Manajemen tambalan yang tepat adalah komponen penting dari kebersihan keamanan siber. Jika organisasi tidak menerapkan perbaikan pada bug perangkat lunak secara tepat waktu, mereka berisiko membuka diri terhadap berbagai ancaman. Tetapi berebut untuk memperbaiki bug yang diidentifikasi oleh program Common Vulnerabilities and Exposures (CVE) bukanlah solusi yang lengkap. Organisasi perlu melakukan lebih banyak lagi.
Program CVE dan CVSS merupakan komponen penting dari sistem manajemen keamanan informasi (ISMS) di sebagian besar organisasi, tetapi jelas memiliki masalah. Program CVE menawarkan referensi untuk kerentanan dan paparan yang diketahui publik. CVSS menyediakan cara untuk menangkap karakteristik utama kerentanan dan menghasilkan skor numerik yang mencerminkan tingkat keparahannya. Di antara banyak tantangan dengan program ini, CVSS bukanlah indikasi sebenarnya dari risiko yang diwakili oleh CVE bagi organisasi. Itu karena ia mencoba untuk mempertimbangkan lingkungan tetapi hanya berhasil terbatas.
Jumlah risiko bagi organisasi sepenuhnya bergantung pada kondisi bisnisnya, bukan skor CVSS. Selain itu, model Matematika yang mendukung CVE cacat, sebagian karena skor CVE yang rendah kurang terwakili dalam data. CVE rendah mungkin merupakan kerentanan yang berdampak pada perusahaan Anda. (Detail lebih lanjut tentang masalah dengan matematika dapat ditemukan di sini di Teori Perangkat Lunak yang Dapat Diprediksi, yang melakukan analisis mendalam tentang matematika di balik skor CVE untuk “memahami cara kerjanya, apa yang berfungsi dengan baik, dan apa yang tidak. “)
Selain itu, ada lebih dari 50 CVE yang diterbitkan setiap harinya. Tidak masuk akal untuk mengharapkan tim keamanan memeriksa semuanya, dan bahkan jika mereka melakukannya, tidak setiap CVE berisi semua informasi yang dibutuhkan tim untuk memasang tambalan secara efektif. Tim dapat memprioritaskan CVE penting, tetapi tidak selalu jelas mana yang paling berisiko bagi lingkungan tertentu. Pertimbangkan plugin pihak ketiga, misalnya. Jika organisasi menggunakan platform seperti WordPress, manajemen tambalan yang efektif dan tepat waktu harus menjaga keamanan aplikasi inti. Tetapi dengan WordPress — seperti banyak platform lainnya — sebagian besar pengguna mengandalkan plugin dan add-on untuk menyempurnakan aplikasi yang mereka buat. Dalam banyak kasus, plugin ini tidak tercakup dalam proses pelaporan formal.
Melaksanakan pendekatan proaktif untuk keamanan komprehensif
Organisasi harus lebih proaktif. Manajemen tambalan reaktif akan selalu memiliki tempat penting dalam strategi keamanan yang komprehensif. Namun waktu jeda antara saat kerentanan teridentifikasi dan saat aktor jahat dapat mengeksploitasi kelemahan tersebut telah menyusut. Hal ini membuat permukaan serangan terlalu sulit untuk dikelola hanya dengan mencoba mengikuti tambalan untuk kerentanan yang teridentifikasi. Pada kenyataannya, sebagian besar organisasi tidak dapat mengikuti manajemen tambalan.
Sebuah survei baru-baru ini menunjukkan bahwa 76 persen kerentanan yang saat ini dieksploitasi telah diketahui sejak sebelum tahun 2020. Perusahaan jelas kewalahan dan tidak dapat secara efektif menambal kerentanan yang benar-benar memengaruhi bisnis mereka. Perusahaan perlu melihat manajemen tambalan dalam konteks solusi keamanan siber holistik.
Apa yang dibutuhkan perusahaan untuk mengatasi tantangan keamanan yang menakutkan saat ini adalah pengujian penetrasi berkelanjutan yang menyediakan manajemen permukaan serangan eksternal (EASM) yang komprehensif.
Program EASM yang kuat dan komprehensif menjawab empat pertanyaan mendasar:
Aset internet apa yang dimiliki organisasi? Kerentanan atau anomali apa yang dimilikinya, dan bagaimana pengaruhnya terhadap lingkungan yang Anda lindungi? Di mana tim keamanan harus memusatkan perhatiannya? Bagaimana tim dapat memperbaiki kerentanan atau risiko yang ada?
Selama beberapa tahun terakhir, organisasi telah bergerak cepat ke cloud, dengan berbagai grup bisnis meluncurkan berbagai layanan cloud yang tidak selalu dikelola secara terpusat. Hal ini menimbulkan tantangan keamanan karena tim TI dan keamanan bahkan mungkin tidak mengetahui aset cloud yang berpotensi mengungkap data melalui Internet. Inilah mengapa penting bagi program EASM untuk menemukan semua aset sebelum aktor jahat memiliki kesempatan untuk menjalankan alat otomatis untuk menemukan dan memantau permukaan serangan organisasi.
Penemuan aset dapat dicapai dengan terus memindai subdomain baru untuk mengungkap layanan baru saat tersedia. Setelah aset digital ditemukan, pindai untuk menemukan kerentanan dan anomali. Kuncinya adalah menggunakan alat yang melakukan tugas pengintaian yang sama dengan yang digunakan penjahat dunia maya untuk menyerang organisasi.
Langkah selanjutnya adalah memprioritaskan kerentanan dan anomali dari yang paling kritis hingga yang paling tidak kritis. Dengan cara ini, tim keamanan dapat segera memfokuskan upaya mereka pada hal yang menimbulkan risiko terbesar bagi mereka. Sebagai bagian dari penentuan prioritas, tim dapat mengelompokkan aset berdasarkan sejumlah kriteria yang telah ditentukan sebelumnya. Langkah terakhir adalah memulihkan setiap kerentanan yang perlu diperbaiki. Karena banyak organisasi kekurangan sumber daya atau keahlian untuk memberikan perbaikan, penting untuk menggunakan proses dan alat yang akan memunculkan saran yang dapat ditindaklanjuti tentang cara mengatasi kerentanan. Misalnya, pastikan untuk mempersenjatai tim dengan informasi seperti URL permintaan, payload yang digunakan untuk mengidentifikasi kerentanan, cuplikan kode, dan tangkapan layar jika tersedia.
Metode saat ini untuk menemukan dan memulihkan kerentanan, berdasarkan CVE dan CVSS, memiliki kelebihan. Namun pada akhirnya, ini adalah solusi cacat yang tidak akan memberikan tingkat keamanan yang dibutuhkan organisasi saat ini. Mereka berpotensi membuat perusahaan terekspos pada tingkat risiko yang lebih tinggi daripada yang mungkin mereka sadari. Perusahaan perlu memiliki strategi dan solusi yang memberikan keahlian dan otomatisasi yang dibutuhkan untuk membantu tim keamanan mengatasi kerentanan dengan cara yang seefisien mungkin. Dengan melakukan ini, organisasi dapat lebih proaktif dengan keamanan.
Kredit gambar: Rawpixel/depositphotos.com
Rickard Carlsson adalah CEO dan salah satu pendiri Detectify.
