Login

100+ Soal Ahli Keamanan Siber + Kisi-kisi dan Pembahasan PPPK & CPNS

100+ Soal Ahli Keamanan Siber + Kisi-kisi dan Pembahasan PPPK & CPNS

Dalam proses seleksi CPNS dan PPPK jabatan Ahli Keamanan Siber, peserta dituntut tidak hanya memahami konsep dasar keamanan informasi, tetapi juga mampu menganalisis risiko, mengidentifikasi kerentanan, serta menerapkan strategi pertahanan yang relevan di lingkungan pemerintahan. Pada era digital yang semakin kompleks, ancaman siber berkembang pesat—mulai dari serangan malware, rekayasa sosial, hingga kebocoran data berskala besar—sehingga instansi pemerintah membutuhkan talenta yang benar-benar kompeten dalam menjaga integritas, kerahasiaan, dan ketersediaan informasi. Oleh karena itu, pemahaman terhadap struktur soal, pola pengujian, dan indikator kompetensi menjadi kunci utama bagi para kandidat untuk lolos seleksi.

Artikel ini disusun untuk memberikan gambaran menyeluruh mengenai kisi-kisi materi, contoh soal, dan pembahasan yang dirancang sejalan dengan standar kompetensi jabatan Ahli Keamanan Siber. Dengan pendekatan yang analitis dan kontekstual, pembaca akan mendapatkan pemahaman yang lebih jelas mengenai jenis kemampuan teknis dan nonteknis yang diuji. Harapannya, materi ini tidak hanya menjadi sarana latihan, tetapi juga membantu meningkatkan kesiapan strategis para calon ASN dalam menghadapi dinamika keamanan siber di lingkungan pemerintahan.

Kisi-kisi Soal Ahli Keamanan Siber – PPPK & CPNS

Berikut ini Kisi-kisi Soal Ahli Keamanan Siber PPPK & CPNS lengkap dengan poin materi dan penjelasan singkat tiap poin.

1. Dasar-Dasar Keamanan Informasi

Menilai pemahaman kandidat tentang prinsip dasar keamanan seperti confidentiality, integrity, availability (CIA Triad), konsep ancaman, serangan, risiko, serta terminologi umum dalam bidang keamanan informasi.

2. Manajemen Risiko Siber

Menguji kemampuan dalam mengidentifikasi aset, menentukan skenario ancaman, menilai dampak dan kemungkinan, serta menerapkan kontrol mitigasi berbasis standar seperti ISO 27005 atau NIST RMF.

3. Keamanan Jaringan (Network Security)

Meliputi firewall, IDS/IPS, segmentasi jaringan, VPN, model OSI, jenis serangan jaringan (DDoS, MITM, spoofing), serta kemampuan merancang arsitektur jaringan yang aman.

4. Keamanan Sistem dan Aplikasi

Menilai pemahaman tentang hardening sistem operasi, patch management, kerentanan umum (OWASP Top 10), mekanisme autentikasi & otorisasi, serta kontrol keamanan aplikasi berbasis web maupun mobile.

5. Kriptografi dan Pengamanan Data

Menguji konsep enkripsi simetris dan asimetris, hash, tanda tangan digital, sertifikat, PKI, serta penerapannya dalam komunikasi dan perlindungan data sensitif.

6. Tata Kelola Keamanan Informasi

Memahami kebijakan keamanan, SOP, audit internal, standar ISO 27001, pengelolaan insiden, serta peran dan tanggung jawab dalam struktur keamanan informasi instansi pemerintah.

7. Keamanan Cloud dan Infrastruktur Modern

Mencakup prinsip shared responsibility, keamanan layanan SaaS/PaaS/IaaS, IAM Cloud, serta praktik terbaik dalam mengamankan infrastruktur berbasis container dan virtualisasi.

8. Deteksi dan Penanganan Insiden Siber

Menilai kemampuan melakukan incident response, klasifikasi insiden, forensik digital dasar, pelaporan insiden ke CSIRT, serta pemulihan sistem pascaserangan.

9. Ancaman Siber dan Teknik Serangan Modern

Meliputi phishing, ransomware, social engineering, eksploitasi kerentanan zero-day, serangan berbasis AI, APT (Advanced Persistent Threat), dan tren terbaru dalam kejahatan siber.

10. Regulasi & Kebijakan Siber Pemerintah Indonesia

Menguji pengetahuan terkait UU ITE, PP Perlindungan Data, Permenkominfo tentang keamanan siber, serta kebijakan internal keamanan sistem pemerintah.

Contoh Soal Ahli Keamanan Siber PPPK & CPNS dan Pembahasan

Berikut ini contoh soal Ahli Keamanan Siber PPPK & CPNS, soal HOTS, bentuk pilihan ganda (A-E), disertai kunci jawaban dan pembahasan

Soal 1

Sebuah unit pemerintahan daerah menyimpan database kependudukan yang diakses oleh beberapa layanan internal (sistem administrasi, sistem layanan publik online) dan beberapa pihak ketiga (vendor pembayaran dan sistem antrian). Tim keamanan melakukan identifikasi aset dan menemukan ada satu server database kritis yang berjalan pada infrastruktur on-premises, namun backup harian otomatis disimpan di penyedia cloud eksternal. Tim risiko menilai dua skenario utama: (1) kompromi server database melalui eksploitasi kerentanan zero-day pada DBMS; (2) kebocoran data akibat kesalahan konfigurasi akses pada penyedia cloud backup. Untuk kedua skenario, jelaskan tindakan mitigasi paling efektif yang mengurangi dampak dan kemungkinan, serta jelaskan urutan prioritas implementasinya jika anggaran terbatas. Pilih jawaban yang paling tepat.

