Kelemahan ini (dikenal sebagai kerentanan) dapat ditemukan dalam perangkat lunak, perangkat keras, konfigurasi atau proses. Mereka dapat mengekspos sistem ke ancaman siber termasuk akses tidak sah atau pelanggaran data.
Penilaian kerentanan adalah dasar untuk manajemen kerentanan, subdomain manajemen risiko TI yang memungkinkan organisasi untuk terus menemukan, memprioritaskan, dan menyelesaikan kerentanan keamanan dalam infrastruktur TI mereka.
Untuk mengilustrasikan konsepnya, bayangkan penilaian kerentanan sebagai inspeksi rutin bangunan:
Bangunan ini memiliki banyak pintu, jendela, ventilasi, dan titik akses—masing-masing mewakili elemen lingkungan TI. Meskipun pembobolan dapat terjadi melalui salah satu dari mereka, inspeksi rutin membantu mengidentifikasi apakah mekanisme keamanan (seperti kunci, kamera, dan alarm) berfungsi dengan baik atau perlu diperhatikan.
Itulah esensi dari penilaian kerentanan: kesadaran waktu nyata akan potensi kelemahan keamanan, yang didukung oleh tindakan.
Bergabunglah dengan para pemimpin keamanan yang mengandalkan Buletin Think untuk berita yang dikurasi tentang AI, keamanan siber, data, dan otomatisasi. Pelajari dengan cepat dari tutorial pakar dan penjelas—dikirimkan langsung ke kotak masuk Anda. Lihat Pernyataan Privasi IBM®.
Seiring dengan semakin kompleksnya sistem TI , organisasi menghadapi perluasan infrastruktur jaringan yang terdiri dari titik akhir, aplikasi web, jaringan nirkabel, dan sumber daya berbasis cloud. Permukaan serangan yang melebar ini menawarkan lebih banyak kesempatan bagi peretas dan penjahat siber untuk menemukan titik masuk.
Penilaian kerentanan rutin dapat membantu tim keamanan mengidentifikasi dan mengelola celah potensial ini sebelum dieksploitasi, yang dapat menyebabkan pelanggaran data, paparan informasi identifikasi pribadi (PII), dan hilangnya kepercayaan pelanggan.
Konsekuensinya melampaui nilai data yang dicuri. Pada tahun 2025, biaya rata-rata global dari pelanggaran data mencapai USD 4,44 juta. Dengan menilai sistem secara proaktif untuk kerentanan perangkat lunak dan risiko keamanan lainnya, organisasi dapat:
Standar termasuk Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) dan Institut Standar dan Teknologi Nasional Publikasi Khusus 800-53 (NIST SP 800-53). Ini secara eksplisit memerlukan pemindaian kerentanan rutin dan dokumentasi kerentanan yang teridentifikasi. Menerapkan proses penilaian kerentanan terstruktur membantu organisasi menunjukkan kepatuhan terhadap PCI dan kerangka kerja lainnya sambil mengurangi risiko penalti atau temuan audit.
Penilaian kerentanan merupakan komponen utama dari manajemen ancaman proaktif. Dengan mengidentifikasi kerentanan keamanan sebelum dieksploitasi, organisasi dapat mengurangi tingkat keparahan serangan siber sekaligus meningkatkan manajemen risiko dan respons insiden. Hal ini sangat penting dalam lingkungan yang mendukung pekerjaan jarak jauh, layanan cloud, dan infrastruktur jaringan yang kompleks.
Penilaian kerentanan yang efektif mendukung remediasi tepat waktu dengan memasukkan kerentanan yang diprioritaskan secara langsung ke dalam alur kerja TI. Integrasi dengan sistem manajemen patch dan penugasan tugas remediasi yang jelas memungkinkan tim keamanan untuk menutup celah dengan cepat—sebelum aktor ancaman memiliki kesempatan untuk mengeksploitasinya.
Pelanggan, mitra, dan regulator mengharapkan organisasi untuk melindungi data sensitif. Dengan terus menilai dan meningkatkan postur keamanan organisasi, perusahaan dapat menunjukkan komitmen mereka untuk melindungi informasi sensitif dan menjaga integritas operasional.
