CISA | BADAN KEAMANAN SIBER DAN KEAMANAN INFRASTRUKTUR

CISA
PEMBELAJARAN 7: MEMAHAMI
RISIKO SIBER

Kelly Thiele
1
4/11/23
January 27, 2023
Ikhtisar
• Tujuan
• Bagian ini akan membahas beberapa topik seperti penilaian risiko, memahami penilaian
kerentanan, identifikasi kerentanan, dan pengungkapan kerentanan. Selain itu, bagian ini
akan membahas Kerangka Kerja Siber NIST dan kerangka kerja - kerangka kerja
keamanan lainnya untuk memperkenalkan pendekatan lain kepada para peserta tentang
identifikasi terbaik dan mitigasi risiko.  
• Hal-hal Penting Yang Harus Diingat
• Pada bagian akhir dari modul ini, para peserta akan lebih paham:
 Rumus Risiko dasar: R = T*V... R = T * V * I
 Barbagai Kerangka kerja risiko keamanan siber
 Perbedaan antara CWE dan CVE
 Beberapa pendekatan untuk menilai kerentanan
 Memahami pendekatan untuk mengatasi kerentanan/memitigasi risiko
Kelly Thiele
2
4/11/23
January 27, 2023
Apa itu Risiko?
 Definisi: Suatu ukuran sejauh mana suatu entitas terancam oleh keadaan atau peristiwa potensial dan
biasanya merupakan fungsi dari: 
 (i) pengaruh terbalik yang dapat muncul jika keadaan atau kejadian terjadi; dan 
 (ii) kemungkinan kejadian.
 Risiko keamanan terkait sistem informasi adalah risiko yang timbul dari hilangnya kerahasiaan,
integritas, atau ketersediaan informasi atau sistem informasi dan mencerminkan potensi dampak negatif
terhadap operasi organisasi (termasuk misi, fungsi, citra, atau reputasi), aset organisasi, individu,
organisasi lain, dan Negara. 
 Dampak merugikan bagi Negara termasuk, antara lain, pembobolan sistem informasi yang mendukung aplikasi
infrastruktur penting atau sangat penting bagi kelangsungan operasi pemerintah sebagaimana ditetapkan oleh
Departemen Keamanan Dalam Negeri.
 Sumber:
NIST SP 800-137 pada bagian Risiko dari FIPS 200 - Diadaptasi

Kelly Thiele
3
4/11/23
January 27, 2023
Persamaan Risiko dan Matriks Risiko
 Risiko =  Dampak
 Ancaman x Kerentanan
Minor Moderate Major
 Ancaman x Kerentanan x Dampak
 Ancaman x Kerentanan x Dampak x Kemungkinan
Likely
 Ancaman: penyebab potensial dari insiden yang tidak

Kemungkinan
diinginkan dan dapat menyebabkan kerugian
 Kerentanan: kelemahan yang dapat dieksploitasi atau dipicu Possible
oleh sumber ancaman
 Dampak: besarnya bahaya yang dipicu dari kerentanan
Unlikely
 Kemungkinan: kemungkinan terjadinya insiden
 Bobot input tergantung tingkat risiko

Kelly Thiele
4
4/11/23
January 27, 2023
Risiko dan Kerangka Kerja Manajemen Kerentanan

 Kerangka Kerja Manajemen Risiko oleh National Institute of Standards and

Technology (NIST)
 Sertifikasi International Organization for Standardization (ISO) 27001 dan ISO 27002
 Standar Perlindungan Infrastruktur Kritis (CIP) North American Electric Reliability
Corporation (NERC)
 Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPPA)
 Tujuan akhirnya adalah memastikan kontrol dan praktik keamanan siber yang
matang telah tersedia untuk mengurangi risiko dengan memitigasi kerentanan
atau memperkecil kemungkinan dan dampak kerentanan yang dieksploitasi

Kelly Thiele
5
4/11/23
January 27, 2023
Kerentanan Umum dan Paparan

 Program CVE: Daftar publik yang mengungkapkan kelemahan keamanan

komputer
 Tujuan program CVE adalah menstandarisasi setiap paparan dan kerentanan
dengan Pengenal CVE (ID CVE)
 Memungkinkan peneliti keamanan, vendor, dan organisasi untuk berbagi informasi
dengan cepat tentang kerentanan dan mengoordinasikan upaya respons
 Ribuan ID CVE diterbitka tiap tahun oleh Otoritas Nomor CVE (CNA) 
 Setelah dipublikasikan, entri CVE menyertakan ID CVE (mis: CVE-2022-40182),
deskripsi singkat tentang kerentanan atau paparan keamanan, dan referensi, yang
dapat menyertakan tautan ke laporan dan saran kerentanan

