Kajian Ketahanan Siber - Manajemen Kerentanan
  • Cover
  • Tim Redaksi
  • Kata Pengantar
  • Kata Sambutan
    • Sambutan Kepala Badan Siber dan Sandi Negara - Letjen TNI (Purn) Hinsa Siburian
    • Sambutan Deputi Bidang Operasi Keamanan Siber dan Sandi - Mayjen TNI Dominggus Pakel, S.Sos. M.M.S.I
  • Prakata
    • Prakata - Direktur Operasi Keamanan Siber - Andi Yusuf, M.T.
    • Direktur Politeknik Siber dan Sandi Negara - Marsekal Pertama TNI R. Tjahjo Khurniawan S.T, M.Si
  • Ringkasan Eksekutif
  • BAB I. Latar Belakang
    • A. Lanskap Keamanan Siber Indonesia
    • B. Tren Kerentanan Sistem Elektronik Instansi Pemerintah di Indonesia
    • C. Urgensi Manajemen Kerentanan di Indonesia
  • BAB II. Dasar Hukum Keamanan Sistem Elektronik
    • Dasar Hukum Keamanan Sistem Elektronik
  • BAB III. Kerangka Kerja Manajemen Kerentanan di Indonesia
    • A. Kerangka Kerja Manajemen Kerentanan di Indonesia
    • B. Kolaborasi Manajemen Kerentanan pada Tingkat Nasional
    • C. Peran Setiap Pemangku Kepentingan pada Manajemen Kerentanan Tingkat Nasional
  • BAB IV. Benchmark Organisasi dan Tata Kelola Terkait Manajemen Kerentanan
    • A. Benchmark Organisasi dalam Praktik Manajemen Kerentanan
    • B. Standar Internasional dan Panduan Praktik Tata Kelola Manajemen Kerentanan
  • BAB V. Siklus Manajemen Kerentanan di Indonesia
    • A. Gambaran Umum Program Manajemen Kerentanan
    • B. Tahap Identifikasi
    • C. Tahap Prioritisasi
    • D. Tahap Penanganan
    • E. Tahap Verifikasi
    • F. Tahap Evaluasi
  • BAB VI. Strategi Penerapan Manajemen Kerentanan pada Organisasi
    • Strategi Penerapan Manajemen Kerentanan pada Organisasi
    • A. Tahap Identifikasi
    • B. Tahap Prioritisasi
    • C. Tahap Penanganan
    • D. Tahap Verifikasi
    • E. Tahap Evaluasi
  • BAB VII. Pengembangan Bakat Terkait Manajemen Kerentanan
    • A. Peta Okupasi
    • B. Kursus/sertifikasi Terkait
    • C. Kode Etik Pegiat Keamanan Siber
  • BAB VIII. Kesimpulan dan Rekomendasi
    • A. Kesimpulan
    • B. Rekomendasi
  • Daftar Pustaka
Powered by GitBook
On this page
  • 1. Validasi Kerentanan
  • 2. Penilaian Risiko
  • Exploitability Metrics:
  • Vulnerable System Impact Metrics
  • 3. Penentuan Prioritas
  1. BAB VI. Strategi Penerapan Manajemen Kerentanan pada Organisasi

B. Tahap Prioritisasi

1. Validasi Kerentanan

Hasil pada tahap identifikasi diberikan pihak yang bertanggung jawab untuk memverifikasi/memvalidasi apakah kerentanan benar-benar ada dan dapat di eksploitasi. Verifikasi/validasi dapat dilakukan dengan mengikuti langkah-langkah yang ada pada proses identifikasi atau laporan kerentanan yang diterima. Terdapat beberapa hal yang perlu diperhatikan dalam melakukan proses verifikasi/validasi:

a) Perhatikan persyaratan dan detail lain yang dikirimkan pelapor untuk melakukan langkah-langkah dalam memproduksi kerentanan tersebut.

b) Jika tidak dapat memproduksi ulang kerentanan, hubungi pelapor (melalui tim tanggap insiden) untuk bekerja sama dan mengidentifikasi masalah lebih lanjut.

c) Jika kerentanan dianggap valid, organisasi harus mempertimbangkan hal-hal berikut:

  • Apakah kerentanan ada pada produk organisasi atau pada produk pihak ketiga?

