapat diberikan, seperti memberikan respons awal, status terbaru serta pembaruan status dari kerentanan yang dilaporkan.

5) Cakupan

Organisasi perlu menyatakan cakupan yang termasuk dalam Program Pengungkapan Kerentanan. Cakupan ini merujuk pada batasan dan area spesifik yang termasuk dalam program pengungkapan kerentanan. Beberapa aspek cakupan yang dapat dijelaskan dalam kebijakan Program Pengungkapan Kerentanan, antara lain:

- Sistem dan Aplikasi yang tercakup, berisi daftar aplikasi yang termasuk ke dalam program. Dapat juga dibuat umum mencakup seluruh aset atau subdomain dari organisasi (misal *.instansi.go.id);

- Pengecualian, berisi daftar sistem atau aplikasi yang dikecualikan;

- Jenis kerentanan, berisi jenis kerentanan yang diharapkan untuk dilaporkan;

- Batasan aktivitas, berisi aktivitas yang tidak boleh dilakukan oleh pelapor, misalnya: melakukan social engineering, mempublikasi kerentanan tanpa seizin pemilik sistem, memanfaatkan kerentanan untuk eksploitasi lebih lanjut.

6) Penghargaan atau Pengakuan bagi pelapor

Di antara hal terpenting dalam penyelenggaraan Program Pengungkapan Kerentanan adalah bagaimana organisasi memberikan apresiasi terhadap pelapor yang telah membantu meningkatkan keamanan organisasi lewat kerentanan yang ditemukan. Penghargaan ini dapat berupa finansial, sertifikat, barang, pengakuan publik atau apresiasi lainnya sesuai dengan pertimbangan dari organisasi Vendor Advisory.

Laporan ini melibatkan penyediaan informasi resmi dari vendor perangkat lunak atau perangkat keras mengenai kerentanan yang ditemukan dalam produk mereka. Vendor Advisory biasanya mencakup deskripsi kerentanan, dampak yang mungkin terjadi, serta langkah-langkah mitigasi yang direkomendasikan, seperti penerapan patch atau perubahan konfigurasi. Informasi ini sangat penting bagi organisasi untuk memahami dan mengatasi kerentanan dengan cepat, sehingga dapat mengurangi risiko serangan siber. Vendor biasanya akan merilis advisory setelah kerentanan diidentifikasi dan sebelum atau bersamaan dengan patch keamanan yang tersedia, sehingga pengguna dapat segera mengambil tindakan.

Dalam konteks manajemen kerentanan, Vendor Advisory membantu memastikan bahwa organisasi yang menggunakan produk tertentu mendapatkan informasi yang akurat dan tepat waktu untuk memitigasi risiko. Organisasi seperti Microsoft, Cisco, dan Oracle secara rutin merilis Vendor Advisory sebagai bagian dari tanggung jawab keamanan mereka. Selain itu, NIST dan CVE sering merujuk pada Vendor Advisory sebagai sumber resmi untuk memperbarui informasi kerentanan secara global (Booth et al., 2013; NIST, 2024).

c) Threat Intelligence Feeds

Threat intelligence merupakan rangkaian kegiatan dari mengumpulkan informasi hingga melakukan analisis untuk memahami ancaman siber yang mungkin menyerang sistem informasi atau jaringan komputer sehingga dapat menjadi masukan dalam pengambilan kebijakan keamanan organisasi (Knerler et al., 2022). Perkembangan teknologi yang pesat, kompleksitas jaringan komputer, dan beragamnya teknik yang digunakan oleh penyerang membuat proses identifikasi semakin sulit. Kegiatan threat intelligence berfokus untuk menemukan threat actor dan membedakannya dengan pengguna yang sah. Informasi yang dikumpulkan dari kegiatan threat intelligence dapat digunakan untuk identifikasi aktivitas penyerang dan tools yang digunakan dalam jaringan dan sistem elektronik.

Secara umum, Cyber Threat intelligence (CTI) memiliki 6 (enam) fase utama (Recorded Future, 2022) yang dikenal sebagai Threat intelligence Lifecycle sebagaimana disajikan pada Gambar 14. Penjelasan rincinya sebagai berikut:

1) Direction

Fase ini adalah fase penetapan sasaran dan arah untuk kegiatan threat intelligence. Pada fase ini, pimpinan organisasi memiliki peran penting untuk menetapkan sasaran dan arah sesuai objektif yang ingin dituju oleh pemangku kepentingan dan pertanyaan permasalahan dalam menuju sasaran tersebut. Fase ini memerlukan pemahaman terhadap:

- Informasi aset dan proses bisnis yang perlu dilindungi.

- Potensi dampak dari terganggunya aset dan proses bisnis.

- Jenis informasi threat intelligence yang relevan dengan kepentingan pemangku kepentingan.

- Prioritas dalam perlindungan terhadap aset.

2) Collection

Fase ini merupakan fase pengumpulan informasi yang berguna untuk memberikan jawaban pertanyaan permasalahan. Informasi tersebut dapat berasal dari berbagai sumber yang dicari secara proaktif. Sumber-sumber informasi tersebut disajikan pada Gambar 15.

