IG2 IG3

Lakukan Analisis Akar Masalah pada Kerentanan Keamanan

Kelompok Kontrol: 16. Keamanan Perangkat Lunak Aplikasi

Jenis Aset: Aplikasi

Fungsi Keamanan: Lindungi

Deskripsi

Lakukan analisis akar masalah pada kerentanan keamanan. Saat meninjau kerentanan, analisis akar masalah dimaksudkan untuk melebihi perbaikan langsung yang dilakukan dan mengidentifikasi kerentanan yang mendasarinya, termasuk kerentanan dalam pengkodean, desain, dan pengembangan.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

Veracode Gartner MQ Leader, Application Security Testing 2024

Platform keamanan aplikasi dengan SAST, DAST, SCA, dan pelatihan pengembang untuk pengembangan perangkat lunak yang aman

Veracode · Langganan per aplikasi

Checkmarx One Gartner MQ Leader, Application Security Testing 2024

Platform keamanan aplikasi cloud-native dengan SAST, SCA, DAST, keamanan API, dan pengujian keamanan rantai pasokan

Checkmarx · Langganan per pengembang

Synopsys Software Integrity Gartner MQ Leader, Application Security Testing 2024

Rangkaian pengujian keamanan aplikasi dengan SAST (Coverity), SCA (Black Duck), dan DAST untuk AppSec yang komprehensif

Synopsys · Langganan per pengembang

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Pola Kerentanan Berulang Dieksploitasi di Beberapa Aplikasi

Integrity

Kelas kerentanan yang sama seperti SQL injection berulang di beberapa aplikasi karena kelemahan individual ditambal tanpa menganalisis akar penyebab, memungkinkan kesalahan pengkodean sistemis tetap ada.

Tim Pengembangan Berulang Kali Memperkenalkan Jenis Kerentanan yang Sama

Confidentiality

Tim pengembangan terus menghasilkan kode dengan kelemahan bypass autentikasi yang sama karena tidak ada analisis akar penyebab yang mengidentifikasi kesenjangan proses atau pengetahuan yang mendasari yang menyebabkan kerentanan berulang.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Analisis Akar Penyebab pada Kerentanan Keamanan

Tanpa analisis akar penyebab, organisasi hanya menangani gejala (bug individual) daripada penyebab yang mendasari (pola pengkodean tidak aman, pelatihan yang hilang, arsitektur yang cacat), menyebabkan kerentanan berulang.

Manajemen Kerentanan Hanya Reaktif

Ketiadaan analisis akar penyebab membuat tim pengembangan tetap dalam mode reaktif murni, menambal kerentanan individual tanpa meningkatkan keamanan sistemis dari codebase.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Siklus Hidup Pengembangan Perangkat Lunak yang Aman

Control 16

Pengamanan Terkait di Kontrol 16

16.1 Tetapkan dan Pelihara Proses Pengembangan Aplikasi yang Aman

16.2 Tetapkan dan Pelihara Proses untuk Menerima dan Menangani Laporan Kerentanan Perangkat Lunak

16.4 Tetapkan dan Kelola Inventaris Komponen Perangkat Lunak Pihak Ketiga

16.5 Gunakan Komponen Perangkat Lunak Pihak Ketiga yang Terkini dan Tepercaya

16.6 Tetapkan dan Pelihara Sistem Peringkat Tingkat Keparahan dan Proses untuk Kelemahan Aplikasi

16.7 Gunakan Template Konfigurasi Pengerasan Standar untuk Infrastruktur Aplikasi

16.8 Pisahkan Sistem Produksi dan Non-Produksi

16.9 Latih Pengembang dalam Konsep Keamanan Aplikasi dan Pengkodean Aman

16.10 Terapkan Pemeriksaan Keamanan Otomatis Kode

16.11 Gunakan Modul atau Layanan Keamanan Terverifikasi

16.12 Terapkan Pemeriksaan Integritas Tingkat Kode

16.13 Lakukan Pengujian Penetrasi Aplikasi

16.14 Lakukan Pemodelan Ancaman