Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for NIST

NIST

NIST Merevisi Pedoman SP 800-171 untuk Melindungi Informasi Sensitif

by

National Institute of Standards and Technology (NIST) telah memperbarui draf panduannya untuk melindungi informasi rahasia yang sensitif, dalam rangka membantu lembaga federal dan kontraktor pemerintah menerapkan persyaratan keamanan siber secara lebih konsisten.

Rancangan pedoman yang telah direvisi, Melindungi Informasi Terkontrol Terkontrol dalam Sistem dan Organisasi Nonfederal (Publikasi Khusus NIST [SP] 800-171 Revisi 3), akan menjadi perhatian khusus bagi ribuan bisnis yang melakukan kontrak dengan pemerintah federal.

Aturan federal yang mengatur perlindungan informasi yang tidak terklasifikasi (CUI), yang mencakup data sensitif seperti informasi kesehatan, informasi infrastruktur energi kritis, dan kekayaan intelektual, mengacu pada persyaratan keamanan SP 800-171.

Perubahan tersebut dimaksudkan sebagian untuk membantu bisnis ini lebih memahami bagaimana menerapkan perlindungan keamanan siber khusus yang disediakan dalam publikasi NIST yang terkait erat, SP 800-53 Rev. 5.

Penulis telah menyelaraskan bahasa kedua publikasi tersebut, sehingga bisnis dapat lebih mudah menerapkan katalog alat teknis, atau kontrol SP 800-53, untuk mencapai hasil keamanan siber SP 800-171.

Menurut NIST, pembaruan ini dirancang untuk membantu mempertahankan pertahanan yang konsisten terhadap ancaman tingkat tinggi terhadap keamanan informasi.

NIST meminta komentar publik tentang draf pedoman paling lambat 14 Juli 2023. Pembaruan penting dalam draf meliputi:
1. Perubahan untuk mencerminkan kontrol keamanan siber negara-praktik;
2. Revisi kriteria yang digunakan oleh NIST untuk mengembangkan persyaratan keamanan;
3. Meningkatkan spesifisitas dan penyelarasan persyaratan keamanan di SP 800-171 Rev. 3 dengan SP 800-53 Rev. 5, untuk membantu implementasi dan penilaian; Dan
4. Sumber daya tambahan untuk membantu pelaksana memahami dan menganalisis pembaruan yang diusulkan.

Selengkapnya: NIST

NIST Merencanakan Reformasi Cybersecurity Framework Terbesar yang Pernah Ada

by

Analisis Institut Standar dan Teknologi Nasional (NIST) AS sedang merencanakan perubahan signifikan terhadap Kerangka Keamanan Siber (CSF), pertama dalam lima tahun dan reformasi terbesar yang pernah ada.

CSF pertama kali diterbitkan pada tahun 2014 dan diperbarui ke versi 1.1 pada tahun 2018, menyediakan seperangkat pedoman dan praktik terbaik untuk mengelola risiko keamanan siber.

Kerangka kerja ini dirancang agar fleksibel dan dapat diadaptasi daripada preskriptif, dan digunakan secara luas oleh organisasi dan lembaga pemerintah, baik di dalam maupun di luar AS, untuk membuat program keamanan siber dan mengukur kematangannya.

NIST telah menerbitkan makalah konsep untuk CSF 2.0 dan membukanya untuk ditinjau lebih lanjut. Umpan balik yang dihasilkan akan digunakan untuk mengembangkan draf akhir kerangka kerja yang telah direvisi, yang akan keluar sekitar musim panas ini.

Fungsi pemerintahan baru akan bergabung dengan lima sila yang ada dengan tujuan memposisikan risiko keamanan siber bersama risiko perusahaan lainnya seperti ancaman terhadap stabilitas keuangan. Mencakup penentuan prioritas dan toleransi risiko organisasi, pelanggannya, dan masyarakat luas.

Satu masalah yang disorot selama permintaan informasi adalah kebutuhan untuk meningkatkan keselarasan kerangka kerja dengan program keamanan NIST dan non-NIST lainnya, seperti Kerangka Kerja Manajemen Risiko dan Kerangka Kerja Tenaga Kerja untuk Keamanan Siber.

Setelah berkonsultasi dengan para pemangku kepentingan, NIST memutuskan untuk tidak menggabungkan kerangka kerja privasinya dengan CSF.

