MELAKUKAN DETEKSI KERENTANAN ASET

TEKNOLOGI INFORMASI

26 Februari s.d 1 Maret 2024

PROGRAM BORN TO DEFENCE : PELATIHAN LEVEL 1 SECURITY OPERATIONS CENTER ANALYST

PUSAT PENGEMBANGAN SUMBER DAYA MANUSIA

1 | INGATLAH KECHILAFAN SATU ORANG SAHAJA CUKUP SUDAH MENJEBABKAN KERUNTUHAN NEGARA
ELEMEN KOMPETENSI
1. Aset TI yang akan dideteksi
kerentanannya diidentifikasi berdasarkan
dokumen kesepakatan 2
2. Ruang lingkup deteksi kerentanan
diidentifikasi berdasarkan dokumen
kesepakatan.
3. Jadwal dan lokasi pelaksanaan Mengidentifikasi kerentanan pada aset TI
dikoordinasikan kepada pihak terkait
sesuai dokumen kesepakatan.
1. Deteksi kerentanan aset TI dilaksanakan
Mengidentifikasi ruang lingkup deteksi sesuai dengan tahapan vulnerability
kerentanan aset TI assessment.
2. Rekomendasi mitigasi disusun sesuai
dengan laporan hasil vulnerability
assessment.

1
BADAN SIBER DAN SANDI NEGARA
 DEFINISI VUNERABILITY

3 | INGATLAH KECHILAFAN SATU ORANG SAHAJA CUKUP SUDAH MENJEBABKAN KERUNTUHAN NEGARA
Hal Pertama
Pertama…
Terlibat dalam pengujian teknis berarti:
• Lalu lintas tak terduga akan dihasilkan!
• Akan ada dampak.
• Mungkin ada gangguan.

Prasyarat untuk keterlibatan apa pun

• Tentukan ruang lingkup

• Metodologi dokter hewan dengan klien

• Menyetujui akses ke sistem
• Tetapkan tanggal dan waktu
• Pertukaran informasi kontak
 VULNERABILITY
RFC 4949
INTERNET SECURITY GLOSSARY

DEFINISI This does not mean that the systems

are too flawed to use. Not every
threat results in an attack, and not
A flaw or weakness in a system's every attack succeeds. Success
design, implementation, or operation depends on the degree of
and management that could be vulnerability, the strength of attacks,
exploited to violate the system's
and the effectiveness of any
security policy
countermeasures in use. If the attacks
needed to exploit a vulnerability are
VULNERABILITY very difficult to carry out, then the
vulnerability may be tolerable. If
TIPE VULNERABILITY the perceived benefit to an attacker is
small, then even an easily exploited
a) vulnerabilities in design or specification; vulnerability may be tolerable.

b) vulnerabilities in implementation; and

c) vulnerabilities in operation and management

BADAN SIBER DAN SANDI NEGARA

Apa itu Vulnerability Assessment (VA) ?

• VA bukanlah Pentest.

• VA adalah proses pengujian infrastruktur

dan aplikasi TI Organisasi dengan cara
mengidentifikasi apakah komponen-
komponen yang diketahui memiliki
kelemahan ada pada system kita.
(Scanning).

• Tujuan dari VA adalah untuk

memprioritaskan perbaikan sebagai
bagian dari program manajemen
kerentanan Organisasi.
Karakteristik Vulnerability
Assessment
• Ruang lingkup didefinisikan berdasarkan sistem
yang akan dinilai

• Sebagian besar menggunakan pemindai otomatis

• Menemukan kerentanan yang diketahui
• Hanya menemukan kekurangan teknis
• Memberikan rekomendasi taktis dalam laporan yang
panjang
• Memfasilitasi proses manajemen keamanan internal
 VULNERABILITY
ISO 27002
Information security, cybersecurity and privacy
protection — Information security controls

CONTROL
STEPS
Information about technical
vulnerabilities of information systems
in use shall be obtained, the 1. Identifying Technical vulnerability
organization’s exposure to such
vulnerabilities shall be evaluated and 2. Evaluating technical vulnerability
appropriate measures shall be taken
3. Taking appropriate measures to
MANAGEMENT OF address technical vulnerabilities
TECHNICAL
PURPOSE VULNERABILITY

To prevent exploitation of
technical vulnerabilities.

BADAN SIBER DAN SANDI NEGARA

 SLA / NDA

11 | INGATLAH KECHILAFAN SATU ORANG SAHAJA CUKUP SUDAH MENJEBABKAN KERUNTUHAN NEGARA
DOKUMEN KESEPAKATAN

Target/Dokumen Prioritas : Pelaksana & Keahlian :

• Semakin banyak aset yang dilakukan VA,
semakin banyak waktu yang diperlukan Daftar nama pelaksana dan keahlian yang dimiliki
pelaksana

Jadwal :
Dilaksanakan sesuai kesepakatan.
Baiknya dilaksanakan ketika trafik SLA (Service Level Agreement) /
low.
NDA (Non Disclosure Agreement
Kepkemenaker No 391 Th 2020 J.62SOC00.006.1

Teknik & Kustomisasi Lokasi Pelaksanaan :

• White Box • On site
Mendapatkan seluruh informasi mengenai sistem • Remote
• Grey Box
Mendapatkan sebagian informasi mengenai sistem
(IP, URL, Framework)
• Black Box
Berperan sebagai pihak eksternal, peretas atau
hacker, Tidak membutuhkan informasi apa pun

BADAN SIBER DAN SANDI NEGARA

DOKUMEN KESEPAKATAN

BADAN SIBER DAN SANDI NEGARA

 VULNERABILITY
ISO 27002
Information security, cybersecurity and privacy
protection — Information security controls

CONTROL
STEPS
Information about technical
vulnerabilities of information systems
in use shall be obtained, the 1. Identifying Technical vulnerability
organization’s exposure to such
vulnerabilities shall be evaluated and 2. Evaluating technical vulnerability
appropriate measures shall be taken
3. Taking appropriate measures to
MANAGEMENT OF address technical vulnerabilities
TECHNICAL
PURPOSE VULNERABILITY

To prevent exploitation of
technical vulnerabilities.

