Apa itu siklus hidup manajemen kerentanan?

Setiap bulan, Institut Standar dan Teknologi Nasional (NIST) menambahkan lebih dari 2.000 kerentanan keamanan baru ke dalam Database Kerentanan Nasional. Tim keamanan tidak perlu melacak semua kerentanan ini, tetapi mereka membutuhkan cara untuk mengidentifikasi dan mengatasi kerentanan yang berpotensi mengancam sistem mereka. Untuk itulah siklus manajemen kerentanan diperlukan.

Siklus manajemen kerentanan adalah proses berkelanjutan untuk menemukan, memprioritaskan, dan mengatasi kerentanan dalam aset TI perusahaan.

Putaran umum siklus memiliki lima tahap:

1. Inventarisasi aset dan penilaian kerentanan.
2. Penentuan prioritas kerentanan.
3. Resolusi kerentanan.
4. Verifikasi dan pemantauan.
5. Pelaporan dan peningkatan.

Siklus manajemen kerentanan memungkinkan organisasi untuk meningkatkan postur keamanan dengan mengambil pendekatan yang lebih strategis untuk manajemen kerentanan. Alih-alih bereaksi terhadap kerentanan baru saat muncul, tim keamanan secara aktif mencari kelemahan dalam sistem mereka. Organisasi dapat mengidentifikasi kerentanan yang paling kritis dan menerapkan perlindungan sebelum pelaku ancaman menyerang.

Kerentanan adalah kelemahan keamanan dalam struktur, fungsi, atau implementasi jaringan atau aset yang dapat dieksploitasi oleh peretas untuk merugikan perusahaan.

Kerentanan dapat timbul dari kelemahan mendasar dalam konstruksi aset. Demikian halnya dengan kerentanan Log4J yang terkenal, di mana kesalahan pengodean di perpustakaan Java yang populer memungkinkan peretas untuk menjalankan malware dari jarak jauh pada komputer korban. Kerentanan lainnya disebabkan oleh kesalahan manusia, seperti bucket penyimpanan cloud yang salah konfigurasi yang mengekspos data sensitif ke internet publik.

Setiap kerentanan adalah risiko bagi organisasi. Menurut X-Force Threat Intelligence Index IBM, eksploitasi kerentanan adalah vektor serangan siber paling umum kedua. X-Force juga menemukan bahwa jumlah kerentanan baru meningkat setiap tahun, dengan 23.964 tercatat pada tahun 2022 saja.

Para peretas memiliki persediaan kerentanan yang terus bertambah yang dapat mereka gunakan. Sebagai tanggapan, perusahaan telah menjadikan manajemen kerentanan sebagai komponen utama dari strategi manajemen risiko siber mereka. Siklus hidup manajemen kerentanan menawarkan model formal untuk program manajemen kerentanan yang efektif dalam lanskap ancaman siber yang terus berubah. Dengan mengadopsi siklus hidup tersebut, organisasi dapat melihat beberapa manfaat berikut:

• Penemuan dan penyelesaian kerentanan secara proaktif: Bisnis sering kali tidak mengetahui tentang kerentanan mereka hingga peretas mengeksploitasinya. Siklus hidup manajemen kerentanan dibangun di sekitar pemantauan berkelanjutan sehingga tim keamanan dapat menemukan kerentanan sebelum musuh menemukannya.
• Alokasi sumber daya strategis: Puluhan ribu kerentanan baru ditemukan setiap tahunnya, tetapi hanya sedikit yang relevan bagi sebuah organisasi. Siklus hidup manajemen kerentanan membantu perusahaan menentukan kerentanan yang paling kritis dalam jaringan mereka dan memprioritaskan risiko terbesar untuk remediasi.
• Proses manajemen kerentanan yang lebih konsisten: Siklus hidup manajemen kerentanan memberikan tim keamanan proses berulang untuk diikuti, mulai dari penemuan kerentanan hingga remediasi dan seterusnya. Proses yang lebih konsisten menghasilkan hasil yang lebih konsisten, dan memungkinkan perusahaan untuk mengotomatiskan alur kerja utama seperti inventaris aset, penilaian kerentanan, dan manajemen tambalan.

