Pembelajaran 7: Memahami Risiko Siber: Cisa - Badan Keamanan Siber Dan Keamanan Infrastruktur
Pembelajaran 7: Memahami Risiko Siber: Cisa - Badan Keamanan Siber Dan Keamanan Infrastruktur
CISA
PEMBELAJARAN 7: MEMAHAMI
RISIKO SIBER
Kelly Thiele
1
4/11/23
January 27, 2023
Ikhtisar
• Tujuan
• Bagian ini akan membahas beberapa topik seperti penilaian risiko, memahami penilaian
kerentanan, identifikasi kerentanan, dan pengungkapan kerentanan. Selain itu, bagian ini
akan membahas Kerangka Kerja Siber NIST dan kerangka kerja - kerangka kerja
keamanan lainnya untuk memperkenalkan pendekatan lain kepada para peserta tentang
identifikasi terbaik dan mitigasi risiko.
• Hal-hal Penting Yang Harus Diingat
• Pada bagian akhir dari modul ini, para peserta akan lebih paham:
Rumus Risiko dasar: R = T*V... R = T * V * I
Barbagai Kerangka kerja risiko keamanan siber
Perbedaan antara CWE dan CVE
Beberapa pendekatan untuk menilai kerentanan
Memahami pendekatan untuk mengatasi kerentanan/memitigasi risiko
Kelly Thiele
2
4/11/23
January 27, 2023
Apa itu Risiko?
Definisi: Suatu ukuran sejauh mana suatu entitas terancam oleh keadaan atau peristiwa potensial dan
biasanya merupakan fungsi dari:
(i) pengaruh terbalik yang dapat muncul jika keadaan atau kejadian terjadi; dan
(ii) kemungkinan kejadian.
Risiko keamanan terkait sistem informasi adalah risiko yang timbul dari hilangnya kerahasiaan,
integritas, atau ketersediaan informasi atau sistem informasi dan mencerminkan potensi dampak negatif
terhadap operasi organisasi (termasuk misi, fungsi, citra, atau reputasi), aset organisasi, individu,
organisasi lain, dan Negara.
Dampak merugikan bagi Negara termasuk, antara lain, pembobolan sistem informasi yang mendukung aplikasi
infrastruktur penting atau sangat penting bagi kelangsungan operasi pemerintah sebagaimana ditetapkan oleh
Departemen Keamanan Dalam Negeri.
Sumber:
NIST SP 800-137 pada bagian Risiko dari FIPS 200 - Diadaptasi
Kelly Thiele
3
4/11/23
January 27, 2023
Persamaan Risiko dan Matriks Risiko
Risiko = Dampak
Ancaman x Kerentanan
Minor Moderate Major
Ancaman x Kerentanan x Dampak
Ancaman x Kerentanan x Dampak x Kemungkinan
Likely
Ancaman: penyebab potensial dari insiden yang tidak
Kemungkinan
diinginkan dan dapat menyebabkan kerugian
Kerentanan: kelemahan yang dapat dieksploitasi atau dipicu Possible
oleh sumber ancaman
Dampak: besarnya bahaya yang dipicu dari kerentanan
Unlikely
Kemungkinan: kemungkinan terjadinya insiden
Bobot input tergantung tingkat risiko
Kelly Thiele
4
4/11/23
January 27, 2023
Risiko dan Kerangka Kerja Manajemen Kerentanan
Kelly Thiele
5
4/11/23
January 27, 2023
Kerentanan Umum dan Paparan
Kelly Thiele
6
4/11/23
January 27, 2023
Sistem Penilaian Kerentanan Umum
CVSS: Sistem pengukuran standar untuk industri, organisasi, dan
pemerintah yang memerlukan skor keparahan kerentanan yang akurat Kisaran
Keparahan
dan konsisten guna membantu memprioritaskan perbaikan kerentanan Nilai Dasar
Karena ancaman dan kemungkinan tidak terukur, CVSS bukanlah Tidak ada 0
suatu ukuran risiko
Terdiri atas tiga kelompok metrik Rendah 0,1-3,9
Dasar - karakteristik kerentanan intrinsik, seperti dijalankan dari jarak jauh
atau tidak diautentikasi. Menengah 4,0-6,9
Sementara - faktor yang terpengaruh waktu, seperti ketersediaan kode
Lingkungan - khusus untuk lingkungan komputasi Tinggi 7,0-8,9
Pangkalan Data Kerentanan Nasional (NVD) disinkronisasi
Kritis 9,0-10,0
sepenuhnya dengan CVE-CVE dan CVSS
Kelly Thiele
7
4/11/23
January 27, 2023
Pencacahan Kelemahan Umum
Serupa dengan CVE, CWE adalah bahasa umum untuk menggambarkan tipe kelemahan
perangkat lunak dan perangkat keras
Daftar yang dipelihara dan dikembangkan oleh komunitas
Jika CVE adalah contoh spesifik kerentanan dalam produk atau sistem, CWE lebih
mendekati makna kerentanan perangkat lunak
Ada kesalahan berulang yang dilakukan pemrogram yang dapat dikelompokkan
dan dicirikan dengan lebih tepat untuk mengidentifikasi pola umum, mengidentifikasi akar
penyebab kerentanan, dan mencegah kesalahan di masa mendatang.
