Deteksi dan Pencegahan dalam Manajemen Keamanan Informasi

• Serangan siber tetap tidak terdeteksi terlalu lama
• ISO/IEC 27001:2022 yang baru - perubahan-perubahan penting
• Tiga kontrol baru untuk deteksi dan pencegahan
• Ringkasan teknis
• Apa arti pembaruan ini bagi sertifikasi Anda?
• SMKI yang canggih dengan keahlian dari DQS

Penerapan langkah-langkah dari Lampiran A dalam versi saat ini didukung oleh panduan implementasi yang terstruktur secara identik dari ISO/IEC 27002:2022, yang telah diperbarui pada bulan Februari. Kontrol generik untuk pencegahan serangan strategis dan deteksi yang lebih cepat baru saja disertakan.

Tiga kontrol baru untuk deteksi dan pencegahan

Sekarang 93 tindakan dalam Lampiran A ISO/IEC 27001: 2022 sekarang diatur ulang di bawah pembaruan menjadi empat topik

• Tindakan organisasi,
• Tindakan pribadi,
• Tindakan fisik dan
• Tindakan teknologi.

Tiga dari sebelas kontrol keamanan informasi yang baru diperkenalkan berkaitan dengan pencegahan dan deteksi serangan siber secara tepat waktu. Ketiga kontrol ini adalah

• 5.7 Intelijen ancaman (organisasi).
• 8.16 Kegiatan pemantauan (teknologi)
• 8.23 Penyaringan web (teknologi).

Di bawah ini kita akan melihat lebih dekat pada 3 kontrol baru ini.

Threat Intelligence

Kontrol organisasi 5.7 berhubungan dengan pengumpulan dan analisis informasi secara sistematis tentang ancaman yang relevan. Tujuan dari tindakan ini adalah untuk membuat organisasi sadar akan situasi ancaman mereka sendiri sehingga mereka dapat mengambil tindakan yang tepat untuk mengurangi risiko. Data ancaman harus dianalisis secara terstruktur berdasarkan tiga aspek: strategis, taktis dan operasional.

Analisis ancaman strategis memberikan wawasan tentang perubahan lanskap ancaman, seperti jenis serangan dan para pelaku, misalnya, pelaku yang dimotivasi oleh negara, penjahat siber, penyerang kontrak, peretas. Lembaga pemerintah nasional dan internasional (seperti BSI - Kantor Federal Jerman untuk Keamanan Informasi, enisa - Badan Uni Eropa untuk Keamanan Siber, Departemen Keamanan Dalam Negeri AS atau NIST - Institut Nasional Standar dan Teknologi), serta organisasi nirlaba dan forum yang relevan, menyediakan threat intelligence yang diteliti dengan baik di semua industri dan infrastruktur penting.

Serangan siber tetap tidak terdeteksi terlalu lama

Nilai informasi dan data yang sangat penting dalam dunia bisnis abad ke-21 semakin memaksa perusahaan dan organisasi untuk fokus pada keamanan informasi dan berinvestasi dalam perlindungan sistematis terhadap aset digital mereka. Mengapa? Dalam lanskap ancaman yang dinamis, taktik penyerang menjadi semakin canggih dan berlapis-lapis - yang mengakibatkan kerusakan serius pada citra dan reputasi perusahaan yang terkena dampak serta kerugian ekonomi tahunan sebesar miliaran dolar di seluruh dunia.

Para ahli sepakat bahwa tidak ada lagi perlindungan yang sempurna terhadap serangan siber - jika hanya karena faktor ketidakpastian manusia. Hal ini membuat deteksi dini terhadap serangan potensial dan aktual menjadi semakin penting untuk membatasi vektor lateral mereka di jaringan perusahaan dan menjaga jumlah sistem yang dapat dikompromikan serendah mungkin. Namun masih banyak hal yang harus dilakukan di bidang ini: penelitian yang dilakukan sebagai bagian dari studi "Biaya pelanggaran data 2022" IBM menunjukkan bahwa dibutuhkan rata-rata 277 hari untuk mendeteksi dan mengatasi serangan pada tahun 2022.

ISO 27001:2022 yang baru

Untuk membantu perusahaan dan organisasi dengan kerangka kerja kontemporer dan terstandardisasi untuk sistem manajemen keamanan informasi, ISO menerbitkan standar ISMS baru ISO/IEC 27001:2022 pada tanggal 25 Oktober 2022. Lampiran A menyediakan kontrol/tindakan yang dapat digunakan secara spesifik untuk mengatasi risiko keamanan informasi.

