Apakah Anda tahu perangkat TI apa yang ada di bisnis Anda atau di jaringan Anda saat ini? Jika tidak, bukan hanya penjahat dunia maya yang mungkin akan segera mengetuk pintu Anda, tetapi Gedung Putih.
Binding Operational Directive 23-01, atau BOD 23-01, adalah arahan baru dari US Cybersecurity and Infrastructure Security Agency. CISA telah mengeluarkan Binding Operational Directive (BOD) yang memerintahkan agen federal di negara tersebut untuk melacak aset TI mereka dan setiap kerentanan di jaringan mereka.
Panduan ini bertujuan untuk mengubah cara perangkat dilacak, dikelola, dan dilindungi dari akses dan serangan yang tidak sah seperti Ransomware. Karena jika tim dan organisasi TI tidak tahu perangkat apa yang ada di bawah atap mereka, lalu apa peluang mereka untuk melindunginya?
Apa arahan barunya?
Arahan keamanan siber yang luas memerintahkan semua lembaga Federal Civilian Executive Branch (FCEB) AS untuk membuat inventaris yang lengkap dan akurat dari semua aset perangkat lunak mereka.
Arahan baru mencoba untuk mencegah situasi seperti skandal SolarWinds 2020, di mana beberapa lembaga dan organisasi pemerintah disusupi oleh kode berbahaya yang disuntikkan ke dalam sistem perangkat lunak.
Tetapi juga ingin menempatkan lebih banyak akuntabilitas pada badan-badan sipil federal untuk perangkat mereka sendiri dan apa yang ada di jaringan mereka, serta memegang tanggung jawab lebih besar jika terjadi pelanggaran atau serangan dunia maya.
Dan meskipun arahan tersebut hanya mencakup badan-badan sipil federal di AS, CISA juga mendesak sektor swasta dan pemerintah negara bagian untuk meninjau dan menerapkan praktik aset dan kerentanan serupa. Sulit untuk memikirkan alasan mengapa itu tidak boleh juga diluncurkan ke semua bisnis, bukan hanya di AS
Selama beberapa tahun, CISA telah bekerja untuk mendapatkan visibilitas yang lebih besar ke dalam risiko yang dihadapi jaringan sipil federal. Sekarang mungkin akhirnya telah membuat beberapa kemajuan.
Masalah apa yang coba ditanganinya?
Pelaku ancaman terus menargetkan infrastruktur, jaringan, dan perangkat penting untuk mengeksploitasi kelemahan dalam aset yang tidak diketahui, tidak terlindungi, atau kurang terlindungi. Metode sebelumnya dan bahkan saat ini untuk mencegah hal ini terjadi telah memberikan berbagai tingkat keberhasilan, oleh karena itu perlunya lapisan perlindungan lain.
Pada tingkat dasar, bisnis masih belum melacak perangkat dan perangkat lunak di bawah atap mereka sendiri, dengan sekitar satu dari tiga tim TI mengatakan mereka tidak secara aktif melacak perangkat lunak yang digunakan oleh karyawan dalam bisnis.
Harapan dengan arahan baru ini adalah, setidaknya, lembaga dan departemen pemerintah memiliki akses ke inventaris aset terkini. Anda tidak dapat melindungi apa yang tidak dapat Anda lihat, jadi dengan memberikan visibilitas ini, kami sudah selangkah lebih maju dari permainan.
Tapi itu saja tidak akan menyelesaikan masalah sama sekali, karena tidak ada gunanya melihat apa yang berada di bawah ancaman jika Anda tidak dapat mencegah serangan terjadi di tempat pertama atau setidaknya menghentikannya dari menjadi misi-kritis.
93 persen perusahaan rentan terhadap penyerang eksternal yang melanggar batas jaringan mereka dan mendapatkan akses ke data sensitif. Dengan meningkatkan strategi manajemen aset TI saat ini untuk dapat mengidentifikasi kerentanan, melacak tanda tangan kerentanan, dan membagikan informasi tersebut kepada pihak terkait, kami dapat membantu melindungi informasi agar tidak jatuh ke tangan yang salah.
Apa artinya bagi tim TI?
Permukaan serangan — titik masuk dan kerentanan yang berfungsi sebagai vektor serangan — berkembang pesat. Teknologi baru, perubahan terbaru untuk menerapkan tempat kerja jarak jauh dan hybrid, dan membawa perangkat Anda sendiri (BYOD) mendapatkan momentum lagi mengancam akan mengalahkan tim TI.
Permukaan serangan menjadi tidak terkendali, itulah sebabnya metode baru Cyber Asset Attack Surface Management (CAASM) menjadi penting dalam mengelola dan melindungi organisasi.
Untuk agensi yang ingin mematuhi arahan baru, membuat inventaris aset perangkat lunak akan dianggap sebagai tantangan administratif yang signifikan. Kita berbicara tentang harus mencari, mengidentifikasi, merekam, dan melaporkan kemungkinan ratusan atau ribuan perangkat keras dan perangkat lunak.
Teknologi pemindaian tanpa agen akan membantu di sini. Jika dilakukan secara manual, membuat inventaris terkini dari semua aset ini akan memakan waktu ratusan jam, menghabiskan banyak uang, dan berpotensi memengaruhi operasi dengan sumber daya TI yang dialihkan dari tugas penting bisnis lainnya.
Visibilitas aset dan deteksi kerentanan 101
Ada dua area utama yang perlu menjadi fokus tim TI — inventaris aset dan pemindaian kerentanan. Bersama-sama, ini dipandang penting dalam mendapatkan visibilitas yang dibutuhkan untuk melindungi organisasi federal dari ancaman luar.
Pada tanggal 3 April 2023, pemindaian penemuan aset harus dijalankan setiap tujuh hari, sementara penilaian kerentanan di seluruh aset tersebut setiap 14 hari. Agen juga harus membuktikan bahwa mereka memiliki kemampuan untuk menjalankan tes tersebut sesuai permintaan, dengan CISA meminta bukti dalam waktu 72 jam setelah menerima permintaan tertulis.
Jika tim TI belum memilikinya, mereka perlu membuat dan memelihara inventaris aset TI terbaru di jaringan mereka, serta mengidentifikasi kerentanan, dan membagikan informasi yang relevan dengan CISA secara berkala.
Tim TI sudah berada di bawah tekanan, dan satu-satunya cara yang realistis dan hemat biaya agar organisasi dapat mematuhinya adalah dengan mengotomatiskan inventaris TI. Dengan perangkat baru yang ditambahkan hampir setiap hari dan teknologi saat ini perlu terus diperbarui, hampir tidak mungkin untuk menangani ini secara manual.
Mengetahui apa yang ada di jaringan Anda diperlukan bagi organisasi mana pun untuk mengurangi risiko. Di dunia digital pertama saat ini, dengan lebih banyak permukaan serangan daripada sebelumnya, mencatat apa yang Anda miliki adalah langkah pertama dalam melindungi dan mencegah hal terburuk terjadi.
Roel Decneut adalah Chief Strategy Officer di Lansweeper.