Contoh: buffer kelebihan aliran, skrip lintas situs (XSS), injeksi SQL, penulisan di luar
batas, validasi masukan yang tidak benar, pembacaan di luar batas, injeksi perintah OS
Kelly Thiele
8
4/11/23
January 27, 2023
Sistem Penilaian Kelemahan Umum
Kelly Thiele
9
4/11/23
January 27, 2023
Sistem Penilaian Kelemahan Umum
Setiap kelompok berisi lebih dari satu metrik - juga dikenal sebagai factor
yang digunakan untuk memperhitungkan skor CWSS terkait kelemahan
Kelly Thiele
10
4/11/23
January 27, 2023
Eksploitasi Kerentanan yang Diketahui
KEV adalah data CISA yang kredibel, memuat informasi terkait kerentanan yang eksploitasinya terjadi di
kalangan umum, dan data tersebut dirilis sebagai bagian dari kampanye SHIELDS UP oleh CISA
Dikembangkan untuk kepentingan komunitas keamanan siber dan pertahanan jaringan — serta
membantu tiap organisasi mengelola kerentanan dengan lebih baik dan mengimbangi aktivitas ancaman
CISA sangat menyarankan agar semua pemangku kepentingan menyertakan persyaratan dalam rencana
pengelolaan kerentanan yang mereka susun agar kerentanan yang termuat dalam katalog KEV segera
ditangani
Tiga kriteria untuk mencapai batas inklusi:
Kerentanan memiliki sebuah ID Paparan dan Kerentanan Umum (CVE) yang ditetapkan
Ada bukti andal bahwa kerentanan telah dimanfaatkan secara aktif di alam liar
Ada aksi perbaikan yang jelas terhadap kerentanan, misalnya pembaruan yang disediakan oleh vendor
Sejak November 2022, ada 850 kerentanan dalam katalog KEV
Kelly Thiele
11
4/11/23
January 27, 2023
Eksploitasi Kerentanan yang Diketahui
Kelly Thiele
12
4/11/23
January 27, 2023
Penggolongan Kerentanan Spesifik Bagi Pemangku
Kepentingan
SSVC adalah model pohon keputusan khusus yang membantu menentukan prioritas
respons kerentanan bagi pemerintah Amerika Serikat (USG), pemerintah negara
bagian, lokal, adat, dan daerah (SLTT); serta entitas infrastruktur kritis (CI).
Tujuannya adalah membantu menentukan prioritas perbaikan kerentanan
berdasarkan dampak eksploitasi terhadap organisasi(-organisasi) tertentu
Empat keputusan yang bisa diambil mengenai kapan harus dilakukan pembaruan
versi (patch) dan lima poin yang bisa diputuskan
SSVC dibandingkan dengan CVSS
Masukan Evaluasi Keluaran
CVSS Vektor Matematika Bizantium Kisaran parsial (0-100, dikurangi menjadi 0-4)
SSVC Poin keputusan Pohon keputusan Prioritas yang memenuhi syarat
Kelly Thiele
13
4/11/23
January 27, 2023
Penggolongan Kerentanan Spesifik Bagi Pemangku
Kepentingan
Kapan harus dilakukan pembaruan versi (patch)
Prioritas Deskripsi
Melacak Kerentanan tidak memerlukan tindakan saat ini. Organisasi akan terus melacak kerentanan dan
menilai kembali jika ada informasi baru yang tersedia.
Melacak* Kerentanan mengandung karakteristik spesifik yang mungkin membutuhkan pemantauan yang
lebih ketat terkait perubahan.
Memper- Kerentanan memerlukan perhatian dari internal organisasi, individu tingkat pengawas. Tindakan
hatikan yang diperlukan mungkin termasuk meminta bantuan atau informasi tentang kerentanan dan
mungkin melibatkan penerbitan pemberitahuan, baik secara internal dan/atau eksternal, tentang
kerentanan tersebut.
Bertindak Kerentanan memerlukan perhatian dari internal organisasi, individu se tingkat pengawas dan
pemimpin. Tindakan yang diperlukan termasuk meminta bantuan atau informasi tentang
kerentanan, serta menerbitkan pemberitahuan baik secara internal maupun eksternal. Biasanya,
kelompok internal akan bertemu untuk menentukan penanganan keseluruhan, lalu melaksanakan
tindakan yang disepakati.
