Mitigasi risiko adalah inti dari proses manajemen kerentanan (vulnerability management). Sementara remediasi selalu tetap menjadi tujuan yang berharga, Anda tidak dapat sepenuhnya menghilangkan risiko, tidak peduli seberapa kuat pertahanan sistem Anda. Selain itu, sumber utama kerentanan dalam aplikasi perangkat lunak berasal dari dalam, dari kode itu sendiri.
Dalam Code Complete , Steve McConnell mengatakan ada sekitar 15 – 50 kesalahan atau bug per 1000 baris kode yang dikirimkan. McConnell, bagaimanapun, mencatat bahwa aplikasi misi-kritis NASA, Space Shuttle Software-nya, tidak memiliki cacat kode. Tapi prestasi yang menakjubkan ini dicapai dengan biaya ribuan dolar per baris kode!
Tak perlu dikatakan, biaya ini terlalu mahal untuk sebagian besar bisnis. Selain itu, kebanyakan dari mereka tidak mengirim pesawat ruang angkasa ke orbit di mana kehidupan astronot benar-benar dipertaruhkan. Oleh karena itu, manajemen kerentanan (vulnerability management) merupakan tujuan yang lebih dapat dicapai untuk bisnis bersama.
Sebagai sebuah proses, manajemen kerentanan (vulnerability management) memerlukan identifikasi, penilaian, dan prioritas kerentanan keamanan di seluruh sistem, beban kerja, dan titik akhir. Setelah kerentanan telah diklasifikasikan, proses biasanya menggali remediasi, pelaporan, dan menyelesaikan ancaman yang ditemukan secara memuaskan.
Dalam artikel ini, saya akan menjelaskan langkah-langkah yang terlibat dalam manajemen kerentanan (vulnerability management) dan bagaimana itu digunakan untuk mengelola, mengurangi, dan memulihkan risiko keamanan siber.
Lima Tahap Proses manajemen kerentanan (vulnerability management)
Berbeda dengan penilaian kerentanan, yang merupakan peristiwa satu kali, manajemen kerentanan (vulnerability management) adalah proses yang berkelanjutan dan berkelanjutan. Ini adalah langkah-langkah yang harus diikuti dalam siklus hidup manajemen kerentanan (vulnerability management).
Langkah 1: Mengidentifikasi Kerentanan
Langkah ini berkisar pada mengidentifikasi dan mengklasifikasikan kerentanan. Kerentanan biasanya diberi peringkat menggunakan Common Vulnerability Scoring System (CVSS).
Peran CVSS lebih menonjol di tahap dua; namun, yang menjadi pusat perhatian saat ini adalah pemindaian kerentanan . Pemindaian kerentanan sering dilakukan sebagai bagian dari latihan pengujian penetrasi oleh pentester atau tim keamanan penguji penetrasi.
Dalam proses ini, pemindai kerentanan adalah alat otomatis yang digunakan untuk mencari, mengidentifikasi, dan melaporkan kerentanan yang diketahui ada dalam infrastruktur TI perusahaan.
Ini menciptakan inventaris semua aset TI yang tersedia dalam sistem, terutama yang terhubung secara aktif ke jaringan organisasi. Ini biasanya termasuk firewall, server, sistem operasi, wadah, mesin virtual, router, printer, laptop, desktop, dan sakelar.
Mereka juga menyelidiki titik akhir seperti port terbuka, perangkat IoT, konfigurasi sistem, perangkat lunak yang diinstal, aplikasi pihak ketiga, dan struktur sistem file.
Karena pemindai kerentanan melakukan pemindaian di seluruh jaringan organisasi untuk mencari kerentanan, potensi untuk mengganggu sistem atau elemennya tinggi. Oleh karena itu, peretas topi putih biasanya menyempurnakan metode mereka untuk memperhitungkan hal ini selama pengujian penetrasi. Akibatnya, mereka mungkin mengecualikan sistem yang rentan terhadap perilaku yang tidak stabil atau tidak menentu, atau menyesuaikan metode mereka agar tidak terlalu mengganggu. Misalnya, jika bandwidth jaringan menjadi masalah, mereka dapat memutuskan untuk melakukan pemindaian jaringan selama jam kerja non-puncak ketika bandwidth jaringan tidak dibatasi.
