Taxonomy of Vulnerability, Threat, Attack, Control, and Incident

Back to Keamanan Informasi

Taxonomy of Vulnerability, Threat, Attack, Control, and Incident

Questions/Cues

• Apa perbedaan utama antara kerentanan dan ancaman?
• Bagaimana sebuah serangan memanfaatkan kerentanan?
• Mengapa kontrol diperlukan dalam siklus keamanan?
• Apa yang dimaksud dengan insiden keamanan?
• Bagaimana hubungan antara aset, kerentanan, dan ancaman?

Reference Points

• Lecture_Slides_IF4053.pptx (Slide 4)
• Lecture_Slides_IF4053.pptx (Slide 6)

Vulnerability (Kerentanan)

Kerentanan adalah kelemahan atau cacat pada suatu sistem, aplikasi, atau proses yang dapat dieksploitasi oleh pihak yang tidak berwenang. Kelemahan ini dapat berada pada level perangkat keras (misalnya firmware yang tidak ter‑update), perangkat lunak (bug dalam kode sumber), konfigurasi (pengaturan default yang terlalu permisif), atau prosedur operasional (kurangnya prosedur audit). Contohnya, sebuah fungsi input yang tidak melakukan validasi terhadap karakter khusus dapat membuka celah SQL injection pada aplikasi web. Analogi yang mudah dipahami adalah sebuah pintu rumah yang tidak memiliki kunci; pintu tersebut tetap berfungsi sebagai akses masuk, tetapi karena tidak terkunci, siapa pun dapat masuk tanpa izin.

Pada tahap identifikasi, tim keamanan biasanya menggunakan pemindaian otomatis (scanner) atau audit manual untuk menemukan kerentanan. Setiap kerentanan biasanya diberi skor berdasarkan standar seperti CVSS (Common Vulnerability Scoring System) yang mempertimbangkan faktor dampak, kompleksitas eksploitasi, dan eksposur. Skor ini membantu organisasi memprioritaskan perbaikan. Penting untuk dicatat bahwa keberadaan kerentanan tidak otomatis berarti akan terjadi serangan; diperlukan ancaman yang memiliki motivasi dan kemampuan untuk mengeksploitasi kelemahan tersebut.

Kerentanan bersifat statik pada saat ditemukan, tetapi dapat berubah seiring waktu. Misalnya, sebuah kerentanan yang awalnya dianggap rendah dapat menjadi kritis setelah munculnya exploit baru di publik. Oleh karena itu, proses manajemen kerentanan harus bersifat berkelanjutan, melibatkan penemuan, penilaian, mitigasi, dan verifikasi perbaikan.

Threat (Ancaman)

Ancaman merujuk pada sekumpulan kondisi atau entitas yang memiliki potensi untuk menyebabkan kerugian atau kerusakan pada aset informasi. Ancaman dapat berupa aktor manusia (misalnya peretas, insider), kelompok (misalnya organisasi kriminal), atau fenomena alam (misalnya gempa bumi). Setiap ancaman memiliki tiga komponen utama: motivasi (mengapa mereka ingin menyerang), kapabilitas (apa yang mereka mampu lakukan), dan kesempatan (apakah kondisi memungkinkan mereka melancarkan serangan).

Contoh ancaman: seorang peretas yang termotivasi secara finansial (misalnya untuk mencuri data kartu kredit) dan memiliki kemampuan teknis untuk menulis skrip otomatis yang memindai ribuan situs web mencari kerentanan cross‑site scripting (XSS). Jika situs web tersebut memiliki kerentanan XSS, ancaman tersebut memiliki kesempatan untuk berhasil.

Ancaman tidak selalu bersifat aktif; ada juga ancaman pasif seperti pengumpulan data oleh pihak ketiga tanpa interaksi langsung. Dalam model risiko, ancaman dikombinasikan dengan kerentanan untuk menghasilkan probabilitas terjadinya serangan. Oleh karena itu, pemahaman yang mendalam tentang profil ancaman organisasi (misalnya melalui threat modeling) sangat penting untuk merancang kontrol yang tepat.

Attack (Serangan)

Serangan adalah tindakan yang dilakukan oleh aktor (manusia atau otomatis) untuk mengeksploitasi kerentanan dengan tujuan mencapai tujuan tertentu, seperti pencurian data, penghancuran layanan, atau pencemaran reputasi. Serangan dapat diklasifikasikan berdasarkan vektor (misalnya jaringan, aplikasi, fisik), tujuan (confidentiality, integrity, availability—meskipun istilah ini tidak dijelaskan lebih lanjut di sini), dan metode (misalnya phishing, malware, denial‑of‑service).

Sebagai contoh, sebuah serangan phishing memanfaatkan kerentanan manusia (kurangnya kesadaran keamanan) dengan mengirim email palsu yang mengarahkan korban mengklik tautan berbahaya. Di sisi teknis, serangan SQL injection memanfaatkan kerentanan pada kode aplikasi yang tidak memfilter input, memungkinkan penyerang mengeksekusi perintah SQL arbitrer pada basis data.

