Pada Artikel ini kami akan mambahas mengenai asesmen keamanan siber, atau juga dikenal sebagai penilaian keamanan siber. Dalam istilah awam, asesmen keamanan siber adalah proses evaluasi untuk mengidentifikasi, mengatur, dan memitigasi segala bentuk ancaman di dunia maya/internet.
Apa itu Asesmen Keamanan Siber?
Karena dunia keamanan siber selalu tumbuh dan menjadi lebih kompleks dan ganas dari hari ke hari, semua organisasi harus menghabiskan waktu dalam mengenali ancaman dunia maya untuk melindungi kontrol, dan menjaga jaringan perusahaan mereka. Asesmen Keamanan Siber bermanfaat untuk menentukan tingkat risiko yang dihadapi organisasi serta mengidentifikasi kesenjangan kritis dalam infrastruktur, strategi, dan proses keamanan siber.Asesmen Keamanan Siber adalah bagian penting dari strategi manajemen risiko dan upaya keamanan data Anda.
Asesmen keamanan siber, sering dikenal sebagai audit keamanan siber, memeriksa kontrol dan kapasitas keamanan siber organisasi untuk mengatasi masalah. Pemeriksaan infrastruktur keamanan total organisasi adalah bagian dari evaluasi ini. Ini terdiri dari pengujian kesiapan organisasi untuk kerentanan yang diketahui dan belum ditemukan, vektor serangan di dunia maya digital, dan proses bisnis untuk memasukkan langkah-langkah korektif untuk mengurangi risiko dan permukaan serangan.
Secara keseluruhan, asesmen keamanan membantu dalam pelacakan sistem jaringan, aplikasi, dan kerentanan, serta penerapan kontrol pertahanan yang tepat dan pemeliharaan aturan. Asesmen risiko ini harus dilakukan dalam konteks tujuan bisnis organisasi, bukan sebagai daftar periksa, sebagai dengan audit keamanan siber. Ini memungkinkan untuk mendapatkan studi tingkat tinggi tentang kelemahan jaringan, memungkinkan tim keamanan untuk mulai menerapkan langkah-langkah keamanan untuk meminimalkan jumlah stabilitas.
Mengapa penting untuk melakukan asesmen keamanan siber
Asesmen keamanan siber diperlukan untuk menentukan apakah data organisasi dilengkapi secara memadai untuk melindungi dari berbagai serangan dunia maya. Selain itu, tujuan asesmen adalah untuk mendeteksi kerentanan dan menyelesaikan kelemahan keamanan. Ini juga berusaha untuk menjaga pemangku kepentingan utama dan anggota dewan tetap up to date pada postur keamanan siber organisasi, memungkinkan mereka untuk membuat keputusan yang lebih tepat tentang bagaimana mengintegrasikan inisiatif keamanan ke dalam operasi sehari-hari.
Apa saja jenis asesmen risiko keamanan siber yang sering digunakan?
Bergantung pada sektor atau areanya, ada banyak kerangka kerja keamanan siber yang dapat diakses. Kerangka Kerja Keamanan Siber NIST dan standar ISO 27000 adalah dua kerangka kerja yang lebih besar dan lebih banyak digunakan:
Kerangka Kerja Keamanan Siber NIST
Bisnis NIST Amerika sering menggunakan Kerangka Kerja Keamanan Siber. Kerangka Kerja Keamanan Siber NIST dibuat bersama dengan lembaga pemerintah AS dan sektor komersial. Kerangka Kerja Keamanan Siber NIST dimaksudkan untuk menangani komponen keamanan siber penting seperti identifikasi, deteksi, perlindungan, respons, dan pemulihan. Sementara standar awalnya dirancang untuk membantu bisnis yang berurusan dengan infrastruktur penting, banyak perusahaan tingkat perusahaan sekarang mengadopsi dan menerapkan prinsip-prinsip lengkap untuk operasi keamanan siber mereka juga.
ISO 27000
Standar ISO 27000 merupakan kerangka kerja yang banyak digunakan di kalangan internasional. ISO 27000 adalah standar untuk sistem manajemen keamanan informasi yang merupakan bagian dari keluarga standar yang berkembang. Organisasi Internasional untuk Standar menciptakan kerangka kerja, yang menggabungkan tidak hanya informasi internal perusahaan tetapi juga penyedia pihak ketiga.
Di antara kerangka kerja keamanan siber yang lebih khusus adalah:
- GDPR - Peraturan Perlindungan Data Umum adalah peraturan Uni Eropa yang memberikan kriteria untuk pengumpulan dan pemrosesan data sensitif dari penduduk Uni Eropa.
- Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) adalah seperangkat pedoman yang menentukan standar universal untuk berbagi informasi perawatan kesehatan antara penyedia layanan kesehatan, rencana kesehatan, dan lembaga kliring.
- Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS) dimaksudkan untuk menjamin bahwa semua bisnis yang menerima, menangani, menyimpan, atau mentransfer informasi kartu kredit mempertahankan lingkungan jaringan yang aman.
- Sertifikasi Model Kematangan Keamanan Siber (CMMC) dirancang oleh Departemen Pertahanan Amerika Serikat dan mengharuskan kontraktor pertahanan untuk lulus asesmen keamanan siber untuk mengesahkan tingkat kematangan dunia maya yang sesuai.
- Undang-Undang Hak dan Privasi Pendidikan Keluarga (FERPA) adalah undang-undang federal yang melindungi privasi data pendidikan siswa.
Jenis Jenis Asesmen Keamanan Siber
Asesmen Kerentanan
Tes keamanan yang paling umum di sektor keamanan siber adalah asesmen kerentanan. Asesmen Kerentanan, atau disingkat VA, adalah tes otomatis lingkup terbatas yang dilakukan dalam suatu organisasi untuk mengidentifikasi kelemahan keamanan atau ketidakmampuan dalam aset (aset dapat berupa aplikasi, jaringan, infrastruktur, kode, data, dll., Tergantung pada tujuan asesmen). Ini mengkategorikan kekurangan tergantung pada bahayanya bagi bisnis.Asesmen kerentanan (VA) sering dilakukan untuk melacak rute terbuka dan kerentanan dalam perangkat lunak, jaringan, dan sistem lain, serta untuk menyediakan tambalan atau peningkatan.
Pengujian Penetrasi
Pengujian penetrasi adalah jenis tes keamanan yang melibatkan eksploitasi lubang atau cacat keamanan yang diidentifikasi sebelumnya. Ini adalah cara terperinci untuk mengeksploitasi kerentanan untuk menguji / menilai keamanan organisasi dari sudut pandang (sudut pandang) penyerang yang bermusuhan.Tujuan mendasar dari pengujian pena adalah untuk menentukan bagaimana suatu organisasi dapat diretas atau ditembus dan seberapa besar kemungkinannya hal itu akan membahayakan kelangsungan hidup dan reputasi bisnis. Apa pun peran pengujian penetrasi organisasi, itu selalu meningkatkan kontrol defensif dengan menganalisis dan memulihkan kerentanan yang dieksploitasi.
Ada tiga metode untuk melakukan pengujian penetrasi:
- Black-box Pentesting memerlukan pembobolan pengujian aset sebagai peretas jahat tanpa pengetahuan, akses, atau data internal.
- Pengujian pena kotak putih, di sisi lain, memerlukan pengujian aset dengan sebagian besar informasi dan akses internal (seperti orang dalam yang berbahaya atau perspektif dan hak istimewa karyawan)
- Pengujian Pena kotak abu-abu memerlukan pengujian aset dengan pengetahuan dan akses internal yang terbatas.
Pengujian penetrasi sering diklasifikasikan berdasarkan jenis aset di industri keamanan siber. Berikut ini adalah contoh tes pena:
- Pengujian Penetrasi Aplikasi Web
- Pengujian Penetrasi Aplikasi Seluler
- Pengujian Penetrasi Jaringan (Dapat dilakukan secara terpisah pada jaringan eksternal dan jaringan internal)
- Pengujian penetrasi keamanan cloud
- Pengujian penetrasi perangkat tertanam
- Pengujian Penetrasi IoT/IIoT
- Pengujian Penetrasi klien yang tebal
- Pengujian Penetrasi thin client
- Pengujian Penetrasi Peralatan Virtual
Asesmen Kompromi
Asesmen Kompromi adalah ujian keamanan tingkat tinggi yang digunakan untuk mendeteksi pelanggaran. Ini dicapai dengan mengevaluasi infrastruktur dan log titik akhir, lalu lintas, dan aktivitas tertaut untuk mengidentifikasi IoC (Indikator Kompromi). Pada poin-poin tertentu, Asesmen Kompromi membantu dalam melacak penyerang yang baru-baru ini aktif atau yang ada di lingkungan saat ini.
Asesmen Rekayasa Sosial
Manipulasi pikiran manusia menggunakan informasi yang menyesatkan atau salah dikenal sebagai asesmen rekayasa sosial. Pakar keamanan meniru diri mereka sendiri dalam Asesmen Rekayasa Sosial untuk membujuk individu atau pekerja untuk melakukan tindakan tertentu seperti mengunduh file, melihat tautan yang mencurigakan, atau mengirimkan kredensial atau data sensitif.
