Diterbitkan: 15 Desember 2023
Kontributor: Matt Kosinski, Amber Forrest
Pemindaian kerentanan, juga disebut “penilaian kerentanan”, adalah proses mengevaluasi jaringan atau aset IT untuk mengetahui kerentanan keamanan, kekurangan atau kelemahan yang dapat dieksploitasi oleh pelaku ancaman eksternal atau internal. Pemindaian kerentanan adalah tahap pertama dari siklus manajemen kerentanan yang lebih luas.
Di sebagian besar organisasi saat ini, pemindaian kerentanan sudah sepenuhnya otomatis. Proses dilakukan oleh alat pemindaian kerentanan khusus yang menemukan dan menandai kelemahan untuk ditinjau oleh tim keamanan.
Eksploitasi kerentanan adalah vektor serangan siber paling umum kedua setelah phishing, menurut X-Force Threat Intelligence Index IBM. Pemindaian kerentanan membantu organisasi menangkap dan menutup kelemahan keamanan sebelum penjahat siber dapat memanfaatkannya. Karena alasan ini, Center for Internet Security (CIS) (tautan berada di luar ibm.com) menganggap manajemen kerentanan berkelanjutan, termasuk pemindaian kerentanan otomatis, sebagai praktik keamanan siber yang sangat penting.
Dapatkan insight untuk mengelola risiko pelanggaran data dengan lebih baik dengan laporan Biaya Pelanggaran Data terbaru.
Daftar untuk mendapatkan X-Force Threat Intelligence Index
Kerentanan keamanan adalah kelemahan dalam struktur, fungsi atau implementasi aset atau jaringan IT. Peretas atau aktor ancaman lainnya dapat mengeksploitasi kelemahan ini untuk mendapatkan akses yang tidak sah dan menyebabkan kerusakan pada jaringan, pengguna, atau bisnis. Kerentanan umum meliputi:
Ribuan kerentanan baru ditemukan setiap bulannya. Dua lembaga pemerintah Amerika Serikat memiliki katalog yang dapat dicari tentang kerentanan keamanan yang diketahui, yaitu Institut Standar dan Teknologi Nasional, atau NIST, dan Agensi Keamanan Kemanan Siber dan Infrastruktur, atau CISA (tautannya berada di luar ibm.com).
Sayangnya, meskipun kerentanan didokumentasikan secara menyeluruh setelah ditemukan, para peretas dan pelaku ancaman lainnya sering kali menemukannya terlebih dahulu, sehingga memungkinkan mereka untuk mengejutkan organisasi.
Untuk mengadopsi postur keamanan yang lebih proaktif dalam menghadapi ancaman siber ini, tim IT menerapkan program manajemen kerentanan . Program-program ini mengikuti proses berkelanjutan untuk mengidentifikasi dan menyelesaikan risiko keamanan sebelum peretas dapat mengeksploitasinya. Pemindaian kerentanan biasanya merupakan langkah pertama dalam proses manajemen kerentanan, mengungkap kelemahan keamanan yang perlu ditangani oleh tim IT dan keamanan.
Banyak tim keamanan juga menggunakan pemindaian kerentanan untuk
Validasi tindakan dan kontrol keamanan, setelah menempatkan kontrol baru, tim biasanya menjalankan pemindaian lain. Pemindaian ini mengonfirmasi apakah kerentanan yang diidentifikasi telah diperbaiki. Hal ini juga menegaskan bahwa upaya remediasi yang dilakukan tidak menimbulkan masalah baru.
Pertahankan kepatuhan terhadap peraturan. Beberapa peraturan secara eksplisit mewajibkan pemindaian kerentanan. Misalnya, Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS) mewajibkan organisasi yang menangani data pemegang kartu menjalani pemindaian triwulanan (tautan berada di luar ibm.com).
Di antara aplikasi cloud dan aplikasi on premises, perangkat seluler dan IoT, laptop, dan titik akhir tradisional lainnya, jaringan perusahaan modern mengandung terlalu banyak aset untuk pemindaian kerentanan secara manual. Sebagai gantinya, tim keamanan menggunakan pemindai kerentanan untuk melakukan pemindaian otomatis secara berulang.
Untuk menemukan potensi kerentanan, pemindai pertama-tama mengumpulkan informasi tentang aset TI. Beberapa pemindai menggunakan agen yang diinstal pada titik akhir untuk mengumpulkan data pada perangkat dan perangkat lunak yang berjalan di dalamnya. Pemindai lain memeriksa sistem dari luar, menyelidiki port yang terbuka untuk mengungkap detail tentang konfigurasi perangkat dan layanan yang aktif. Beberapa pemindai melakukan pengujian yang lebih dinamis, seperti mencoba masuk ke perangkat menggunakan kredensial default.