Kelly Thiele
6
4/11/23
January 27, 2023
Sistem Penilaian Kerentanan Umum
 CVSS: Sistem pengukuran standar untuk industri, organisasi, dan
pemerintah yang memerlukan skor keparahan kerentanan yang akurat Kisaran
Keparahan
dan konsisten guna membantu memprioritaskan perbaikan kerentanan Nilai Dasar

 Karena ancaman dan kemungkinan tidak terukur, CVSS bukanlah Tidak ada 0
suatu ukuran risiko
 Terdiri atas tiga kelompok metrik Rendah 0,1-3,9
 Dasar - karakteristik kerentanan intrinsik, seperti dijalankan dari jarak jauh
atau tidak diautentikasi. Menengah 4,0-6,9
 Sementara - faktor yang terpengaruh waktu, seperti ketersediaan kode
 Lingkungan - khusus untuk lingkungan komputasi Tinggi 7,0-8,9
 Pangkalan Data Kerentanan Nasional (NVD) disinkronisasi
Kritis 9,0-10,0
sepenuhnya dengan CVE-CVE dan CVSS

Kelly Thiele
7
4/11/23
January 27, 2023
Pencacahan Kelemahan Umum

 Serupa dengan CVE, CWE adalah bahasa umum untuk menggambarkan tipe kelemahan
perangkat lunak dan perangkat keras
 Daftar yang dipelihara dan dikembangkan oleh komunitas
 Jika CVE adalah contoh spesifik kerentanan dalam produk atau sistem, CWE lebih
mendekati makna kerentanan perangkat lunak
 Ada kesalahan berulang yang dilakukan pemrogram yang dapat dikelompokkan
dan dicirikan dengan lebih tepat untuk mengidentifikasi pola umum, mengidentifikasi akar
penyebab kerentanan, dan mencegah kesalahan di masa mendatang.
 Contoh: buffer kelebihan aliran, skrip lintas situs (XSS), injeksi SQL, penulisan di luar
batas, validasi masukan yang tidak benar, pembacaan di luar batas, injeksi perintah OS

Kelly Thiele
8
4/11/23
January 27, 2023
Sistem Penilaian Kelemahan Umum

 Mirip dengan CVSS, CWSS menyediakan metode untuk memprioritaskan

kelemahan perangkat lunak dalam sebuah cara yang terbuka, konsisten, dan
fleksibel
 CWSS dibagi menjadi tiga kelompok metrik:
 Kelompok metrik Penemuan Dasar: menangkap risiko kelemahan, keyakinan akan
keakuratan temuan, dan kekuatan pengendalian yang melekat
 Kelompok metrik Permukaan Serangan: penghalang yang harus dihadapi oleh
penyerang yang akan memanfaatkan kelemahannya
 Kelompok metrik lingkungan: karakteristik kelemahan yang spesifik pada lingkungan
tertentu atau konteks operasional

Kelly Thiele
9
4/11/23
January 27, 2023
Sistem Penilaian Kelemahan Umum

 Setiap kelompok berisi lebih dari satu metrik - juga dikenal sebagai factor
yang digunakan untuk memperhitungkan skor CWSS terkait kelemahan

Kelly Thiele
10
4/11/23
January 27, 2023
Eksploitasi Kerentanan yang Diketahui
 KEV adalah data CISA yang kredibel, memuat informasi terkait kerentanan yang eksploitasinya terjadi di
kalangan umum, dan data tersebut dirilis sebagai bagian dari kampanye SHIELDS UP oleh CISA
 Dikembangkan untuk kepentingan komunitas keamanan siber dan pertahanan jaringan — serta
membantu tiap organisasi mengelola kerentanan dengan lebih baik dan mengimbangi aktivitas ancaman
 CISA sangat menyarankan agar semua pemangku kepentingan menyertakan persyaratan dalam rencana
pengelolaan kerentanan yang mereka susun agar kerentanan yang termuat dalam katalog KEV segera
ditangani
 Tiga kriteria untuk mencapai batas inklusi:
 Kerentanan memiliki sebuah ID Paparan dan Kerentanan Umum (CVE) yang ditetapkan
 Ada bukti andal bahwa kerentanan telah dimanfaatkan secara aktif di alam liar
 Ada aksi perbaikan yang jelas terhadap kerentanan, misalnya pembaruan yang disediakan oleh vendor
 Sejak November 2022, ada 850 kerentanan dalam katalog KEV

