Bank harus melakukan pengujian penetrasi (penetration test) yang mencakup planning, discovery, attacks, dan reporting untuk mendapatkan evaluasi mendalam tentang pertahanan keamanan sibernya. Penetration test ini perlu dilakukan secara berkala terhadap software, hardware, dan application. Selain itu penetration test juga perlu dilakukan sebelum Bank mengimplementasikan sistem atau aplikasi yang bersifat online atau dapat diakses melalui internet. Kombinasi antara blue team and red team testing 11 dapat dilakukan untuk 11 Blue team and red team testing adalah teknik pengujian keamanan siber dengan menggunakan kombinasi antara dua tim keamanan siber, yaitu red team yang menguji ketahanan siber dengan mensimulasikan taktik, teknik, dan prosedur pelaku ancaman siber di dunia nyata dan blue team yang terdiri atas tim respon insiden yang bertugas terhadap pertahanan siber bank untuk mengidentikasi dan merespon insiden atau serangan dari red team. Pengujian ini didasarkan pada threat intelligence tertentu dan fokus pada kemampuan SDM, proses, dan teknologi (people, process, and technology entitas), dengan pengetahuan awal yang minimal. (FSB Cyber Lexicon, NIST Computer Security Resource Center)
layanan Bank yang bersifat online. Bank dapat mempertimbangkan untuk melakukan program bug bounty untuk menguji keamanan infrastruktur TI Bank dan melengkapi penetration test, yaitu dengan menggunakan ethical hacker untuk melakukan penetration test pada sistem Bank untuk menemukan kerentanan dalam sistem. 131. Frekuensi penetration test harus ditentukan berdasarkan beberapa faktor, seperti kekritisan sistem dan tingkat paparan sistem terhadap risiko siber. Untuk sistem yang dapat diakses secara langsung dari internet, Bank diharapkan dapat melakukan peneration test untuk melakukan validasi kecukupan kontrol keamanan paling sedikit satu kali dalam setahun atau setiap kali sistem mengalami perubahan atau pembaruan besar. 132. Selain penetration test, Bank harus melakukan pengujian keamanan siber berbasis skenario secara rutin untuk melakukan validasi atas respon dan pemulihan Bank, serta rencana komunikasi Bank dalam menghadapi ancaman siber. Dalam melakukan pengujian, Bank harus melibatkan stakeholders yang relevan, termasuk manajemen senior, fungsi bisnis, fungsi komunikasi korporasi, tim manajemen krisis, penyedia layanan, dan staf teknis yang bertanggung jawab atas deteksi, respons, dan pemulihan ancaman siber. Simulasi ini harus dilakukan dengan terkendali di bawah pengawasan ketat untuk memastikan kegiatan yang dilakukan oleh red team tidak mengganggu sistem Bank. Untuk melakukan simulasi serangan yang realistis, skenario ancaman harus dirancang dan didasarkan pada ancaman siber yang menantang namun tetap mungkin terjadi. Bank juga dapat merancang skenario latihan melalui threat hunting yang menyeluruh, yaitu secara proaktif memburu aktivitas berbahaya, mencurigakan, atau berisiko yang lolos dari deteksi pada jaringan, titik akhir, dan kumpulan data, antara lain dengan menggunakan threat intelligence yang relevan dengan lingkungan TI mereka untuk mengidentifikasi pelaku ancaman yang dapat menimbulkan ancaman bagi Bank, dan mengidentifikasi taktik, teknik, dan prosedur yang dapat 56 Consultative Paper Manajemen Risiko Keamanan Siber Bank Umum - 2021 digunakan dalam serangan tersebut. Bank juga dapat melaksanakan pengujian kesadaran keamanan siber (cybersecurity awareness test) terhadap sumber daya manusia dan nasabah bank dalam rangka pengendalian ancaman social engineering. 133. Hasil pengujian ketahanan keamanan siber perlu dilakukan kaji ulang dan disampaikan kepada Direksi sebagai landasan untuk perbaikan tata kelola, kebijakan dan prosedur, pengendalian internal, peningkatan kapasitas, dan kesadaran Bank terhadap keamanan siber.
-------------------------------
Blue team and red team testing adalah teknik pengujian keamanan siber dengan menggunakan kombinasi
antara dua tim keamanan siber, yaitu red team yang menguji ketahanan siber dengan mensimulasikan taktik,
teknik, dan prosedur pelaku ancaman siber di dunia nyata dan blue team yang terdiri atas tim respon insiden
yang bertugas terhadap pertahanan siber bank untuk mengidentikasi dan merespon insiden atau serangan
dari red team. Pengujian ini didasarkan pada threat intelligence tertentu dan fokus pada kemampuan SDM,
proses, dan teknologi (people, process, and technology entitas), dengan pengetahuan awal yang minimal. (FSB
Cyber Lexicon, NIST Computer Security Resource Center
0 comments:
Posting Komentar