Selengkapnya: The Daily Swig

QNAP Mundur Pada Cakupan Bug NAS Kritis

by

Dampak dari bug kritis yang awalnya diyakini dapat membuka 30.000 perangkat QNAP network-attached storage (NAS) untuk menyerang, kemungkinan besar dilebih-lebihkan. Para peneliti sekarang mengatakan bug injeksi kode arbitrer QNAP, dengan skor CVSS 9,8, menimbulkan sedikit ancaman bagi pengguna QNAP.

Para peneliti di Censys, yang melaporkan minggu lalu bahwa 98% perangkat QNAP (QTS 5.0.1 dan QuTS hero h5.0.1), mewakili lebih dari 30.000 instans yang sedang digunakan, tidak ditambal dan rentan terhadap serangan melalui internet. Censys sekarang memberi tahu SC Media bahwa karena QNAP kemungkinan gagal mengidentifikasi kisaran model NAS yang terpengaruh dengan benar, tidak ada perangkat perusahaan yang tampak rentan terhadap serangan melalui bug kritis (CVE-2022-27596).

Marc Light, wakil presiden ilmu data dan penelitian di Censys, mengatakan para peneliti membangun pengamatan mereka pada apa yang diposting QNAP di lampiran yang dikodekan JSON, bersama dengan penasehat NVD dari NIST.

Parkin menambahkan apapun yang terjadi dalam kasus ini, solusinya tidak berubah. Dia setuju dengan Censys bahwa perusahaan harus mengaktifkan fitur pembaruan otomatis. Parkin juga mengatakan perusahaan harus melakukan pemindaian kerentanan secara teratur, melakukan tes pena jika mereka mampu membayar biaya beberapa ribu dolar, dan mengikuti praktik terbaik.

“Yang saya maksud di sini adalah untuk perusahaan yang melakukan layanan media dan menjalankan transfer file agar tidak membuka fungsi admin ke internet publik,” kata Parkin. “Uji pena bisa bagus, tetapi sebagian besar bisnis kecil tidak memiliki sumber daya untuk membelinya.”

Penyimpanan yang terhubung ke jaringan QNAP cenderung digunakan oleh profesional TI dan pembuat konten serta profesional media di perusahaan dengan karyawan di bawah 1.000. Profesional TI menggunakan QNAP NAS untuk menambahkan lebih banyak penyimpanan atau mencadangkan server, dan profesional media menggunakan QNAP NAS untuk menyimpan dan memproses file video dan audio berukuran besar.

selengkapnya : scmagazine

NIST Mengumumkan Empat Quantum-Resistant Cryptographic Algorithms Pertama

by

National Institute of Standards and Technology (NIST) telah memilih alat enkripsi yang dirancang untuk menahan serangan komputer kuantum masa depan yang berpotensi merusak keamanan dan mengakses data sensitif. Empat Algoritma enkripsi tersebut akan menjadi bagian dari standar kriptografi pasca-kuantum NIST, yang diharapkan akan diselesaikan dalam waktu sekitar dua tahun.

Pengumuman tersebut mengikuti penelitian yang dikelola oleh NIST, yang pada tahun 2016 meminta para kriptografer dunia untuk merancang dan kemudian memeriksa apakah metode enkripsi tersebut dapat menahan serangan dari komputer quantum masa depan yang lebih kuat daripada mesin yang relatif terbatas yang tersedia saat ini.

Sedangkan empat Algoritma lainnya masih dipertimbangkan untuk dimasukkan dalam standar, NIST berencana untuk mengumumkan algoritma terpilih di masa mendatang.

Enkripsi menggunakan matematika untuk melindungi informasi elektronik yang sensitif, termasuk situs website yang kita jelajahi dan email yang kita kirim. Sistem public-key encryption yang biasa kita digunakan saat ini dapat melindungi situs web dan pesan agar tidak dapat diakses oleh pihak ketiga yang tidak diinginkan bahkan pada komputer konvensional yang tercepat.

Namun, pada komputer Quantum yang dibuat dengan teknologi yang berbeda dari komputer konvensional yang kita miliki saat ini, mampu menyelesaikan masalah enkripsi tersebut dengan cepat. Untuk mengatasi ancaman ini, empat Algoritma Quantum-Resistant bergantung pada masalah matematika yang sulit dipecahkan baik oleh komputer konvensional maupun komputer quantum, sehingga dapat mempertahankan privasi baik sekarang maupun di masa mendatang.