Penilaian kerentanan biasanya merupakan langkah pertama dalam strategi manajemen kerentanan yang lebih luas. Dengan mengidentifikasi kesalahan konfigurasi, sistem yang ketinggalan zaman, dan titik akses yang tidak aman, penilaian kerentanan meletakkan dasar untuk postur keamanan yang lebih kuat.
Sementara fase penilaian awal berfokus pada menemukan dan menganalisis kelemahan keamanan, siklus hidup penuh meluas ke prioritas, resolusi, verifikasi, dan pelaporan.
Siklus hidup manajemen kerentanan yang umum meliputi tahap-tahap berikut ini:
Prosesnya dimulai dengan mengidentifikasi aset TI—seperti stasiun kerja, titik akhir , dan aplikasi—untuk menetapkan apa yang perlu diamankan. Setelah dipetakan, tim keamanan menggunakan alat otomatis atau pemindai kerentanan untuk nencari titik lemah seperti antarmuka yang terpapar atau sistem operasi yang sudah usang.
Kerentanan yang teridentifikasi dianalisis untuk menentukan dampak potensial, relevansi, dan eksploitabilitas. Praktisi keamanan dapat memanfaatkan basis data kerentanan, intelijen sumber terbuka , dan umpan intelijen ancaman, yang menyediakan data real-time tentang pola serangan yang diketahui dan aktor ancaman aktif.
Tim keamanan siber bekerja sama dengan TI untuk mengatasi kerentanan menggunakan salah satu dari tiga pendekatan: remediasi, mitigasi atau penerimaan. Remediasi mungkin melibatkan manajemen patch atau pembaruan konfigurasi. Jika remediasi segera tidak memungkinkan, strategi mitigasi—seperti menerapkan firewall atau mengisolasi sistem yang terdampak—dapat mengurangi risiko. Dalam kasus dengan risiko rendah, organisasi dapat mendokumentasikan dan menerima masalah tersebut sebagai bagian dari program programmanajemen risiko yang lebih luas.
Setelah mitigasi atau remediasi, tim tanggap melakukan pengujian kerentanan untuk mengonfirmasi perbaikan dan menilai postur keamanan. Pemantauan berkelanjutan membantu mendeteksi kerentanan baru dan penyimpangan konfigurasi, memungkinkan respons real-time saat lingkungan berevolusi.
Tim keamanan mendokumentasikan temuan melalui pelaporan yang mencakup alat pemindaian yang digunakan, kerentanan yang teridentifikasi, hasil, dan risiko yang tersisa. Metrik utama dapat mencakup waktu rata-rata untuk mendeteksi (MTTD) dan waktu rata-rata untuk merespons (MTTR), yang dapat dibagikan dengan para pemangku kepentingan untuk menginformasikan keputusan manajemen risiko di masa depan.
Ada beberapa jenis penilaian kerentanan yang bervariasi berdasarkan fokus evaluasi:
Penilaian kerentanan yang efektif menggunakan kombinasi alat otomatis, intelijen ancaman, dan analisis manusia. Sementara otomatisasi mempercepat penemuan, tim keamanan yang terampil memainkan peran kunci dalam menafsirkan hasil, menyaring positif palsu, dan memastikan upaya remediasi yang akurat.
Inti dari sebagian besar penilaian adalah pemindai kerentanan—alat yang mengevaluasi sistem untuk kerentanan yang diketahui. Alat pemindaian mengambil data dari basis data kerentanan yang diperbarui. Alat-alat ini juga menggunakan teknik-teknik seperti analisis perilaku dan pemeriksaan konfigurasi untuk mendeteksi masalah di seluruh titik akhir, aplikasi, sistem operasi, dan infrastruktur jaringan.
Organisasi sering kali mengandalkan perpaduan kelas Enterprise, antara sumber terbuka dan perangkat tingkat perusahaan, baik secara internal maupun dari penyedia pihak ketiga, tergantung pada kompleksitas lingkungan mereka.
Beberapa alat bantu dan platform yang banyak digunakan meliputi:
Digunakan untuk mengotomatiskan remediasi, alat manajemen tambalan menerapkan pembaruan atau tambalan keamanan di seluruh sistem terdistribusi. Bila diintegrasikan dengan alat penilaian kerentanan seperti platform penemuan aset, alat ini membantu memastikan bahwa sistem berisiko tinggi ditangani terlebih dahulu berdasarkan logika prioritas .
