Tim keamanan saat ini bersaing dengan permukaan serangan yang terus meningkat dan volume kerentanan yang tumbuh secara eksponensial. Namun sebagian besar tim masih dilengkapi dengan cybersec yang setara dengan ember untuk menyekop lautan CVE. Membelikan mereka ember baru yang mengkilap tidak ada artinya dibandingkan dengan menyumbat kebocoran sebenarnya di kapal (atau perusahaan) Anda.
Kerentanan tidak semuanya dapat ditambal, jadi memprioritaskannya berdasarkan risiko bisnis adalah pendekatan yang paling mendasar. Sementara tim keamanan terkemuka telah mulai menerapkan program manajemen kerentanan (VM) yang lebih canggih, yang lain berjuang dengan cara yang sudah ketinggalan zaman, intensif secara manual, dan kurang efektif untuk mengelola kerentanan tanpa konteks atau wawasan tentang risiko sebenarnya yang ditimbulkannya. Ini hanya dapat bekerja selama itu, karena memerlukan proses pemantauan, penemuan, analisis, dan pemulihan kerentanan yang berkelanjutan di semua vektor serangan potensial. Meski begitu, kesalahan manusia lama yang baik menyelinap masuk.
Membandingkan angka selama 10+ tahun terakhir dari kerentanan yang terungkap, mudah untuk melihat bagaimana proses ini menguras sumber daya. Pada tahun 2010, 4.653 CVE ditemukan. Pada tahun 2020, tingkat CVE tahunan mencapai 18.325. Dalam sepuluh tahun, tingkat CVE yang ditemukan per tahun hampir empat kali lipat. Pertumbuhan eksponensial itu belum melambat dan, dengan adopsi teknologi baru dengan kecepatan yang belum pernah terjadi sebelumnya, kemungkinan besar tidak akan pernah terjadi.
Sangat penting untuk dipahami bahwa hanya menambal kerentanan tidak berarti seluruh infrastruktur Anda aman. Permukaan serangan organisasi mencakup setiap aset yang dapat diekspos dan dieksploitasi dalam serangan siber, mulai dari komputer desktop lokal hingga sistem cloud publik dan aset internal lainnya di dalam jaringan.
Solusi yang paling mendasar adalah Attack Surface Management (ASM) di mana bisnis dapat mengontekstualisasikan dan memprioritaskan kerentanan untuk memastikan risiko dikelola sesuai dengan permukaan serangan spesifiknya.
Memahami dasar-dasar ASM
Attack Surface Management (ASM) berada di bawah payung Exposure Management (EM). EM juga mencakup praktik lain seperti Manajemen Validasi dan Manajemen Kerentanan. Dengan begitu banyak akronim di bawah istilah payung, mereka dapat membingungkan untuk dibedakan, tetapi masing-masing memiliki fitur yang berbeda.
Pikirkan ASM sebagai selimut keamanan yang membentang di semua titik akses potensial untuk melindungi lingkungan internal. Namun, ASM bukanlah alat. Saat ASM dianggap sebagai praktik, kami mulai melihat cakupan penuh EM, yang akarnya menjalar ke seluruh lingkungan untuk mempertahankan postur keamanan yang kuat.
Pemasaran vendor yang terlalu antusias sering salah mengartikan ASM sebagai solusi atau proses tertentu. Faktanya, pendekatan tersebut harus menggabungkan banyak aktivitas dan solusi yang berbeda. Ada tiga komponen utama untuk strategi ASM yang komprehensif:
External Attack Surface Management (EASM) — Sebuah praktik yang berfokus sepenuhnya pada aset publik seperti alamat IP publik atau cloud publik dan segala sesuatu di luar firewall perusahaan.
Layanan Perlindungan Risiko Digital (DRPS) — Ini membutuhkan tingkat kematangan dunia maya yang tinggi karena berfokus pada visibilitas intelijen ancaman dari berbagai sumber. Sumber-sumber ini termasuk jejaring sosial, wadah data terbuka, dan web dalam.