Proses serangan biasanya mengikuti tahapan reconnaissance, weaponization, delivery, exploitation, installation, command & control, dan actions on objectives (model Cyber Kill Chain). Memahami tahapan ini membantu tim keamanan mendeteksi dan memutus rantai serangan pada tahap awal, misalnya dengan memblokir email phishing pada fase delivery.

Control (Kontrol)

Kontrol adalah mekanisme atau kebijakan yang diterapkan untuk mengurangi atau menghilangkan risiko yang timbul dari kombinasi kerentanan dan ancaman. Kontrol dapat bersifat preventif (mencegah terjadinya serangan), detektif (mendeteksi serangan yang sedang berlangsung), atau korektif (memulihkan sistem setelah serangan). Contoh kontrol preventif meliputi patching rutin, penggunaan firewall aplikasi, atau penerapan prinsip least privilege pada akun pengguna. Contoh kontrol detektif termasuk sistem deteksi intrusi (IDS) dan log audit. Kontrol korektif dapat berupa prosedur pemulihan bencana atau incident response plan.

Kontrol biasanya dikelompokkan dalam tiga kategori utama: teknis, administratif, dan fisik. Kontrol teknis mencakup enkripsi, autentikasi, dan pembatasan akses jaringan. Kontrol administratif meliputi kebijakan keamanan, pelatihan karyawan, dan prosedur manajemen perubahan. Kontrol fisik melibatkan pengamanan ruang server, kontrol akses gedung, dan perlindungan terhadap bencana alam.

Efektivitas kontrol diukur melalui penilaian kontrol (misalnya audit ISO 27001) dan pengujian penetrasi. Jika kontrol tidak berhasil mencegah atau mendeteksi serangan, maka kontrol tersebut dianggap gagal, yang dapat berujung pada terjadinya insiden.

Incident (Insiden)

Insiden adalah peristiwa keamanan yang mengakibatkan kompromi terhadap kerahasiaan, integritas, atau ketersediaan data atau sistem, biasanya sebagai hasil dari kontrol yang tidak berfungsi atau tidak ada. Insiden dapat bersifat minor (misalnya satu akun pengguna terkunci) atau major (misalnya kebocoran data pelanggan dalam skala besar). Proses penanganan insiden biasanya mengikuti siklus identifikasi, penilaian, kontainmen, eradikasi, pemulihan, dan pembelajaran pasca‑insiden.

Contoh insiden: sebuah server web mengalami Denial‑of‑Service (DoS) karena serangan volumetrik yang mengirimkan jutaan paket UDP per detik, membuat layanan tidak dapat diakses oleh pengguna sah. Pada tahap identifikasi, tim keamanan mendeteksi lonjakan trafik tidak biasa; pada tahap kontainmen, mereka mengalihkan trafik ke scrubbing center; pada tahap pemulihan, layanan kembali online setelah serangan berakhir.

Penting untuk memiliki rencana respons insiden yang terdokumentasi, termasuk peran masing‑masing anggota tim, prosedur eskalasi, dan mekanisme komunikasi dengan pemangku kepentingan. Dokumentasi insiden juga menjadi sumber belajar untuk memperbaiki kontrol yang gagal dan mengurangi kemungkinan terulangnya insiden serupa.

Relationship Overview (Gambaran Hubungan)

Hubungan antara kelima konsep dapat digambarkan sebagai rantai sebab‑akibat: Aset → Kerentanan → Ancaman → Serangan → Kontrol → Insiden. Aset yang tidak memiliki kerentanan tidak dapat dieksploitasi, sehingga ancaman tidak dapat menghasilkan serangan yang berhasil. Sebaliknya, kontrol yang kuat dapat memutuskan rantai pada titik manapun, mencegah terjadinya insiden. Memahami hubungan ini membantu organisasi melakukan analisis risiko yang terstruktur, mengalokasikan sumber daya pada kontrol yang memberikan nilai mitigasi tertinggi.

Summary

Kerentanan adalah titik lemah yang dapat dieksploitasi, sementara ancaman adalah entitas atau kondisi yang memiliki motivasi dan kemampuan untuk melakukannya. Serangan merupakan aksi eksploitasi yang memanfaatkan kerentanan, dan kontrol berfungsi sebagai penghalang atau detektor untuk mengurangi risiko. Ketika kontrol gagal, terjadi insiden yang menandai kompromi pada aset. Memahami alur ini memungkinkan perancangan strategi keamanan yang holistik dan berbasis risiko.

Additional Information

Advanced Topic 1: Formal Risk Quantification

Risiko dapat didefinisikan secara matematis sebagai R = P × I, di mana P adalah probabilitas terjadinya serangan (yang dipengaruhi oleh tingkat kerentanan dan eksposur ancaman) dan I adalah dampak potensial (biasanya diukur dalam nilai moneter atau skor bisnis). Model FAIR (Factor Analysis of Information Risk) memperluas rumus ini dengan memecah P menjadi sub‑faktor seperti Threat Event Frequency dan Vulnerability (probability that the threat event will be successful). Dengan mengumpulkan data historis dan menggunakan teknik Monte Carlo simulation, organisasi dapat menghasilkan distribusi probabilitas risiko yang lebih realistis, bukan sekadar perkiraan titik tunggal.