Untuk mendeteksi perilaku yang tidak biasa ini, aktivitas yang relevan harus dipantau sesuai dengan persyaratan bisnis dan keamanan informasi dan setiap anomali harus dibandingkan dengan data ancaman yang ada, di antaranya (lihat di atas, persyaratan 5.7). Aspek-aspek berikut ini relevan dengan sistem pemantauan:

• Lalu lintas jaringan, sistem, dan aplikasi yang masuk dan keluar,
• Akses ke sistem, server, peralatan jaringan, sistem pemantauan, aplikasi penting, dll...,
• File konfigurasi sistem dan jaringan pada tingkat administratif atau misi penting;
• Log alat keamanan [misalnya, antivirus, sistem deteksi intrusi (IDS), sistem pencegahan intrusi (IPS), filter web, firewall, pencegahan kebocoran data],
• Catatan peristiwa yang terkait dengan aktivitas sistem dan jaringan,
• Verifikasi bahwa kode yang dapat dieksekusi dalam sistem memiliki integritas dan otorisasi,
• Penggunaan sumber daya, misalnya, daya prosesor, kapasitas disk, penggunaan memori, bandwidth.

Persyaratan dasar untuk pemantauan aktivitas yang berfungsi adalah infrastruktur TI/OT yang dikonfigurasi dengan bersih dan transparan dan jaringan TI/OT yang berfungsi dengan baik. Setiap perubahan terhadap kondisi dasar ini terdeteksi sebagai potensi ancaman terhadap fungsionalitas dan dengan demikian sebagai anomali. Tergantung pada kompleksitas infrastruktur, menerapkan langkah ini merupakan tantangan besar meskipun ada solusi vendor yang relevan. Pentingnya sistem untuk deteksi anomali diakui hampir bersamaan dengan persyaratan 8.16 dari ISO/IEC 27002:2022 untuk operator yang disebut infrastruktur kritis. Dengan demikian, dalam lingkup nasional peraturan hukum yang relevan, ada kewajiban untuk menerapkan secara efektif apa yang disebut sistem untuk deteksi serangan dengan tenggat waktu.

Penyaringan web

Internet adalah berkah sekaligus kutukan. Akses ke situs web yang meragukan terus menjadi pintu masuk bagi konten berbahaya dan malware. Kontrol keamanan informasi 8.23 Penyaringan web memiliki tujuan pencegahan untuk melindungi sistem organisasi dari gangguan malware dan mencegah akses ke sumber daya web yang tidak sah. Organisasi harus menetapkan aturan untuk penggunaan sumber daya online yang aman dan tepat untuk tujuan ini - termasuk pembatasan akses wajib ke situs web yang tidak diinginkan atau tidak pantas dan aplikasi berbasis web. Akses ke jenis situs web berikut ini harus diblokir oleh organisasi:

• Situs web yang memiliki fitur unggah - kecuali jika hal ini diperlukan untuk alasan bisnis yang sah,
• Situs web yang diketahui atau bahkan dicurigai berbahaya,
• Server perintah dan kontrol,
• Situs web berbahaya yang teridentifikasi seperti itu dari data ancaman (lihat juga tindakan 5.7),
• Situs web dengan konten ilegal.

Tindakan penyaringan web hanya benar-benar berfungsi dengan personel terlatih yang cukup sadar akan penggunaan sumber daya online yang aman dan tepat.

Threat intelligence taktis dan evaluasinya memberikan penilaian terhadap metode, alat, dan teknologi penyerang.

Evaluasi operasional terhadap ancaman tertentu memberikan informasi terperinci tentang serangan tertentu, termasuk indikator teknis, misalnya, saat ini terjadi peningkatan ekstrem dalam serangan siber oleh ransomware dan variannya pada tahun 2022.

Analisis ancaman dapat memberikan dukungan dengan cara-cara berikut:

• Secara prosedural untuk mengintegrasikan data ancaman ke dalam proses manajemen risiko,
• Secara teknis pencegahan dan deteksi, misalnya dengan memperbarui aturan firewall, sistem deteksi intrusi (IDS), solusi anti-malware,
• Dengan informasi masukan untuk prosedur pengujian khusus dan teknik pengujian terhadap keamanan informasi.