Evaluasi ini bermaksud untuk menyelidiki atau menguji budaya perusahaan dalam melindungi data sensitif. Strategi berikut biasanya digunakan dalam metode Asesmen Rekayasa Sosial:
- Pengelabuan
- Spear Phishing
- Smashing
- Vishing
- Tailgating
Red Teaming atau Asesmen Tim Merah
Kerja sama merah adalah langkah maju dalam hal mengidentifikasi kerentanan, dan eksploitasi, dan melampaui pengujian penetrasi. Ini adalah serangan penuh yang memerlukan meniru serangan siber, termasuk gerakan lateral, untuk menjaga pijakan di lingkungan internal dan eksternal dan meningkatkan hak istimewa sambil tetap tidak terdeteksi.Kampanye serangan sengaja dirancang dalam tim merah untuk menguji keterampilan pertahanan organisasi. Tim merah mengevaluasi sudut pandang budaya keamanan dengan menguji personel melalui serangan rekayasa sosial fisik dan virtual, tes ketahanan jaringan, dan aplikasi melalui beberapa tes penetrasi untuk menentukan postur keamanan ofensif dan defensif total organisasi. Alat pertahanan dan deteksi juga diubah di dalamnya untuk menghindari langkah-langkah keamanan ketika menjadi tidak jelas.
Ini memerlukan fokus pada orang-orang (yaitu, karyawan), fasilitas (yaitu, kontrol TI, seperti firewall, SEIM, dan sebagainya), dan budaya keamanan organisasi untuk memvalidasi seberapa efektif kontrol pertahanannya dapat melawan dan melindungi terhadap ancaman kehidupan nyata dari semua sudut.
AsesmenKeamanan Cloud
Asesmen Keamanan Cloud dilakukan untuk mengevaluasi postur cloud mengikuti praktik terbaik dari penyedia layanan cloud. Ini berfokus pada mengidentifikasi kerentanan dalam infrastruktur cloud dan menguranginya melalui berbagai manajemen kontrol akses dan tingkat keamanan dan tata kelola yang sesuai.Pada catatan tertentu, asesmen keamanan cloud digunakan untuk mengidentifikasi risiko dan ancaman terhadap aset berbasis cloud secara keseluruhan. Ini membantu menentukan pintu masuk dan titik akses yang lemah ke infrastruktur cloud. Asesmen keamanan cloud sangat penting bagi perusahaan yang menggunakan model SaaS (Software as a Service), IaaS (Infrastructure as a Service), atau PaaS (Platform as a Service) untuk operasi sehari-hari.
Asesmen risiko pihak ketiga
Asesmen risiko pihak ketiga adalah evaluasi keamanan yang dilakukan untuk mengukur risiko terkait yang disajikan oleh koneksi pihak ketiga organisasi. Ini biasanya dilakukan ketika mengalihdayakan layanan atau produk apa pun untuk menilai risiko berdasarkan pengetahuan bersama dan akses langsung, tidak langsung, atau jarak jauh ke aset penting apa pun.
Asesmen Risiko
Asesmen risiko adalah proses pemetaan bahaya dan ancaman untuk menemukan kerentanan melalui pengujian penetrasi, asesmen kerentanan, asesmen rekayasa sosial, dan evaluasi keamanan siber lainnya.Hanya aset dan permukaan risiko kritis dan non-kritis yang mungkin terpengaruh oleh serangan dunia maya atau kejadian dunia maya lainnya yang dinilai dengan Asesmen Risiko.
Ini membantu untuk memverifikasi langkah-langkah keamanan dan melindungi pengaturan internal dan eksternal dari ancaman dan serangan keamanan. Dengan mengambil pendekatan proaktif, asesmen risiko dapat membantu perusahaan dalam mengembangkan rencana respons insiden dan menggambarkan pengurangan risiko.
Audit Keamanan
Audit keamanan adalah pemeriksaan teknis terhadap kebijakan dan proses organisasi. Sementara asesmen keamanan lainnya berkaitan dengan mengidentifikasi kerentanan dan meningkatkan langkah-langkah keamanan dan pertahanan, audit berkaitan dengan pemetaan postur keamanan organisasi saat ini dengan standar industri keamanan sambil mematuhi kebutuhan bisnis dan keamanan.Hal ini dilakukan setiap tahun untuk memenuhi kepatuhan keamanan dan standar kebijakan perusahaan seperti HIPAA, SOX, PCI DSS, dan lainnya, serta untuk melacak status keamanan bisnis.