A. Prioritaskan patching dan hardening DBMS (mengurangi kemungkinan) lalu enkripsi backup di cloud (mengurangi dampak).
B. Prioritaskan enkripsi backup di cloud (mengurangi dampak) lalu pengujian patch dan sistem deteksi intrusi untuk DBMS (mengurangi kemungkinan).
C. Hentikan penggunaan cloud backup sampai audit keamanan selesai; fokus hanya pada hardening DBMS dan retensi backup lokal.
D. Terapkan segmentasi jaringan dan WAF di depan DBMS (mengurangi kemungkinan) tanpa mengubah mekanisme backup karena backup tidak berisiko tinggi.
E. Migrasi seluruh beban kerja ke cloud publik dengan IAM yang kuat untuk menghilangkan on-premise exposure.

Jawaban benar: B

Pembahasan:
Analisis: Skenario (1) adalah exploit zero-day terhadap DBMS — ini terutama meningkatkan kemungkinan kompromi; skenario (2) adalah kebocoran akibat konfigurasi cloud — ini meningkatkan dampak karena backup berisi salinan data. Dengan anggaran terbatas, mitigasi yang berdampak cepat pada dampak dan kemudian mengurangi kemungkinan adalah efisien.
Kenapa bukan A: Patching DBMS memang penting untuk mengurangi kemungkinan, namun jika backup di cloud sudah terkonfigurasi salah, maka data sensitif sudah terekspos terlepas dari patching. Mengamankan backup (mis. enkripsi end-to-end, kunci yang dikelola lokal) segera mengurangi dampak kebocoran. Setelah itu, menguatkan DBMS lewat patching, hardening, dan deteksi intrusi menurunkan kemungkinan exploitation.
B benar karena urutan mitigasi logis dengan sumber daya terbatas: 1) lindungi cadangan (penurunan dampak cepat), 2) lakukan patching, pentest, dan deteksi untuk mengurangi kemungkinan.
C salah karena menghentikan cloud backup tanpa solusi pengganti meningkatkan risiko kehilangan data (ketersediaan).
D salah karena mengabaikan backup yang nyata risikonya.
E terlalu besar, mahal, dan berisiko operasional—bukan solusi prioritas untuk anggaran terbatas.

Soal 2

Anda mendesain arsitektur untuk layanan publik yang harus tetap tersedia walau diserang DDoS. Infrastruktur terdiri dari beberapa web server di DMZ, load balancer on-premises, dan koneksi internet tunggal melalui ISP. Anggaran untuk mitigasi DDoS terbatas sehingga Anda hanya dapat memilih dua tindakan berikut (kombinasi dua). Pilih kombinasi yang paling efektif untuk mempertahankan ketersediaan layanan dan meminimalkan dampak terhadap infrastruktur internal.

  1. Menambah kapasitas link internet (bandwidth burst).
  2. Menerapkan rate limiting dan WAF di layer aplikasi pada load balancer.
  3. Mengontrak layanan scrubbing/anti-DDoS dari ISP atau penyedia cloud.
  4. Mengisolasi semua server internal dari DMZ dan menutup port non-esensial.
  5. Menyebarkan CDN publik di depan aplikasi untuk cache konten statis.

Pilihan:
A. 1 + 2
B. 2 + 3
C. 3 + 4
D. 2 + 5
E. 1 + 4

Jawaban benar: D

Pembahasan:
Analisis: Untuk mempertahankan ketersediaan selama DDoS dan dengan anggaran terbatas memilih dua tindakan, yang paling cost-effective dan berdampak besar adalah kombinasi proteksi di layer aplikasi (rate limiting & WAF) dan penggunaan CDN untuk offload lalu lintas statis.
Alasan:

  • CDN (5) dapat menyerap lalu lintas berbasis HTTP/HTTPS dan mengurangi beban origin server—efektif untuk konten statis dan sebagian dinamis (dengan caching).
  • Rate limiting + WAF (2) membantu memblok pola serangan apliasi, melindungi terhadap HTTP flood dan serangan berbasis aplikasi.
    Mengapa bukan 3 (scrubbing): sangat efektif tetapi sering mahal dan mungkin melebihi anggaran; jika anggaran terbatas dan hanya memilih dua, CDN+WAF memberikan perlindungan baik dan relatif lebih murah.
    1 (menambah bandwidth) hanya menaikkan ambang serangan tetapi bukan mitigasi jangka panjang (biaya terus meningkat).
    4 (isolasi internal) adalah praktik baik untuk pertahanan berlapis, tetapi tidak menangani volume serangan yang ditujukan ke DMZ; juga bukan prioritas jika tujuan utama adalah menjaga layanan publik tetap tersedia.

Soal 3

Sebuah aplikasi pemerintahan melayani transaksi yang menuntut pembuktian integritas dokumen dan non-repudiasi. Tim teknis mempertimbangkan dua pendekatan: (A) menyimpan hash dokumen (SHA-256) di database terpusat dan menandatangani hash tersebut menggunakan private key server; (B) menerapkan infrastruktur PKI di mana dokumen ditandatangani oleh pengguna menggunakan sertifikat digital berbasis smartcard. Bandingkan kedua pendekatan dari segi: keamanan (integritas & non-repudiasi), skalabilitas operasional, dan kepatuhan hukum/forensik. Pilih opsi yang paling tepat untuk sistem pemerintahan yang bertujuan legal non-repudiasi kuat.

