Pendahuluan
Institut Nasional Standar dan Teknologi (NIST) mengembangkan kerangka kerja NIST 800-171 untuk menetapkan pedoman dan persyaratan keamanan dalam melindungi Informasi Tidak Terklasifikasi yang Dikendalikan (Controlled Unclassified Information/CUI).
Versi terbaru, yaitu Versi 3 (V3), membawa revisi signifikan yang memengaruhi cara organisasi menangani CUI. Dalam blog ini, saya akan membahas:
- Latar belakang NIST 800-171,
- Perubahan penting dalam Versi 3,
- Dampak bagi organisasi yang berupaya untuk tetap patuh,
- Dan bagaimana SolarWinds menyediakan berbagai solusi untuk membantu penerapan banyak persyaratan dalam NIST 800-171.
Apa itu NIST 800-171, dan bagaimana perbedaannya dengan NIST 800-53?
NIST 800-171 adalah panduan berjudul “Protecting Controlled Unclassified Information in Non-federal Systems and Organizations” yang dirancang untuk memberikan rekomendasi kepada instansi federal terkait persyaratan keamanan guna melindungi kerahasiaan Informasi Tidak Terklasifikasi yang Dikendalikan (Controlled Unclassified Information/CUI) dalam sistem dan organisasi non-federal. Panduan ini berlaku bagi komponen sistem non-federal yang:
- Memproses,
- Menyimpan,
- Mentransmisikan, atau
- Memberikan perlindungan terhadap CUI.
Jika Anda adalah kontraktor atau sub-kontraktor yang bekerja dengan instansi pemerintah di mana CUI berada dalam sistem informasi Anda, maka NIST 800-171 akan berdampak langsung pada pengelolaan keamanan Anda.
Di sisi lain, NIST 800-53 mencakup cakupan yang lebih luas. Panduan ini memberikan kerangka kerja komprehensif untuk melindungi semua informasi dan sistem federal, termasuk CUI serta jenis informasi sensitif lainnya yang dimiliki oleh pemerintah federal.
Singkatnya, NIST 800-171 difokuskan pada melindungi CUI dalam sistem non-federal, sedangkan NIST 800-53 mencakup perlindungan yang lebih menyeluruh untuk informasi federal dalam berbagai kategori.
Penjahat siber secara rutin menargetkan data federal, seperti catatan kesehatan, nomor Jaminan Sosial, dan sebagainya. Informasi semacam ini harus dilindungi, terutama saat berada di dalam sistem informasi non-federal.
Banyak kontrol dalam NIST 800-171 didasarkan pada NIST 800-53, tetapi telah disesuaikan untuk melindungi Controlled Unclassified Information (CUI) di sistem informasi non-federal. Dalam NIST 800-171, terdapat 17 “keluarga” kontrol, namun sebelum kita membahas lebih jauh mengenai kontrol tersebut, penting untuk memahami apa itu CUI.
Anda dapat melihat berbagai kategori dan subkategori CUI melalui tautan ini. Jika Anda akrab dengan informasi Sensitive but Unclassified (SBU), berbagai kategori informasi tersebut sebelumnya termasuk dalam SBU, tetapi kini digantikan oleh CUI beserta semua subkategorinya.
CUI bukanlah informasi yang terklasifikasi, tetapi melindungi CUI merupakan kepentingan utama pemerintah federal. Keamanan data ini penting untuk menjaga kepatuhan dan mencegah risiko akses tidak sah.
The latest NIST 800-171 V3 requirements
As mentioned above, organizations must follow 17 control families and 97 controls within NIST 800-171:
- Access control (16)
- Awareness and training (2)
- Audit and accountability (8)
- Configuration management (10)
- Identification and authentication (8)
- Incident response (5)
- Maintenance (3)
- Media protection (7)
- Personnel security (2)
- Physical protection (5)
- Risk assessment (3)
- Security assessment (4)
- System and communications protection (10)
- System and information integrity (5)
- Planning (3)
- System and Services Acquisition (3)
- Supply Chain Risk management (3)
We will now delve further into these categories and discuss the fundamental and derived security requirements and how SolarWinds can help. Basic security requirements are high-level, whereas derived requirements are the necessary controls put in place to meet the high-level objective of the basic requirements.
