Apa itu siklus hidup manajemen kerentanan?

Penulis

Matthew Kosinski

Staff Editor

IBM Think

Apa itu siklus proses manajemen kerentanan?

Siklus manajemen kerentanan adalah proses berkelanjutan untuk menemukan, memprioritaskan, dan mengatasi kerentanan dalam aset TI perusahaan.

Setiap bulan, Institut Standar dan Teknologi Nasional (NIST) menambahkan lebih dari 2.000 kerentanan keamanan baru ke dalam Database Kerentanan Nasional. Tim keamanan tidak perlu melacak semua kerentanan ini, tetapi mereka membutuhkan cara untuk mengidentifikasi dan mengatasi kerentanan yang berpotensi mengancam sistem mereka. Untuk itulah siklus manajemen kerentanan diperlukan.

Putaran umum siklus memiliki lima tahap:

  1. Inventarisasi aset dan penilaian kerentanan.
  2. Penentuan prioritas kerentanan.
  3. Resolusi kerentanan.
  4. Verifikasi dan pemantauan.
  5. Pelaporan dan peningkatan.

Siklus manajemen kerentanan memungkinkan organisasi untuk meningkatkan postur keamanan dengan mengambil pendekatan yang lebih strategis untuk manajemen kerentanan. Alih-alih bereaksi terhadap kerentanan baru saat muncul, tim keamanan secara aktif mencari kelemahan dalam sistem mereka. Organisasi dapat mengidentifikasi kerentanan yang paling kritis dan menerapkan perlindungan sebelum pelaku ancaman menyerang.

Buletin Think

Apakah tim Anda akan mampu mendeteksi zero-day berikutnya tepat waktu?

Bergabunglah dengan para pemimpin keamanan yang mengandalkan Buletin Think untuk berita yang dikurasi tentang AI, keamanan siber, data, dan otomatisasi. Pelajari dengan cepat dari tutorial pakar dan penjelas—dikirimkan langsung ke kotak masuk Anda. Lihat Pernyataan Privasi IBM®.

Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM® kami untuk informasi lebih lanjut.

https://www.ibm.com/id-id/privacy

Mengapa siklus manajemen kerentanan begitu penting?

Kerentanan adalah kelemahan keamanan dalam struktur, fungsi, atau implementasi jaringan atau aset yang dapat dieksploitasi oleh peretas untuk merugikan perusahaan.

Kerentanan dapat timbul dari kelemahan mendasar dalam konstruksi aset. Demikian halnya dengan kerentanan Log4J yang terkenal, di mana kesalahan pengodean di perpustakaan Java yang populer memungkinkan peretas untuk menjalankan malware dari jarak jauh pada komputer korban. Kerentanan lainnya disebabkan oleh kesalahan manusia, seperti bucket penyimpanan cloud yang salah konfigurasi yang mengekspos data sensitif ke internet publik.

Setiap kerentanan adalah risiko bagi organisasi. Menurut X-Force Threat Intelligence Index dari IBM, eksploitasi kerentanan dalam aplikasi yang berinteraksi dengan publik adalah salah satu vektor serangan siber yang paling umum. 

Para peretas memiliki persediaan kerentanan yang terus bertambah yang dapat mereka gunakan. Sebagai tanggapan, perusahaan telah menjadikan manajemen kerentanan sebagai komponen utama dari strategi manajemen risiko siber mereka. Siklus hidup manajemen kerentanan menawarkan model formal untuk program manajemen kerentanan yang efektif dalam lanskap ancaman siber yang terus berubah. Dengan mengadopsi siklus hidup tersebut, organisasi dapat melihat beberapa manfaat berikut:

  • Penemuan dan penyelesaian kerentanan secara proaktif: Bisnis sering kali tidak mengetahui tentang kerentanan mereka hingga peretas mengeksploitasinya. Siklus proses manajemen kerentanan dibangun di sekitar pemantauan berkelanjutan sehingga tim keamanan dapat menemukan kerentanan sebelum musuh menemukannya.

  • Alokasi sumber daya strategis: Puluhan ribu kerentanan baru ditemukan setiap tahunnya, tetapi hanya sedikit yang relevan bagi sebuah organisasi. Siklus proses manajemen kerentanan membantu perusahaan menentukan kerentanan yang paling penting dalam jaringan mereka dan memprioritaskan risiko terbesar untuk remediasi.

  • Proses manajemen kerentanan yang lebih konsisten: Siklus hidup manajemen kerentanan memberikan tim keamanan proses berulang untuk diikuti, mulai dari penemuan kerentanan hingga remediasi dan seterusnya. Proses yang lebih konsisten menghasilkan hasil yang lebih konsisten, dan memungkinkan perusahaan untuk mengotomatiskan alur kerja utama seperti inventaris aset, penilaian kerentanan, dan manajemen tambalan.

