apa itu penilaian keamanan siber (Cybersecurity Assessment)

Halo pembaca elinotes, kali ini saya akan membahas mengenai penilaian keamanan siber atau yang bisa disebut dengan Cybersecurity Assessment. secara sederhana Cybersecurity Assessment adalah proses  evaluasi memahami, mengontrol, mengurangi semua jenis risiko serta meminimalisir insiden serangan peretas di dunia maya/internet. 

Cybersecurity Assessment adalah

Dunia Cybersecurity selalu berkembang pesat seiring perkembangan waktu dan menjadi lebih kompleks dan ganas setiap hari, sangat penting bagi semua bisnis untuk berinvestasi mengidentifikasi risiko dunia maya guna melindungi kontrol dan melindungi jaringan bisnis anda. Cybersecurity Assessment berguna untuk mengukur tingkat risiko yang dihadapi organisasi Anda serta memeriksa di mana celah utama terletak pada infrastruktur, rencana, dan proses keamanan siber Anda.

Cybersecurity Assessment adalah bagian penting dari strategi manajemen risiko dan upaya keamanan data Anda.

Apa itu Cybersecurity Assessment (penilaian keamanan siber)?

Penilaian keamanan siber atau Cybersecurity Assessment yaitu menganalisis kontrol keamanan siber organisasi Anda dan kemampuannya untuk memulihkan kerentanan. penilaian ini mencakup pemeriksa infrastruktur keamanan organisasi secara keseluruhan. Ini termasuk memvalidasi kesiapan organisasi terhadap kerentanan yang diketahui dan tidak diketahui, vektor serangan di dunia maya digital, dan proses bisnis untuk melibatkan langkah-langkah perbaikan untuk menurunkan risiko dan permukaan serangan. 

penilaian keamanan siber (Cybersecurity Assessment)

Secara keseluruhan, penilaian keamanan membantu melacak sistem, aplikasi, dan kelemahan jaringan serta membantu menerapkan kontrol pertahanan yang sesuai dan menjaga kebijakan tetap up to date. Penilaian risiko ini harus dilakukan dalam konteks tujuan bisnis organisasi Anda, bukan dalam bentuk daftar periksa seperti yang Anda lakukan untuk audit keamanan siber. Ini memungkinkan Anda untuk mendapatkan analisis tingkat tinggi tentang kelemahan jaringan Anda sehingga tim keamanan dapat mulai menerapkan kontrol keamanan untuk mengurangi tingkat kerentaan.

Mengapa penting melakukan penilaian keamanan siber (Cybersecurity Assessment)

Penilaian keamanan siber (Cybersecurity Assessment) sangat penting untuk menentukan apakah data data organisasi Anda dipersiapkan dengan benar atau tidak untuk bertahan dari berbagai ancaman siber. selain itu Tujuan dari penilaian adalah untuk mengidentifikasi kerentanan dan meminimalkan kesenjangan dalam keamanan. Ini juga bertujuan untuk menjaga pemangku kepentingan utama dan anggota dewan tetap mengetahui postur keamanan siber organisasi, sehingga memungkinkan untuk membuat keputusan yang lebih tepat tentang bagaimana strategi keamanan dapat diimplementasikan ke dalam operasi sehari-hari.

Apa saja jenis cybersecurity risk assessment yang sering digunakan?

secara umum Ada berbagai kerangka kerja keamanan siber yang tersedia tergantung pada jenis industri atau wilayah Anda. Dua kerangka kerja yang lebih luas serta umum digunakan yaitu NIST Cybersecurity Framework dan standar ISO 27000:

NIST Cybersecurity Framework

NIST Cybersecurity Framework umumnya digunakan oleh perusahaan amerika serikat. NIST Cybersecurity Framework dikembangkan bekerja sama dengan lembaga pemerintah dan sektor swasta amerika serikat. NIST Cybersecurity Framework dirancang untuk mengatasi komponen penting keamanan siber termasuk: identifikasi, deteksi, perlindungan, respons, dan pemulihan. Meskipun awalnya dimaksudkan untuk membantu organisasi yang berurusan dengan infrastruktur penting, banyak perusahaan tingkat perusahaan memanfaatkan dan menerapkan pedoman komprehensif untuk upaya keamanan siber mereka sendiri juga.

ISO 27000

standar ISO 27000 adalah Kerangka kerja  yang populer digunakan oleh kalangan internasional. ISO 27000, yang merupakan bagian dari keluarga standar Sistem Manajemen Keamanan Informasi yang berkembang lebih besar. Kerangka kerja ini dikembangkan oleh The International Organizations for Standards, dan tidak hanya mencakup informasi internal perusahaan, tetapi juga vendor pihak ketiga. 