Solusi manajemen kerentanan (vulnerability management) juga mahir dalam mengumpulkan data secara terus-menerus dari sistem menggunakan agen titik akhir. Saat mereka maju, mereka juga menjadi lebih gesit; jadi mereka memindai sistem atau perangkat baru segera setelah terhubung ke jaringan.
Tetapi pemindaian sistem saja bukanlah tujuan utama dari tahap ini.
Secara keseluruhan, sistem organisasi dan keamanan jaringan ditingkatkan dengan peta jalan aset TI yang dibuat pada tahap ini. Dengan penemuan aset ini, organisasi dapat dengan mudah memastikan perangkat mana yang dilindungi, komponen mana yang tidak, dan bagaimana titik akhir sistem dapat berpotensi diakses.
Tahap ini sangat penting karena membantu menentukan permukaan serangan yang terbuka atau rentan terhadap eksploitasi. Selain itu, informasi yang dikumpulkan oleh solusi manajemen kerentanan (vulnerability management) digunakan untuk membuat laporan dan metrik sistem yang digunakan pada langkah selanjutnya dari proses manajemen kerentanan (vulnerability management).
Langkah 2: Mengevaluasi Kerentanan
Setelah kerentanan ditemukan, langkah selanjutnya adalah mengevaluasi kerentanan yang diidentifikasi untuk tingkat risikonya. Pada langkah 1, saya secara singkat menyebutkan CVSS dan bagaimana CVSS digunakan sebagai sistem peringkat untuk kerentanan keamanan siber.
CVSS adalah standar bebas dan terbuka yang digunakan untuk mengomunikasikan tingkat keparahan kerentanan. Ini memberikan skor mulai dari 0,0 hingga 10,0. Untuk menambah penilaian kerentanan, Database Kerentanan Nasional (NVD) menyertakan peringkat keparahan untuk skor CVSS, seperti yang ditunjukkan pada tabel di bawah ini.
| Skor CVSS | Peringkat Keparahan |
| 0,0 | Tidak ada |
| 0,1 – 3,9 | Rendah |
| 4.0 – 6.9 | Sedang |
| 7.0 – 8.9 | Tinggi |
| 9,0 – 10,0 | Kritis |
Skor ini mengkomunikasikan kepada organisasi risiko yang ditimbulkan pada infrastruktur mereka oleh setiap kerentanan. Oleh karena itu, organisasi dapat memprioritaskan kerentanan dan ancaman untuk menjadi fokus. Evaluasi ini juga menginformasikan strategi manajemen risiko organisasi dan upaya perbaikan.
Sementara pemindai kerentanan dan skor CVSS adalah alat yang sangat baik, mereka mungkin tidak selalu memberikan pandangan yang komprehensif tentang risiko yang dihadapi oleh suatu organisasi.
Ini karena skor peringkat out-of-the-box ini tidak selalu memberikan wawasan terbaik tentang ancaman yang dihadapi bisnis Anda karena profil risikonya yang khas. Meskipun alat manajemen kerentanan (vulnerability management) cerdas dapat memprioritaskan risiko, mereka mungkin tidak selalu cukup bernuansa untuk memahami faktor tambahan lainnya.
Profesional keamanan siber dapat memberikan konteks paparan risiko Anda yang lebih baik dan menyeluruh menggunakan inventaris intelijen ancaman yang dikumpulkan. Para profesional keamanan ini sering mempertimbangkan berbagai faktor seperti berikut ini untuk menentukan penilaian risiko yang sesuai:
- Apakah ini kerentanan yang sebenarnya atau hanya positif palsu?
- Apa tingkat kesulitan dalam mengeksploitasi kerentanan?
- Bisakah kerentanan ini dieksploitasi dari jarak jauh?
- Seberapa mudah untuk mengeksploitasi kerentanan ini?
- Apakah kerentanan ini memiliki eksploitasi yang dipublikasikan secara publik?
- Berapa banyak perangkat yang dilaporkan dengan kerentanan ini?
- Apakah ini kerentanan baru (kerentanan lama cenderung menimbulkan beban risiko yang lebih tinggi) dan apakah Anda tahu sudah berapa lama kerentanan itu ada di jaringan Anda?
- Apakah ada kebijakan keamanan, protokol, dan kontrol yang ada di infrastruktur Anda untuk mengurangi dampak kerentanan jika dieksploitasi?