  • Apakah ini duplikat dari kerentanan yang sudah pernah ditemukan?

  • Produk apa saja yang mungkin terdampak?

  • Apakah kerentanan sangat berdampak pada sistem?

  • Apakah ini masalah keamanan atau fungsional?

Laporan hasil verifikasi/validasi awal harus segera disampaikan ke tim tanggap insiden. Keputusan valid atau tidaknya kerentanan harus disampaikan dengan jelas dan tidak ambigu.

2. Penilaian Risiko

Langkah penilaian risiko dapat dilakukan dengan cara menentukan tingkat kritikalitas kerentanan yang ditemukan pada sistem. Pengukuran nilai risiko ini dapat dilakukan menggunakan standar CVSS terbaru dan NIST SP 800-30 dengan pertimbangan berdasarkan:

  • Posisi aset (internal atau eksternal);

  • Tingkat level prioritas aset;

  • Jenis celah keamanan yang ditemukan;

  • Peluang bagi penyerang untuk mendapatkan dan memanfaatkan celah tersebut;

  • Dampak potensial kerentanan berdasarkan CIA;

  • Dampak kerugian yang ditimbulkan dari risiko dengan skala deskriptif;

  • Dokumentasi penilaian risiko sebelumnya.

Penilaian risiko menggunakan CVSS dilakukan dengan perhitungan berbasis formula untuk menetapkan skor keamanan pada kerentanan yang diidentifikasi. Untuk menggunakan CVSS, dapat mengakses CVSS Calculator secara online melalui peramban web. CVSS Calculator secara mendasar dapat merujuk pada beberapa matriks yang digunakan untuk memberikan gambaran yang terstandardisasi dan terukur tentang Tingkat keparahan sebuah kerentanan. Terdapat beberapa matriks dalam penilaian dasar (Base Metrics). Berikut penjelasan setiap komponen pada base metrics CVSS:

Exploitability Metrics:

Komponen yang digunakan untuk menilai seberapa mudah atau sulit sebuah kerentanan dapat dieksploitasi oleh penyerang.

a) Attack Vektor (AV)

Deskripsi: Digunakan untuk menunjukkan bagaimana penyerang dapat mengeksploitasi kerentanan yang ditemukan.

Nilai dan Penjelasan:

a. Network (N): Kerentanan dapat dieksploitasi dari jarak jauh melalui jaringan internet.

b. Adjacent (A): kerentanan dapat dieksploitasi dari jaringan yang sama dengan target secara fisik maupun logic (contoh : Bluetooth, NFC, IEEE 802.11, Local IP Subnet, VPN).

c. Local (L): Kerentanan dapat dieksploitasi dengan cara melakukan akses langsung ke perangkat sistem (contoh: keyboard, console, ssh, social engineering untuk mengelabui pengguna yang sah membuka file berbahaya).

d. Physical: kerentanan hanya dapat dieksploitasi dengan melakukan akses langsung ke fisik perangkat atau sistem target (contoh : Evil Maid Attack).

b) Attack Complexity (AC)

Deskripsi: digunakan untuk menggambarkan kompleksitas yang diperlukan dalam mengeksploitasi kerentanan.

Nilai dan Penjelasan:

1) Low (L): Eksploitasi kerentanan dapat dilakukan dengan mudah tanpa memerlukan persyaratan khusus dan dapat dilakukan secara berulang.

2) High (H): Eksploitasi kerentanan memerlukan kondisi yang lebih khusus dan kompleks atau interaksi yang signifikan dari penyerang. Proses eksploitasi dapat dilakukan ketika serangkaian kondisi spesifik terpenuhi.

c) Attack Requirements (AT):

Deskripsi: komponen yang digunakan menggambarkan persyaratan tambahan yang diperlukan untuk melakukan eksploitasi kerentanan.

