Cybersecurity Standards and Frameworks

Untuk menjadi seorang cybersecurity diperlukan pemahaman akan standar dan kerangka kerja dari keamanan siber. Selain pengetahuan, diperlukan pula keakraban dengan risiko dan kendali. United States Department of Defense telah merilis rainbow series, di antaranya adalah orange book (computers), red book (networks), dan green book (passwords). Orange book berisi teknikal kriteria untuk pengembangan dan evaluasi. Ada 4 konsep kunci utama dalam orange book, yaitu reference monitor (bagaimana media mengakses sumber daya), security model (untuk menulis dan membaca informasi), trusted computing base (mencakup grup keamanan termasuk hardware, firmware, dan software), dan assurance (pengujian dari perangkat lunak).

Reference monitor akan melaksanakan kendali akses seperti bukti kerusakan, mekanisme validasi, cukup melakukan pengujian kecil, dan assurance (memastikan). Model keamanan Bell-LaPadula akan melalui 2 pendekatan, yaitu discretionary access control (DAC) yang akan mengklasifikasikan informasi terkendali oleh administrator dan mandatory access control (MAC) yang mencakup 2 aturan, yaitu keamanan sederhana dan keamanan bintang. Dalam assurance terdiri atas 4 divisi, yaitu divisi D (minimal proteksi D1), divisi C (diskresi proteksi C1-2), divisi B (mandatori proteksi B1-3), dan divisi A (proteksi terverifikasi A1).

Sumber: https://www.linkedin.com/learning/cybersecurity-foundations-2/understanding-the-nist-cybersecurity-framework?autoSkip=true&autoplay=true&contextUrn=urn%3Ali%3AlyndaLearningPath%3A62325687498eb392c62d0c73&resume=false&u=95231473

Di atas adalah gambaran kerangka kerja dari NIST atau National Institute of Standards and Technology. Inti dari kerangka kerjanya adalah identify (ID), protect (PR), detect (DE), respond (RS), dan recover (RC). 

• Kategori yang masuk pada fungsi identifikasi adalah manajemen aset, lingkungan bisnis, pemerintahan, penilaian risiko, dan manajemen strategi risiko.
• Kategori yang masuk pada fungsi proteksi adalah kendali akses, pembelajaran & kesadaran, keamanan data, proses & prosedur proteksi informasi, perawatan, dan teknologi keamanan.
• Kategori yang masuk pada fungsi deteksi adalah peristiwa & anomali, pemantauan keamanan berkelanjutan, dan proses deteksi.
• Kategori yang masuk pada fungsi respon adalah perencanaan respon, komunikasi, analisis, mitigasi, dan perbaikan.
• Kategori yang masuk pada fungsi recover adalah perencanaan pemulihan, perbaikan, dan komunikasi.

Nah, untuk mengendalikan kerangka kerja NIST diperlukan standar seperti COBIT, ISA or IEC 62443, ISO/IEC 27001, dan NIST SP 800-53. Tingkatan dalam mengimplementasi framework NIST cybersecurity adalah partial (sepotong-sepotong), risk informed (berdasarkan informasi risiko), repeatable (secara berulang-ulang), dan adaptive (bergantung kondisi). Sebelum mengimplementasikan tentu dibuat terlebih dahulu profil risiko sekarang dan profil risiko target. Di antara keduanya akan ada security plan. Sedangkan langkahnya adalah:

1. Identifikasi bisnis keluaran
2. Mengetahui berbagai ancaman dan kerentanan
3. Membuat sebuah profile saat ini
4. Mengadakan penilaian risiko
5. Membuat sebuah profile target
6. Menentukan, menganalisa, dan memprioritaskan gap
7. Mengimplementasikan rencana

Risiko adalah sebuah hal esensial dari setiap bisnis. Bagian manajemen harus memahami penyebaran risiko dan memastikan apa yang akan terjadi. Risiko yang dialami dari seorang cybersecurity adalah ancaman dari hacker, malware dari internet, kerentanan dari sistem muka internet, dan serangan yang tidak terkendali. Ada 2 standar risiko bagi seorang cybersecurity, yaitu NIST 800-30 dan ISO 27005. Penilaian dari risiko berdasarkan elemen kemungkinan ancaman, kerentanan, dan dampak. Dari penilaian tersebut dilakukan kendali-kendali dan kalkulasi risiko. Perlakuan dari risiko tersebut ada 4 jenis, yaitu risk acceptance (risiko yang dapat diterima), risk avoidance (risiko yang dapat dihindari), risk transfer (risiko yang dapat dibagi ke pihak ketiga), dan risk mitigation (risiko yang dapat ditangani).