Empat Algoritma yang dipilih adalah CRYSTALS-Kyber sebagai Enkripsi umum untuk mengakses situs website yang aman dan CRYSTALS-Dilithium, FALCON, dan SPHINCS+ untuk digital signature.

Tiga dari algoritma yang dipilih didasarkan pada kelompok masalah matematika yang disebut kisi terstruktur, sementara SPHINCS+ menggunakan fungsi hash. Empat algoritme tambahan yang masih dalam pertimbangan dirancang untuk enkripsi umum dan tidak menggunakan kisi terstruktur atau fungsi hash dalam pendekatannya.

Sementara standar sedang dalam pengembangan, NIST mendorong pakar keamanan untuk mengeksplorasi algoritme baru dan mempertimbangkan bagaimana aplikasi mereka akan menggunakannya, namun tidak untuk dimasukkan ke dalam sistem karena algoritma dapat sedikit berubah sebelum standar diselesaikan.

Sebagai persiapan, pengguna dapat menginventarisasi sistem mereka untuk aplikasi yang menggunakan kriptografi public-key, yang perlu diganti sebelum komputer quantum yang relevan secara kriptografi muncul. Mereka juga dapat memberi tahu departemen TI dan vendor mereka tentang perubahan yang akan datang.

Sumber: NIST GOV

MITER membagikan daftar bug perangkat lunak paling berbahaya tahun ini

by

MITER membagikan 25 besar kelemahan paling umum dan berbahaya tahun ini yang memengaruhi perangkat lunak selama dua tahun kalender sebelumnya.

Kelemahan perangkat lunak adalah kekurangan, bug, kerentanan, atau berbagai kesalahan lain yang ditemukan dalam kode, arsitektur, implementasi, atau desain solusi perangkat lunak.

Mereka berpotensi mengekspos sistem yang mereka jalankan ke serangan yang dapat memungkinkan pelaku ancaman untuk mengendalikan perangkat yang terpengaruh, mendapatkan akses ke informasi sensitif, atau memicu kondisi penolakan layanan.

Untuk membuat daftar ini, MITER menilai setiap kelemahan berdasarkan prevalensi dan tingkat keparahannya setelah menganalisis data untuk 37.899 CVE dari Database Kerentanan Nasional (NVD) NIST dan Katalog Kerentanan Tereksploitasi (KEV) CISA.

25 bug teratas MITRE dianggap berbahaya karena biasanya mudah ditemukan, berdampak tinggi, dan lazim dalam perangkat lunak yang dirilis selama dua tahun terakhir.

Tabel di bawah ini memberikan wawasan tentang kelemahan keamanan paling kritis dan terkini yang memengaruhi perangkat lunak di seluruh dunia.

Selengkapnya

Pada bulan April, dalam kemitraan dengan FBI dan NSA, otoritas keamanan siber di seluruh dunia juga telah menerbitkan daftar 15 kerentanan teratas yang sering dieksploitasi oleh pelaku ancaman selama tahun 2021.

Seperti terungkap dalam penasihat bersama, aktor jahat memfokuskan serangan mereka tahun lalu pada kerentanan yang baru diungkapkan yang memengaruhi sistem yang terhubung ke internet, termasuk server email dan jaringan pribadi virtual (VPN).

Ini kemungkinan karena aktor jahat dan peneliti keamanan menerbitkan eksploitasi bukti konsep (POC) dalam waktu dua minggu setelah sebagian besar bug yang dieksploitasi teratas diungkapkan pada tahun 2021.

Namun, mereka juga memfokuskan beberapa serangan pada kelemahan lama yang ditambal bertahun-tahun sebelumnya, menunjukkan bahwa beberapa organisasi gagal memperbarui sistem mereka bahkan setelah tambalan tersedia.

CISA dan FBI juga telah menerbitkan daftar 10 kelemahan keamanan yang paling banyak dieksploitasi antara tahun 2016 dan 2019. Bug teratas yang dieksploitasi secara rutin pada tahun 2020 juga dirilis bekerja sama dengan Pusat Keamanan Siber Australia (ACSC) dan Keamanan Siber Nasional Inggris. Pusat (NCSC).

Pada bulan November, MITER juga telah membagikan daftar pemrograman, desain, dan kelemahan keamanan arsitektur paling berbahaya yang mengganggu perangkat keras sepanjang tahun lalu.