Implementasi praktis melibatkan:

1. Mengidentifikasi aset kritis dan nilai bisnisnya.
2. Mengumpulkan data kerentanan (CVSS, hasil pemindaian) dan ancaman (intel keamanan, threat intel feeds).
3. Menggunakan alat seperti RiskLens atau OpenFAIR untuk menghitung distribusi risiko.
4. Menyajikan hasil dalam format heat map untuk prioritas mitigasi.

Advanced Topic 2: Threat Modeling Techniques

Threat modeling adalah proses sistematis untuk mengidentifikasi, mengklasifikasikan, dan memprioritaskan ancaman terhadap sistem. Metode populer meliputi STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) dan PASTA (Process for Attack Simulation and Threat Analysis). Kedua metode membantu tim keamanan memetakan asset, entry points, trust boundaries, dan mitigasi yang ada.

Contoh penerapan STRIDE pada aplikasi web:

• Spoofing: Penyerang memalsukan identitas pengguna melalui pencurian kredensial.
• Tampering: Modifikasi data pada permintaan HTTP.
• Information Disclosure: Kebocoran data melalui endpoint yang tidak terautentikasi.
• Denial of Service: Overload pada API.
• Elevation of Privilege: Eksploitasi kerentanan privilege escalation pada server.

Dengan memetakan setiap kategori, tim dapat menentukan kontrol tambahan (misalnya MFA untuk spoofing, input sanitization untuk tampering) dan mengintegrasikannya ke dalam siklus pengembangan (DevSecOps).

Advanced Topic 3: Incident Response Frameworks

Kerangka kerja respons insiden yang banyak diadopsi meliputi NIST SP 800‑61 Rev.2 dan ISO/IEC 27035. Kedua standar menyarankan fase-fase berikut:

1. Preparation – Penyusunan kebijakan, tim, dan alat (SIEM, forensic toolkit).
2. Detection & Analysis – Penggunaan log, IDS, dan analisis forensik untuk mengidentifikasi serangan.
3. Containment, Eradication, & Recovery – Isolasi sistem terinfeksi, menghapus artefak berbahaya, dan mengembalikan layanan.
4. Post‑Incident Activity – Review pasca‑insiden (lessons learned), pembaruan kontrol, dan pelaporan kepada regulator bila diperlukan.

Praktik terbaik mencakup playbook yang terotomatisasi (misalnya menggunakan SOAR – Security Orchestration, Automation, and Response) untuk mempercepat respons pada insiden berulang seperti ransomware.

Edge Cases and Nuances

• Zero‑Day Vulnerabilities: Kerentanan yang belum dipublikasikan atau belum ada patch. Karena tidak ada kontrol yang tersedia, organisasi harus mengandalkan mitigasi mitigasi mitigasi (misalnya network segmentation) hingga patch dirilis.
• Insider Threats: Ancaman yang berasal dari dalam organisasi, seringkali tidak terdeteksi oleh kontrol perimeter tradisional. Pendekatan berbasis perilaku (UEBA – User and Entity Behavior Analytics) dapat membantu mengidentifikasi anomali.
• Supply Chain Risks: Kerentanan yang masuk melalui komponen pihak ketiga (library, container images). Menggunakan software bill of materials (SBOM) dan scanning dependensi menjadi kontrol penting.

Self-Exploration Projects

1. Build a Mini Threat Model: Pilih sebuah aplikasi web sederhana (misalnya blog) dan terapkan metodologi STRIDE untuk mengidentifikasi ancaman, kemudian buat matriks kontrol yang sesuai.
2. Risk Quantification Dashboard: Kumpulkan data CVSS dari NVD, kombinasikan dengan perkiraan frekuensi ancaman (menggunakan data publik seperti Verizon DBIR), dan visualisasikan risiko dalam bentuk heat map menggunakan Python (pandas, matplotlib) atau PowerBI.

Tools and Resources

• OWASP Threat Dragon – alat open‑source untuk threat modeling berbasis diagram.
• RiskLens – platform komersial untuk analisis risiko FAIR.
• MITRE ATT&CK – basis pengetahuan taktik dan teknik serangan yang dapat dipetakan ke kontrol.
• TheHive Project – platform kolaboratif untuk manajemen insiden.

Further Reading

• “Risk Management Framework: A Lab-Based Approach” – NIST SP 800‑30 Rev.1.
• “The Art of Software Security Assessment” – Mark Dowd, John McDonald, Justin Schuh (Bab tentang threat modeling).
• “Incident Response & Computer Forensics” – Jason Luttgens, Matthew Pepe, Kevin Mandia.
• MITRE ATT&CK® website: https://attack.mitre.org
• OWASP Top Ten project: https://owasp.org/www-project-top-ten
• FAIR Institute resources: https://www.fairinstitute.org