IG2 IG3

Tetapkan dan Pelihara Proses untuk Menerima dan Menangani Laporan Kerentanan Perangkat Lunak

Kelompok Kontrol: 16. Keamanan Perangkat Lunak Aplikasi

Jenis Aset: Aplikasi

Fungsi Keamanan: Lindungi

Deskripsi

Tetapkan dan pelihara proses untuk menerima dan menangani laporan kerentanan perangkat lunak dari pihak internal atau eksternal. Proses tersebut meliputi: dokumentasi pencarian keamanan, pembuatan jadwal komunikasi, dan proses eksekusi remediasi.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

Veracode Gartner MQ Leader, Application Security Testing 2024

Platform keamanan aplikasi dengan SAST, DAST, SCA, dan pelatihan pengembang untuk pengembangan perangkat lunak yang aman

Veracode · Langganan per aplikasi

Checkmarx One Gartner MQ Leader, Application Security Testing 2024

Platform keamanan aplikasi cloud-native dengan SAST, SCA, DAST, keamanan API, dan pengujian keamanan rantai pasokan

Checkmarx · Langganan per pengembang

Snyk Gartner MQ Visionary, Application Security Testing 2024; Forrester Wave Leader, SCA 2023

Keamanan aplikasi yang mengutamakan pengembang dengan SCA, pemindaian kontainer, keamanan IaC, dan SAST terintegrasi ke dalam CI/CD

Snyk · Langganan per pengembang

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Kerentanan yang Diungkapkan Secara Publik dalam Aplikasi Kustom Tidak Diremediasi

Confidentiality

Peneliti keamanan mengungkapkan secara publik kerentanan dalam aplikasi organisasi setelah upaya pengungkapan bertanggung jawab gagal karena tidak ada proses untuk menerima dan menriase laporan kerentanan.

Eksploit Zero-Day Menargetkan Kelemahan Aplikasi yang Tidak Dilaporkan

Integrity

Penyerang menemukan dan mengeksploitasi kerentanan yang telah dilaporkan oleh pengguna tetapi tidak pernah diproses karena organisasi tidak memiliki mekanisme penerimaan untuk laporan kerentanan.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Proses Penerimaan dan Penanganan Kerentanan

Tanpa proses untuk menerima dan menangani laporan kerentanan perangkat lunak, organisasi tidak dapat menerima, menriase, atau meremediasi kelemahan yang dilaporkan, meninggalkan kerentanan yang diketahui tanpa patch.

Tidak Ada Mekanisme Pelaporan Kerentanan Eksternal

Ketiadaan saluran yang menghadap publik bagi peneliti eksternal untuk melaporkan kerentanan berarti organisasi melewatkan peringatan dini tentang kelemahan yang dapat dieksploitasi dalam aplikasinya.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Siklus Hidup Pengembangan Perangkat Lunak yang Aman

Control 16

Pengamanan Terkait di Kontrol 16

16.1 Tetapkan dan Pelihara Proses Pengembangan Aplikasi yang Aman

16.3 Lakukan Analisis Akar Masalah pada Kerentanan Keamanan

16.4 Tetapkan dan Kelola Inventaris Komponen Perangkat Lunak Pihak Ketiga

16.5 Gunakan Komponen Perangkat Lunak Pihak Ketiga yang Terkini dan Tepercaya

16.6 Tetapkan dan Pelihara Sistem Peringkat Tingkat Keparahan dan Proses untuk Kelemahan Aplikasi

16.7 Gunakan Template Konfigurasi Pengerasan Standar untuk Infrastruktur Aplikasi

16.8 Pisahkan Sistem Produksi dan Non-Produksi

16.9 Latih Pengembang dalam Konsep Keamanan Aplikasi dan Pengkodean Aman

16.10 Terapkan Pemeriksaan Keamanan Otomatis Kode

16.11 Gunakan Modul atau Layanan Keamanan Terverifikasi

16.12 Terapkan Pemeriksaan Integritas Tingkat Kode

16.13 Lakukan Pengujian Penetrasi Aplikasi

16.14 Lakukan Pemodelan Ancaman