Sumber: https://www.linkedin.com/learning/cybersecurity-foundations-2/analyzing-cyber-threats-and-controls?autoSkip=true&autoplay=true&contextUrn=urn%3Ali%3AlyndaLearningPath%3A62325687498eb392c62d0c73&resume=false&u=95231473

Gambar di atas adalah strategi kendali multi-tingkat atau multi-tiered control strategy. Strategi tersebut diterapkan untuk mengubah risiko yang digambarkan dalam risk bubble chart. Risiko dapat berpindah dari high risk menjadi medium risk bahkan hingga ke low risk dengan menggunakan strategi. Contoh dari risk bubble chart dapat dilihat di gambar di bawah:

Sumber: https://www.linkedin.com/learning/cybersecurity-foundations-2/recording-reporting-and-the-risk-context?autoSkip=true&autoplay=true&contextUrn=urn%3Ali%3AlyndaLearningPath%3A62325687498eb392c62d0c73&resume=false&u=95231473

Diagram risk bubble tersebut akan muncul pada fase recording, reporting, dan risk context. Ada 4 level risiko dengan aksi yang dipersyaratkan, yaitu:

• Level very high : melakukan aksi segera untuk mitigasi, menyediakan kompensasi di waktu rata-rata serta melakukan pelaporan di papan
• Level high : melakukan aksi rutin untuk mitigasi serta melakukan pelaporan di papan
• Level medium : pantau risiko dan lakukan mitigasi jika memungkinkan
• Level low : melakukan penilaian kembali setiap tahunnya

Setelah framework atau kerangka kerja dari risiko berhasil diterapkan, tentu perlu dikelola kerangka kerja risiko tersebut. Salah satu standar yang digunakan adalah SP 800-37 r2 risk management framework. Cakupannya berupa kategori informasi aman, seleksi kendali-implementasi-penilaian, sistem & kendali biasa terotorisasi, dan pantauan berkelanjutan dari risiko. Risk management framework ditentukan oleh 3 level secara piramid dari bawah yaitu level 3 (information system), level 2 (mission/business process), dan level 1 (organization).

Siklus yang selalu berputar adalah categorize-select-implement-assess-authorize-monitor. Untuk dapat menerapkan siklus tersebut diperlukan persiapan berupa risk roles, risk context, risk assessment, controls baseline, common controls, prioritization, dan monitoring.

• Categorize : karakteristik sistem, dampak serangan terhadap confidentiality-integrity-availability, business endorsment
• Select : pemilihan kendali, setelan lingkungan operasi, alokasi kendali untuk sistem, dokumen kendali di dalam perencanaan sistem keamanan, pemantauan berkelanjutan, persetujuan bisnis
• Implement : penerapan pengendalian, merawat perencanaan sistem keamanan
• Assess : pemilihan asesor, mengembangkan rencana untuk penilaian, pelaporan, memulihkan penemuan jika memungkinkan, mengembangkan rencana pemulihan ketika ada penemuan yang tidak bisa diperbaiki
• Authorize : paket otorisasi, analisis & penentuan risiko, tanggapan risiko, keputusan otorisasi, pelaporan otorisasi
• Monitor : sistem pemantauan & perubahan lingkungan, melakukan penilaian, tanggapan isu teridentifikasi, perawatan dokumen manajemen risiko, pelaporan postur keamanan & privasi, sistem otorisasi sebagai syarat, keamanan dalam pembuangan sistem yang tidak disyaratkan

COBIT dapat membantu dalam melakukan pengelolaan enterprise IT seperti pada gambar di bawah:

Sumber: https://www.linkedin.com/learning/cybersecurity-foundations-2/recording-reporting-and-the-risk-context?autoSkip=true&autoplay=true&contextUrn=urn%3Ali%3AlyndaLearningPath%3A62325687498eb392c62d0c73&resume=false&u=95231473

Di atas adalah gambaran kasar yang masih perlu diperinci dalam setiap prosesnya. COBIT dapat digunakan sebagai keamanan operasional. Oleh karena itu implementasi dari COBIT akan sangat detail sekali.