Kerentanan baru dapat muncul dalam jaringan kapan saja, sehingga siklus hidup manajemen kerentanan adalah loop berkelanjutan dan bukan serangkaian peristiwa yang berbeda. Setiap putaran siklus hidup akan langsung masuk ke putaran berikutnya. Satu putaran biasanya terdiri dari tahapan berikut:

Tahap 0: Perencanaan dan pekerjaan awal

Secara teknis, perencanaan dan pekerjaan awal dilakukan sebelum siklus manajemen kerentanan, oleh karena itu disebut sebagai "Tahap 0". Selama tahap ini, organisasi menyempurnakan detail penting dari proses manajemen kerentanan, termasuk yang berikut:

• Pemangku kepentingan mana yang akan dilibatkan, dan peran yang akan mereka miliki
• Sumber daya—termasuk orang, alat, dan pendanaan—yang tersedia untuk manajemen kerentanan
• Pedoman umum untuk memprioritaskan dan menanggapi kerentanan
• Metrik untuk mengukur keberhasilan program

Organisasi tidak melalui tahap ini sebelum setiap putaran siklus hidup. Umumnya, sebuah perusahaan melakukan tahap perencanaan dan persiapan yang ekstensif sebelum meluncurkan program manajemen kerentanan formal. Ketika program sudah berjalan, para pemangku kepentingan secara berkala meninjau kembali perencanaan dan pekerjaan awal untuk memperbarui pedoman dan strategi mereka secara keseluruhan sesuai kebutuhan.

Tahap 1: Penemuan aset dan penilaian kerentanan

Siklus hidup manajemen kerentanan formal dimulai dengan inventaris aset—katalog semua perangkat keras dan perangkat lunak di jaringan organisasi. Inventaris ini mencakup aplikasi dan titik akhir yang disetujui secara resmi serta aset TI bayangan yang digunakan karyawan tanpa persetujuan.

Karena aset baru ditambahkan secara berkala ke jaringan perusahaan, inventaris aset diperbarui sebelum setiap putaran siklus hidup. Perusahaan sering menggunakan perangkat lunak seperti platform manajemen permukaan serangan untuk mengotomatiskan inventaris mereka.

Setelah mengidentifikasi aset, tim keamanan menilai kerentanannya. Tim dapat menggunakan kombinasi alat dan metode, termasuk pemindai kerentanan otomatis, pengujian penetrasi manual, dan intelijen ancaman eksternal dari komunitas keamanan siber.

Menilai setiap aset selama setiap putaran siklus hidup akan sangat berat, sehingga tim keamanan biasanya bekerja secara bertahap. Setiap putaran siklus hidup berfokus pada kelompok aset tertentu, dengan kelompok aset yang lebih penting menerima pemindaian lebih sering. Beberapa alat pemindaian kerentanan yang canggih secara terus-menerus menilai semua aset jaringan secara real-time, sehingga memungkinkan tim keamanan mengambil pendekatan yang lebih dinamis dalam penemuan kerentanan.

Tahap 2: Penentuan prioritas kerentanan

Tim keamanan memprioritaskan kerentanan yang mereka temukan pada tahap penilaian. Penentuan prioritas memastikan bahwa tim mengatasi kerentanan yang paling kritis terlebih dahulu. Tahap ini juga membantu tim menghindari menghabiskan waktu dan sumber daya untuk kerentanan berisiko rendah. 

Untuk memprioritaskan kerentanan, tim mempertimbangkan kriteria berikut:

• Peringkat kekritisan dari intelijen ancaman eksternal: Ini dapat mencakup daftar Kerentanan dan Paparan Umum (CVE) MITRE atau Sistem Penilaian Kerentanan Umum (CVSS).
• Kekritisan aset: Kerentanan yang tidak kritis pada aset penting sering kali menerima prioritas lebih tinggi daripada kerentanan kritis pada aset yang kurang penting. 
• Dampak potensial: Tim keamanan mempertimbangkan apa yang mungkin terjadi jika peretas mengeksploitasi kerentanan tertentu, termasuk dampaknya terhadap operasi bisnis, kerugian finansial, dan kemungkinan tindakan hukum.
• Kemungkinan eksploitasi: Tim keamanan memberikan perhatian lebih pada kerentanan dengan eksploitasi yang diketahui yang secara aktif digunakan oleh peretas di alam liar.
• Positif palsu: Tim keamanan memastikan bahwa kerentanan benar-benar ada sebelum mendedikasikan sumber daya apa pun untuk mengatasinya.