A. Pilih A — lebih sederhana dan cukup jika hanya butuh bukti integritas internal.
B. Pilih B — PKI smartcard memberikan bukti non-repudiasi kuat dan kepatuhan hukum lebih baik.
C. Gabungkan A dan B: hash disimpan terpusat dan pengguna menandatangani hash dengan sertifikat.
D. Gunakan A tetapi tambahkan TSP (Time-Stamping) eksternal untuk non-repudiasi.
E. Hindari keduanya; cukup gunakan HMAC dengan kunci rahasia server.

Jawaban benar: C

Pembahasan:
Analisis: Untuk tujuan pemerintahan dengan kebutuhan non-repudiasi yang kuat (mis. bukti di pengadilan), solusi terbaik menggabungkan kekuatan kedua pendekatan.

  • A (hash disimpan & server signed): memastikan integritas tapi tanda tangan server hanya membuktikan server mengeluarkan tanda tangan, bukan identitas pengguna—tidak cukup untuk non-repudiasi pengguna.
  • B (PKI smartcard oleh pengguna): memberikan bukti kuat bahwa pengguna menandatangani dokumen (non-repudiasi), namun secara operasional kompleks (pemrosesan sertifikat, revocation, distribusi smartcard).
    Gabungan (C): Dokumen di-hash, pengguna menandatangani hash dengan sertifikatnya; hash dan tanda tangan disimpan di log tersegmen (append-only) — ini memberi integritas, non-repudiasi, dan jejak audit yang kuat. Tambahan: gunakan layanan time-stamping untuk memperkuat validitas waktu tanda tangan dan gunakan OCSP/CRL management untuk memeriksa status sertifikat.
    D (A + TSP) memperkuat timestamping tetapi masih tidak membuktikan identitas pengguna.
    E (HMAC) bergantung pada kunci rahasia bersama — tidak memberikan non-repudiasi karena pihak lain yang memegang kunci bisa menghasilkan tag.

Soal 4

Suatu organisasi mendeteksi adanya exfiltrasi data karena peningkatan traffic terenkripsi ke domain eksternal yang tidak dikenal pada jam tidak biasa. Log menunjukkan user service account (bukan user manusia) melakukan transfer bertahap file sensitif ke endpoint tersebut. Tim incident response (IR) harus menentukan apakah ini kompromi akun layanan, aktivitas terotorisasi baru (mis. integrasi 3rd-party), atau false positive akibat backup terjadwal. Urutkan langkah analisis forensik yang paling tepat dari temuan awal hingga keputusan mitigasi sementara, dan jelaskan alasan setiap langkah. Pilih jawaban terbaik.

A. Blokir koneksi ke domain eksternal → ambil snapshot memori dan disk dari server → matikan akun layanan → jalankan forensic analysis offline.
B. Ambil snapshot memori dan disk dari server → kumpulkan log jaringan dan auth → cross-check change control/asset inventory untuk integrasi → jika indikasi kompromi, nonaktifkan akun dan isolasi host.
C. Nonaktifkan semua service account secara sementara → ambil evidence dari server → hubungi vendor cloud untuk investigasi.
D. Hapus file transfer dari server agar tidak menyebar → reset password akun layanan → lanjutkan operasi normal.
E. Hubungi pihak hukum terlebih dahulu sebelum mengambil tindakan teknis agar bukti tidak terkontaminasi.

Jawaban benar: B

Pembahasan:
Analisis: Prosedur IR forensik harus menjaga bukti, mengumpulkan konteks, dan menentukan tindakan mitigasi proporsional. Urutan yang benar: collect evidence in situ (snapshot memory/disk), gather logs (network, auth, app), cross-check change control/izin integrasi untuk menyingkirkan aktivitas terotorisasi, lalu jika indikasi kompromi → isolate & disable.
Mengapa B benar: Mengumpulkan bukti lebih dulu (volatile memory, disk image) penting agar informasi yang mudah hilang tidak terhapus. Mengumpulkan logs dan memeriksa change control membantu membedakan antara kompromi vs integrasi yang sah. Hanya setelah indikasi kompromi jelas, lakukan isolasi dan nonaktifkan akun untuk mencegah kerugian lebih lanjut.
A salah karena memblokir koneksi dulu bisa menghentikan exfiltrasi tetapi melakukan tindakan agresif (memblokir) sebelum pengambilan evidence (snapshot) bisa menghilangkan informasi forensik penting; juga mematikan akun layanan sebelum evidence collection dapat menghapus jejak otentikasi.
C dan D salah karena melakukan tindakan luas (menonaktifkan semua service account atau menghapus file) tanpa bukti dapat merusak operasi dan bukti.
E salah sebagai langkah awal — melibatkan pihak hukum penting tetapi tidak menghalangi tindakan teknis forensik awal; tindakan pengumpulan bukti tidak harus ditunda sampai kontak hukum, asalkan prosedur chain of custody dipatuhi.

Soal 5

Sebuah kementerian merencanakan migrasi sistem internal ke model hybrid cloud. Kepala unit IT menginginkan kontrol yang kuat atas data sensitif (NIP, dokumen identitas) dan keharusan kepatuhan terhadap regulasi nasional mengenai perlindungan data. Anda diminta menyusun tiga kontrol teknis dan dua kontrol tata kelola (governance) yang harus diprioritaskan agar migrasi memenuhi prinsip shared responsibility, keamanan data, dan kepatuhan. Pilih kombinasi yang paling tepat.

