Metrik Dampak (Impact Metrics)

Metrik menggambarkan dampak kerentanan yang berhasil dieksploitasi. Namun demikian, analis harus dapat menentukan batasan terhadap dampak akhir yang dapat dicapai oleh penyerang. Ketika mengidentifikasi nilai metrik dampak, perlu diperhitungkan dampak terhadap sistem yang rentan (vulnerable system impact) dan dampak diluar sistem yang rentan (subsequent system impact) yang ditentukan oleh dua hal yaitu dampak sistem rentan dan dampak selanjutnya yang muncul. Jika kerentanan tidak mempunyai dampak yang terjadi diluar sistem yang rentan, maka subsequent metric akan memiliki nilai NONE (N).

Metrik dampak terdiri atas beberapa kategori berikut.

Kerahasiaan / Confidentiality (VC/SC)

Metrik mengukur dampak kerahasiaan terhadap informasi karena keberhasilan eksploitasi kerentanan. Nilai dampak terhadap kerahasiaan ditunjukkan pada Tabel berikut.

Tabel. Metrik Dampak Kerahasiaan

Nilai Metrik	*Dampak pada Vulnerable System* (VC)**	*Dampak pada Subsequent System* (SC)**
High (H)	Semua informasi didalam sistem dapat diakses penyerang, atau akses terhadap informasi yang terbatas namun berdampak serius, misalnya kredensial sistem.	Semua informasi didalam subsequent system dapat diakses penyerang, atau akses terhadap informasi yang terbatas namun berdampak serius, misalnya kredensial sistem.
Low (L)	Penyerang dapat mengakses terhadap informasi terbatas, namun tidak memiliki kendali atas informasi tersebut sehingga tidak berdampak serius atau tidak menimbulkan kerugian secara langsung terhadap sistem.	Penyerang dapat mengakses terhadap informasi terbatas, namun tidak memiliki kendali atas informasi tersebut sehingga tidak berdampak serius atau tidak menimbulkan kerugian secara langsung terhadap subsequent system.
None (N)	Tidak terdapat informasi yang terungkap / hilang	Tidak terdapat informasi yang terungkap / hilang pada subsequent system.

Integritas / Integrity (VI/SI)

Metrik mengukur dampak integritas terhadap informasi karena keberhasilan eksploitasi kerentanan. Integritas sistem terdampak ketika penyerang dapat melakukan modifikasi terhadap data / informasi di dalam sistem. Nilai dampak terhadap integritas sistem ditunjukkan pada Tabel berikut.

Tabel. Metrik Dampak Integritas

Nilai Metrik	*Dampak pada Vulnerable System* (VC)**	*Dampak pada Subsequent System* (SC)**
High (H)	Hilangnya perlindungan integritas sistem. Penyerang dapat memodifikasi seluruh file yang dilindungi didalam sistem, atau hanya dapat melakukan modifikasi pada file tertentu, namun modifikasi yang berbahaya dapat berdampak serius pada sistem.	Hilangnya perlindungan integritas sistem. Penyerang dapat memodifikasi seluruh file yang dilindungi didalam sistem, atau hanya dapat melakukan modifikasi pada file tertentu, namun modifikasi yang berbahaya dapat berdampak serius pada subsequent system.
Low (L)	Penyerang dapat melakukan modifikasi, namun tidak memiliki kendali atas akibat dari modifikasi tersebut atau jumlah modifikasi dibatasi sehingga tidak berdampak serius atau tidak menimbulkan kerugian secara langsung terhadap sistem.	Penyerang dapat melakukan modifikasi, namun tidak memiliki kendali atas akibat dari modifikasi tersebut atau jumlah modifikasi dibatasi sehingga tidak berdampak serius atau tidak menimbulkan kerugian secara langsung terhadap subsequent system.
None (N)	Tidak terdapat integritas sistem yang hilang.	Tidak terdapat integritas subsequent system yang hilang.

Ketersediaan / Availability (VA/SA)

Metrik mengukur dampak ketersediaan terhadap informasi karena keberhasilan eksploitasi kerentanan. Ketersediaan sistem terdampak ketika penyerang dapat mengganggu ketersediaan akses / membuat sistem tidak dapat diakses oleh pengguna. Nilai dampak terhadap ketersediaan sistem ditunjukkan pada Tabel berikut.

Tabel. Metrik Dampak Ketersediaan

Nilai Metrik	*Dampak pada Vulnerable System* (VC)**	*Dampak pada Subsequent System* (SC)**
High (H)	Hilangnya perlindungan ketersediaan sistem. Penyerang dapat menolak seluruh akses kedalam sistem, baik bersifat sementara maupun terus menerus (persistent). Atau penyerang dapat menolak beberapa akses, namun berdampak serius terhadap ketersediaan sistem.	Hilangnya perlindungan ketersediaan layanan subsequent system. Penyerang dapat menolak seluruh akses kedalam subsequent system, baik bersifat sementara maupun terus menerus (persistent). Atau penyerang dapat menolak beberapa akses, namun berdampak serius terhadap ketersediaan subsequent system.
Low (L)	Terdapat gangguan terhadap ketersediaan sistem, namun tidak dapat sepenuhnya menolak layanan kepada pengguna yang sah.	Terdapat gangguan terhadap ketersediaan layanan subsequent system, namun tidak dapat sepenuhnya menolak layanan kepada pengguna yang sah.
None (N)	Tidak terdapat gangguan terhadap ketersediaan sistem .	Tidak terdapat gangguan terhadap ketersediaan subsequent system

A01:2021-Broken Access Control

A02:2021 - Cryptographic Failures

A03:2021 - Injection

A04:2021 - Insecure Design Vulnerabilities

A05:2021 - Security Misconfiguration

A06:2021 - Vulnerable and Outdated Components

A07:2021 - Identification and Authentication Failures

A08:2021 - Software and Data Integrity Failures

A09:2021 - Security Logging and Monitoring

A10:2021 - Server-Side Request Forgery

Common Vulnerability Scoring System (CVSS)

Metrik Eksploitasi (Exploitation Metrics)

Metrik Dampak (Impact Metrics)

Metrik Ancaman (Threat Metrics)

Metrik Lingkungan (Environmental Metric)

a. Autentikasi

b. Manajemen Sesi

c. Persyaratan Kontrol Akses

d. Validasi Input

e. Kriptografi pada Verifikasi Statis

f. Penanganan Eror dan Pencatatan Log

g. Proteksi Data

h. Keamanan Komunikasi

i. Pengendalian Kode Berbahaya

j. Logika Bisnis

k. Keamanan File

l. Keamanan API dan Web Service

m. Keamanan Konfigurasi

Metrik Dampak (Impact Metrics)