Mengambil Pendekatan Berbasis Risiko untuk Patching Kerentanan

Vulnerability Patching

Kerentanan perangkat lunak merupakan ancaman utama bagi organisasi saat ini. Biaya dari ancaman ini signifikan, baik secara finansial maupun dalam hal reputasi.

Manajemen kerentanan dan patching dapat dengan mudah lepas kendali ketika jumlah kerentanan di organisasi Anda mencapai ratusan ribu kerentanan dan dilacak dengan cara yang tidak efisien, seperti menggunakan spreadsheet Excel atau beberapa laporan, terutama ketika banyak tim yang terlibat dalam organisasi .

Bahkan ketika proses untuk menambal sudah ada, organisasi masih berjuang untuk secara efektif menambal kerentanan dalam aset mereka. Hal ini umumnya karena tim melihat tingkat keparahan kerentanan dan cenderung menerapkan tambalan pada kerentanan dalam urutan tingkat keparahan berikut: info kritis > tinggi > sedang > rendah >. Bagian berikut menjelaskan mengapa pendekatan ini cacat dan bagaimana hal itu dapat diperbaiki.

Mengapa Menambal Sulit?

Meskipun diketahui bahwa penambalan kerentanan sangat penting, menambal kerentanan secara efektif juga merupakan tantangan. Kerentanan dapat dilaporkan dari sumber seperti laporan pentest dan berbagai alat pemindaian. Pemindaian dapat dilakukan pada aplikasi web Anda, API, kode sumber, infrastruktur, dependensi, wadah, dll.

Jumlah total laporan yang perlu disaring untuk memprioritaskan tambalan dapat meningkat secara drastis bahkan dalam waktu singkat, dan ketika banyak tim terlibat, hal ini dapat semakin meningkatkan kompleksitas dan waktu yang diperlukan untuk mengoordinasikan dan memprioritaskan tambalan.

Related Post :   Peretas Tiongkok Mulai Mengeksploitasi Kerentanan Zero-Day Microsoft Office Terbaru

Lebih buruk lagi, eksploitasi baru terus muncul hampir setiap hari, dan melacak eksploitasi baru dan tambalan yang tersedia dapat menjadi tugas besar yang dapat dengan cepat lepas kendali jika tidak ditangani dengan benar. Kecuali jika sebuah organisasi memiliki program keamanan yang sangat matang, pengelolaan patching secara efektif akan menjadi rumit.

Mengambil Pendekatan Berbasis Risiko untuk Menambal Kerentanan

Menyederhanakan patch mengharuskan Anda menyederhanakan prioritas terlebih dahulu. “Pendekatan berbasis risiko” berarti Anda akan mempertimbangkan potensi dampak kerentanan terhadap kemungkinan eksploitasinya. Ini memungkinkan Anda untuk menentukan apakah tindakan itu layak dilakukan atau tidak.

Untuk menyederhanakan penentuan prioritas, Anda harus mempertimbangkan hal-hal berikut:

  • Eksposur aset,
  • Sensitivitas bisnis dari aset,
  • Tingkat keparahan kerentanan yang dilaporkan terhadap aset,
  • Ketersediaan eksploitasi untuk kerentanan yang dilaporkan,
  • Kompleksitas eksploitasi, jika tersedia,
  • Taksonomi kerentanan dilaporkan.

* Aset dapat berupa apa saja di dalam organisasi Anda, seperti aplikasi web, aplikasi seluler, repositori kode, router, server, database, dll.

1
Menyederhanakan Prioritas

Pendekatan ini membantu secara drastis mengurangi waktu yang dihabiskan untuk memprioritaskan kerentanan. Mari kita bahas setiap poin secara rinci:

Paparan: Jika aset Anda menghadap publik ke Internet, atau pribadi, yaitu di belakang firewall di dalam jaringan dengan akses terkontrol. Aset publik biasanya membawa risiko yang lebih tinggi, tetapi itu tidak selalu berarti mereka harus diprioritaskan. Pasalnya, tidak semua aset publik bersifat sensitif. Beberapa aset publik mungkin hanya berupa halaman statis yang tidak berisi data pengguna, sementara aset publik lainnya dapat menangani pembayaran dan informasi PII. Jadi meskipun suatu aset bersifat publik, Anda harus mempertimbangkan sensitivitasnya.