A. Teknis: enkripsi data at-rest pada cloud + VPC peering private link + SSO terpusat; Governance: definisi SLA keamanan dengan penyedia + kebijakan klasifikasi data.
B. Teknis: enkripsi end-to-end dengan kunci dikelola oleh kementerian (BYOK) + IAM granular & least privilege + logging/monitoring terpusat (SIEM); Governance: kebijakan pemrosesan data & perjanjian pemrosesan data (DPA) dengan penyedia.
C. Teknis: backup otomatis ke lokasi multi-region + gunakan SaaS untuk semua layanan non-sensitif + disable local admin; Governance: audit tahunan oleh pihak ketiga + SOP pemulihan bencana.
D. Teknis: hanya gunakan private cloud on-premises untuk data sensitif + migrasi penuh ke cloud publik untuk lainnya + hapus semua data yang tidak aktif; Governance: pelaporan bulanan ke pimpinan + pelatihan security awareness.
E. Teknis: gunakan containerization tanpa enkripsi khusus + otomatisasi deployment CI/CD + monitoring dasar; Governance: pembentukan tim kecil CSIRT + definisi flow eskalasi insiden.

Jawaban benar: B

Pembahasan:
Analisis: Untuk hybrid cloud yang mengutamakan kontrol kementerian atas data sensitif dan kepatuhan, kontrol teknis yang kuat dan governance yang jelas adalah kunci.
Mengapa B:

  • Teknis: BYOK (Bring Your Own Key) atau kunci yang dikelola kementerian memberikan kontrol kriptografis langsung terhadap enkripsi data di cloud—meningkatkan kepatuhan dan mitigasi risiko kebocoran. IAM granular + prinsip least privilege mencegah akses yang tidak semestinya. Logging/monitoring terpusat (SIEM) memberikan deteksi dan audit trail penting untuk forensik dan kepatuhan.
  • Governance: kebijakan pemrosesan data (internal) dan Data Processing Agreement (DPA) dengan penyedia memperjelas tanggung jawab, akses, retention, dan kepatuhan hukum.
    Mengapa bukan A: VPC peering/private link dan SSO berguna, tapi enkripsi dengan kunci lokal dan monitoring SIEM lebih kritikal untuk kepatuhan. SLA dan klasifikasi data diperlukan, namun DPA dan kebijakan pemrosesan lebih langsung terkait legalitas dan compliance.
    C, D, E tidak optimal — beberapa pilihan baik tetapi tidak memberikan kombinasi teknis + governance paling kuat untuk kontrol kunci dan kepatuhan.

Soal 6

Sebuah server aplikasi pada instansi pemerintah mengalami perlambatan signifikan setiap kali terjadi peningkatan permintaan publik. Saat dilakukan pemeriksaan, ditemukan bahwa server menjalankan banyak proses tidak dikenal, ada modul kernel pihak ketiga, serta koneksi outbound periodik menuju IP yang tidak terdaftar dalam whitelist. Tim IT belum yakin apakah ini adalah kesalahan konfigurasi, malware, atau aktivitas penjadwalan otomatis. Untuk menentukan tindakan prioritas dalam kondisi layanan harus tetap berjalan, langkah mana yang paling tepat dan berurutan?

A. Restart server untuk menghapus proses tidak dikenal → lakukan update OS → lakukan hardening ulang.
B. Isolasi server dari internet → lakukan memory dump dan analisis → bandingkan modul kernel dengan baseline → tentukan kerentanan sebelum memutuskan mitigasi.
C. Lakukan update antivirus → hapus proses mencurigakan secara manual → lakukan patching berkala.
D. Matikan modul kernel tidak dikenal → lanjutkan operasi server → audit sistem di luar jam kerja.
E. Serahkan semua investigasi ke vendor eksternal tanpa tindakan teknis lokal agar bukti tidak berubah.

Jawaban: B

Pembahasan:
Isolasi adalah langkah pertama yang aman untuk mencegah komunikasi berbahaya tanpa mengganggu layanan internal. Setelah terisolasi, pengambilan memory dump penting untuk menangkap proses aktif, koneksi, dan artefak malware yang volatil. Membandingkan modul kernel dengan baseline adalah bagian penting dari deteksi rootkit. Ini mendukung proses forensik sambil tetap menjaga server beroperasi secara internal.
A salah—restart justru menghapus bukti volatil.
C salah—antivirus tidak bisa diandalkan sebagai metode utama dalam kemungkinan kompromi tingkat kernel.
D berbahaya—mematikan modul kernel tanpa analisis dapat merusak sistem.
E terlalu pasif—tim lokal harus mengambil tindakan awal untuk menjaga bukti dan menghentikan kerusakan.

Soal 7

Suatu lembaga negara ingin meningkatkan kepatuhan terhadap keamanan informasi dan menerapkan ISO 27001. Selama audit awal, ditemukan beberapa masalah: (1) tidak adanya dokumentasi klasifikasi informasi, (2) tidak konsisten dalam pengelolaan akses antar unit, (3) kurangnya pelatihan keamanan bagi pegawai, dan (4) tidak ada mekanisme pengelolaan risiko rutin. Jika lembaga ingin mencapai kepatuhan minimal namun kokoh dalam kurun 6–9 bulan, kombinasi langkah mana yang paling strategis dan sesuai kerangka ISO 27001?

A. Mulai dengan penyusunan kebijakan pelatihan → lakukan penilaian risiko → terbitkan SOP akses, tanpa perlu klasifikasi informasi.
B. Lakukan dokumentasi klasifikasi informasi → terapkan risk assessment → susun SOP akses → lakukan pelatihan berkelanjutan.
C. Fokus pada pelatihan pegawai → terapkan MFA di seluruh sistem → lakukan audit akses.
D. Terapkan risk assessment saja karena dapat mencakup semua poin lain secara otomatis.
E. Hanya lakukan SOP akses dan pelatihan pegawai agar proses dapat berjalan cepat.