3.1 Kontrol Akses
3.1.1 – Manajemen Akun
SolarWinds® Access Rights Manager (ARM) memungkinkan admin IT dan keamanan untuk secara terpusat menyediakan, menghapus, mengelola, dan mengaudit hak akses pengguna ke sistem, data, dan file sambil melindungi organisasi dari pelanggaran keamanan.
3.1.2 – Penegakan Akses
Kategori ini membatasi akses ke sistem hanya untuk pengguna yang berwenang dan aktivitas pengguna hanya untuk fungsi yang sah. ARM membantu Anda memantau hak akses identitas dan aset Anda secara konstan dan menegakkan prinsip hak akses terbatas melalui tinjauan akses berkala. Banyak kontrol ini diimplementasikan pada tingkat kebijakan dan perangkat.
3.1.3 – Penegakan Aliran Informasi
3.1.4 – Pemisahan Tugas
3.1.5 – Prinsip Hak Akses Terbatas
SolarWinds® Security Event Manager (SEM) dapat mengaudit penyimpangan dari prinsip hak akses terbatas, seperti akses file yang tidak sah dan akses sistem yang tidak terduga. Pengauditan dapat dilakukan secara real-time atau melalui laporan. SEM juga dapat memantau Microsoft Active Directory (AD) untuk hak istimewa yang tidak sah yang diberikan kepada pengguna.
Akses pengguna yang berlebihan dapat menimbulkan risiko besar terhadap data organisasi Anda. ARM dirancang untuk membantu meningkatkan postur keamanan Anda dan mengurangi ancaman dengan:
- Memantau dan mengaudit akses yang tidak sah serta perubahan pada AD, Azure AD, file server (Windows, NetApp, EMC), Exchange, SharePoint Online, OneDrive, dan SAP R/3.
- Pembuatan pengguna berbasis template dengan otomatisasi yang ditingkatkan dapat diterapkan untuk aktivasi, deaktivasi, modifikasi, dan penghapusan akses pengguna ke server dan file.
3.1.6 – Hak Akses Terbatas – Akun Privilegian
SEM dapat memantau penggunaan akun privilegian dan mengaudit penggunaan akun privilegian untuk fungsi non-keamanan.
3.1.7 – Pencegahan Fungsi Privilegian
Eksekusi fungsi privilese, seperti membuat dan memodifikasi kunci registri serta mengedit file sistem, dapat diaudit secara real-time atau melalui laporan di SEM. Di sisi perangkat jaringan, SolarWinds® Network Configuration Manager (NCM) menyediakan sistem persetujuan perubahan di mana pengguna yang digolongkan sebagai non-privilegian hanya dapat mengeksekusi fungsi privilegian dengan persetujuan dari pengguna privilegian.
3.1.8 – Upaya Login yang Gagal
Jumlah upaya login sebelum akun terkunci umumnya ditetapkan pada tingkat kebijakan domain/sistem. SEM mengonfirmasi penegakan kebijakan penguncian menggunakan laporan dan filter. SEM juga dapat melaporkan upaya login yang gagal dan mengunci akun pengguna secara otomatis melalui fitur Active Response.
3.1.9 – Pemberitahuan Penggunaan Sistem
3.1.10 – Penguncian Perangkat
SEM dapat memblokir alamat IP, menghentikan aplikasi berbahaya, atau mengunci pengguna—secara otomatis.
3.1.11 – Terminasi Sesi
Anda juga dapat mengonfigurasi SEM untuk merespons ancaman secara otomatis dengan menghapus akun pengguna, menonaktifkan domain, keluar atau mematikan mesin.
3.1.12 – Akses Jarak Jauh
SEM dapat memantau dan melaporkan login jarak jauh. Aturan korelasi dapat dikonfigurasi untuk memberi peringatan dan merespons akses jarak jauh yang tidak terduga (misalnya, di luar jam kerja). NCM dapat mengaudit bagaimana akses jarak jauh dikonfigurasi di perangkat jaringan Anda, mengidentifikasi pelanggaran konfigurasi, dan melakukan remediasi sesuai kebutuhan.