Tahap 3: Resolusi kerentanan

Tim keamanan bekerja melalui daftar kerentanan yang diprioritaskan, dari yang paling kritis hingga yang paling tidak kritis. Organisasi memiliki tiga opsi untuk mengatasi kerentanan:

1. Remediasi: Sepenuhnya mengatasi kerentanan sehingga tidak dapat dieksploitasi lagi, misalnya dengan menambal bug sistem operasi, memperbaiki kesalahan konfigurasi, atau menghapus aset yang rentan dari jaringan. Remediasi tidak selalu memungkinkan. Untuk beberapa kerentanan, perbaikan lengkap tidak tersedia pada saat ditemukan (misalnya, kerentanan zero-day). Untuk kerentanan lain, remediasi akan terlalu padat sumber daya.
2. Mitigasi: Membuat kerentanan menjadi lebih sulit untuk dieksploitasi atau mengurangi dampak eksploitasi tanpa menghilangkan kerentanan sepenuhnya. Misalnya, menambahkan langkah-langkah autentikasi dan otorisasi yang lebih ketat pada sebuah aplikasi web akan mempersulit peretas untuk membajak akun. Membuat rencana respons insiden untuk kerentanan yang teridentifikasi dapat mengurangi dampak serangan siber. Tim keamanan biasanya memilih untuk melakukan mitigasi ketika remediasi tidak mungkin dilakukan atau biayanya sangat mahal. 
3. Penerimaan: Beberapa kerentanan sangat berdampak rendah atau tidak mungkin dieksploitasi sehingga memperbaikinya tidak akan hemat biaya. Dalam kasus ini, organisasi dapat memilih untuk menerima kerentanan tersebut.

Tahap 4: Verifikasi dan pemantauan

Untuk memverifikasi bahwa upaya mitigasi dan remediasi telah berjalan sebagaimana mestinya, tim keamanan melakukan pemindaian ulang dan pengujian ulang terhadap aset-aset yang baru saja mereka kerjakan. Audit ini memiliki dua tujuan utama: untuk menentukan apakah tim keamanan berhasil mengatasi semua kerentanan yang diketahui dan memastikan bahwa mitigasi dan remediasi tidak menimbulkan masalah baru.

Sebagai bagian dari tahap penilaian ulang ini, tim keamanan juga memantau jaringan secara lebih luas. Tim mencari kerentanan baru sejak pemindaian terakhir, mitigasi lama yang sudah usang, atau perubahan lain yang mungkin memerlukan tindakan. Semua temuan ini membantu menginformasikan putaran siklus hidup berikutnya.

Tahap 5: Pelaporan dan perbaikan

Tim keamanan mendokumentasikan aktivitas dari putaran terbaru siklus hidup, termasuk kerentanan yang ditemukan, langkah penyelesaian yang diambil, dan hasilnya. Laporan ini dibagikan kepada para pemangku kepentingan yang relevan, termasuk para eksekutif, pemilik aset, departemen kepatuhan, dan lainnya. 

Tim keamanan juga merefleksikan bagaimana putaran terbaru dari siklus berlangsung. Tim dapat melihat metrik utama seperti waktu rata-rata untuk mendeteksi (MTTD), waktu rata-rata untuk merespons (MTTR), jumlah total kerentanan kritis, dan tingkat pengulangan kerentanan. Dengan melacak metrik ini dari waktu ke waktu, tim keamanan dapat menetapkan garis dasar untuk kinerja program manajemen kerentanan dan mengidentifikasi peluang untuk meningkatkan program dari waktu ke waktu. Pelajaran yang dipetik dari satu putaran siklus hidup dapat membuat putaran berikutnya menjadi lebih efektif.

Manajemen kerentanan adalah pekerjaan yang kompleks. Bahkan dengan siklus hidup formal, tim keamanan mungkin merasa seperti sedang mencari jarum dalam tumpukan jerami saat mereka mencoba melacak kerentanan dalam jaringan perusahaan yang sangat besar

IBM X-Force Red dapat membantu menyederhanakan proses. Tim X-Force Red menawarkan layanan manajemen kerentanan yang komprehensif, bekerja sama dengan organisasi untuk mengidentifikasi aset penting, menemukan kerentanan berisiko tinggi, memperbaiki kelemahan sepenuhnya dan menerapkan tindakan pencegahan yang efektif.

IBM Security QRadar Suite dapat lebih mendukung tim keamanan yang memiliki keterbatasan sumber daya dengan solusi deteksi dan respons ancaman yang dimodernisasi. QRadar Suite mengintegrasikan keamanan titik akhir, manajemen log, produk SIEM dan SOAR dalam antarmuka pengguna yang umum, dan menyematkan otomatisasi perusahaan dan AI untuk membantu analis keamanan meningkatkan produktivitas dan bekerja secara lebih efektif di seluruh teknologi.