Jawaban: B

Pembahasan:
ISO 27001 menekankan pendekatan sistematis: identifikasi aset dan klasifikasi, identifikasi risiko, pengendalian akses, dan peningkatan kompetensi pegawai. Urutan B paling sesuai kerangka standar: mulai dari klasifikasi informasi (pondasi kontrol), lanjut penilaian risiko, kemudian definisi SOP akses, dan terakhir pelatihan untuk memastikan implementasi berjalan.
A tidak lengkap karena melewatkan klasifikasi, hal yang fundamental.
C hanya menguatkan teknis, tapi tidak menyentuh manajemen.
D keliru—risk assessment tidak otomatis mencakup area lain.
E tidak memenuhi standar ISO.

Soal 8

Unit CSIRT pemerintah mendeteksi adanya pola serangan yang menyerupai APT (Advanced Persistent Threat). Tanda-tandanya termasuk persistence melalui scheduled task tersembunyi, komunikasi terenkripsi ke Command and Control (C2), dan upaya enumerasi internal. Namun penyerang sangat berhati-hati, menjalankan perintah hanya setiap 12 jam. Tim harus memilih strategi defensif yang paling efektif agar dapat menahan serangan, mengumpulkan bukti, dan meminimalkan eskalasi sebelum melakukan eradikasi penuh. Strategi mana yang paling tepat?

A. Segera memutus seluruh koneksi ke server dan menghapus semua artefak yang terdeteksi.
B. Membiarkan serangan berlangsung untuk mempelajari pola lebih dalam tanpa isolasi sama sekali.
C. Melakukan silent isolation (membatasi koneksi keluar tanpa mematikan host), menerapkan sensor tambahan, lalu mengumpulkan bukti sebelum tindakan eradikasi menyeluruh.
D. Mengarahkan traffic C2 ke honeypot untuk menipu penyerang tanpa mengisolasi host.
E. Melakukan shutdown server agar penyerang tidak dapat melanjutkan aktivitas.

Jawaban: C

Pembahasan:
Pada serangan APT, tindakan terlalu agresif bisa membuat penyerang mengubah taktik atau menghapus jejak. Silent isolation membatasi koneksi secara selektif sehingga serangan tidak berkembang, sambil memungkinkan tim mengumpulkan bukti. Penambahan sensor (EDR, network tap) memberi visibilitas sehingga eradikasi berikutnya lebih akurat.
A & E terlalu drastis—bukti volatil hilang.
B berisiko tinggi—penyerang dapat menimbulkan kerusakan lebih besar.
D bisa relevan secara ofensif, tetapi tidak ideal sebagai langkah awal karena musuh masih berada di dalam sistem.

Soal 9

Sebuah aplikasi layanan publik mengalami peningkatan serangan terhadap modul login. Analisis log menunjukkan brute force login, parameter tampering, dan injection pada endpoint tertentu. Pengembang ingin memperkuat keamanan aplikasi secara cepat namun tetap mempertahankan kompatibilitas dengan infrastruktur lama. Jika harus memilih kombinasi tindakan yang paling realistis namun efektif dalam waktu singkat, mana yang paling tepat?

A. Mengintegrasikan CAPTCHA adaptif + menambahkan rate limiting + menerapkan server-side validation ketat.
B. Membangun ulang seluruh modul login menggunakan framework modern berbasis microservices.
C. Menghilangkan login password, menggantinya dengan autentikasi biometrik wajib.
D. Menambah firewall fisik dan mengganti server aplikasi dengan perangkat baru.
E. Mengalihkan login ke platform OAuth eksternal tanpa mengevaluasi dampak integrasi.

Jawaban: A

Pembahasan:
Serangan brute force, tampering, dan injection membutuhkan solusi cepat yang tidak mengubah arsitektur besar. CAPTCHA adaptif mengurangi brute force; rate limiting membatasi request berlebihan; server-side validation mengurangi risiko injection dan parameter tampering. Ini dapat diterapkan cepat tanpa rekonstruksi total.
B terlalu mengambil waktu & risiko tinggi.
C tidak realistis dan tidak ramah pengguna.
D tidak menyelesaikan masalah aplikasi.
E berpotensi menambah risiko baru tanpa perencanaan.

Soal 10

Suatu instansi pemerintah berencana menggunakan layanan cloud internasional untuk menyimpan sebagian data pelayanan publik. Namun regulasi nasional menyatakan bahwa data tertentu, seperti data kependudukan dan biometrik, harus disimpan di wilayah Indonesia atau di penyedia yang memenuhi syarat keamanan tertentu. Instansi ingin tetap memanfaatkan cloud global sambil memastikan kepatuhan. Langkah mana yang paling tepat?

A. Menyimpan seluruh data di cloud internasional asalkan dienkripsi.
B. Menggunakan arsitektur hybrid: data sensitif disimpan pada penyedia cloud yang berlokasi di Indonesia, sedangkan data non-sensitif dipindahkan ke cloud global.
C. Menyimpan data sensitif di cloud global tetapi menambahkan enkripsi 256-bit untuk memenuhi persyaratan hukum.
D. Melakukan override terhadap kebijakan nasional dengan persetujuan kepala unit IT.
E. Menghindari penggunaan cloud sama sekali agar tidak melanggar regulasi.