Contoh kerangka kerja keamanan siber yang lebih khusus meliputi:

GDPR - Peraturan Perlindungan Data Umum adalah undang-undang UE yang menetapkan pedoman untuk pengumpulan dan pemrosesan data sensitif dari pengguna yang tinggal di Uni Eropa.

HIPAA - Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan adalah seperangkat aturan yang mendefinisikan standar seragam untuk mentransfer informasi perawatan kesehatan di antara penyedia layanan kesehatan, rencana kesehatan, dan lembaga kliring.

PCI-DSS - Standar Keamanan Data Industri Kartu Pembayaran dirancang untuk memastikan semua perusahaan yang menerima, memproses, menyimpan, atau mengirimkan informasi kartu kredit menjaga lingkungan jaringan yang aman.

CMMC - Sertifikasi Model Kematangan Keamanan Siber dikembangkan oleh Departemen Pertahanan AS, dan mengharuskan kontraktor pertahanan untuk menjalani penilaian keamanan siber untuk mengesahkan tingkat kematangan siber yang diperlukan.

FERPA - Undang-Undang Hak dan Privasi Pendidikan Keluarga adalah undang-undang Federal yang melindungi privasi catatan pendidikan siswa.

jenis jenis penilaian keamanan siber (Cybersecurity Assessment)

Vulnerability Assessment

Vulnerability Assessment adalah tes keamanan yang paling banyak dilakukan di industri keamanan siber. Vulnerability Assessment atau disingkat VA adalah pengujian otomatis yang dilakukan dalam lingkup terbatas dalam organisasi tujuannya untuk melacak bug keamanan, atau kekurangan yang ada dalam aset (aset dapat berupa aplikasi, jaringan, infrastruktur, kode, data, dll., Tergantung pada tujuan penilaian). Di dalamnya, kekurangan dikategorikan berdasarkan risikonya terhadap bisnis.

Vulnerability Assessment (VA) sering dilakukan untuk melacak jalur terbuka dan kerentanan dalam perangkat lunak, jaringan, dll. dan merilis update atau pembaruan.

Penetration Testing

Penetration Testing (Pengujian Penetrasi) adalah pengujian keamanan melibatkan eksploitasi kelemahan atau bug keamanan yang sebelumya sudah ditemukan. Ini adalah metode mendalam untuk mengeksploitasi kerentanan untuk menguji/test seberapa kuat keamanan organisasi melalui perspektif (sudut pandang) penyerang jahat. 

Tujuan utama pentesting adalah untuk mengidentifikasi bagaimana suatu organisasi dapat diretas atau dilanggar dan seberapa besar kemungkinan hal itu dapat memengaruhi kelangsungan dan reputasi bisnis. Apa pun tujuan pengujian penetrasi yang diambil organisasi, itu selalu meningkatkan kontrol defensif dengan mengevaluasi dan memulihkan kerentanan yang dieksploitasi.

Penetration Testing dapat dilakukan dari tiga pendekatan:

• Black-box Pentesting yaitu melibatkan membobol pengujian aset dari perspektif peretas jahat yang tidak memiliki pengetahuan, akses, atau data internal.
• White-box Pentesting yaitu melibatkan pengujian aset dengan sebagian besar informasi dan akses internal (seperti orang dalam yang berbahaya atau perspektif dan hak istimewa karyawan)
• Grey-box Pen Testing yaitu  melibatkan pengujian aset dengan informasi dan akses internal parsial.

dalam Industri keamanan siber umumnya uji penetrasi dikategorika berdasarkan kategori aset. Jenis pentest meliputi:

• Web-application Penetration Testing
• Mobile Application Penetration Testing
• Network Penetration Testing (It can be performed separately on the external network and internal network)
• Cloud security penetration testing
• Embedded devices penetration testing
• IoT/IIoT Penetration Testing
• Thick client Penetration Testing
• Thin client Penetration Testing
• Virtual Appliances Penetration Testing

Compromise Assessment

Compromise Assessment adalah pengujian keamanan tingkat tinggi yang dilakukan untuk mengidentifikasi jejak pelanggaran. Ini dilakukan dengan meninjau infrastruktur dan log titik akhir, lalu lintas, dan aktivitas yang terhubung untuk menemukan IoC Indicator of Compromise). Pada catatan tertentu, Compromise Assessment membantu memburu penyerang yang telah aktif dalam recent history  atau tinggal di lingkungan saat ini.