Related Post :   Twilio Menderita Pelanggaran Data Setelah Karyawan Menjadi Korban Serangan SMS Phishing

Sensitivitas aset: Kategorikan sensitivitas bisnis dari semua aset Anda berdasarkan seberapa penting aset itu bagi bisnis Anda. Aset yang berisi informasi sensitif tentang pengguna atau proses pembayaran dapat dikategorikan sebagai aset sensitivitas bisnis penting. Aset yang hanya menyediakan beberapa konten statis dapat diklasifikasikan sebagai aset dengan sensitivitas bisnis rendah.

Tingkat keparahan kerentanan yang dilaporkan: Yang ini cukup jelas; Anda harus memprioritaskan kerentanan dalam urutan kritis> tinggi> sedang> rendah> tingkat keparahan info.

Memanfaatkan ketersediaan: Kerentanan yang eksploitasi publiknya sudah tersedia harus diprioritaskan daripada kerentanan yang tidak ada eksploitasinya.

Eksploitasi kompleksitas: Jika eksploitasi sangat mudah dieksploitasi dan memerlukan sedikit atau tanpa interaksi pengguna, maka kerentanan untuk jenis eksploitasi ini harus diprioritaskan daripada kerentanan dengan eksploitasi yang sangat kompleks yang biasanya memerlukan hak istimewa dan interaksi pengguna yang tinggi.

Taksonomi: Klasifikasi kerentanan yang dilaporkan juga harus dipertimbangkan dan harus dipetakan dengan standar industri seperti OWASP atau CWE. Contohnya adalah bahwa eksekusi kode jarak jauh yang berdampak pada server harus diprioritaskan lebih tinggi daripada kerentanan sisi klien, katakanlah Skrip Situs Lintas Tercermin.

2
Waktu yang dihabiskan untuk memprioritaskan kerentanan

Contoh kerentanan yang diprioritaskan tinggi adalah jika aset yang terpengaruh diekspos secara publik, memiliki sensitivitas bisnis yang kritis, tingkat keparahan kerentanan sangat penting, eksploitasi tersedia, dan tidak memerlukan interaksi pengguna atau otentikasi/hak istimewa.

Related Post :   Google Menghapus Daftar "Izin Aplikasi" dari Play Store untuk Bagian "Keamanan Data" Baru

Setelah semua kerentanan diprioritaskan, mengatasi kerentanan paling kritis akan secara dramatis mengurangi risiko bagi organisasi Anda.

Jadi masalah apa yang harus diukur oleh laporan manajemen kerentanan untuk memastikan keamanan aplikasi Anda secara memuaskan? – Lihat Whitepaper.

Bagaimana cara mendapatkan informasi tentang patch?

Anda dapat memperoleh informasi tentang tambalan dari berbagai saran seperti NVD. Dalam laporan ini, Anda dapat menemukan beberapa referensi tentang cara menambal kerentanan. Selain itu, situs web produk yang Anda gunakan biasanya menyediakan informasi ini. Meskipun dimungkinkan untuk menelusuri semua sumber secara manual dan mendapatkan informasi tentang tambalan, jika ada banyak kerentanan keamanan di organisasi Anda, mendapatkan semua informasi dari berbagai sumber dapat menjadi hal yang membosankan.

Solusinya:

Strobo dapat secara signifikan membantu organisasi dari semua ukuran secara dramatis mengurangi waktu yang diperlukan untuk memprioritaskan kerentanan dan memberikan informasi patch di dalam platform. Prioritas juga mudah karena Strobes secara otomatis memprioritaskan kerentanan untuk Anda berdasarkan metrik yang dijelaskan di bagian Pendekatan Berbasis Risiko untuk Menambal Kerentanan.

Strobes Security memimpin untuk mengganggu ruang manajemen kerentanan dengan produk andalannya VM365 dan PTaaS. Jika Anda belum menjadi pengguna Strobes Security, tunggu apa lagi? Daftar gratis di sini, atau Jadwalkan demo.


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.