Jawaban: B

Pembahasan:
Regulasi nasional mengatur lokasi penyimpanan data tertentu, sehingga data kependudukan dan biometrik harus tetap berada di dalam wilayah atau pada penyedia yang memenuhi standar keamanan lokal. Pendekatan hybrid memenuhi kebutuhan ini—fleksibel secara operasional, tetap patuh hukum.
A & C tidak cukup—enkripsi saja tidak memenuhi aturan lokasi fisik data.
D ilegal.
E terlalu konservatif dan menghambat inovasi teknologi.

Soal 11

Sebuah serangan ransomware berhasil menembus salah satu unit layanan internal pemerintah. Sistem terenkripsi, namun tidak ada indikasi bahwa data berhasil dieksfiltrasi. Backup tersedia, tetapi belum pernah diuji penuh selama 9 bulan terakhir. Sementara itu, layanan publik harus tetap berjalan dan pimpinan meminta estimasi pemulihan tercepat. Anda sebagai analis keamanan diminta menentukan pendekatan pemulihan yang paling aman dan logis.

A. Lakukan restore penuh dari backup tanpa melakukan analisis forensik karena yang penting adalah layanan cepat pulih.
B. Lakukan analisis forensik terlebih dahulu, isolasi seluruh host yang terinfeksi, uji integritas backup pada lingkungan terpisah, lalu lakukan pemulihan bertahap.
C. Bayar tebusan untuk mendapatkan dekripsi lebih cepat agar layanan segera pulih.
D. Gunakan tool decryptor generik dan langsung diterapkan ke seluruh server.
E. Membangun ulang seluruh sistem dari nol, tanpa menggunakan backup lama.

Jawaban: B

Pembahasan:
Analisis forensik tetap diperlukan untuk memastikan tidak ada persistence, backdoor, atau malware lain yang tertinggal. Backup tidak boleh langsung dipakai tanpa diuji karena sudah 9 bulan tidak diverifikasi. Pengujian di lingkungan terpisah memastikan integritas data sebelum restore. Restorasi bertahap mencegah kerusakan lanjutan.
A salah—restore cepat tanpa forensik sangat berbahaya.
C tidak direkomendasikan secara etis maupun operasional.
D berisiko menyebabkan korupsi data.
E tidak efisien dan memperlambat pemulihan.

Soal 12

Sebuah instansi besar dengan ribuan pegawai menerapkan konsep Zero Trust. Namun, tim menemukan beberapa masalah: (1) perangkat BYOD belum tervalidasi, (2) akses aplikasi masih berbasis network perimeter tradisional, (3) belum ada segmentasi identitas, dan (4) tidak ada evaluasi continuous authentication. Untuk meningkatkan Zero Trust secara bertahap tanpa mengganggu operasional, langkah mana yang paling tepat sebagai urutan prioritas awal?

A. Terapkan MFA kuat untuk seluruh pegawai → validasi perangkat → segmentasi identitas → continuous authentication.
B. Terapkan continuous authentication terlebih dahulu karena paling modern.
C. Terapkan segmentasi jaringan—cukup untuk Zero Trust.
D. Tidak perlu Zero Trust jika perimeter firewall sudah kuat.
E. Nonaktifkan BYOD sepenuhnya agar risiko hilang.

Jawaban: A

Pembahasan:
Zero Trust memerlukan fondasi identitas yang kuat sebelum kontrol lanjutan. MFA adalah langkah pertama yang mudah diterapkan dan berdampak besar. Validasi perangkat (device posture) adalah langkah berikut untuk memastikan akses tidak dilakukan dari perangkat berisiko. Segmentasi identitas mengurangi lateral movement. Continuous authentication dapat dilakukan setelah fondasi terbentuk.
B salah—continuous authentication tidak berguna tanpa identitas/perangkat yang tervalidasi.
C tidak cukup.
D bertentangan dengan Zero Trust itu sendiri.
E tidak realistis operasional.

Soal 13

Layanan publik menggunakan API untuk menghubungkan beberapa sistem eksternal (bank, layanan kependudukan, dan layanan internal). Selama uji penetrasi, ditemukan beberapa kelemahan: token tidak memiliki expiry pendek, rate limiting rendah, logging tidak konsisten, dan API tidak menerapkan mutual TLS. Jika Anda harus memilih dua prioritas utama yang secara signifikan mengurangi risiko penyalahgunaan API, tindakan mana yang paling tepat?

A. Menambahkan dekorasi UI pada portal developer agar dokumentasi lebih mudah dibaca.
B. Menerapkan mutual TLS dan memperpendek masa hidup token (short-lived token).
C. Menambah server baru agar API lebih cepat.
D. Menerapkan caching respons API di sisi pengguna.
E. Menambahkan watermark digital pada data API.

Jawaban: B

Pembahasan:
Mutual TLS memastikan bahwa kedua pihak (klien & server) terautentikasi secara kuat—mengurangi risiko penyalahgunaan kredensial API. Short-lived token membatasi waktu token dapat dicuri dan disalahgunakan. Kombinasi ini memberikan penguatan signifikan dan langsung.
A kosmetik dan tidak relevan.
C tidak mengurangi risiko keamanan.
D tidak terkait keamanan.
E berguna untuk pelacakan, namun tidak mencegah akses ilegal.

Soal 14

Sebagian besar insiden siber terbaru pada instansi pemerintah berasal dari phishing, whaling, dan credential harvesting. Pegawai memiliki tingkat kesadaran keamanan rendah. Instansi ingin meningkatkan efektivitas pertahanan manusia (human firewall) dengan pendekatan yang terukur. Program mana yang paling tepat untuk diterapkan secara berkelanjutan?