Tahapan siklus manajemen kerentanan

Kerentanan baru dapat muncul dalam jaringan kapan saja, sehingga siklus hidup manajemen kerentanan adalah loop berkelanjutan dan bukan serangkaian peristiwa yang berbeda. Setiap putaran siklus hidup akan langsung masuk ke putaran berikutnya. Satu putaran biasanya terdiri dari tahapan berikut:

Tahap 0: Perencanaan dan pekerjaan awal

 

Secara teknis, perencanaan dan pekerjaan awal dilakukan sebelum siklus manajemen kerentanan, oleh karena itu disebut sebagai "Tahap 0". Selama tahap ini, organisasi menyempurnakan detail penting dari proses manajemen kerentanan, termasuk yang berikut:

  • Pemangku kepentingan mana yang akan dilibatkan dan peran yang akan mereka miliki

  • Sumber daya—termasuk orang, alat, dan pendanaan—yang tersedia untuk manajemen kerentanan

  • Pedoman umum untuk memprioritaskan dan menanggapi kerentanan

  • Metrik untuk mengukur keberhasilan program

Organisasi tidak melalui tahap ini sebelum setiap putaran siklus hidup. Umumnya, sebuah perusahaan melakukan tahap perencanaan dan persiapan yang ekstensif sebelum meluncurkan program manajemen kerentanan formal. Ketika program sudah berjalan, para pemangku kepentingan secara berkala meninjau kembali perencanaan dan pekerjaan awal untuk memperbarui pedoman dan strategi mereka secara keseluruhan sesuai kebutuhan.

Tahap 1: Penemuan aset dan penilaian kerentanan

 

Siklus hidup manajemen kerentanan formal dimulai dengan inventaris aset—katalog semua perangkat keras dan perangkat lunak di jaringan organisasi. Inventaris ini mencakup aplikasi dan titik akhir yang disetujui secara resmi serta aset TI bayangan yang digunakan karyawan tanpa persetujuan.

Karena aset baru ditambahkan secara berkala ke jaringan perusahaan, inventaris aset diperbarui sebelum setiap putaran siklus hidup. Perusahaan sering menggunakan perangkat lunak seperti platform manajemen permukaan serangan untuk mengotomatiskan inventaris mereka.

Setelah mengidentifikasi aset, tim keamanan menilai kerentanannya. Tim dapat menggunakan kombinasi alat dan metode, termasuk pemindai kerentanan otomatis, pengujian penetrasi manual, dan intelijen ancaman eksternal dari komunitas keamanan siber.

Menilai setiap aset selama setiap putaran siklus hidup akan sangat berat, sehingga tim keamanan biasanya bekerja secara bertahap. Setiap putaran siklus hidup berfokus pada kelompok aset tertentu, dengan kelompok aset yang lebih penting menerima pemindaian lebih sering. Beberapa alat pemindaian kerentanan yang canggih secara terus-menerus menilai semua aset jaringan secara real-time, sehingga memungkinkan tim keamanan mengambil pendekatan yang lebih dinamis dalam penemuan kerentanan.

Tahap 2: Penentuan prioritas kerentanan

 

Tim keamanan memprioritaskan kerentanan yang mereka temukan pada tahap penilaian. Penentuan prioritas memastikan bahwa tim mengatasi kerentanan yang paling kritis terlebih dahulu. Tahap ini juga membantu tim menghindari menghabiskan waktu dan sumber daya untuk kerentanan berisiko rendah. 

Untuk memprioritaskan kerentanan, tim mempertimbangkan kriteria berikut:

  • Peringkat kepentingan dari intelijen ancaman eksternal: Ini dapat mencakup daftar Kerentanan dan Paparan Umum (CVE) MITRE atau Sistem Penilaian Kerentanan Umum (CVSS).

  • Kekritisan aset: Kerentanan yang tidak kritis pada aset penting sering kali menerima prioritas lebih tinggi daripada kerentanan kritis pada aset yang kurang penting. 

  • Dampak potensial: Tim keamanan mempertimbangkan apa yang mungkin terjadi jika peretas mengeksploitasi kerentanan tertentu, termasuk dampaknya terhadap operasi bisnis, kerugian finansial, dan kemungkinan tindakan hukum.

  • Kemungkinan eksploitasi: Tim keamanan memberikan perhatian lebih pada kerentanan dengan eksploitasi yang diketahui yang secara aktif digunakan oleh peretas di alam liar.

  • Positif palsu: Tim keamanan memastikan bahwa kerentanan benar-benar ada sebelum mendedikasikan sumber daya apa pun untuk mengatasinya.