Bug Bounty
Bug bounty adalah evaluasi keamanan berkelanjutan yang terkadang disalahpahami sebagai pengganti pengujian penetrasi aplikasi. Itu diadopsi secara luas oleh tim pengembangan perangkat lunak dan bisnis. Bug bounty adalah program di mana pemburu bug atau peneliti keamanan independen menemukan kerentanan dan kelemahan yang dapat dieksploitasi dalam perangkat lunak, situs web, atau aset publik lainnya dan menyerahkannya ke perusahaan terkait/terkait dengan imbalan pengakuan dan kompensasi tunai.
Asesmen Kontrol CIS
Evaluasi Kontrol CIS adalah asesmen tolok ukur yang membantu perusahaan dari semua ukuran dalam mematuhi dan menggabungkan praktik terbaik di sektor keamanan. Ini memungkinkan perusahaan untuk meninjau, membandingkan, dan melacak dokumentasi, implementasi, dan konfigurasi keamanan yang hilang untuk meningkatkan kehadiran keamanan mereka secara keseluruhan.Hal ini dilakukan untuk menilai aset saat mereka beralih dari tahap inventaris ke persiapan dan respons insiden.
Asesmen Program Keamanan Aplikasi
Evaluasi ini secara efektif menggabungkan keamanan ke dalam seluruh proses pengembangan aplikasi atau perangkat lunak untuk mengurangi kesenjangan keterampilan keamanan, mengelola sumber daya, dan mengintegrasikan keamanan ke dalam siklus hidup pengembangan perangkat lunak (SDLC).Ini sangat sulit ketika datang untuk mempertahankan pengembangan dan desain aplikasi yang substansial dari tahap pengumpulan persyaratan pertama hingga tahap pengajuan akhir. Ini membantu perusahaan pengembangan perangkat lunak dan aplikasi dalam mengembangkan aplikasi/perangkat lunak yang aman dari bawah ke atas, dari Secure Architecture Review (SAR) hingga Threat Model dan Secure Coding Practices.
Dengan rencana pemeliharaan keamanan berkelanjutan yang mencakup pengujian penetrasi, asesmen kerentanan, manajemen patch, dan teknik lainnya, program asesmen keamanan aplikasi berhasil menurunkan risiko dan kerentanan pada fase awal pengembangan.
Asesmen Simulasi Ransomware
Asesmen Simulasi Ransomware membantu bisnis menganalisis dampak serangan ransomware, tepatnya seberapa jauh konsekuensi dari serangan ransomware yang sukses harus dihadapi oleh suatu organisasi, apa itu Mean Time To Detect (MTTD), dan apa itu Mean Time To Respond (MTTR) (MTTR). Ini mengevaluasi kapasitas pertahanan untuk mencegah, mendeteksi, menanggapi, dan menahan ransomware.Sumber daya pihak ketiga secara teratur melakukan tes simulasi ransomware untuk menguji kesiapan tim biru organisasi dan kesadaran keamanan personel.
Asesmen Kesiapan Respons Insiden
Asesmen Kesiapan Respons Insiden digunakan untuk menentukan seberapa baik perusahaan siap untuk memerangi serangan siber dan mengurangi dampaknya. Ini memberikan analisis berbasis serangan teknis dan fundamental untuk menghitung kemampuan reaksi untuk memerangi aktor ancaman tingkat lanjut dan malware, virus, dan vektor serangan penyerang yang disponsori negara.Sumber daya pihak ketiga melakukan evaluasi ini, yang mirip dengan asesmen simulasi ransomware, untuk mengevaluasi kesiapan organisasi, prosedur keamanan saat ini, dan kelangsungan hidup.
Latihan Table Top (TTX)
Table Top Exercises (TTX) adalah asesmen keamanan siber teoretis yang dirancang untuk melatih perusahaan dan tim keamanan untuk potensi ancaman dunia maya di bawah berbagai skenario risiko dan peristiwa keamanan yang realistis. Ini membantu mengidentifikasi kesiapan dan efektivitas organisasi dalam menanggapi penyerang dunia maya asli, serta memperoleh keuntungan dari mempelajari metode terbaik untuk menghadapi serangan dan ancaman siber.Lokakarya, seminar, atau obrolan sederhana dengan CISO dan spesialis keamanan lainnya digunakan untuk melakukan kegiatan ini. Latihan meja adalah asesmen keamanan siber berbasis skenario yang membantu dalam pengembangan rencana respons insiden, mengurangi kekurangan, dan mengidentifikasi kesenjangan saat ini dalam reaksi organisasi terhadap situasi insiden dunia maya tertentu.