Nilai dan Penjelasan:

1) None (N): tidak membutuhkan persyaratan tambahan yang diperlukan untuk mengeksploitasi kerentanan. Proses eksploitasi langsung dapat dilakukan setelah kerentanan ditemukan.

2) Present (P): membutuhkan persyaratan tambahan yang diperlukan untuk mengeksploitasi kerentanan. Perlu adanya persyaratan atau pengetahuan khusus untuk eksploitasi setelah menemukan kerentanan.

d) Privileges Required (PR)

Deskripsi: Tingkat hak akses yang diperlukan penyerang untuk melakukan ekploitasi kerentanan.

Nilai dan Penjelasan:

1) None (N): Penyerang tidak memerlukan hak akses apa pun untuk melakukan eksploitasi kerentanan.

2) Low (L): Penyerang memerlukan hak akses terendah, seperti akun pengguna yang terbatas.

3) High (H) : Penyerang memerlukan hak akses tertentu atau khusus seperti administrator.

e) User Interaction (UI)

Deskripsi: komponen yang digunakan untuk menunjukkan apakah interaksi pengguna diperlukan untuk mengeksploitasi kerentanan.

Nilai dan Penjelasan:

1) None (N): Eksploitasi kerentanan tidak memerlukan interaksi dari pengguna yang terpengaruh (Contoh: Remote Code Execution, SQL Injection).

2) Required (R): Penyerang memerlukan interaksi yang spesifik dari pengguna yang terpengaruh untuk mengeksploitasi kerentanan (contoh: Phising, Social Engineering, Cross Site Scripting).

Vulnerable System Impact Metrics

Komponen yang digunakan untuk menilai dampak dari eksploitasi kerentanan terhadap sistem yang rentan. Terdiri dari tiga sub-komponen utama sebagai berikut:

a) Confidentiality (VC):

Deskripsi: Digunakan untuk mengukur potensi dampak kerahasiaan informasi jika kerentanan berhasil dieksploitasi.

Nilai dan Penjelasan:

1) None (N): Tidak berdampak pada kerahasiaan.

2) Low (L): Eksploitasi kerentanan dapat mengungkapkan informasi yang terbatas (Contoh : Nama, email, foto profil, informasi profil umum).

3) High (H): Eksploitasi kerentanan dapat mengungkapkan informasi yang sangat sensitif (contoh: password, kunci enkripsi, private key, data pribadi).

Jika kerentanan mengizinkan penyerang untuk mengakses data pribadi pengguna, skor Confidentiality akan tinggi karena potensi pengungkapan informasi sensitif.

b) Integrity (VI):

Deskripsi: Digunakan untuk mengukur potensi dampak integritas data jika kerentanan berhasil dieksploitasi.

Nilai dan Penjelasan:

1) None (N) : Tidak berdampak pada integritas data.

2) Low (L) : Eksploitasi kerentanan dapat menyebabkan modifikasi yang tidak signifikan pada data.

3) High (H): Eksploitasi kerentanan dapat mengungkapkan informasi yang sangat sensitif.

Jika kerentanan memungkinkan penyerang untuk memodifikasi atau menghapus data penting, skor Integrity akan tinggi karena potensi dampak pada integritas data.

c) Availability (VA):

Deskripsi: Digunakan untuk mengukur potensi dampak ketersediaan sistem atau layanan jika kerentanan berhasil dieksploitasi.

Nilai dan Penjelasan:

1) None (N): Tidak berdampak pada ketersediaan sistem atau layanan.

2) Low (L): Eksploitasi kerentanan dapat menyebabkan penurunan kinerja atau gangguan pada layanan yang tidak kritis atau penting.

