E. Tahap Verifikasi
1. Validasi Perbaikan
Setelah proses remediasi atau mitigasi dilakukan, perlu pengujian kembali kerentanan yang ditemukan melalui kegiatan validasi. Validasi perbaikan bertujuan untuk memastikan bahwa kerentanan sudah berhasil ditangani dan tidak menimbulkan masalah baru (ISO, 2019). Ketika melakukan validasi ternyata perbaikan gagal, maka tahapan remediasi atau mitigasi harus diulang kembali.
2. Pelaporan
Pelaporan adalah salah satu komponen penting dari rangkaian proses manajemen kerentanan. Pemanfaatan manajemen kerentanan dapat memberikan beragam jenis laporan sesuai dengan kebutuhan penerima laporan. Dalam sebuah laporan dapat berisikan penjelasan data-data yang terkandung dalam laporan, bagaimana nilai-nilai data pada laporan diperoleh atau dihitung dan pendefinisian pengguna yang menggunakan laporan (Kissoon, 2022). Dalam pelaporan, Tim CSIRT menganalisis dan menginterpretasikan data tentang kerentanan terbaru yang ditemukan. Data tersebut dilaporkan untuk digunakan dalam pengambilan keputusan strategis. Laporan ini memuat informasi terkait nama kerentanan, waktu ditemukannya kerentanan, deskripsi terkait kerentanan, remediasi dan tindak lanjut yang sudah dilakukan dan tujuan penerima laporan dengan cara dan format yang dapat dipahami (FIRST, 2023).
Dalam langkah pelaporan, pengiriman laporan dilakukan kepada pihak terkait baik dalam internal organisasi dan pihak eksternal yang terkena dampak kerentanan tersebut. Pihak internal organisasi utamanya ditujukan kepada pimpinan organisasi dan dilakukan sesegera mungkin setelah kerentanan ditemukan. Selain itu, laporan juga dapat dikirimkan terhadap pihak eksternal sebagai berikut (Guidelines for Cyber Security Incidents, 2024):
a) Laporan kepada CSIRT Nasional
BSSN sebagai CSIRT Nasional memiliki kanal aduan siber untuk menerima laporan kerentanan dan memberikan asistensi penanganan kerentanan. CSIRT sektoral dan/atau CSIRT organisasi dihimbau untuk melakukan koordinasi terkait laporan tersebut kepada BSSN. Laporan ini juga digunakan oleh BSSN untuk mengidentifikasi dan menganalisis tren kerentanan yang terdapat di Indonesia.
b) Laporan kepada customer dan publik
Pelaporan kerentanan kepada customer dan publik dalam kurun waktu tertentu setelah ditemukan kerentanan menunjukkan komitmen organisasi terhadap penanganan kerentanan tersebut. Kerentanan yang menyangkut perangkat keras, perangkat lunak, maupun informasi terkait customer dan publik harus segera dilaporkan untuk dapat dilakukan tindak lanjut terhadap pihak yang terdampak.
CSIRT dihimbau untuk dapat berbagi informasi dengan organisasi lain dengan aman [29]. Proses pengiriman laporan memerlukan saluran komunikasi yang aman untuk menjamin aspek kerahasiaan, integritas, autentikasi, dan nirsangkal. Selain itu, proses pengiriman laporan juga harus mempertimbangkan kebijakan keamanan organisasi yang berlaku. Saluran komunikasi yang digunakan disesuaikan dengan kebutuhan organisasi dan pemilik sistem. Semua informasi yang didistribusikan harus diberi klasifikasi informasi sesuai dengan kebijakan berbagi informasi.
Pengguna laporan ditentukan berdasarkan tahap identifikasi yang terdiri dari identifikasi kerentanan (VA/PT) dan laporan kerentanan (Call Center, Vulnerability Disclosure Program, Vendor Advisory dan Threat Inteligence Feeds) sebagaimana digambrkan dalam tabel 3.
Tabel 3. Penerima laporan
No.
Identifikasi VM
Feedback Laporan
Keterangan
1
VA/PT
Pelaksana VA/PT
Laporan yang dikirimkan merupakan validasi atas temuan kerentanan dan remediasi terhadap kerentanan yang ditemukan.
2
Call Center/VDP
Pelapor
Laporan yang dikirimkan merupakan validasi atas temuan kerentanan dan pemberian reward atau bounty
3
Vendor Advisory
Pemilik Sistem dan eksternal terdampak
Laporan ditujukan terhadap organisasi atau individu yang memiliki kesamaan aset terdampak
4
Cyber Threats Inteligence Feeds
Pemilik Sistem
Laporan ditujukan terhadap organisasi atau individu yang memiliki kesamaan aset terdampak
Klasifikasi informasi laporan mengacu pada konsep Traffic Light Protocol (TLP). TLP merupakan standar klasifikasi informasi yang dikeluarkan oleh FIRST (CISA, 2024). TLP ini digunakan untuk memfasilitasi pembagian informasi sensitif agar dapat didistribusikan dan dimanfaatkan secara tepat dan aman. TLP memiliki 4 (empat) label yaitu TLP:RED, TLP:AMBER+STRICT, TLP:AMBER, TLP:GREEN, dan TLP:CLEAR[30].
1) TLP:RED
TLP ini digunakan untuk laporan yang memerlukan tindak lanjut dengan informasi sangat sensitif, seperti yang berkaitan dengan privasi, reputasi, atau proses bisnis organisasi. Laporan dengan klasifikasi TLP ini hanya boleh disampaikan kepada penerima yang dituju.
2) TLP:AMBER+STRICT
TLP ini diterapkan pada laporan yang memerlukan tindak lanjut dengan informasi yang berisiko terhadap privasi, reputasi, dan proses bisnis organisasi jika dibagikan di luar organisasi. TLP ini umumnya digunakan untuk kebutuhan internal organisasi guna mendukung operasional dan kepentingan organisasi tersebut.
3) TLP:AMBER
TLP ini diberlakukan untuk laporan yang memerlukan tindak lanjut dengan informasi yang menimbulkan risiko terkait privasi, reputasi, dan proses bisnis organisasi jika dibagikan di luar organisasi dan kepada klien lain yang terkait dengan organisasi. TLP ini biasanya digunakan untuk internal organisasi dan klien terkait untuk mencegah dampak yang lebih meluas.
4) TLP:GREEN
TLP ini dipakai untuk laporan yang berguna dalam rangka peningkatan kesadaran keamanan dalam suatu komunitas. TLP ini dapat digunakan untuk berbagi informasi antar organisasi dalam komunitas yang sama namun dibagikan melalui saluran komunikasi tertentu.
5) TLP:CLEAR
TLP ini digunakan untuk laporan yang tidak mengandung informasi sensitif dan dapat didistribusikan sesuai prosedur publik. Dokumen dengan TLP ini dapat disebarluaskan secara bebas tanpa pembatasan khusus.
[29] https://www.first.org/standards/frameworks/csirts/csirt_services_framework_v2.1 :: 6.5
[30] https://www.cisa.gov/news-events/news/traffic-light-protocol-tlp-definitions-and-usage
Last updated