3.1.16 – Akses Nirkabel
3.1.18 – Kontrol Akses untuk Perangkat Mobile
3.1.20 – Penggunaan Sistem Eksternal
SEM dapat mengaudit dan membatasi penggunaan perangkat penyimpanan portabel dengan fiturnya.
3.1.22 – Konten yang Dapat Diakses Secara Publik
3.2 Kesadaran dan Pelatihan
3.2.1 – Pelatihan Literasi dan Kesadaran
Bagian ini berkaitan dengan pelatihan kesadaran pengguna, terutama di sekitar keamanan informasi. Pengguna perlu mengetahui kebijakan dan prosedur serta memahami vektor serangan seperti phishing, lampiran email berbahaya, dan rekayasa sosial.
3.2.2 – Pelatihan Berbasis Peran
ARM memungkinkan organisasi untuk mengoptimalkan peran dan proses dengan menggunakan konsep pemilik data. Dengan memperkenalkan konsep peran untuk menganalisis dan memberikan hak akses, Anda memperkenalkan konsep kesadaran data dan tindakan terkait. Anda dapat memetakan bagan organisasi perusahaan dengan konsep pemilik data dan mencakup semua departemen. Kemudian, Anda dapat menugaskan karyawan ke pemilik data individu. Pemilik data menganalisis atau menetapkan hak akses kepada staf mereka.
3.3 Audit dan Akuntabilitas
3.3.1 – Pencatatan Peristiwa
SEM menawarkan pelacakan aktivitas pengguna yang disederhanakan, sehingga Anda dapat menangkap upaya login dan logout yang mencurigakan di server, workstation, dan perangkat jaringan penting.
3.3.2 – Konten Rekaman Audit
Set kontrol ini membantu memastikan log audit ada dan dipantau untuk mengidentifikasi aktivitas yang sah atau mencurigakan. Kontrol ini berkaitan dengan data yang ingin Anda masukkan ke SEM dan bagaimana log tersebut dilindungi dan disimpan. SEM dapat langsung membantu memenuhi beberapa kontrol dalam bagian ini. NCM juga mencakup fitur kuat untuk membantu dengan kontrol Audit dan Akuntabilitas, termasuk deteksi perubahan real-time, laporan perubahan konfigurasi, dan sistem persetujuan perubahan. ARM dapat melaporkan dan mengaudit sumber daya pada tingkat pengguna individu.
3.3.3 – Pembuatan Rekaman Audit
SEM membantu meninjau peristiwa yang diaudit, asalkan log yang sesuai dikirim ke SEM.
3.3.4 – Respon terhadap Kegagalan Proses Pencatatan Audit
SEM dapat menghasilkan peringatan ketika agen offline atau ketika database penyimpanan log hampir habis. SEM juga dapat memberi peringatan jika log audit dibersihkan, misalnya jika pengguna menghapus log peristiwa Windows.
3.11 Penilaian Risiko
3.11.1 – Penilaian Risiko
Penilaian risiko membantu organisasi lebih memahami kompleksitas lingkungan dan ancaman keamanan mereka sambil memberikan visibilitas real-time untuk membantu mencegah, mendeteksi, dan memperbaiki masalah keamanan. Dengan integrasi keamanan, Anda dapat melihat peristiwa terkait keamanan di jaringan, infrastruktur, aplikasi, dan database. Ini memberikan kemampuan observabilitas yang kuat untuk membantu pelanggan mengidentifikasi risiko, kerentanannya, dan status kepatuhan melalui dasbor keamanan khusus, membantu tim fokus pada masalah kritis.
3.11.2 – Pemantauan dan Pemindaian Kerentanannya
Untuk membantu mengatasi kerentanannya, dasbor kerentanannya di SolarWinds® Security Observability memungkinkan pelanggan mengidentifikasi risiko lingkungan berdasarkan kerentanannya. Fitur ini menyediakan tampilan baru bagi pelanggan untuk mengidentifikasi risiko dan kerentanannya dalam infrastruktur mereka.
Jika kerentanannya terdeteksi akibat perangkat lunak yang kedaluwarsa atau pembaruan OS yang hilang, Anda dapat menggunakan SolarWinds® Patch Manager untuk menerapkan pembaruan tersebut dan mengatasi masalahnya.