- Open-Source Threat intelligence Feeds

OSINT merupakan kegiatan pengumpulan informasi dari sumber terbuka seperti artikel, blog, media sosial, forum terbuka, dan sumber data publik lainnya. Sumber ini merupakan hasil kolaborasi penelitian banyak pihak dan selalu diperbarui secara berkala.

- In-house Threat intelligence

Sumber ini berasal dari hasil analisis internal yang dilakukan oleh organisasi berdasarkan pemantauan jaringan komputer internal. Informasi ini didapatkan oleh analis dari log firewall, IDS, dan perangkat jaringan lainnya.

- Vertical Communities

Dalam lingkungan tertentu, platform berbagi informasi siber dapat tersedia untuk komunitas yang sama, contohnya Financial Services Information and Analysis Center (FS-ISAC). FS-ISAC melibatkan beberapa industri perbankan di Amerika Serikat. Kelompok sejenis lainnya, seperti sektor industri dan sektor kesehatan, juga dapat memiliki saluran berbagi informasi serupa. Informasi threat intelligence juga dapat diperoleh melalui platform-platform berbagi informasi seperti ini.

- Commercial Services

Apabila pemangku kepentingan memiliki dukungan dari vendor keamanan terkait threat intelligence, maka informasi yang diberikan juga dapat dijadikan sebagai sumber informasi threat intelligence. Data yang bersumber dari vendor biasanya lebih komprehensif dan lebih minim adanya data false-positive. Namun, dalam penerapannya diperlukan adanya perbandingan secara terus menerus terhadap platform threat intelligence yang open-source seperti MISP agar mendapatkan komparasi informasi yang baik.

- Dark Web Intelligence

Dark Web merupakan bagian dari jaringan internet yang tidak dapat dilakukan pencarian secara normal. Dark web jamak digunakan untuk aktivitas yang ilegal dan dilarang. Dark web terdiri dari forum-forum digital yang bergerak secara underground dan memerlukan aplikasi khusus untuk mengaksesnya. Apabila dapat dilakukan threat intelligence, informasi rahasia seperti data yang diperjualbelikan, malware yang berkembang, dan aktivitas terlarang lainnya, informasi tersebut dapat digunakan sebagai sumber informasi threat intelligence.

3) Processing

Pada fase ini, dilakukan pemrosesan informasi yang dikumpulkan menjadi format yang dapat dimanfaatkan oleh pemangku kepentingan. Beragam data yang didapatkan dari proses collection merupakan data mentah sehingga harus dianalisis menggunakan tools tertentu atau dengan memanfaatkan analisis threat intelligence. Fase ini dapat dilakukan dengan langkah-langkah seperti pengambilan alamat IP, mengekstrak data dari email, pengambilan sampel kebocoran data, pengambilan data aktivitas APT, malware, dan lain sebagainya. Fase processing juga dapat dilakukan berdasarkan Indicator of Compromise (IoC) sehingga dapat melakukan identifikasi informasi yang relevan sebagai data threat intelligence.

4) Analysis

Pada fase ini, dilakukan analisis informasi yang telah dikumpulkan dan disesuaikan dengan kebutuhan pemangku kepentingan menjadi informasi threat intelligence yang komprehensif sehingga dapat digunakan sebagai landasan dalam pengambilan keputusan. Analisis informasi ini harus relevan dengan pihak-pihak yang akan menggunakan data threat intelligence tersebut. Hasil analisis juga harus bersifat jelas dan dapat ditindaklanjuti.

5) Dissemination

Pada fase ini, hasil analisis informasi threat intelligence dibagikan dan disebarkan terhadap pihak-pihak yang membutuhkan. Pihak yang membutuhkan dapat berasal dari internal maupun eksternal pemangku kepentingan dan dapat digunakan untuk berbagai tujuan, salah satunya adalah sebagai masukan terhadap proses identifikasi kerentanan pada pelaksanaan manajemen kerentanan. Informasi yang diseminasikan dapat digunakan dalam proses identifikasi pada manajemen kerentanan seperti jenis dan penjelasan kerentanan yang dieksploitasi, risiko yang muncul dari aktivitas threat actor, dan lain sebagainya.

6) Feedback

Pada fase feedback, dilakukan respon secara interaktif terhadap aktivitas siklus threat intelligence yang dilakukan dari pihak-pihak pengguna informasi threat intelligence. Langkah ini diperlukan untuk terus memastikan informasi threat intelligence berguna dan tepat sasaran. Selain itu, juga untuk memastikan bahwa penerima merupakan pihak yang dapat dipercaya untuk terus menerus menerima informasi dalam siklus cyber threat intelligence.

[24] https://www.recordedfuture.com/blog/threat-intelligence-lifecycle-phases

[25] https://www.recordedfuture.com/threat-intelligence-101/intelligence-sources-collection/threat-intelligence-sources

Gambar 11. Proses VA
Gambar 12. Tahapan Penetration Testing
Gambar 13. Alur Proses Pelaporan Pusat Aduan (BSSN (2024); IoT Security Foundation (2021))
Gambar 14. Threat intelligence Lifecycle[24]
Gambar 15. Sumber informasi threat intelligence [25]