Kualitas data dari kontrol organisasi 5.7 untuk menentukan situasi ancaman dan menganalisisnya secara langsung mempengaruhi dua kontrol teknis untuk aktivitas pemantauan (8.16) dan pemfilteran web (8.23) yang dibahas di bawah ini, yang juga merupakan hal baru dalam ISO / IEC 27002.

Aktivitas pemantauan

Kontrol keamanan informasi detektif dan korektif 8.16 tentang pemantauan teknis kegiatan berfokus pada deteksi anomali sebagai metode untuk menghindari ancaman. Jaringan, sistem, dan aplikasi berperilaku sesuai dengan pola yang diharapkan, seperti throughput data, protokol, pesan, dan sebagainya. Setiap perubahan atau penyimpangan dari pola yang diharapkan ini terdeteksi sebagai anomali.

Kesimpulan teknis

Kontrol deteksi dan pencegahan baru yang dijelaskan di sini memiliki peran penting dalam mempertahankan diri dari kejahatan dunia maya yang terorganisir, dan kontrol tersebut telah menemukan jalannya ke dalam versi ISO/IEC 27001 dan ISO/IEC 27002 yang berlaku saat ini. Dengan pembaruan dan analisis berkelanjutan atas informasi ancaman yang tersedia, pemantauan aktivitas ekstensif dalam infrastruktur TI mereka sendiri, dan mengamankan sistem mereka sendiri dari situs web yang meragukan, perusahaan secara berkelanjutan memperkuat perlindungan mereka terhadap gangguan malware berbahaya. Mereka juga menempatkan diri mereka pada posisi untuk memulai tindakan respons yang tepat pada tahap awal.

Perusahaan dan organisasi sekarang harus menerapkan tiga kontrol/tindakan yang disajikan secara tepat dan mengintegrasikannya secara konsisten ke dalam ISMS mereka untuk memenuhi persyaratan audit sertifikasi di masa mendatang. DQS memiliki lebih dari 35 tahun keahlian komprehensif di bidang audit dan sertifikasi yang tidak memihak - dan dengan senang hati mendukung Anda dalam manajemen perubahan sistem manajemen keamanan informasi Anda sesuai dengan ISO/IEC 27001:2022.

Apa arti pembaruan ini bagi sertifikasi Anda?

IISO/IEC 27001:2022 diterbitkan pada tanggal 25 Oktober 2022. Hal ini menghasilkan tenggat waktu dan kerangka waktu berikut bagi pengguna untuk melakukan transisi:

Tanggal terakhir untuk audit awal/sertifikasi ulang menurut ISO 27001:2013 yang "lama"

• Setelah 30 April 2024, DQS akan melakukan audit awal dan sertifikasi ulang hanya sesuai dengan standar baru ISO/IEC 27001:2022

Transisi semua sertifikat yang ada sesuai dengan ISO/IEC 27001:2013 yang "lama" ke ISO/IEC 27001:2022 yang baru

• Ada masa transisi selama 3 tahun mulai dari 31 Oktober 2022
• Sertifikat yang diterbitkan menurut ISO/IEC 27001:2013 atau DIN EN ISO/IEC 27001:2017 berlaku hingga paling lambat 31 Oktober 2025, atau harus ditarik pada tanggal tersebut.

SMM yang canggih dengan keahlian DQS

Saat bertransisi ke versi baru ISO/IEC 27001, organisasi masih memiliki waktu. Sertifikat saat ini berdasarkan standar lama akan kehilangan validitasnya pada 31.10.2025. Namun demikian, Anda disarankan untuk menangani persyaratan ISMS yang berubah pada tahap awal, memulai proses perubahan yang sesuai dan menerapkannya dengan tepat.

Sebagai ahli dalam bidang audit dan sertifikasi dengan pengalaman lebih dari tiga dekade, kami mendukung Anda dalam penerapan standar baru ini. Cari tahu dari banyak auditor berpengalaman kami tentang perubahan yang paling penting dan relevansinya bagi organisasi Anda - dan percayakan pada keahlian kami. Bersama-sama, kami akan membahas potensi Anda untuk berkembang dan mendukung Anda hingga Anda menerima sertifikat baru. Kami tunggu kabar dari Anda.