Kelly Thiele
11
4/11/23
January 27, 2023
Eksploitasi Kerentanan yang Diketahui

Kelly Thiele
12
4/11/23
January 27, 2023
Penggolongan Kerentanan Spesifik Bagi Pemangku
Kepentingan
 SSVC adalah model pohon keputusan khusus yang membantu menentukan prioritas
respons kerentanan bagi pemerintah Amerika Serikat (USG), pemerintah negara
bagian, lokal, adat, dan daerah (SLTT); serta entitas infrastruktur kritis (CI). 
 Tujuannya adalah membantu menentukan prioritas perbaikan kerentanan
berdasarkan dampak eksploitasi terhadap organisasi(-organisasi) tertentu
 Empat keputusan yang bisa diambil mengenai kapan harus dilakukan pembaruan
versi (patch) dan lima poin yang bisa diputuskan
 SSVC dibandingkan dengan CVSS
Masukan Evaluasi Keluaran
CVSS Vektor Matematika Bizantium Kisaran parsial (0-100, dikurangi menjadi 0-4)
SSVC Poin keputusan Pohon keputusan Prioritas yang memenuhi syarat
Kelly Thiele
13
4/11/23
January 27, 2023
Penggolongan Kerentanan Spesifik Bagi Pemangku
Kepentingan
Kapan harus dilakukan pembaruan versi (patch)
Prioritas Deskripsi
Melacak Kerentanan tidak memerlukan tindakan saat ini. Organisasi akan terus melacak kerentanan dan
menilai kembali jika ada informasi baru yang tersedia.

Melacak* Kerentanan mengandung karakteristik spesifik yang mungkin membutuhkan pemantauan yang
lebih ketat terkait perubahan.
Memper- Kerentanan memerlukan perhatian dari internal organisasi, individu tingkat pengawas. Tindakan
hatikan yang diperlukan mungkin termasuk meminta bantuan atau informasi tentang kerentanan dan
mungkin melibatkan penerbitan pemberitahuan, baik secara internal dan/atau eksternal, tentang
kerentanan tersebut. 
Bertindak Kerentanan memerlukan perhatian dari internal organisasi, individu se tingkat pengawas dan
pemimpin. Tindakan yang diperlukan termasuk meminta bantuan atau informasi tentang
kerentanan, serta menerbitkan pemberitahuan baik secara internal maupun eksternal. Biasanya,
kelompok internal akan bertemu untuk menentukan penanganan keseluruhan, lalu melaksanakan
tindakan yang disepakati.

Kelly Thiele
14
4/11/23
January 27, 2023
Penggolongan Kerentanan Spesifik Bagi Pemangku
Kepentingan
Cara memutuskan
Poin Keputusan Deskripsi Nilai
Eksploitasi Bukti eksploitasi yang terjadi Tidak ada, PoC Publik, Aktif
Dampak Teknis Dampak teknis dari eksplotasi; mirip Sebagian, Keseluruhan
konsep skor dasar berbasis CVSS
tentang "keparahan"
Dapat diautomasi Kemudahan dan kecepatan penyerang Ya, Tidak
dapat menyebabkan peristiwa eksploitasi
Kelaziman Misi Dampak pada fungsi penting dalam misi Minimal, Dukungan, Penting
atau entitas yang relevan
Dampak Kesejahteraan Dampak pada keamanan, didefinisikan Tidak ada, Kecil, Besar,
Publik secara luas Berbahaya, Bencana

