Apa itu manajemen permukaan serangan?

Tidak seperti disiplin keamanan siber lainnya, ASM dilakukan sepenuhnya dari perspektif peretas, bukan perspektif pertahanan. ASM mengidentifikasi target dan menilai risiko berdasarkan peluang yang mereka hadirkan bagi penyerang jahat.

ASM bergantung pada banyak metode dan sumber daya yang sama yang digunakan peretas. Banyak tugas dan teknologi ASM dirancang dan dilakukan oleh 'peretas etis' yang terbiasa dengan perilaku penjahat siber dan terampil dalam menduplikasi tindakan mereka.

Manajemen permukaan serangan eksternal (EASM), sebuah teknologi ASM yang relatif baru, terkadang digunakan secara bergantian dengan ASM. Namun, EASM secara khusus berfokus pada kerentanan dan risiko yang ditimbulkan oleh aset TI eksternal atau yang berhadapan dengan internet dari sebuah organisasi—terkadang disebut sebagai permukaan serangan digital organisasi.

ASM juga mengatasi kerentanan pada permukaan serangan rekayasa fisik dan sosial organisasi, seperti orang dalam yang jahat atau pelatihan pengguna akhir yang tidak memadai untuk melawan penipuan phishing.

Meningkatnya adopsi cloud, transformasi digital, dan perkembangan pekerjaan jarak jauh dalam beberapa tahun terakhir membuat jejak digital dan permukaan serangan rata-rata perusahaan menjadi lebih besar, lebih terdistribusi, dan lebih dinamis, dengan aset-aset baru yang terhubung ke jaringan perusahaan setiap hari.

Penemuan aset tradisional, penilaian risiko, dan proses manajemen kerentanan, yang dikembangkan ketika jaringan perusahaan lebih stabil dan terpusat, tidak dapat mengimbangi kecepatan munculnya kerentanan dan vektor serangan baru di jaringan saat ini. Pengujian penetrasi, misalnya, dapat menguji kerentanan yang dicurigai pada aset yang sudah diketahui, tetapi tidak dapat membantu tim keamanan mengidentifikasi risiko dan kerentanan siber baru yang muncul setiap hari.

Namun alur kerja ASM yang berkelanjutan dan perspektif peretas memungkinkan tim keamanan dan pusat operasi keamanan (SOC) untuk membangun postur keamanan yang proaktif dalam menghadapi permukaan serangan yang terus tumbuh dan berubah. Solusi ASM memberikan visibilitas real-time terhadap kerentanan dan vektor serangan yang muncul.

Mereka dapat memanfaatkan informasi dari penilaian risiko tradisional dan alat serta proses manajemen kerentanan untuk konteks yang lebih luas ketika menganalisis dan memprioritaskan kerentanan. Dan mereka dapat berintegrasi dengan teknologi deteksi dan respons ancaman—termasuk informasi keamanan dan manajemen peristiwa (SIEM), deteksi dan respons titik akhir (EDR) atau deteksi dan respons yang diperluas (XDR)—untukmeningkatkan mitigasi ancaman dan mempercepat respons ancaman di seluruh perusahaan.

ASM terdiri dari empat proses inti: Penemuan aset, klasifikasi dan prioritas, remediasi dan pemantauan. Sekali lagi, karena ukuran dan bentuk permukaan serangan digital selalu berubah, proses dilakukan terus menerus, dan solusi ASM mengotomatiskan proses ini bila memungkinkan. Tujuannya adalah mempersenjatai tim keamanan dengan inventaris aset yang terpapar secara lengkap dan terkini dan untuk mempercepat respons terhadap kerentanan dan ancaman yang menghadirkan risiko terbesar bagi organisasi.

Penemuan aset secara otomatis dan terus menerus memindai dan mengidentifikasi perangkat keras, perangkat lunak, dan aset cloud yang terhubung ke internet yang dapat bertindak sebagai titik masuk bagi peretas atau penjahat siber yang mencoba menyerang organisasi. Aset ini dapat mencakup:

• Aset yang diketahui: semua infrastruktur dan sumber daya TI yang diketahui dan dikelola secara aktif oleh organisasi—router, server, perangkat yang dikeluarkan perusahaan atau milik pribadi (PC, laptop, perangkat seluler), perangkat IoT, direktori pengguna, aplikasi yang diterapkan on premises dan di cloud, situs web, dan basis data berhak milik.
  