Social Engineering Assessment

Social Engineering Assessment adalah manipulasi pikiran manusia melalui informasi yang menyesatkan atau menipu. Dalam Social Engineering Assessmentl, para profesional keamanan menyamar sebagai diri mereka sendiri untuk mendorong individu atau karyawan untuk melakukan tugas-tugas tertentu seperti mengunduh lampiran apa pun, membuka tautan yang mencurigakan, atau memberikan kredensial atau data sensitif.

Penilaian ini bertujuan untuk memeriksa atau menguji budaya menjaga data data sensitif perusahaan. metode Social Engineering Assessment biasanya mengunakan teknik teknik sebagai berikut:

• Phishing
• Spear Phishing
• SMShing
• Vishing
• Tailgating

Red Teaming or Red-Team Assessment

Red teaming adalah langkah maju dengan identifikasi kerentanan, eksploitasi, dan di luar pengujian penetrasi. Ini adalah serangan skala penuh yang melibatkan simulasi serangan siber, termasuk gerakan lateral, untuk mempertahankan pijakan ke lingkungan internal dan eksternal dan meningkatkan hak istimewa sambil tidak terdeteksi.

Dalam red-teaming, kampanye serangan dikembangkan secara strategis untuk menguji kemampuan pertahanan organisasi. Untuk menganalisis postur keamanan ofensif dan defensif organisasi secara keseluruhan, red teaming memeriksa sudut pandang budaya keamanan dengan menguji karyawan melalui serangan rekayasa sosial fisik dan virtual, tes ketahanan jaringan dan aplikasi melalui berbagai pengujian penetrasi. Di dalamnya, alat pertahanan dan deteksi juga dimanipulasi untuk melewati langkah-langkah keamanan saat menjadi tidak jelas.

Ini melibatkan penargetan orang (yaitu, karyawan), fasilitas (yaitu, kontrol TI, misalnya, firewall, SEIM, dll.), Dan budaya keamanan organisasi untuk memvalidasi seberapa baik kontrol pertahanannya dapat bertahan dan melindungi dari musuh kehidupan nyata dari semua aspek.

Cloud Security Assessment

Cloud Security Assessment dilakukan untuk mengevaluasi postur cloud sesuai dengan praktik terbaik penyedia layanan cloud. Ini berfokus pada mengidentifikasi kerentanan dalam infrastruktur cloud dan menguranginya melalui berbagai manajemen kontrol akses dan tingkat keamanan dan tata kelola yang sesuai.

Pada catatan tertentu, penilaian keamanan cloud digunakan untuk mengidentifikasi risiko dan ancaman pada keseluruhan aset berbasis cloud. Ini membantu menentukan pintu masuk dan titik akses yang lemah ke infrastruktur cloud. Penilaian keamanan cloud sangat penting bagi perusahaan yang menggunakan model SaaS (Software as a Service), IaaS (Infrastructure as a Service), atau PaaS (Platform as a Service) untuk operasi sehari-hari.

A third-party risk assessment 

A third-party risk assessment atau penilaian risiko vendor adalah penilaian keamanan yang dilakukan  untuk mengukur risiko terkait yang dapat dikenakan oleh hubungan pihak ketiga organisasi. Biasanya dilakukan saat mengalihdayakan layanan atau produk apa pun untuk mengevaluasi risiko berdasarkan informasi bersama, akses langsung, tidak langsung, atau jarak jauh ke salah satu aset penting.

Risk Assessment

Risk Assessment adalah proses pemetaan risiko dan ancaman terhadap kerentanan yang diidentifikasi melalui pengujian penetrasi, penilaian kerentanan, penilaian rekayasa sosial, dan penilaian keamanan siber lainnya.

Risk Assessment semata-mata mengevaluasi aset kritis dan non-kritis dan permukaan risiko yang berpotensi terpengaruh melalui serangan dunia maya atau insiden dunia maya lainnya. Ini membantu memverifikasi langkah-langkah keamanan dan menjaga lingkungan internal dan eksternal dari ancaman dan serangan keamanan. Dengan pendekatan proaktif, penilaian risiko dapat membantu organisasi menyiapkan rencana respons insiden dan menguraikan remediasi risiko.

Audit Keamanan

Audit keamanan atau Security Audit adalah penilaian teknis kebijakan dan kontrol organisasi. Di mana penilaian keamanan lainnya berfokus pada menemukan kerentanan dan memperkuat keamanan dan kepemilikan defensif, audit berfokus pada pemetaan postur keamanan organisasi saat ini dengan standar industri keamanan sesuai dengan persyaratan bisnis dan keamanan.

Ini dilakukan setiap tahun untuk memenuhi kepatuhan keamanan dan persyaratan kebijakan perusahaan seperti HIPAA, SOX, PCI DSS, dll., Dan kadang-kadang untuk melacak status keamanan bisnis.