Cyber Asset Attack Surface Management (CAASM) — Dianggap sebagai landasan praktik ASM. Ini memungkinkan tim keamanan untuk meningkatkan visibilitas dan tantangan aset yang persisten dengan mengumpulkan data terkait.
Bisnis yang belum mengadopsi ASM biasanya memprioritaskan kerentanan individu daripada membuat keputusan berdasarkan risiko bisnis bagi organisasi mereka. Jenis keamanan reaktif ini jauh dari pendekatan proaktif yang seharusnya mereka ambil. Sangat sulit untuk memprioritaskan upaya keamanan tanpa konteks yang lebih luas. Ingat: Tidak semua kerentanan perlu diperbaiki.
Selain itu, beberapa perusahaan mencoba melakukan aktivitas ASM tanpa alat yang tepat. Kami menjumpai banyak perusahaan yang masih mengandalkan lembar Excel untuk melacak manajemen risiko eksternal dan internal mereka. Hal ini menciptakan beban kerja manual yang tidak perlu, sehingga kemungkinan besar risiko kritis bagi perusahaan terabaikan.
Jadi, praktik ASM apa yang perlu dijalankan oleh organisasi?
Praktik untuk menerapkan pendekatan ASM
Lebih banyak organisasi menyadari bahwa mereka perlu mengevaluasi kembali pendekatan mereka terhadap ASM. Tantangan awal untuk bisnis adalah memahami kebutuhan keamanannya di sekitar ASM dan bagaimana ini cocok dengan praktik lain yang serupa namun berbeda seperti EM. Untuk mengatasi hal ini, perusahaan harus mengomunikasikan perbedaan ini kepada dewan direksi dan mengamankan dukungan mereka untuk investasi penting, yang merupakan tantangan lain sepenuhnya.
Pada intinya, strategi ASM yang sukses bergantung pada pemecahan silo antara departemen TI yang berbeda dan departemen yang berdekatan dengan Keamanan TI seperti tim web, DevOps, dan cloud. Setiap kelompok memiliki agenda, proses, dan alatnya sendiri. Itu berarti banyak solusi yang terputus, mulai dari pemindaian kerentanan hingga konfigurasi kode — terkadang bahkan dalam tim yang sama. Oleh karena itu, harus ada versi terpadu dari risiko dan KPI universal untuk mitigasi kerentanan. Ini akan memungkinkan perusahaan untuk memprioritaskan risiko di seluruh perusahaan dari satu titik acuan.
Menciptakan pandangan normal tentang risiko dunia maya
Untuk membangun pendekatan ASM yang terpadu, kita perlu menetapkan pandangan yang dinormalisasi di seluruh area bisnis dengan kepentingan keamanan. CISO harus memiliki visibilitas yang jelas atas segala hal, dan karenanya semua data risiko harus mengalir ke titik yang sama dan dapat dilihat secara bersamaan dalam format yang sama. Semakin tua dan besar bisnisnya, semakin sulit untuk menyelaraskan departemen yang telah berkembang secara mandiri dari waktu ke waktu.
Ini akan memungkinkan untuk mengidentifikasi di mana alat, proses, dan tugas diduplikasi secara tidak perlu. Perusahaan dapat menghilangkan redudansi dan menerapkan otomatisasi yang lebih besar untuk meningkatkan produktivitas tim. Setelah strategi ASM internal matang, organisasi kemudian dapat memperluas cakupannya dengan menerapkan CAASM dan melakukan lebih banyak intelijen ancaman.
Bergerak melampaui ASM tingkat permukaan adalah kunci untuk mencapai keamanan sejati. Hanya dengan begitu organisasi dapat secara proaktif mengidentifikasi, memprioritaskan, dan memulihkan kerentanan yang mengancam menenggelamkan bisnis mereka.
Kredit Gambar: donscarpo / depositphotos.com
Sylvain Cortes adalah VP Strategi di Hackuity & 17x Microsoft MVP.
