Memprioritaskan kerentanan dengan mempertimbangkan konteks selalu menjadi tantangan bagi tim manajemen kerentanan – dan tantangan ini semakin berat seiring dengan meningkatnya jumlah CVE yang diterbitkan. Untuk mengatasi masalah ini, banyak perusahaan terpaksa berinvestasi dalam produk dan layanan yang menyediakan data intelijen dan alat yang diperlukan untuk melindungi lingkungan mereka. Dalam blog ini, kami akan menjelaskan bagaimana Tenable Vulnerability Intelligence dan Exposure Response membantu organisasi membuat keputusan berbasis data untuk memprioritaskan dan mengoptimalkan program keamanan mereka dengan lebih efektif.
Manajemen kerentanan menjadi tantangan besar bagi organisasi: bagaimana menghadapi jumlah Common Vulnerabilities and Exposures (CVE) yang sangat banyak dan terus berkembang pesat. Sebagai organisasi yang telah berkomitmen pada manajemen kerentanan sejak awal, Tenable juga menghadapi masalah ini, namun dengan komplikasi tambahan: karena cakupan pelanggan kami yang luas, kami perlu mencakup sebanyak mungkin CVE di berbagai produk sambil tetap menjaga konteks risiko, akurasi, dan keandalan.
Solusinya bukanlah dengan mencoba memeriksa setiap kemungkinan kombinasi CVE dan produk yang terpengaruh. Kami harus memprioritaskan kerentanan yang paling kritis dengan konteks yang tepat dan terarah. Untuk membuat keputusan ini dengan cepat dan akurat, Tenable memanfaatkan basis data besar yang dapat dicari, yang berisi informasi kerentanan dari sumber eksternal maupun dari Tenable Research. Ini adalah sumber data yang sama yang mendukung kemampuan baru dalam produk Tenable Vulnerability Management yang disebut Vulnerability Intelligence, yang dirancang untuk membantu pelanggan dalam mengoptimalkan program manajemen kerentanan mereka dan membuat keputusan prioritas berbasis data dengan cepat.
Situasinya sudah buruk dan semakin memburuk.
Kita baru memasuki pertengahan tahun 2024, dan kita sudah berada di jalur yang tepat untuk melebihi 30.000 CVE yang diterbitkan tahun ini. Situasinya semakin rumit karena semakin banyak CVE yang muncul pada komponen dasar, kerangka kerja, dan pustaka bahasa. Ini berarti organisasi tidak hanya memperbaiki satu aplikasi, melainkan harus melacak dan memperbaiki setiap aplikasi yang menggunakan komponen rentan yang terdampak.
Memanfaatkan Intelijen Kerentanan untuk Menyusun Strategi Prioritas
Di Tenable, selain upaya kami yang konsisten untuk menyediakan cakupan kerentanan terkini untuk rilis produk utama, kami selalu waspada terhadap kerentanan besar berikutnya untuk memastikan respons yang cepat. Memanfaatkan data kontekstual dari Intelijen Kerentanan sangat krusial untuk membuat keputusan yang cepat dan terinformasi. Selain itu, dengan adanya backlog besar yang dihadapi oleh National Vulnerability Database (NVD), dataset Intelijen Kerentanan kami memungkinkan kami untuk tetap up-to-date dengan kerentanan dan risiko terbaru, karena kami tidak bergantung pada satu sumber data saja.
Membuka Intelijen Kerentanan akan memperlihatkan serangkaian heksagon yang mewakili kategori risiko dari kerentanan yang kami anggap memiliki tingkat ancaman tertinggi. Meskipun kategori ini bukan satu-satunya kriteria keputusan yang digunakan, kategori dalam Intelijen Kerentanan didasarkan pada data yang masuk ke dalam Tenable Vulnerability Database, yang menentukan keputusan peringkat risiko kami.
Kategori-kategorinya meliputi:
– Ancaman Baru: Kumpulan kerentanan yang secara aktif dipantau oleh tim Respons Keamanan kami dan sering kali langsung direspons dengan pengembangan plugin untuk menangani kerentanan tersebut, terutama yang termasuk dalam kategori Kerentanan yang Menarik dan Kerentanan yang Menjadi Kekhawatiran.
– VPR (Vulnerability Priority Rating): Memberikan skor numerik untuk memudahkan penilaian dan penyortiran, meskipun penting untuk memahami konteks di balik skor tersebut.
– Ransomware: Menyoroti kerentanan yang terkait dengan serangan jenis ini, terutama dalam aplikasi perusahaan besar, karena kerentanan tersebut dapat membuka celah bagi serangan yang sangat berbahaya bagi organisasi manapun.