Sumber: Bleeping Computer

Kerangka Kerja Keamanan Siber NIST telah menjadi bahasa umum untuk keamanan siber internasional

by

Kerangka Kerja Keamanan Siber NIST menawarkan seperangkat pedoman yang jelas untuk menangani dan mengelola risiko keamanan siber, berdasarkan standar, pedoman, dan praktik terbaik yang ada yang diterbitkan oleh NIST.

Meskipun kerangka kerja ini awalnya dikembangkan untuk meningkatkan manajemen risiko yang berkaitan dengan infrastruktur penting di Amerika Serikat, tim keamanan dapat menggunakannya di sektor ekonomi atau masyarakat mana pun.

NIST dengan jelas menyatakan: “organisasi di luar Amerika Serikat juga dapat menggunakan kerangka kerja untuk memperkuat upaya keamanan siber mereka sendiri, dan kerangka kerja tersebut dapat berkontribusi untuk mengembangkan bahasa yang sama untuk kerja sama internasional dalam keamanan siber infrastruktur penting.”

Adapun Kerangka NIST, ada beberapa kegunaan inti yang perlu ditunjukkan. Awalnya, tim keamanan dapat memanfaatkan kerangka kerja sebagai panduan untuk membantu menentukan aktivitas mana yang paling penting untuk memastikan operasi kritis dan untuk membantu memprioritaskan investasi dan memaksimalkan dampak pengeluaran keamanan siber.

Bagi para praktisi, ini menjadi sumber yang sangat berguna yang harus dibagikan oleh industri. Pernyataan seperti dari Gedung Putih dan peringatan ransomware seperti ini yang dikeluarkan sebagai pemberitahuan bersama dari FBI, CISA, dan NSA perlu ditanggapi dengan serius.

Sementara lembaga pemerintah diharuskan mengikuti pedoman untuk melindungi infrastruktur penting, sebagian besar entitas saat ini beroperasi di sektor swasta. Ini juga terjadi secara internasional, di mana penjahat dunia maya tidak berbeda dan selalu berusaha mencari jalan masuk tanpa memperhatikan bagaimana suatu organisasi menyebarkan perusahaannya.

Selengkapnya: SC Magazine

NIST mengusulkan model untuk menilai strategi investasi keamanan siber dalam keamanan jaringan

by

NIST dan peneliti universitas telah mengusulkan model komputasi baru untuk menilai biaya keamanan siber dalam perlindungan jaringan.

Jaringan perusahaan saat ini sering menyediakan permukaan serangan yang luas, termasuk perangkat Internet of Things (IoT), produk seluler, alat kerja jarak jauh, layanan lokal dan luar, dan sistem cloud.

Mungkin menjadi tantangan bagi bisnis untuk mengetahui area terpenting dalam hal investasi keamanan siber, tetapi model komputasi baru dapat menghilangkan beberapa tebakan.

Ditulis oleh peneliti US National Institute of Standards and Technology (NIST) Van Sy Mai, Richard La, dan Abdella Battou, makalah baru yang diterbitkan di IEEE/ACM Transactions on Networking, berjudul “Optimal Cybersecurity Investments in Large Networks Using SIS Model: Algorithm Design ,” mengusulkan “cara untuk menentukan investasi optimal yang diperlukan untuk meminimalkan biaya pengamanan jaringan ini, menyediakan pemulihan dari infeksi dan memperbaiki kerusakan mereka.”

Algoritme dirancang dengan pelacakan pandemi dan penyakit sebagai inspirasi. Virus dapat menyebar melalui populasi yang tidak memiliki kekebalan melalui kontak sosial, dan virus digital juga dapat menyebar melalui jaringan dan titik kontak sistem-ke-sistem jika tidak ada perlindungan.

Model ini menggunakan kumpulan data berdasarkan perilaku jangka panjang jaringan untuk menganalisis sistem jaringan besar dan area risiko untuk menghasilkan metrik kinerja utama.

Sedangkan pelacakan tingkat vaksin dapat digunakan untuk mengukur dampak perlindungan pada tingkat risiko dan penyebaran pandemi, dalam penelitian ini, biaya keamanan rata-rata waktu dikenakan dalam melindungi elemen jaringan yang berbeda, dengan tujuan keseluruhan adalah pengembangan keamanan siber. strategi investasi.