Kelly Thiele
14
4/11/23
January 27, 2023
Penggolongan Kerentanan Spesifik Bagi Pemangku
Kepentingan
Cara memutuskan
Poin Keputusan Deskripsi Nilai
Eksploitasi Bukti eksploitasi yang terjadi Tidak ada, PoC Publik, Aktif
Dampak Teknis Dampak teknis dari eksplotasi; mirip Sebagian, Keseluruhan
konsep skor dasar berbasis CVSS
tentang "keparahan"
Dapat diautomasi Kemudahan dan kecepatan penyerang Ya, Tidak
dapat menyebabkan peristiwa eksploitasi
Kelaziman Misi Dampak pada fungsi penting dalam misi Minimal, Dukungan, Penting
atau entitas yang relevan
Dampak Kesejahteraan Dampak pada keamanan, didefinisikan Tidak ada, Kecil, Besar,
Publik secara luas Berbahaya, Bencana
Kelly Thiele
15
4/11/23
January 27, 2023
Fungsi-Fungsi Kritis Nasional
NCF adalah fungsi pemerintah dan sektor swasta yang sangat penting bagi Amerika Serikat sehingga
gangguan, korupsi, atau disfungsi NCF akan berdampak melemahkan keamanan, keamanan ekonomi
nasional, kesehatan atau keselamatan publik nasional, atau gabungan beberapa hal itu.
Mengapa? Manajemen risiko yang efektif bergantung pada kemampuan komunitas infrastruktur
penting untuk terlibat lintas sektor dalam memfasilitasi pemahaman bersama tentang risiko dan
mengintegrasikan berbagai aktivitas pengelolaan risiko
NCF dimanfaatkan dalam
Strategi Siber Nasional
Strategi Keamanan Siber DHS
Strategi Nasional untuk Mengamankan 5G
Surat Perintah Presiden Koordinasi Ketahanan Nasional Terhadap Gelombang Elektromagnetik
Berfungsi sebagai dasar untuk memahami risiko terhadap infrastruktur penting Negara terkait
wabah COVID-19
Kelly Thiele
16
4/11/23
January 27, 2023
Fungsi-Fungsi Kritis Nasional
54 fungsi dibagi menjadi 4 kelompok
Bidang Fungsi Definisi Contoh Fungsi
Terhubung Teknologi yang memungkinkan komunikasi Konektivitas internet; pemosisian,
kritis dan kemampuan mengirim dan menerima navigasi, dan layanan pengaturan
data waktu; siaran radio
Distribusi Metode yang memungkinkan pergerakan Distribusi listrik, transportasi kargo,
barang, orang, dan utilitas di dalam dan di luar penyaluran bahan cair dan gas via
Amerika Serikat jaringan pipa
Kelola Proses yang memastikan keamanan nasional Manajemen material berbahaya
serta kesehatan dan keselamatan publik atau kondisi darurat nasional,
pelaksanaan pemilihan umum,
menegakkan hukum
Pasokan Bahan, barang, dan jasa yang menjaga Air bersih, perumahan, serta riset
kelangsungan perekonomian dan pengembangan
Kelly Thiele
17
4/11/23
January 27, 2023
Fungsi-Fungsi Kritis Nasional
Karakterisasi geografis yang ditetapkan ke masing-masing NCF
Konsentrasi Definisi % dari
Semua NFC
Lokal (tersebar) NCFS yang dihasilkan, disediakan, atau dikelola secara lokal, yang dampak 36%
gangguannya sebagian besar dapat dijaga sehingga tidak meluas, dan yang
langkah intervensinya perlu dilakukan di lingkungan setempat
Regional NCF yang aktivitasnya terkonsentrasi pada salah satu atau lebih kawasan di 18%
(kawasan tingkat lokal atau regional dan sangat berpengaruh terhadap kinerja
bersinyal) fungsinya pada skala nasional
Nasional NCF dibuat, disediakan, atau diatur secara nasional tanpa konsentrasi 19%
(terpusat) geografis
Hibrida NCF yang terdiri dari banyak subsistem yang menjangkau banyak skala, 27%
(kesatuan) sehingga konsentrasi geografis bergantung pada elemen khusus dari fokus
fungsi
Kelly Thiele
18
4/11/23
January 27, 2023
Fungsi-Fungsi Kritis Nasional
Arsitektur Risiko NCF memanfaatkan
kerangka kerja yang dapat diskalakan dan
diperluas
Menggabungkan dependensi di dalam
(intra-) dan di antara (inter-) NCF, berbagai
struktur data, dan kemampuan analisis
Menyediakan dukungan dalam pengambilan
keputusan melalui analisis kompleks seputar
risiko infrastruktur fisik dan siber kritis
Dimulai dengan penguraian fungsi menjadi
subfungsi, karena setiap fungsi merupakan
rangkaian langkah-langkah proses yang
didukung oleh entitas kunci
Kelly Thiele
19
4/11/23
January 27, 2023
Fungsi-Fungsi Kritis Nasional
Contoh penguraian untuk NCF dari Pelaksanaan Pemilihan (bidang fungsi "Kelola")
Kelly Thiele
20
4/11/23
January 27, 2023
Fungsi-Fungsi Kritis Nasional
Contoh penguraian untuk NCF dari Pelaksanaan Pemilihan (bidang fungsi "Kelola")
Kelly Thiele
21
4/11/23
January 27, 2023
Kelly Thiele
22
4/11/23