Bug Bounty

Bug bounty dianggap sebagai penilaian keamanan berkelanjutan dan biasanya disalahartikan sebagai pengganti pengujian penetrasi aplikasi. Banyak organisasi dan perusahaan pengembangan perangkat lunak mengadopsinya. Dalam bug bounty, pemburu bug atau peneliti keamanan independen menemukan kerentanan dan bug yang dapat dieksploitasi dalam perangkat lunak, situs web, atau aset perusahaan terbuka lainnya dan melaporkannya ke organisasi terkait/terkait dengan imbalan pengakuan dan kompensasi finansial.

CIS Control Assessment

CIS Control Assessment atau Kontrol CIS adalah penilaian tolok ukur membantu organisasi dari semua ukuran untuk mengikuti dan menggabungkan praktik terbaik industri keamanan. Ini memungkinkan bisnis untuk menilai, membandingkan, dan melacak dokumentasi, implementasi, dan konfigurasi keamanan mereka yang hilang untuk meningkatkan kehadiran keamanan secara keseluruhan.

Ini dilakukan untuk mengevaluasi aset dari tahap inventaris hingga kesiapan dan respons insiden.

Application Security Program Assessment

Penilaian ini berhasil menerapkan keamanan dalam keseluruhan aplikasi atau pengembangan perangkat lunak untuk mengurangi kesenjangan keterampilan keamanan, mengelola sumber daya, dan mengintegrasikan keamanan ke dalam siklus hidup pengembangan perangkat lunak (SDLC). Ini secara khusus merupakan segelintir dalam mempertahankan pengembangan dan perancangan aplikasi yang ekstensif dari tahap pengumpulan persyaratan awal hingga tahap pengiriman akhir. Ini membantu bisnis pengembangan perangkat lunak dan aplikasi untuk membangun aplikasi/perangkat lunak yang aman dari awal melalui Secure Architecture Review (SAR) hingga Threat Model dan Secure Coding Practices.

Program penilaian keamanan aplikasi secara efektif mengurangi risiko dan kerentanan pada tahap pengembangan awal dengan strategi pemeliharaan keamanan berkelanjutan melalui pengujian penetrasi, penilaian kerentanan, manajemen patch, dll.

Ransomware Simulation Assessment

Ransomware Simulation Assessment membantu organisasi menganalisis dampak serangan ransomware, yaitu, seberapa jauh konsekuensi dari serangan ransomware yang sukses yang harus dihadapi organisasi, apa itu Mean Time To Detect (MTTD), dan apa itu Mean Time To Respond (MTTR). Ini mengevaluasi kemampuan pertahanan untuk mencegah, mendeteksi, merespons, dan menahan ransomware.

Penilaian simulasi ransomware biasanya dilakukan oleh sumber daya pihak ketiga untuk menguji kesiapan tim biru organisasi dan tingkat kesadaran keamanan karyawan.

Incident Response Readiness Assessment

Incident Response Readiness Assessment dilakukan untuk mengevaluasi seberapa baik organisasi siap untuk memerangi serangan dunia maya dan mendepresiasi kerusakan. Ini memberikan analisis berbasis serangan teknis dan mendasar untuk menghitung kemampuan respons untuk melawan malware, virus, dan vektor serangan lainnya yang datang dari aktor ancaman tingkat lanjut dan penyerang yang disponsori negara.

Mirip dengan penilaian simulasi ransomware, ini juga dilakukan oleh sumber daya pihak ketiga untuk mengevaluasi kesiapan organisasi, kontrol keamanan saat ini, dan kemampuan bertahan.

Table Top Exercises (TTX)

Table Top Exercises (TTX)  adalah penilaian keamanan siber teoretis yang dimaksudkan untuk mempersiapkan organisasi dan tim keamanan untuk potensi ancaman dunia maya di bawah risiko realistis yang berbeda dan skenario peristiwa keamanan. Ini membantu menentukan kesiapan organisasi dan seberapa efektif rencana mereka saat ini untuk menanggapi musuh dunia maya yang sebenarnya dan mendapat manfaat dari memahami pendekatan terbaik untuk menangani serangan siber dan ancaman.

Latihan ini dilakukan melalui lokakarya, seminar, atau diskusi sederhana dengan CISO dan pakar keamanan lainnya. Singkatnya, latihan meja adalah penilaian keamanan siber berbasis skenario yang memfasilitasi persiapan rencana respons insiden, mengurangi kekurangan, dan mengenali kesenjangan saat ini dalam tanggapan organisasi dalam situasi insiden dunia maya tertentu.