- Apa dampaknya terhadap organisasi secara keseluruhan jika terjadi eksploitasi kerentanan yang berhasil?
Langkah 3: Memperbaiki Kerentanan
Langkah ini berfokus pada penanganan dan mitigasi kerentanan yang ditemukan. Beberapa strategi diterapkan untuk memprioritaskan dan menghilangkan kerentanan berdasarkan tingkat risiko yang ditimbulkannya terhadap bisnis.
Patching
Patching sering kali merupakan buah yang tidak terlalu penting yang memulihkan sebagian besar kerentanan yang ditemukan dalam perangkat lunak. Faktanya, sebagian besar pelanggaran keamanan siber adalah akibat dari perangkat lunak yang belum ditambal. Oleh karena itu, sistem manajemen tambalan yang memastikan sistem operasi dan perangkat lunak pihak ketiga mutakhir sangat penting.
Namun, ada kalanya vendor belum merilis patch untuk kerentanan tertentu. Dalam hal ini, organisasi harus beralih ke langkah-langkah mitigasi untuk mengurangi dampak dari kemungkinan eksploitasi kerentanan.
Langkah-langkah ini mungkin termasuk membatasi izin pengguna untuk aktivitas tersebut, atau—bergantung pada tingkat keparahannya—memotong atau memasukkan perangkat yang terpengaruh dari jaringan ke daftar hitam.
Dimana ancaman dan kerentanan ditangani, kontrol perlu ditetapkan dan kemajuan ditunjukkan menuju postur keamanan yang lebih aman dalam organisasi.
Penerimaan / Acceptance
Penerimaan juga merupakan strategi manajemen kerentanan (vulnerability management) yang berlawanan dengan intuisi. Ini melibatkan tidak mengambil tindakan dengan kerentanan yang ditemukan. Strategi ini masuk akal dengan kerentanan berisiko rendah yang menimbulkan ancaman minimal terhadap bisnis. Terlebih lagi ketika biaya untuk memperbaiki kerentanan melebihi kemungkinan biaya yang dikeluarkan oleh eksploitasinya.
Bahkan ketika hanya ada kerentanan jinak yang harus diperbaiki, organisasi harus tetap berusaha untuk mengoptimalkan metrik kerentanan yang dilaporkan. Oleh karena itu, semakin sistem manajemen kerentanan (vulnerability management) diarahkan untuk meningkatkan metrik tersebut, semakin mengurangi permukaan serangan organisasi.
Selain itu, proses remediasi ini dapat menetapkan dasar untuk manajemen risiko yang dapat terus diatur ulang oleh organisasi dengan target baru dan lebih agresif.
Langkah 4: Verifikasi Kerentanan
Langkah ini memastikan bahwa ancaman dalam sistem telah dihilangkan melalui audit tindak lanjut. Pengujian penetrasi juga harus digunakan untuk memverifikasi kemanjuran langkah-langkah perbaikan yang diambil. Selain itu, ini juga memastikan kerentanan baru tidak dibuat secara tidak sengaja selama proses.
Langkah 5: Laporkan Kerentanan
Penting untuk mendokumentasikan tidak hanya kerentanan yang ditemukan tetapi juga rencana keamanan tentang cara mendeskripsikan kerentanan yang diketahui dan memantau aktivitas yang mencurigakan. Laporan ini sangat penting karena mereka meninggalkan catatan yang membantu bisnis meningkatkan respons keamanan mereka di masa mendatang.
Laporan ini juga penting untuk dibagikan dengan manajemen puncak dan untuk audit kepatuhan. Ini karena menunjukkan dan merekam kerentanan dan masalah yang telah diperbaiki menunjukkan akuntabilitas. Dan akuntabilitas ini seringkali diperlukan untuk menjaga standar kepatuhan.
Untungnya, ada alat manajemen kerentanan (vulnerability management) yang cerdas dan canggih yang dapat membuat laporan ini secara otomatis sehingga Anda tidak perlu melakukannya secara manual.
Pentingnya manajemen kerentanan (vulnerability management)
Proses manajemen kerentanan (vulnerability management) sangat penting jika Anda ingin menjaga keamanan jaringan Anda dengan meminimalkan keberadaan ancaman dan eksploitasi.