Kelly Thiele
15
4/11/23
January 27, 2023
Fungsi-Fungsi Kritis Nasional
 NCF adalah fungsi pemerintah dan sektor swasta yang sangat penting bagi Amerika Serikat sehingga
gangguan, korupsi, atau disfungsi NCF akan berdampak melemahkan keamanan, keamanan ekonomi
nasional, kesehatan atau keselamatan publik nasional, atau gabungan beberapa hal itu.
 Mengapa? Manajemen risiko yang efektif bergantung pada kemampuan komunitas infrastruktur
penting untuk terlibat lintas sektor dalam memfasilitasi pemahaman bersama tentang risiko dan
mengintegrasikan berbagai aktivitas pengelolaan risiko
 NCF dimanfaatkan dalam
 Strategi Siber Nasional
 Strategi Keamanan Siber DHS
 Strategi Nasional untuk Mengamankan 5G
 Surat Perintah Presiden Koordinasi Ketahanan Nasional Terhadap Gelombang Elektromagnetik
 Berfungsi sebagai dasar untuk memahami risiko terhadap infrastruktur penting Negara terkait
wabah COVID-19

Kelly Thiele
16
4/11/23
January 27, 2023
Fungsi-Fungsi Kritis Nasional
54 fungsi dibagi menjadi 4 kelompok
Bidang Fungsi Definisi Contoh Fungsi
Terhubung Teknologi yang memungkinkan komunikasi Konektivitas internet; pemosisian,
kritis dan kemampuan mengirim dan menerima navigasi, dan layanan pengaturan
data waktu; siaran radio
Distribusi Metode yang memungkinkan pergerakan Distribusi listrik, transportasi kargo,
barang, orang, dan utilitas di dalam dan di luar penyaluran bahan cair dan gas via
Amerika Serikat jaringan pipa
Kelola Proses yang memastikan keamanan nasional Manajemen material berbahaya
serta kesehatan dan keselamatan publik  atau kondisi darurat nasional,
pelaksanaan pemilihan umum,
menegakkan hukum
Pasokan Bahan, barang, dan jasa yang menjaga Air bersih, perumahan, serta riset
kelangsungan perekonomian dan pengembangan

Kelly Thiele
17
4/11/23
January 27, 2023
Fungsi-Fungsi Kritis Nasional
Karakterisasi geografis yang ditetapkan ke masing-masing NCF
Konsentrasi Definisi % dari
Semua NFC
Lokal (tersebar) NCFS yang dihasilkan, disediakan, atau dikelola secara lokal, yang dampak 36%
gangguannya sebagian besar dapat dijaga sehingga tidak meluas, dan yang
langkah intervensinya perlu dilakukan di lingkungan setempat
Regional NCF yang aktivitasnya terkonsentrasi pada salah satu atau lebih kawasan di 18%
(kawasan tingkat lokal atau regional dan sangat berpengaruh terhadap kinerja
bersinyal) fungsinya pada skala nasional 
Nasional NCF dibuat, disediakan, atau diatur secara nasional tanpa konsentrasi 19%
(terpusat) geografis  
Hibrida NCF yang terdiri dari banyak subsistem yang menjangkau banyak skala, 27%
(kesatuan) sehingga konsentrasi geografis bergantung pada elemen khusus dari fokus
fungsi

Kelly Thiele
18
4/11/23
January 27, 2023
Fungsi-Fungsi Kritis Nasional
 Arsitektur Risiko NCF memanfaatkan
kerangka kerja yang dapat diskalakan dan
diperluas 
 Menggabungkan dependensi di dalam
(intra-) dan di antara (inter-) NCF, berbagai
struktur data, dan kemampuan analisis 
 Menyediakan dukungan dalam pengambilan
keputusan melalui analisis kompleks seputar
risiko infrastruktur fisik dan siber kritis
 Dimulai dengan penguraian fungsi menjadi
subfungsi, karena setiap fungsi merupakan
rangkaian langkah-langkah proses yang
didukung oleh entitas kunci

Kelly Thiele
19
4/11/23
January 27, 2023
 Fungsi-Fungsi Kritis Nasional
Contoh penguraian untuk NCF dari Pelaksanaan Pemilihan (bidang fungsi "Kelola")

Kelly Thiele
20
4/11/23
January 27, 2023
 Fungsi-Fungsi Kritis Nasional
Contoh penguraian untuk NCF dari Pelaksanaan Pemilihan (bidang fungsi "Kelola")

Kelly Thiele
21
4/11/23
January 27, 2023
Kelly Thiele
22
4/11/23