Musim panas ini, Gartner memperkenalkan Continuous Threat Exposure Management (CTEM). Ini adalah serangkaian proses dan kemampuan yang memungkinkan organisasi membuat sistem untuk meninjau paparan yang lebih cepat daripada pendekatan berbasis proyek berkala.
Dengan ancaman dan kerentanan tanpa akhir yang melanda organisasi saat ini, manajemen eksposur yang mengevaluasi aksesibilitas, eksposur, dan eksploitasi semua aset digital dan fisik diperlukan untuk mengatur dan memprioritaskan pengurangan risiko bagi perusahaan.
Kami berbicara dengan Haggai Polak, CPO Skybox Security, untuk mengetahui lebih lanjut tentang arti istilah baru ini bagi keamanan perusahaan, terutama saat organisasi bersiap menghadapi ancaman baru di tahun 2023.
BN: Bisakah Anda memberi tahu kami lebih banyak tentang CTEM dan apa bedanya dengan manajemen kerentanan tradisional?
HP: Nama itu sendiri sangat mengesankan. Tujuan CTEM adalah untuk membuat rencana perbaikan postur keamanan yang dapat ditindaklanjuti yang dapat dipahami oleh organisasi dan dapat diterapkan oleh tim keamanan. Tujuan dari proses ini adalah untuk terus mengidentifikasi dan mengatasi ancaman yang kemungkinan besar akan dieksploitasi daripada mencoba memulihkan setiap ancaman yang teridentifikasi.
CTEM merupakan peningkatan dari program manajemen kerentanan yang telah digunakan di masa lalu, terutama dalam aspek berkelanjutan. Organisasi perlu menyadari bahwa hanya menjalankan pemindaian atau membawa agensi untuk melakukan pengujian dua kali setahun tidaklah cukup. Karena kerentanan baru diperkenalkan setiap saat, kami tahu bahwa basis data kerentanan umum tumbuh dengan kecepatan puluhan ribu per tahun, sementara infrastruktur organisasi terus berubah. Organisasi saat ini membutuhkan kemampuan untuk melakukan penilaian ancaman dan manajemen paparan secara terus menerus. Kami biasanya menyarankan agar pelanggan menjalankan pemindaian harian untuk melihat apa yang berubah, baik dalam hal infrastruktur dan konfigurasinya, serta ancaman atau eksploit baru yang telah tersedia bagi pelaku jahat.
Perubahan lain yang ingin saya tunjukkan adalah bahwa kita sekarang menggunakan istilah paparan, bukan hanya kerentanan. Ini juga merupakan perluasan dari cakupan program manajemen kerentanan asli yang benar-benar berfokus hanya pada kerentanan, sesuatu yang berpotensi dikompromikan pada perangkat lunak atau perangkat keras tertentu yang dapat digunakan dan dieksploitasi oleh seseorang. Eksposur jauh lebih luas dari itu. Miskonfigurasi yang salah dapat berupa eksposur, serta celah kontrol yang hilang, misalnya. Jadi, belum tentu ada bug software atau ada yang rusak. Ini bisa sesederhana kesalahan manusia yang memungkinkan akses ke area jaringan yang harus dilindungi. Itu sebabnya CTEM dipandang sebagai cara yang lebih matang untuk mengelola risiko dunia maya di seluruh perusahaan.
BN: Bisakah Anda menjelaskan seperti apa program CTEM itu?
HP: Saat kita melihat definisi program manajemen eksposur, ada beberapa tahapan yang sangat berbeda. Yang pertama adalah penemuan. Manajemen paparan dimulai dengan memahami aset apa yang dimiliki organisasi secara mendetail, siapa pemilik aset, apa kepentingannya, dan banyak lagi. Bagian selanjutnya adalah mendeteksi eksposur, dan disitulah pentingnya integrasi dengan berbagai scanner baik di dunia IT maupun OT untuk mulai memetakan berbagai eksposur yang ada pada aset yang berbeda.
Setelah kita selesai dengan tahap kedua ini, biasanya ada daftar puluhan ribu potensi paparan dalam infrastruktur yang perlu disortir. Perusahaan yang mengandalkan skor kerentanan tradisional biasanya mengalami masalah karena memiliki terlalu banyak kerentanan kritis dan bandwidth remediasi yang terbatas, sering membuat mereka berfokus pada hal yang salah. Di situlah teknologi prioritas berbasis risiko dapat membantu memutuskan apa yang paling penting — misalnya dengan mencari tahu kerentanan mana yang dieksploitasi secara liar, atau aset mana yang diekspos.
Kemudian kita sampai pada tahap keempat, yaitu remediasi dan verifikasi. Di situlah tim keamanan meluncurkan remediasi eksposur, secara manual atau otomatis. Ini juga tempat mereka memverifikasi bahwa remediasi memang efektif dan mengukur berbagai metrik di sekitar program seperti kemampuan untuk memenuhi SLA remediasi.
BN: Tren apa yang Anda lihat di ruang manajemen kerentanan?
HP: Ada beberapa tren yang ingin saya tunjukkan. Kuantifikasi risiko dunia maya adalah hal yang besar. Kami melihat tim keamanan semakin meminta bantuan kami untuk menerjemahkan risiko dunia maya ke dalam bahasa yang dapat dipahami oleh bisnis yang lebih luas. Misalnya, jika ada risiko besar pada sejumlah kecil server, tetapi server ini sangat penting bagi organisasi, waktu henti apa pun pada server tersebut menyebabkan kerugian moneter yang besar. Itu adalah sesuatu yang pelanggan kami ingin bantu hitung dan tampilkan sehingga mereka dapat menunjukkan mengapa mereka memprioritaskan remediasi dan biaya keamanan tambahan pada sekelompok kecil aset tersebut.
Yang kedua adalah seputar otomatisasi. Kita semua tahu tentang kekurangan personel keamanan siber. Itulah sebabnya banyak organisasi lintas industri berusaha mengotomatiskan kerentanan dan manajemen konfigurasi mereka. Dalam beberapa hal, solusi otomatisasi yang lebih tradisional mengecewakan pelanggan karena mereka tidak cukup pintar untuk melakukan otomatisasi secara aman dengan banyak konteks. Pelanggan keamanan tidak menyerah dan mereka masih mencari cara untuk memulihkan lebih cepat dengan lebih sedikit keterlibatan manusia, lebih sedikit kesalahan manusia, dan merespons dengan cepat terhadap ancaman tingkat keparahan tinggi di lingkungan.
Yang terakhir adalah perluasan dari penerapan manajemen kerentanan pada IT warisan tradisional, hingga melakukan manajemen paparan dan ancaman pada bagian infrastruktur Anda yang agak terbengkalai, seperti peralatan teknologi operasional (OT). Di sinilah kami melihat tim keamanan meminta penerapan kerentanan dan manajemen ancaman pada OT mereka, beban kerja cloud, dan dalam beberapa kasus, untuk pekerja jarak jauh. Tidak lagi cukup hanya melakukan manajemen kerentanan pada server di pusat data atau perangkat di gedung.
Kredit gambar: alexskopje/depositphotos.com