Setelah memindai aset, pemindai membandingkannya dengan database kerentanan. Database ini mencatat kerentanan umum dan eksposur (CVE) untuk berbagai versi perangkat keras dan perangkat lunak. Beberapa pemindai mengandalkan sumber publik seperti basis data NIST dan CISA dan yang lainnya menggunakan database eksklusif.
Pemindai memeriksa apakah setiap aset menunjukkan tanda-tanda kekurangan yang terkait dengannya. Misalnya, pemindai mencari masalah seperti bug protokol desktop jarak jauh di sistem operasi. Bug ini dapat memungkinkan peretas untuk mengendalikan perangkat. Pemindai juga dapat memeriksa konfigurasi aset terhadap daftar praktik keamanan terbaik, seperti memastikan kriteria autentikasi yang ketat dan tepat untuk database yang sensitif.
Selanjutnya, pemindai menyusun laporan tentang kerentanan yang teridentifikasi untuk ditinjau oleh tim keamanan. Laporan yang paling dasar hanya mencantumkan setiap masalah keamanan yang perlu ditangani. Beberapa pemindai dapat memberikan penjelasan terperinci dan membandingkan hasil pemindaian dengan pemindaian sebelumnya untuk melacak manajemen kerentanan dari waktu ke waktu.
Pemindai yang lebih canggih juga memprioritaskan kerentanan berdasarkan tingkat kekritisan. Pemindai dapat menggunakan intelijen ancaman sumber terbuka, seperti skor Common Vulnerability Scoring System (CVSS), untuk menilai tingkat kekritisan suatu kelemahan. Atau, mereka dapat menggunakan algoritma yang lebih kompleks yang mempertimbangkan kelemahan dalam konteks unik organisasi. Pemindai ini juga dapat merekomendasikan metode remediasi dan mitigasi untuk setiap kelemahan.
Risiko keamanan jaringan berubah ketika aset baru ditambahkan dan kerentanan baru ditemukan di alam liar. Namun, setiap pemindaian kerentanan hanya dapat menangkap momen dalam waktu. Untuk mengikuti lingkungan ancaman siber yang terus berkembang, organisasi melakukan pemindaian secara teratur.
Sebagian besar pemindaian kerentanan tidak melihat setiap aset jaringan sekaligus karena membutuhkan sumber daya dan waktu yang padat. Sebaliknya, tim keamanan sering kali mengelompokkan aset menurut tingkat kekritisannya dan memindainya secara bertahap. Aset yang paling penting dapat dipindai secara mingguan atau bulanan, sedangkan aset yang tidak terlalu penting dapat dipindai secara triwulanan atau tahunan.
Tim keamanan juga dapat menjalankan pemindaian setiap kali terjadi perubahan besar pada jaringan, seperti menambahkan server web baru atau membuat database baru yang sensitif.
Beberapa pemindai kerentanan tingkat lanjut menawarkan pemindaian berkelanjutan. Alat ini memantau aset secara real-time dan menandai kerentanan baru saat muncul. Namun demikian, pemindaian secara terus-menerus tidak selalu dapat dilakukan atau diinginkan. Pemindaian kerentanan yang lebih intensif dapat mengganggu kinerja jaringan, sehingga beberapa tim IT mungkin lebih suka mengadakan pemindaian secara berkala.
Ada banyak jenis pemindai yang berbeda, dan tim keamanan sering kali menggunakan kombinasi alat untuk mendapatkan gambaran komprehensif tentang kerentanan jaringan.
Beberapa pemindai fokus pada jenis aset tertentu. Misalnya, pemindai cloud berfokus pada layanan cloud, sementara alat pemindaian aplikasi web mencari kekurangan pada aplikasi web.
Pemindai dapat diinstal secara lokal atau dikirimkan sebagai aplikasi perangkat lunak sebagai layanan (SaaS) . Pemindai kerentanan sumber terbuka dan alat berbayar adalah hal biasa. Beberapa organisasi mengalihdayakan pemindaian kerentanan sepenuhnya ke penyedia layanan pihak ketiga.
Sementara pemindai kerentanan tersedia sebagai solusi mandiri, vendor semakin menawarkannya sebagai bagian dari rangkaian manajemen kerentanan holistik. Alat-alat ini menggabungkan berbagai jenis pemindai dengan manajemen permukaan serangan, manajemen aset, manajemen patch, dan fungsi utama lainnya dalam satu solusi.
Banyak pemindai yang mendukung integrasi dengan alat keamanan siber lainnya, seperti informasi keamanan dan sistem manajemen peristiwa (SIEM) serta alat deteksi dan respons titik akhir (EDR) .