BADAN SIBER DAN SANDI NEGARA

 TAHAPAN VA

15 | INGATLAH KECHILAFAN SATU ORANG SAHAJA CUKUP SUDAH MENJEBABKAN KERUNTUHAN NEGARA
ALUR KERJA TIM ITSA

BADAN SIBER DAN SANDI NEGARA

Copyright (c) 2018 CompTIA Properties, LLC. All Rights Reserved. | CompTIA.org 17
 TAHAPAN VA

VULNERABILITY
RECONNAISSANCE SCANNING ENUMERATION
ANALYSIS

Tahapan awal dimana penguji proses pengumpulan dilakukan pencarian data

mengumpulkan data tentang informasi tambahan yang yang lebih spesifik atau ketika Dilakukan berdasarkan
organisasi tersebut seperti lebih detail mengenai target sudah berhasil masuk pada pengalaman penguji atau
teknologi yang digunakan, menggunakan teknik service tententu. Mis, menggunakan VA tools
berapa perangkat yang reconnaissance aktif untuk mengidentifikasi user atau seperti Nessus, OWASP Zap,
terkoneksi, hingga arsitektur mendeteksi target aktif, port, resource yang berelasi Acunetix, dll.
jaringan dari target. dan service pada jaringan. dengan sistem target

Kepkemenaker No 391 Th 2020 J.62SOC00.006.1

BADAN SIBER DAN SANDI NEGARA

 TAHAPAN VA

VULNERABILITY
RECONNAISSANCE SCANNING ENUMERATION
ANALYSIS

Identifying and listing the

OSINT untuk mencari users, networks, and
NMAP, untuk scanning
informasi mengenai target resources
• Port
• Google Dorking • Install Nessus
• Service
• DNSDumpster nmap --script smb-enum- • Scanning to
• MXToolbox users.nse -p 445 x.x.x.x Metasploitable
nmap -sV -O x.x.x.x
• Shodan
nmap -F x.x.x.x
• Whois Nmap –script vuln x.x.x.x

Kepkemenaker No 391 Th 2020 J.62SOC00.006.1

BADAN SIBER DAN SANDI NEGARA

REKOMENDASI MITIGASI
Common Weakness Enumeration (CWE)
Sistem yang mengklasifikasikan berbagai jenis
kelemahan yang ditemukan pada perangkat
keras dan perangkat lunak. Digunakan secara
luas untuk memahami, mengklasifikasi, dan
menggambarkan jenis masalah keamanan yang
mungkin muncul dalam sistem TI.
REKOMENDASI MITIGASI
National Vulnerability Database (NVD)
NVD menyediakan database komprehensif
tentang kerentanan keamanan siber,
kerentanan perangkat lunak, dan informasi
keamanan terkait lainnya. Tujuan utama
dari NVD adalah membantu organisasi
dan profesional keamanan siber dalam
mengidentifikasi, memahami, dan
mengatasi kerentanan dalam perangkat
lunak dan perangkat keras.
BADAN SIBER DAN SANDI NEGARA
Common Vulnerabilities and Exposures
(CVE)
Sistem standar internasional yang
memberikan identifikasi untuk setiap
kerentanan perangkat keras dan perangkat
lunak yang ditemukan. Ini membantu dalam
pelaporan, pelacakan, dan pertukaran
informasi tentang kerentanan.
Security Advisory BSSN
Pemberitahuan resmi yang dikeluarkan oleh
Badan Siber dan Sandi Negara untuk
memberikan informasi tentang ancaman
keamanan siber, kerentanan perangkat
lunak, atau tindakan keamanan yang perlu
diambil oleh organisasi atau individu untuk
melindungi sistem dan data mereka dari
potensi serangan.
LAPORAN HASIL VA
A. Pendahuluan
a) Dasar
b) Maksud dan Tujuan
A. Executive Summary
c) Metodologi dan scenario
• Alur Kerja
B. Scan Results
• Acuan Kerentanan yang dinilai
C. Methodology
d) Teknik pengujian
• BlackBox D. Findings
• Grey Box
e) Penilaian resiko kerentanan E. Risk Assessment
f) Syarat dan ketentuan
g) Kemungkinan Dampak F. Recommendations
B. Hasil Kegiatan
a) Rekomendasi
b) Hasil temuan Kerentanan (PoC)

ITSA BSSN EC-COUNCIL / PURPLESEC

BADAN SIBER DAN SANDI NEGARA

 BADAN SIBER DAN SANDI NEGARA
Jl. Harsono RM 70 Ragunan,
Pasar Minggu, Jakarta Selatan, 12550
Tel: +62217805814 Fax: +622178844104

22 | INGATLAH KECHILAFAN SATU ORANG SAHAJA CUKUP SUDAH MENJEBABKAN KERUNTUHAN NEGARA
“(Ingatlah) Kechilafan Satu Orang
Sahaja Tjukup Sudah Menjebabkan
Keruntuhan Negara”
MAYJEN TNI DR. ROEBIONO KERTOPATI
(1914 - 1984)
BAPAK PERSANDIAN REPUBLIK INDONESIA

23 | INGATLAH KECHILAFAN SATU ORANG SAHAJA CUKUP SUDAH MENJEBABKAN KERUNTUHAN NEGARA
28/02/2024 23