Perpindahan ke cloud berarti hari-hari paparan eksternal yang ditentukan oleh kumpulan rentang IP di firewall Anda telah hilang. Permukaan serangan hari ini terdiri dari banyak aset yang menghadap ke internet dengan paparan yang dikendalikan di tingkat domain.
Ini berarti aplikasi web dengan cepat menjadi target yang menarik bagi penyerang, terutama aset yang tidak dikenal dan terlupakan — yang berlimpah di lingkungan modern. Jadi bagaimana bisnis dapat mempertahankan diri?
Kami berbicara dengan Rickard Carlsson, CEO dan salah satu pendiri, Detectify untuk mencari tahu tentang praktik terbaik untuk mengungkap seluruh permukaan serangan eksternal organisasi, memberikan saran yang dapat ditindaklanjuti untuk mengungkap properti DNS dan mendapatkan inventaris lengkap aplikasi yang menghadap ke web dan status keamanannya.
BN: Apa tren TI perusahaan yang mendorong permukaan serangan eksternal yang diperluas?
RC: Permukaan serangan perusahaan semakin rumit dan sulit untuk dikelola setiap hari. Peningkatan strategi multi-cloud adalah kontributor utama, karena cloud yang berbeda memiliki kontrol dan pengaturan yang berbeda, dengan satu aspek default di AWS bekerja sepenuhnya berbeda di Azure, GCP, dll. Selain itu, adopsi cloud yang cepat telah menghilangkan aset perusahaan dari balik firewall lama, memaksa tim keamanan untuk mengadopsi praktik baru untuk mengamankannya. Dukungan kerja jarak jauh adalah faktor lain, karena perangkat ‘kerja’ digunakan untuk kasus penggunaan yang lebih pribadi, sering kali mengunjungi situs yang kurang aman dan menyebarkan infeksi dari perangkat rumah IoT yang terinfeksi.
Setiap organisasi memiliki beberapa permukaan serangan dan harus mempertimbangkan faktor individu yang mendorong perluasan masing-masing. Saat melihat permukaan serangan eksternal, semakin banyak aplikasi yang terhubung ke Internet dan praktik pengembangan perangkat lunak bernuansa di lingkungan perusahaan modern adalah pengaruh besar. Sebagian besar nilai bisnis baru saat ini dihasilkan melalui bisnis digital baru atau digitalisasi bisnis lama, yang mengutamakan kecepatan pengembangan – organisasi tidak lagi mampu membayar proses rilis yang panjang. Ini mempercepat laju inovasi organisasi (yang bagus), tetapi tim membutuhkan kotak alat baru untuk memastikan kecepatan tidak mengorbankan keamanan.
BN: Mengapa organisasi berjuang untuk menentukan eksposur eksternal mereka?
RC: Sudah lama berlalu hari-hari server di ruang bawah tanah kantor dan paparan ditentukan oleh kumpulan rentang IP di firewall mereka. Infrastruktur saat ini dipenuhi dengan aplikasi web-facing dan eksposur dikendalikan di tingkat domain (DNS), dengan penunjuk ke layanan internal dan pihak ketiga. Akibatnya, organisasi secara bersamaan memperluas permukaan serangan mereka dan mengundang potensi ancaman dunia maya. Organisasi harus memantau ratusan dan ratusan domain, dan bahkan lebih banyak subdomain untuk mendapatkan gambaran lengkap tentang eksposur eksternal.
Hal yang memperumit adalah kenyataan bahwa organisasi secara teratur menambahkan aset atau teknologi ke permukaan serangan tanpa memberi tahu tim keamanan, menghilangkan jaminan apa pun bahwa aset tersebut memenuhi standar keamanan perusahaan. Hal ini menyebabkan pelanggaran kebijakan yang dapat tidak terdeteksi selama berhari-hari, berbulan-bulan, atau bahkan bertahun-tahun, yang merupakan risiko besar bagi bisnis. Jika Anda tidak tahu apa yang Anda ungkapkan, bagaimana Anda bisa melindunginya?
BN: Apa peran kebijakan keamanan internal dalam mengamankan permukaan serangan eksternal?