Tahap 3: Resolusi kerentanan

 

Tim keamanan bekerja melalui daftar kerentanan yang diprioritaskan, dari yang paling kritis hingga yang paling tidak kritis. Organisasi memiliki tiga opsi untuk mengatasi kerentanan:

  1. Remediasi: Mengatasi sepenuhnya kerentanan sehingga tidak dapat dieksploitasi lagi, misalnya dengan menambal bug sistem operasi, memperbaiki kesalahan konfigurasi, atau menghapus aset yang rentan dari jaringan. Remediasi tidak selalu memungkinkan. Untuk beberapa kerentanan, perbaikan lengkap tidak tersedia pada saat ditemukan (misalnya, kerentanan zero-day). Untuk kerentanan lain, remediasi akan terlalu padat sumber daya.

  2. Mitigasi: Membuat kerentanan menjadi lebih sulit untuk dieksploitasi atau mengurangi dampak eksploitasi tanpa menghilangkan kerentanan sepenuhnya. Misalnya, menambahkan langkah-langkah autentikasi dan otorisasi yang lebih ketat pada sebuah aplikasi web akan mempersulit peretas untuk membajak akun. Membuat rencana respons insiden untuk kerentanan yang teridentifikasi dapat mengurangi dampak serangan siber. Tim keamanan biasanya memilih untuk melakukan mitigasi ketika remediasi tidak mungkin dilakukan atau biayanya sangat mahal. 

  3. Penerimaan: Beberapa kerentanan sangat berdampak rendah atau tidak mungkin dieksploitasi sehingga memperbaikinya tidak akan hemat biaya. Dalam kasus ini, organisasi dapat memilih untuk menerima kerentanan tersebut.

Tahap 4: Verifikasi dan pemantauan

 

Untuk memverifikasi bahwa upaya mitigasi dan remediasi telah berjalan sebagaimana mestinya, tim keamanan melakukan pemindaian ulang dan pengujian ulang terhadap aset-aset yang baru saja mereka kerjakan. Audit ini memiliki dua tujuan utama: untuk menentukan apakah tim keamanan berhasil mengatasi semua kerentanan yang diketahui dan memastikan bahwa mitigasi dan remediasi tidak menimbulkan masalah baru.

Sebagai bagian dari tahap penilaian ulang ini, tim keamanan juga memantau jaringan secara lebih luas. Tim mencari kerentanan baru sejak pemindaian terakhir, mitigasi lama yang sudah usang, atau perubahan lain yang mungkin memerlukan tindakan. Semua temuan ini membantu menginformasikan putaran siklus hidup berikutnya.

Tahap 5: Pelaporan dan perbaikan

 

Tim keamanan mendokumentasikan aktivitas dari putaran terbaru siklus hidup, termasuk kerentanan yang ditemukan, langkah penyelesaian yang diambil, dan hasilnya. Laporan ini dibagikan kepada para pemangku kepentingan yang relevan, termasuk para eksekutif, pemilik aset, departemen kepatuhan, dan lainnya. 

Tim keamanan juga merefleksikan bagaimana putaran terbaru dari siklus berlangsung. Tim dapat melihat metrik utama seperti waktu rata-rata untuk mendeteksi (MTTD), waktu rata-rata untuk merespons (MTTR), jumlah total kerentanan kritis, dan tingkat pengulangan kerentanan. Dengan melacak metrik ini dari waktu ke waktu, tim keamanan dapat menetapkan garis dasar untuk kinerja program manajemen kerentanan dan mengidentifikasi peluang untuk meningkatkan program dari waktu ke waktu. Pelajaran yang dipetik dari satu putaran siklus hidup dapat membuat putaran berikutnya menjadi lebih efektif.
Solusi terkait
Solusi keamanan perusahaan

Transformasikan program keamanan Anda dengan solusi dari penyedia keamanan perusahaan terbesar

 Jelajahi solusi keamanan siber
Layanan keamanan siber

Transformasikan bisnis Anda dan kelola risiko dengan konsultasi keamanan siber, cloud, dan layanan keamanan terkelola.

         Jelajahi layanan keamanan siber
    Keamanan siber dengan kecerdasan buatan (AI)

    Tingkatkan kecepatan, akurasi, dan produktivitas tim keamanan dengan solusi keamanan siber yang didukung AI.

         Jelajahi keamanan siber AI
    Ambil langkah selanjutnya

    Baik Anda memerlukan solusi keamanan data, manajemen titik akhir, maupun solusi manajemen identitas dan akses (IAM), pakar kami siap untuk bekerja bersama Anda demi mencapai postur keamanan yang kuat. Mentransformasi bisnis Anda dan mengelola risiko bersama pemimpin industri global dalam konsultasi keamanan siber, cloud, dan layanan keamanan terkelola.

         Jelajahi solusi keamanan siber Temukan layanan keamanan siber