Seperti yang terlihat pada tangkapan layar di atas, memfokuskan perhatian pada kategori target ini dapat secara signifikan mengurangi jumlah CVE yang perlu ditangani. Dibandingkan dengan sekitar 250.000 CVE yang telah diterbitkan, kategori ini membuat angka-angka tersebut menjadi jauh lebih terkelola dan mencerminkan risiko nyata, berbeda dengan skor keparahan yang diperoleh dari metrik CVSS.
Mengubah Data Menjadi Strategi Prioritas
Banyak organisasi masih mengandalkan metrik prioritas dasar dalam operasi mereka, seperti menargetkan produk tertentu, skor CVSS, atau mandat khusus. Hal ini sering kali disebabkan oleh kebutuhan untuk memenuhi standar kepatuhan tertentu atau sekadar memiliki indikator yang dapat diukur. Meskipun melacak dan mengukur menggunakan skor CVSS atau tingkat keparahan sederhana mungkin tampak mudah, pendekatan ini sering kali kekurangan konteks dan tidak menunjukkan dampak yang signifikan terhadap risiko.
Di sinilah kemampuan Exposure Response yang baru dalam Tenable Vulnerability Management memberikan keuntungan signifikan. Exposure Response memungkinkan tim untuk merumuskan strategi manajemen kerentanan yang dapat diukur dan mencerminkan risiko nyata. Salah satu alat terpenting dalam program manajemen kerentanan adalah kemampuan untuk melacak kinerja. Sayangnya, banyak grafik yang dihasilkan cenderung datar karena jumlah kerentanan baru yang muncul sering kali mengimbangi jumlah kerentanan yang diperbaiki secara terus-menerus. Dengan memiliki target yang lebih terfokus, kita dapat benar-benar mengukur kinerja dari waktu ke waktu dan menetapkan target SLA yang realistis dan dapat dicapai.
Inisiatif KEV CISA
Katalog Known Exploited Vulnerabilities (KEV) dari Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) telah menjadi sumber daya penting dan populer yang menyoroti kerentanan tertentu yang terbukti dieksploitasi di lapangan. Meskipun KEV tidak mencakup seluruh kerentanan, risiko yang terkait dengan CVE tertentu ini, serta perhatian yang diberikan oleh banyak organisasi terhadap KEV, menjadikannya salah satu tolok ukur yang digunakan oleh tim Penelitian Tenable untuk melacak cakupan kerentanan. Dengan memanfaatkan Exposure Response, tim manajemen kerentanan dapat membuat inisiatif berbasis KEV CISA yang dapat dipantau untuk membandingkan upaya remediasi mereka. Seperti yang telah disebutkan sebelumnya, SLA dan tolok ukur sangat penting untuk strategi remediasi apa pun. Kami berupaya untuk mencakup kerentanan KEV secepat mungkin, idealnya sebelum mereka muncul di KEV, dan jika tidak memungkinkan, sering kali dalam hitungan jam setelah publikasi di KEV.
Exposure Response menyediakan alat yang tepat untuk menerapkan pengukuran ini. Mengingat visibilitas dan risiko yang terkait dengan KEV, mungkin bijaksana untuk menetapkan SLA dalam hitungan hari dan berusaha menjaga tolok ukur di atas 90% dari temuan yang telah diperbaiki. Kuncinya adalah memastikan bahwa strategi yang diterapkan dapat diukur dan dicapai.
Berbeda dengan 250.000 CVE yang telah diterbitkan, saat ini hanya ada 1.134 CVE dalam katalog KEV CISA. Dengan hanya beberapa CVE baru yang ditambahkan ke KEV setiap bulan, ini merupakan kumpulan CVE yang signifikan yang memungkinkan tim untuk secara efektif mengukur kinerja mereka.
Kesimpulan
Prioritas dan operasionalisasi kerentanan telah lama menjadi tantangan signifikan bagi tim manajemen kerentanan. Jumlah kerentanan yang diterbitkan setiap tahun sangat banyak, sehingga tim kesulitan untuk mengikuti perkembangan tersebut. Kurangnya konteks yang mudah diakses sering kali membuat proses prioritas menjadi permainan tebak-tebakan, pekerjaan yang sangat memakan waktu, atau upaya terbatas yang kurang efektif, seperti hanya fokus pada tingkat keparahan CVSS. Tenable Vulnerability Management memperkenalkan Vulnerability Intelligence yang menyediakan semua konteks yang dibutuhkan dalam satu tempat, serta Exposure Response untuk mengoperasionalkan alur kerja manajemen kerentanan yang terarah dan terukur.
Ingin tahu lebih banyak mengenai tenable, silahkan hubungi Tenable@ilogoindonesia.id