  
• Aset yang tidak diketahui: aset 'tidak diinventarisasi' yang menggunakan sumber daya jaringan tanpa sepengetahuan tim TI atau keamanan. TI bayangan—perangkat keras atau perangkat lunak yang digunakan di jaringan tanpa persetujuan administratif dan/atau pengawasan resmi—adalah jenis aset yang tidak diketahui yang paling umum. Contoh TI bayangan termasuk situs web pribadi, aplikasi cloud, dan perangkat seluler yang tidak dikelola yang menggunakan jaringan organisasi. Aset TI terabaikan—perangkat lunak, situs web, dan perangkat usang yang sudah tidak digunakan lagi dan belum dihentikan pemakaiannya sebagaimana mestinya adalah jenis aset yang tak diketahui lainnya yang umum ditemukan.
  
  
• Aset pihak ketiga atau vendor: aset yang tidak dimiliki organisasi, tetapi merupakan bagian dari infrastruktur TI atau rantai pasokan digital organisasi. Ini termasuk aplikasi software-as-a-service (SaaS), API, aset cloud publik, atau layanan pihak ketiga yang digunakan dalam situs web organisasi.
  
  
• Aset anak perusahaan: semua aset yang diketahui, tidak diketahui, atau aset pihak ketiga yang termasuk dalam jaringan anak perusahaan organisasi. Setelah merger atau akuisisi, aset-aset ini mungkin tidak langsung menjadi perhatian tim TI dan keamanan organisasi induk.
  
  
• Aset berbahaya atau asing: aset yang dibuat atau dicuri oleh aktor ancaman untuk menargetkan perusahaan. Ini dapat mencakup situs web phishing yang meniru merek perusahaan, atau data sensitif yang dicuri sebagai bagian dari pelanggaran data yang dibagikan di dark web.

Setelah aset diidentifikasi, aset tersebut diklasifikasikan, dianalisis kerentanannya, dan diprioritaskan berdasarkan 'kemungkinan diserang'—pada dasarnya ukuran objektif tentang seberapa besar kemungkinan peretas menargetnya.

Aset diinventarisasi berdasarkan identitas, alamat IP, kepemilikan, dan koneksi ke aset lain dalam infrastruktur TI. Mereka dianalisis untuk mengetahui eksposur yang mungkin mereka miliki, penyebab eksposur tersebut (misalnya, kesalahan konfigurasi, kesalahan pengodean, patch yang hilang) dan jenis serangan yang mungkin dilakukan peretas melalui eksposur ini (misalnya, mencuri data sensitif, menyebarkan ransomware, atau malware lainnya). 

Selanjutnya, kerentanan diprioritaskan untuk diperbaiki. Penyusunan prioritas adalah latihan penilaian risiko: Biasanya, setiap kerentanan diberikan peringkat keamanan atau skor risiko berdasarkan

• Informasi yang dikumpulkan selama klasifikasi dan analisis.
  
  
• Data dari umpan intelijen ancaman (berhak milik dan sumber terbuka), layanan peringkat keamanan, dark web, dan sumber lain mengenai seberapa terlihat kerentanan bagi peretas, seberapa mudah mereka dieksploitasi, bagaimana mereka dieksploitasi, dll.
  
  
• Hasil manajemen kerentanan organisasi sendiri dan kegiatan penilaian risiko keamanan. Salah satu aktivitas tersebut, yang disebut red teaming, pada dasarnya adalah pengujian penetrasi dari sudut pandang peretas (dan sering kali dilakukan oleh peretas etis internal atau pihak ketiga). Alih-alih menguji kerentanan yang diketahui atau dicurigai, tim merah menguji semua aset yang mungkin coba dieksploitasi oleh peretas.

Biasanya, kerentanan diperbaiki dalam urutan prioritas. Ini dapat melibatkan:

• Menerapkan kontrol keamanan yang tepat untuk aset yang bersangkutan—misalnya, menerapkan patch perangkat lunak atau sistem operasi, men-debug kode aplikasi, menerapkan enkripsi data yang lebih kuat.
  
  
• Mengendalikan aset yang sebelumnya tidak diketahui—menetapkan standar keamanan untuk TI yang sebelumnya tidak dikelola, menghentikan aset TI tunggal dengan aman, menghilangkan aset jahat, mengintegrasikan aset anak perusahaan ke dalam strategi, kebijakan, dan alur kerja keamanan siber organisasi.

Remediasi juga dapat melibatkan langkah-langkah lintas aset yang lebih luas untuk mengatasi kerentanan, seperti menerapkan akses yang paling tidak memiliki hak istimewa atauautentikasi multifaktor (MFA).

Karena risiko keamanan di permukaan serangan organisasi berubah setiap kali aset baru diterapkan atau aset yang sudah ada diterapkan dengan cara baru, baik aset yang diinventarisasi dari jaringan dan jaringan itu sendiri terus dipantau dan dipindai untuk mencari kerentanan. Pemantauan berkelanjutan memungkinkan ASM untuk mendeteksi dan menilai kerentanan baru dan vektor serangan secara real time, dan memperingatkan tim keamanan tentang kerentanan baru yang membutuhkan perhatian segera.