Dirancang untuk aplikasi web, alat ini mensimulasikan serangan seperti injeksi SQL atau XSS untuk menemukan kelemahan yang dapat dieksploitasi. Banyak juga yang mendukung pengujian autentikasi , validasi sesi dan pemeriksaan konfigurasi untuk antarmuka program aplikasi (API).
Platform ini memberikan konteks yang berharga dengan menghubungkan kerentanan yang teridentifikasi dengan eksploitasi aktif yang digunakan oleh aktor ancaman atau kampanye phishing . Sebagai hasil, tim mendapatkan pemahaman yang lebih baik tentang ancaman mana yang menimbulkan risiko paling besar.
Alat seperti platform manajemen permukaan serangan eksternal (EASM) menjaga visibilitas berkelanjutan ke aset yang menghadap ke luar. Dengan menandai titik akses, aplikasi , atau layanan berbasis cloud yang berada di luar siklus pemindaian terjadwal, mereka memberikan tampilan real-time tentang risiko keamanan yang berkembang.
Ringan dan dapat disesuaikan, alat sumber terbuka menawarkan fleksibilitas untuk pemindaian khusus, analisis kerentanan yang lebih dalam, atau integrasi khusus. Meskipun hemat biaya, mereka sering membutuhkan lebih banyak upaya manual untuk memelihara dan mengkonfigurasi.
Penilaian kerentanan dan pengujian penetrasi merupakan bagian integral dari pengujian keamanan, meskipun mereka melayani tujuan yang berbeda. Kembali ke analogi sebelumnya, penilaian kerentanan adalah seperti inspeksi rutin pada sebuah bangunan di mana organisasi mengidentifikasi dan membuat katalog celah keamanan yang ada. Pendekatan ini menawarkan pandangan yang luas dan berkelanjutan tentang risiko keamanan perusahaan.
Pengujian penetrasi, di sisi lain, lebih ditargetkan. Ini seperti menyewa pemetik kunci untuk secara aktif mencoba masuk ke gedung. Ini mensimulasikan serangan dunia nyata untuk mengeksploitasi kerentanan dan mengevaluasi efektivitas kontrol keamanan.
Dalam praktiknya, organisasi dapat menggunakan penilaian kerentanan sebagai bagian reguler dari program manajemen kerentanan yang lebih luas. Mereka kemudian dapat menjadwalkan pengujian penetrasi pada interval penting—seperti sebelum peluncuran produk atau setelah perubahan sistem besar—untuk memvalidasi pertahanan dan mengungkap risiko yang lebih dalam.
Organisasi sering kali menghadapi tantangan operasional dan teknis yang membatasi efektivitas penilaian kerentanan mereka, termasuk:
Dalam lingkungan yang besar atau kompleks, pemindaian kerentanan sering kali mengidentifikasi ribua kerentanan, yang banyak di antaranya mungkin berisiko rendah, duplikat, atau sudah dimitigasi melalui kontrol lain. Tanpa sistem prioritas yang jelas, tim keamanan dapat kewalahan—menunda remediasi atau mengabaikan ancaman penting.
Alat otomatis sering menandai masalah yang menimbulkan sedikit atau tidak ada risiko dunia nyata. Positif palsu ini berkontribusi pada kelelahan peringatan, menguras waktu yang berharga dan mengikis kepercayaan dalam penilaian. Karena tim menghabiskan lebih banyak upaya untuk memvalidasi temuan, lebih sedikit sumber daya yang tersisa untuk mitigasi aktual.
Penilaian kerentanan bergantung pada inventaris aset yang komprehensif. Sayangnya, TI bayangan, endpoint yang tidak dikelola, dan aplikasi pihak ketiga mungkin berada di luar pemindaian reguler, meninggalkan celah dalam visibilitas. Titik-titik buta ini dapat menjadi target ideal bagi aktor ancaman, terutama ketika titik akses tidak diketahui dalam waktu yang lama.
Bahkan kerentanan yang teridentifikasi dengan jelas pun bisa mengalami penundaan remediasi karena tim keamanan dan operasi TI yang tidak terhubung. Ketika pembaruan bergantung pada tim yang beroperasi dalam silo, risiko dapat bertahan lebih lama dari yang diperlukan.