Kendali dari seorang cybersecurity adalah kesesuaian tujuan, keefektifan, jangan menghambat bisnis, dan biaya yang efektif. Dari keempat elemen tersebut yang akan dikendalikan menghasilkan residual risk. Nah, kendali atau control akan berada diantar inherent risk dan residual risk. Obligasi eksternal yang harus dipenuhi oleh cybersecurity adalah NIST special publication 800-53 revision 4 tentang security and privacy controls for federal information systems and organizations. Selain obligasi tersebut, juga ada PCI security standard version 3.2.

Sejauh ini sudah ada framework, standard, dan operational dari security. Untuk praktik terbaik yang dapat diterapkan berupa produk hasi ISF atau international security forum. Di dalam ISF ini terdapat IRAM framework yang terdiri atas business impact, threat and vulnerability assessment, dan control selection. Gambaran struktur kendalinya:

Sumber: https://www.linkedin.com/learning/cybersecurity-foundations-2/the-isf-standard-of-good-practice?autoSkip=true&autoplay=true&contextUrn=urn%3Ali%3AlyndaLearningPath%3A62325687498eb392c62d0c73&resume=false&u=95231473

Australian signals directorate merilis 35 teratas yang perlu dalam control, gambarannya sebagai berikut:

Sumber: https://www.linkedin.com/learning/cybersecurity-foundations-2/the-isf-standard-of-good-practice?autoSkip=true&autoplay=true&contextUrn=urn%3Ali%3AlyndaLearningPath%3A62325687498eb392c62d0c73&resume=false&u=95231473

Dari semua kendali ada 4 teratas, yaitu application whitelisting, patching of applications, patching of operating systems, dan limiting administrative access.

Bagi seorang black hat hacker, kartu pembayaran merupakan target yang menguntungkan. Kartu pembayaran ada 2 jenis, yaitu kredit dan debit. PCI DSS sendiri memberikan syarat dalam perlindungan kartu pembayaran seperti, konfigurasi firewall, perubahan kata kunci default dan pengaturan, melindungi data tersimpan dari pemegang kartu, transmisi terenkripsi melalui jaringan publik, dan perlindungan melawan malware serta mengembangkan dan merawat sistem keamanan dan aplikasi. Selain itu juga ada akses terbatas di basis yang butuh diketahui, identifikasi-autentifikasi akses ke komponen sistem, akses fisik terbatas terhadap data pemilik kartu, lacak-pantau akses terhadap data pemilik kartu, tes keamanan secara reguler, dan perawatan kebijakan keamanan informasi.

Selain kartu pembayaran atau card payment saat ini juga sedang booming cloud technology. Bentuk dari teknologi cloud dapat berupa, infrastructure as a service (IaaS), platform as a sevice (PaaS), dan software as a service (SaaS). Di bidang cloud ada sebuah perkumpulan cloud security alliance atau CSA. Gambaran dari kendali yang dilakukan pada teknologi cloud dapat di lihat di matriks di bawah:

Sumber: https://www.linkedin.com/learning/cybersecurity-foundations-2/clouding-the-issues?autoSkip=true&autoplay=true&contextUrn=urn%3Ali%3AlyndaLearningPath%3A62325687498eb392c62d0c73&resume=false&u=95231473

Internet sebagai benda dapat diterapkan di setiap device, setiap orang, setiap tempat, setiap bisnis, setiap jaringan, dan setiap waktu. Karakteristik dari IoT akan terkoneksi ke internet dengan hanya mengirim, hanya menerima, dan mengirim sekaligus menerima. IoT alliance of Australia telah menyusun panduan berupa legal, privacy, security, reliance, survivability, dan development. Ada 13 compliance atau kepatuhan yang harus dilaksanakan. Serta ada 5 kelas dalam klasifikasi device IoT, yaitu class 0 (dampaknya minimal ke individu atau organisasi), class 1 (perancangan untuk menahan serangan ketersediaan), class 2 (dampak signifikan ke individu atau organisasi), class 3 (perancangan untuk menahan serangan dan proteksi data sensitif yang memiliki dampak signifikan ke individu dan organisasi), dan class 4 (kerusakan infrastruktur kritis atau cidera pribadi).

ref:

https://www.linkedin.com/learning/cybersecurity-foundations-2/