3) High (H) : Eksploitasi kerentanan dapat menyebabkan penurunan kinerja atau gangguan pada layanan yang kritis atau penting.

Jika kerentanan menyebabkan sistem menjadi tidak dapat diakses oleh pengguna yang sah, skor Availability tinggi karena potensi dampak terhadap ketersediaan layanan.

Kerentanan yang teridentifikasi pada suatu sistem kemudian ditentukan nilai dari masing-masing metriknya. Nilai dari metrik-metrik tersebut dimasukkan ke dalam rumus CVSS 4.0 untuk menghasilkan skor seperti pada Tabel 4.

Tabel 4. Skor CVSS

Kategori

Skoring

None

0,0

Low

0,1 – 3,9

Medium

4,0 – 6,9

High

7,0 – 8,9

Critical

9,0 – 10,0

Penilaian risiko dengan menggunakan NIST SP 800-30 dapat mengikuti langkah-langkah dalam Gambar 19. Penjelasan tahapan penilaian risiko dapat dijelaskan sebagai berikut,

a) Tahap 1 : Mempersiapkan Penilaian Risiko

Pada tahap ini, ditentukan tujuan, ruang lingkup, toleransi risiko, sumber ancaman, kerentanan, dan dampak. Selain itu juga ditentukan model risiko dan analisis yang digunakan dalam penilaian risiko.

b) Tahap 2 : Melaksanakan Penilaian Risiko

Pada tahap ini, dilakukan pencarian informasi terkait ancaman yang mungkin terjadi, potensi terjadinya ancaman, celah kerentanan yang dimanfaatkan, kemungkinan kerentanan tersebut dimanfaatkan, dampak yang ditimbulkan, dan nilai risiko berdasarkan informasi-informasi tersebut.

c) Tahap 3 : Membagikan Informasi Penilaian Risiko

Pada tahap ini, dilakukan penyampaian hasil penilaian risiko kepada pimpinan dan penyampaian informasi risiko yang relevan kepada anggota

d) Tahap 4 : Mengevaluasi Penilaian Risiko

Pada tahap ini, dilakukan monitoring berkelanjutan tentang faktor risiko dan melakukan pembaruan terhadap risiko yang ada.

3. Penentuan Prioritas

Setelah dilakukan identifikasi kerentanan, penting bagi TTIS untuk melakukan penilaian dan memperioritaskan kerentanan keamanan yang telah diidentifikasi dan tervalidasi kebenaranya. Penentuan prioritas penanganan kerentanan, dapat mempertimbangkan :

  1. Apakah kerentanan berada pada sistem kritis (Critical System)?

  2. Apa klasifikasi informasi yang terdapat pada sistem yang terkena dampak?

  3. Apakah sistem yang terdampak digunakan oleh banyak pengguna publik?

  4. Apakah sudah ada mitigasi yang dapat membatasi potensi dampak eksploitasi?

  5. Dapatkah perangkat perimeter keamanan (IDS,IPS,EDR) berbasis jaringan atau host mendeteksi atau mencegah kerentanan?

  6. Bisakah sistem dan prosedur organisasi efektif untuk merespon dan menangani dengan cepat terhadap masalah kerentanan atau eksploitasi yang terjadi?

  7. Semakin tinggi nilai penilaian risiko, berbanding lurus dengan prioritas perbaikan.

Kerentanan yang dinilai sebagai risiko kritis bagi organisasi harus segera ditangani. Kerentanan kritis dapat ditentukan berdasarkan:

  1. Kerentanan keamanan memungkinkan eksekusi kode jarak jauh.

  2. Berdampak pada sistem penting organisasi.

  3. Eksploitasi dapat dilakukan pada domain publik dan digunakan secara aktif.

Sistem terhubung ke internet dan tidak adanya proses mitigasi yang dilakukan.

PreviousA. Tahap IdentifikasiNextC. Tahap Penanganan

Last updated 3 months ago

Gambar 19. Pelaksanaan Penilaian Risiko NIST SP 800-30