A. Mengirim email pengumuman tentang bahaya phishing setiap bulan.
B. Mengadakan pelatihan online satu kali di awal tahun.
C. Mengadakan program phishing simulation berkala → memberikan pelatihan berbasis hasil → mengukur perubahan perilaku melalui metrik.
D. Melarang pegawai membuka email eksternal.
E. Melakukan pemotongan tunjangan setiap kali pegawai salah mengklik tautan berbahaya.

Jawaban: C

Pembahasan:
Simulasi phishing + pelatihan berbasis hasil adalah praktik terbaik modern. Pendekatan ini memberikan pengalaman nyata, meningkatkan kesadaran perilaku, dan dapat diukur melalui metrik, sehingga peningkatan bisa dilacak dari waktu ke waktu.
A tidak cukup mendalam.
B tidak berkelanjutan.
D tidak realistis.
E bersifat hukuman dan kontraproduktif.

Soal 15

Sebuah instansi telah menggunakan SIEM, tetapi alert fatigue tinggi karena terlalu banyak peringatan yang tidak relevan. Tim keamanan sering melewatkan alert penting. Setelah melakukan audit, ditemukan bahwa korelasi aturan (correlation rules) belum diperbarui, whitelist tidak lengkap, dan belum ada prioritas berbasis risiko. Untuk meningkatkan efektivitas SIEM tanpa menambah staf, langkah mana yang paling tepat?

A. Menonaktifkan sebagian besar alert untuk mengurangi kelelahan tim.
B. Menambahkan lebih banyak sensor agar SIEM memiliki lebih banyak data.
C. Melakukan tuning SIEM: memperbarui correlation rules → membuat risk-based prioritization → menyusun whitelist dinamis.
D. Mengganti seluruh SIEM dengan produk lain.
E. Mendelegasikan alert SIEM ke pegawai yang tidak memiliki latar belakang keamanan.

Jawaban: C

Pembahasan:
Tuning SIEM adalah langkah paling efektif untuk mengurangi alert fatigue. Dengan memperbarui correlation rules, hanya alert berkualitas tinggi yang muncul. Prioritas berbasis risiko memungkinkan tim fokus ke insiden paling kritis. Whitelist dinamis mencegah alert palsu dari aktivitas yang sah.
A berbahaya karena alert penting bisa hilang.
B menambah data justru menambah beban.
D tidak menyelesaikan akar masalah.
E tidak aman.

Soal 16

Sebuah instansi pemerintah mendeteksi lonjakan trafik keluar yang tidak lazim dari salah satu server layanan publik. Setelah dilakukan pengecekan log, ditemukan bahwa server tersebut melakukan koneksi ke beberapa alamat IP asing yang sebelumnya tidak pernah berinteraksi dengan sistem. Tidak ada tanda-tanda perubahan konfigurasi sistem, namun terdapat script yang berjalan secara berkala dengan nama yang mirip proses bawaan OS. Tim keamanan menduga terjadi kompromi, tetapi belum menemukan bukti adanya eskalasi hak akses. Dalam konteks incident response yang sesuai dengan standar NIST, langkah PALING KRITIS yang harus dilakukan tim sebelum memutus koneksi jaringan adalah…

A. Melakukan patching segera untuk menutup potensi celah kerentanan yang mungkin dimanfaatkan
B. Mengambil full forensic image dari sistem secara utuh untuk menjaga integritas bukti digital
C. Melakukan pemutusan jaringan sesegera mungkin untuk mencegah komunikasi keluar
D. Melakukan analisis statis pada script yang ditemukan untuk mengetahui fungsi dan tujuannya
E. Mengaktifkan sistem IDS tambahan untuk meningkatkan visibilitas aktivitas mencurigakan

Jawaban: B

Pembahasan:

Sebelum melakukan tindakan yang dapat mengubah kondisi sistem (misalnya memutus jaringan), tim harus mengamankan bukti digital terlebih dahulu, yaitu dengan membuat forensic image yang lengkap dan terverifikasi. Langkah ini krusial agar proses investigasi tetap sah dan data tidak rusak. Memutus koneksi terlalu cepat dapat menghilangkan bukti dalam memori atau proses berjalan. Analisis atau patching juga tidak boleh dilakukan sebelum bukti diambil.

Soal 17

Sebuah layanan API pemerintah menggunakan autentikasi token bearer yang berlaku 24 jam. Namun, baru-baru ini terjadi insiden pencurian token akibat serangan session hijacking terhadap salah satu pegawai. Tim keamanan berencana meninjau ulang mekanisme autentikasi. Dari perspektif keamanan aplikasi modern berbasis OWASP, strategi mana yang PALING EFEKTIF untuk menurunkan risiko penyalahgunaan token tanpa mengorbankan kenyamanan pengguna secara signifikan?

A. Mewajibkan rotasi token otomatis setiap 5 menit
B. Menerapkan token dengan batasan konteks (IP-binding, device-binding, atau scope terbatas)
C. Menghapus penggunaan token dan menggantinya dengan login ulang setiap permintaan API
D. Menyimpan token di local storage untuk mencegah akses via cookie
E. Menggunakan enkripsi tambahan pada penyimpanan token agar serangan hijacking tidak berdampak

Jawaban: B

Pembahasan:

Token yang dicuri akan sulit dipakai jika diberi context-bound seperti pembatasan IP, perangkat, atau ruang lingkup akses. Ini adalah praktik modern yang efektif mengurangi risiko penyalahgunaan. Token rotasi terlalu cepat dapat mengganggu layanan. Login ulang setiap request tidak realistis. Penyimpanan atau enkripsi token tidak mencegah penyerang memanfaatkan token yang sudah dicuri dari memori.