RC: Keamanan bukanlah satu ukuran yang cocok untuk semua. Setiap organisasi memiliki alur kerja keamanannya sendiri dan kriteria berbeda untuk menentukan risiko yang dapat diterima. Kerangka kerja kepatuhan mendesak tim untuk menambal semuanya berdasarkan kekritisan CVSS, tetapi model CVSS cacat. Hal-hal mungkin memiliki CVSS yang tinggi tetapi dampak/kemungkinan sebenarnya dari kerentanan yang terungkap akan lebih rendah karena konteks bisnis. Pada kenyataannya, sangat sedikit CVE yang menghadirkan bahaya yang sah. Dan meskipun tidak ada kekurangan penemuan CVE baru, mereka berfokus pada komponen perangkat lunak tradisional. Banyak masalah cloud/AppSec modern berasal dari kesalahan konfigurasi, kombinasi alat, atau kesalahan pengembang yang tidak dicakup oleh CVE.
Keamanan produk dan tim AppSec perlu menerapkan kebijakan unik mereka sendiri untuk aset perusahaan berdasarkan konteks bisnis. Penyelesaian pelanggaran kebijakan secara proaktif seringkali merupakan pendekatan yang lebih efektif daripada pencarian kerentanan secara reaktif, karena pelanggaran dapat dengan mudah menyebabkan aset terekspos tanpa perlindungan. Tantangannya adalah, sebagian besar vendor manajemen kerentanan menawarkan solusi satu ukuran untuk semua, memaksa pelanggan untuk memilih dari menu kondisi yang telah ditentukan sebelumnya yang seringkali tidak berlaku untuk bisnis mereka.
Tim saat ini benar-benar membutuhkan kebijakan khusus yang secara otomatis mengidentifikasi pelanggaran segera setelah ditampilkan secara online. Kemampuan ini sulit didapat, tetapi kami berupaya mengubahnya.
BN: Apa itu ‘bergeser ke kiri’ dan apa dampaknya dalam mengaktifkan DevSecOps yang efektif?
RC: Pergeseran ke kiri mengacu pada metodologi pengembangan perangkat lunak tangkas untuk memindahkan pengujian dan kontrol keamanan lebih awal dalam siklus hidup aplikasi untuk mendeteksi kerentanan sesegera mungkin. Masalahnya adalah, gagasan bergeser ke kiri bergantung pada proses pengembangan linier standar, dan hari-hari itu sudah berakhir.
Di tahun-tahun sebelumnya, siklus hidup pengembangan perangkat lunak ditentukan oleh fase berurutan pada model air terjun – pengumpulan persyaratan, desain, implementasi, pengujian, penyebaran, dan pemeliharaan, dengan tahap berikutnya dimulai hanya setelah yang sebelumnya selesai. Saat ini, pengembangan perangkat lunak bergerak dengan kecepatan cahaya, dalam lingkaran yang hampir terus menerus tanpa tahapan terpisah. Garis antara pra-produksi dan produksi, dan setiap garis di antaranya, secara praktis telah menghilang.
BN: Apa praktik terbaik untuk menguji aplikasi melalui proses pengembangan penuh dan siklus hidup produknya?
RC: Sangat penting untuk melakukan pengujian praproduksi, tetapi sebagian besar peretasan terjadi setelah penerapan, dan produksi adalah yang terpenting. Tim perlu memfokuskan upaya mereka untuk berpindah ke kiri dan ke kanan, menerapkan kontrol di setiap tahap, secara terus-menerus. Strategi keamanan hampir real-time yang terintegrasi erat ke dalam jaringan pipa DevOps setransparan mungkin adalah cara terbaik untuk mengikuti siklus pengembangan secepat kilat saat ini, tanpa memperlambatnya.
Untuk mencapai hal ini, organisasi perlu memberikan informasi keamanan kepada insinyur perangkat lunak secepat mungkin, dengan mengikuti beberapa prinsip utama:
Pahami bahwa kerentanan baru muncul terus-menerus, dan kecepatanlah yang membuat organisasi lebih aman. Cara terbaik untuk mempercepat siklus identifikasi dan penerapan adalah dengan mempercepat putaran umpan balik. Batasi ketergantungan pada prosedur manual dengan teknologi otomatis dan berkelanjutan yang tidak memperlambat siklus pengembangan. Posisikan tim keamanan dalam organisasi sebagai pendukung, bukan pemblokir. Teknologi otomatis memungkinkan profesional keamanan untuk bekerja sama dengan pengembang (alih-alih memperlambatnya) untuk pengujian eksplorasi waktu nyata alih-alih menemukan dan memulihkan kerentanan individu.
Kredit gambar: fotogestoeber / Shutterstock