Tim keamanan dapat menjalankan berbagai jenis pemindaian tergantung pada kebutuhan mereka. Beberapa jenis pemindaian kerentanan yang paling umum meliputi:
Pemindaian kerentanan eksternal melihat jaringan dari luar. Mereka berfokus pada kelemahan pada aset yang berhadapan dengan internet seperti aplikasi web dan menguji kontrol perimeter seperti firewall. Pemindaian ini menunjukkan bagaimana peretas eksternal dapat membobol jaringan.
Pemindaian kerentanan internal melihat kerentanan dari dalam jaringan. Mereka menjelaskan apa yang dapat dilakukan peretas jika mereka masuk, termasuk bagaimana mereka dapat bergerak secara lateral dan informasi sensitif apa yang dapat mereka curi dalam pelanggaran data.
Pemindaian yang diautentikasi, juga disebut “pemindaian kredensial”, memerlukan hak akses dari pengguna yang berwenang. Alih-alih hanya melihat aplikasi dari luar, pemindai dapat melihat apa yang akan dilihat oleh pengguna yang login. Pemindaian ini mengilustrasikan apa yang dapat dilakukan peretas dengan akun yang dibajak atau bagaimana ancaman orang dalam dapat menyebabkan kerusakan.
Pemindaian yang tidak diautentikasi, juga disebut "pemindaian tanpa kredensial," tidak memiliki izin akses atau hak istimewa. Mereka hanya melihat aset dari sudut pandang orang luar. Tim keamanan dapat menjalankan pemindaian tidak terautentikasi internal dan eksternal.
Meskipun setiap jenis pemindaian memiliki contoh penggunaannya sendiri, namun ada beberapa yang tumpang tindih, dan keduanya bisa digabungkan untuk tujuan yang berbeda. Sebagai contoh, pemindaian internal yang diautentikasi akan menunjukkan perspektif ancaman orang dalam. Sebaliknya, pemindaian internal yang tidak terautentikasi akan menunjukkan apa yang akan dilihat oleh peretas jahat jika mereka berhasil melewati perimeter jaringan.
Pemindaian kerentanan dan pengujian penetrasi adalah bentuk pengujian keamanan jaringan yang berbeda namun saling terkait. Meskipun memiliki fungsi yang berbeda, banyak tim keamanan yang menggunakannya untuk saling melengkapi.
Pemindaian kerentanan adalah pemindaian aset tingkat tinggi otomatis. Mereka menemukan kekurangan dan melaporkannya ke tim keamanan. Pengujian penetrasi, atau pengujian pena, adalah proses manual. Penguji pena menggunakan skill peretasan etis untuk tidak hanya menemukan kerentanan jaringan tetapi juga mengeksploitasinya dalam serangan simulasi.
Pemindaian kerentanan lebih murah dan lebih mudah dilakukan, sehingga tim keamanan menggunakannya untuk mengawasi sistem. Uji penetrasi membutuhkan lebih banyak sumber daya tetapi dapat membantu tim keamanan untuk lebih memahami kelemahan jaringan mereka.
Jika digunakan bersama-sama, pemindaian kerentanan dan uji pena dapat membuat manajemen kerentanan menjadi lebih efektif. Sebagai contoh, pemindaian kerentanan memberikan penguji pena titik awal yang berguna. Sementara itu, uji penetrasi dapat menambahkan lebih banyak konteks pada hasil pemindaian dengan mengungkap positif palsu, mengidentifikasi akar masalah, dan mengeksplorasi bagaimana penjahat siber dapat merangkai kerentanan bersama dalam serangan yang lebih kompleks.
Secara signifikan meningkatkan tingkat deteksi dan mempercepat waktu untuk mendeteksi dan menyelidiki ancaman.
Menerapkan program manajemen kerentanan yang mengidentifikasi, memprioritaskan, dan mengelola remediasi kelemahan yang dapat mengekspos aset paling penting Anda.
Identifikasi ancaman dalam hitungan menit. Capai efisiensi yang lebih besar dan operasi yang sederhana dengan alur kerja bawaan.
Sederhanakan dan optimalkan manajemen aplikasi dan operasi teknologi Anda dengan wawasan yang didorong oleh AI generatif.
Bersiaplah dengan lebih baik untuk menghadapi pelanggaran dengan memahami penyebabnya dan faktor-faktor yang meningkatkan atau mengurangi biaya. Belajarlah dari pengalaman lebih dari 550 organisasi yang menjadi korban pelanggaran data.
Baca cara perburuan ancaman secara proaktif mengidentifikasi ancaman yang sebelumnya tidak diketahui atau ancaman yang belum diatasi dalam jaringan organisasi.
Kenali ancaman untuk mengalahkannya. Dapatkan insight yang dapat ditindaklanjuti yang membantu memahami cara pelaku ancaman melancarkan serangan, dan cara melindungi organisasi Anda secara proaktif.