Model “susceptible-infected-susceptible” (SIS) para peneliti mempertimbangkan investasi, kerugian ekonomi, dan persyaratan pemulihan yang disebabkan oleh infeksi malware.

Empat algoritme menilai kemungkinan jaringan dilanggar, kemungkinan tingkat penyebaran, berapa lama — dan berapa biayanya — untuk memperbaiki kerusakan dan biaya yang terkait dengan pemulihan penuh.

Penilaian ini kemudian dibandingkan dengan strategi investasi model, termasuk pemantauan dan diagnostik jaringan, untuk menghasilkan rekomendasi untuk area ‘optimal’ yang harus dikeluarkan untuk melindungi jaringan.

Studi ini mungkin menyoroti bagaimana pembelajaran mesin dapat dimanfaatkan untuk memberikan landasan bagi investasi keamanan siber di masa depan. Itu juga bisa menjadi alat yang berharga bagi pengguna perusahaan di masa depan, yang menghadapi biaya rata-rata setidaknya $ 4 juta karena pelanggaran data hari ini.

Dalam berita terkait bulan ini, NIST telah bekerja pada pelabelan produk yang ditingkatkan untuk perangkat dan perangkat lunak IoT untuk meningkatkan pendidikan keamanan siber dan untuk membantu konsumen membuat pilihan yang lebih tepat.

Sumber : ZDnet

NIST Memperbarui Pedoman Teknik Keamanan Siber

by

Dengan latar belakang peningkatan nasional risiko keamanan siber di semua industri, Institut Standar dan Teknologi Nasional memperbarui panduannya untuk para insinyur sistem.

Disebut sebagai “Sistem Aman yang Dapat Dipercaya Teknik,” dokumen tersebut berasal dari perintah eksekutif Presiden Joe Biden pada tahun 2021 yang bertujuan untuk meningkatkan pertahanan pemerintah federal setelah beberapa serangan skala besar terhadap infrastruktur penting.

Publikasi NIST adalah sumber daya untuk insinyur komputer dan profesional lainnya di sisi pemrograman upaya keamanan siber.

Mencakup lebih dari 200 halaman, publikasi ini mengambil pendekatan holistik untuk rekayasa sistem. Peneliti NIST memberikan gambaran tentang tujuan dan konsep sistem keamanan modern, terutama mengenai perlindungan aset digital sistem.

Salah satu pembaruan utama yang dibuat oleh penulis NIST dalam versi terbaru dari publikasi ini adalah penekanan baru pada jaminan keamanan. Dalam rekayasa sistem perangkat lunak, jaminan diwakili oleh bukti bahwa prosedur keamanan sistem yang diberikan cukup kuat untuk mengurangi kehilangan aset dan mencegah serangan dunia maya.

Ron Ross, seorang rekan NIST dan salah satu penulis dokumen tersebut, mengatakan kepada Nextgov bahwa jaminan sistem bertindak sebagai pembenaran bahwa sistem keamanan dapat beroperasi secara efektif.

Draf terbaru “Sistem Aman yang Dapat Dipercaya Teknik” juga melihat ke dalam elemen mendasar tentang bagaimana membangun desain aman yang dapat dipercaya, yang bergantung pada penghapusan proaktif atau mitigasi kerentanan. Ini juga mengkompilasi berbagai prinsip desain pengendalian kerugian dalam satu bagian dan menguraikan bagaimana masing-masing berfungsi.

“Membangun sistem yang aman dan dapat dipercaya tidak dapat terjadi dalam ruang hampa dengan pipa cerobong terisolasi untuk dunia maya, perangkat lunak, dan teknologi informasi,” catatan pedoman tersebut. “Sebaliknya, ini membutuhkan pendekatan holistik untuk perlindungan, pemikiran berbasis luas di semua aset di mana kerugian dapat terjadi, dan pemahaman tentang kesulitan, termasuk bagaimana musuh menyerang dan mengkompromikan sistem.”

NIST telah menerbitkan pedoman serupa dalam beberapa tahun terakhir. Pada tahun 2018, satu buku panduan berfokus pada bagaimana lembaga federal dapat mengamankan sistem teknologi informasi lama dari serangan siber. Dan pada Agustus 2021, para pejabat menerbitkan dokumen yang lebih luas tentang sistem ketahanan siber untuk organisasi sektor publik dan swasta.

Sumber : Nextgov