Soal 18

Sebuah aplikasi web pemerintah menggunakan Web Application Firewall (WAF) untuk memfilter serangan. Namun, meskipun WAF aktif, tim menemukan bahwa penyerang berhasil melakukan SQL injection melalui parameter tertentu yang telah “di-whitelist” untuk alasan kompatibilitas layanan. Setelah evaluasi, tim mendapati bahwa developer terlalu sering menambahkan pengecualian pada WAF untuk mempercepat penyelesaian tiket layanan. Dalam konteks tata kelola keamanan aplikasi, manakah kebijakan yang PALING TEPAT untuk mencegah kejadian serupa?

A. Mewajibkan developer melakukan penulisan ulang fitur agar tidak membutuhkan whitelist
B. Mengubah WAF ke mode strict tanpa pengecualian dalam kondisi apa pun
C. Memperkuat proses change management dengan validasi keamanan wajib pada setiap permintaan whitelist
D. Mengganti WAF dengan firewall jaringan tradisional yang lebih stabil
E. Membatasi akses developer ke pengaturan WAF sepenuhnya

Jawaban: C

Pembahasan:

Masalah utamanya adalah change management yang lemah, sehingga pengecualian WAF dilakukan tanpa proses keamanan yang memadai. Solusi tepat adalah memperkuat prosedur perubahan agar setiap whitelist harus melalui review keamanan wajib. Menghapus semua whitelist tidak realistis. Mengganti WAF tidak menyelesaikan akar masalah. Membatasi developer tanpa prosedur tetap dapat menghambat operasional.

Soal 19

Tim keamanan menemukan pola serangan brute-force yang sangat lambat dan terdistribusi, di mana setiap percobaan login berasal dari IP yang berbeda dalam interval yang acak. Serangan seperti ini tidak terdeteksi oleh sistem rate-limiting konvensional karena batas waktu login tidak pernah terlampaui. Untuk mencegah serangan ini, kontrol keamanan mana yang PALING SESUAI diterapkan?

A. Memperketat rate-limit menjadi satu percobaan login per jam
B. Menerapkan CAPTCHA adaptif pada login berbasis pola perilaku pengguna
C. Mengaktifkan lockout akun permanen setelah 5 kegagalan login
D. Membatasi login hanya dari alamat IP lokal pemerintahan
E. Menghapus mekanisme login password dan menggantinya dengan SSO

Jawaban: B

Pembahasan:

Serangan brute-force terdistribusi sering lolos dari rate-limit, sehingga solusi tepat adalah CAPTCHA adaptif yang aktif berdasarkan pola perilaku, bukan hanya jumlah percobaan. Rate-limit ekstrem (A) membuat sistem tidak usable. Lockout permanen berbahaya dan mudah dieksploitasi untuk DoS. Pembatasan IP tidak praktis. Menghapus password bukan solusi instan.

Soal 20

Dalam audit keamanan cloud, ditemukan bahwa beberapa layanan PaaS pemerintah memiliki konfigurasi IAM yang terlalu permisif, di mana banyak akun layanan memiliki peran Contributor secara default. Selain meningkatkan risiko privilege misuse, kondisi tersebut berpotensi memudahkan penyerang melakukan lateral movement jika salah satu akun berhasil dikompromi. Dalam konteks keamanan cloud berbasis prinsip least privilege, strategi perbaikan mana yang PALING DIREKOMENDASIKAN?

A. Menghapus semua akun layanan dan menggunakan akun admin tunggal untuk efisiensi
B. Mengaktifkan fitur auto-escalation untuk peran penting agar lebih fleksibel dalam operasi
C. Melakukan rehardening IAM dengan role-based access control (RBAC) yang sangat granular
D. Memindahkan semua layanan ke on-premise agar IAM dapat dikontrol secara penuh
E. Mengganti penyedia cloud dengan vendor yang tidak menggunakan mekanisme peran

Jawaban: C

Pembahasan:

Masalahnya adalah peran terlalu luas. Solusi paling benar adalah menerapkan RBAC granular dengan hak minimal sesuai fungsi. Menghapus akun dan menggunakan admin tunggal justru memperburuk keamanan. Auto-escalation meningkatkan risiko. Migrasi cloud tidak menyelesaikan masalah IAM. Mengganti vendor tidak relevan.

Siap Lolos Seleksi? Tingkatkan Kompetensimu Hari Ini!

Jangan biarkan peluang menjadi Ahli Keamanan Siber ASN hilang hanya karena persiapan yang belum maksimal. Paket soal resmi yang kami sediakan di fungsional.id telah disusun mengikuti kisi-kisi terbaru, dilengkapi soal HOTS, serta pembahasan mendalam yang membantu kamu memahami pola pikir penguji.

Asah kemampuanmu menghadapi analisis insiden, keamanan jaringan, kriptografi, hingga kasus-kasus serangan nyata—semua terangkum dalam satu paket latihan lengkap yang siap mengantar kamu menuju hasil terbaik!

💡 Dapatkan akses sekarang di fungsional.id
Karena profesional keamanan siber yang unggul bukan hanya yang ahli secara teknis, tetapi juga yang siap membuktikan kompetensi di setiap tahap seleksi.

Facebook
WhatsApp
Twitter
LinkedIn
Pinterest
Picture of Tim Asn

Tim Asn

Tim ASN adalah kelompok profesional yang terbiasa menyusun soal. Kami terdiri dari ahli berbagai bidang, berkomitmen menciptakan soal berkualitas tinggi yang relevan dengan kompetensi jabatan.
Recent posts

Dapatkan Akses Sistem CBT dengan ratusan paket soal + pembahasan!

Klik Disini!

Butuh Bantuan?