Apa itu risk-based vulnerability management (RBVM)?
risk-based vulnerability management (RBVM) atau dalam Bahasa Indonesia adalah Manajemen kerentanan berbasis risiko adalah pendekatan untuk mengidentifikasi dan menangani kerentanan dalam lingkungan TI organisasi yang memprioritaskan perbaikan pada kelemahan yang dapat menimbulkan risiko terbesar.
Dalam TI, vulnerability (kerentanan) adalah cacat dalam kode perangkat lunak atau desain yang dapat menyebabkan keamanan terganggu, seperti titik masuk yang dapat dengan mudah dilanggar oleh peretas.
Pendekatan berbasis risiko adalah evolusi dari program manajemen kerentanan yang telah menjadi standar sejak organisasi pertama kali menerapkan teknologi informasi.
Program manajemen kerentanan yang sudah lama ada, yang sering disebut manajemen kerentanan warisan, tidak membenarkan perbaikan kerentanan berdasarkan risiko yang ditimbulkan oleh kerentanan terhadap organisasi. Sebagai gantinya, mereka memprioritaskan perbaikan berdasarkan informasi manajemen risiko umum dan data tentang tingkat keparahan kerentanan.
Untuk mengatasi masalah ini, para ahli keamanan mengembangkan RBVM berdasarkan prinsip bahwa kerentanan yang menimbulkan risiko tertinggi bagi organisasi harus mendapatkan perhatian pertama dan yang menimbulkan sedikit atau tidak ada risiko dapat ditangani saat waktu dan sumber daya memungkinkan.
Mengadopsi pendekatan berbasis risiko dalam manajemen kerentanan mengharuskan organisasi untuk mengetahui aset TI apa yang mereka miliki, memahami risiko yang ditimbulkan oleh setiap kerentanan terhadap organisasi dan memiliki mekanisme untuk memberi skor dan memprioritaskan setiap risiko.
Organisasi dapat menggunakan perangkat lunak RBVM untuk menyampaikan komponen-komponen tersebut. Perangkat lunak RBVM membantu dengan cara berikut:
- Memindai lingkungan TI, termasuk sistem operasi, aplikasi dan perangkat lunak untuk kerentanan yang sudah dikenal.
- Memberikan skor kerentanan berdasarkan faktor risiko organisasi.
- Mengotomatisasi perbaikan.
Manajemen kerentanan berbasis risiko versus manajemen kerentanan konvensional
Alat manajemen kerentanan konvensional atau warisan memberikan dukungan keamanan yang signifikan bagi organisasi, tetapi tidak cocok untuk strategi berbasis risiko.
Alat tersebut memindai aplikasi, sistem dan jaringan organisasi untuk mengidentifikasi kelemahan yang dapat dieksploitasi oleh peretas, seperti port terbuka, konfigurasi yang salah atau kode perangkat lunak yang bermasalah.
Beberapa alat manajemen kerentanan konvensional juga dapat membantu memprioritaskan kerentanan yang harus diperbaiki pertama, tetapi mereka mendasarkan pemrioritasan pada data umum dan konteks yang generik. Hal ini menyebabkan titik buta keamanan dan celah di organisasi yang khas. Itu karena manajemen kerentanan konvensional tidak sepenuhnya memperhitungkan profil risiko organisasi ketika mengidentifikasi dan mencantumkan kerentanan yang perlu ditangani.
Akibatnya, tim TI dan keamanan sering kali terlebih dahulu memperbaiki kerentanan yang menimbulkan risiko rendah bagi organisasi mereka, sementara kerentanan yang berisiko lebih tinggi dibiarkan tanpa perhatian.
Sebagai perbandingan, alat RBVM menggunakan kecerdasan buatan (AI) dan analitik pembelajaran mesin (ML) untuk memahami lingkungan TI organisasi, permukaan serangan dan kritikalitas aset, serta aktivitas aktor ancaman untuk mengkategorikan kerentanan berdasarkan risiko terhadap organisasi. Mereka kemudian memprioritaskan perbaikan, dimulai dengan kerentanan yang menimbulkan risiko tertinggi.
Selain itu, alat RBVM dapat menilai lebih banyak lingkungan TI organisasi, seperti perangkat internet of things dan kontainer, daripada banyak alat manajemen kerentanan yang lebih lama.
Bagaimana alat RBVM memberikan skor risiko
Pendekatan warisan untuk manajemen kerentanan memberikan skor kerentanan berdasarkan data generik, biasanya mengandalkan Common Vulnerability Scoring System (CVSS), sebuah kerangka kerja publik yang dipelihara oleh Forum Tim Tanggap Insiden dan Keamanan, yang menggunakan berbagai metrik untuk menghitung skor yang berkisar dari nol untuk yang paling tidak parah hingga 10 untuk yang paling parah.
CVSS memberikan nilai nyata untuk program manajemen kerentananya organisasi.
Namun, alat RBVM menggabungkan kerangka kerja dan informasi tambahan, seperti kritikalitas aset dan aktivitas aktor ancaman, selain tingkat keparahan kerentanan, yang memungkinkan skor yang disesuaikan dengan organisasi individual.
Pentingnya RBVM
Institut Nasional Standar dan Teknologi (NIST) melacak kerentanan yang diketahui dalam Basis Data kerentanan Nasional. NIST dapat menambahkan puluhan kerentanan dan Eksposur Umum baru ke dasbor mereka pada hari tertentu, yang berarti ada ratusan CVE baru yang ditambahkan setiap minggu dan ribuan setiap bulan. NIST mencatat hampir 250.000 CVE di dasbornya pada musim semi 2024.
Meskipun NIST mengkategorikannya berdasarkan tingkat keparahan — kritis, tinggi, sedang dan rendah — pendekatan itu tidak membantu sebagian besar organisasi untuk memfokuskan upaya perbaikannya. Jumlah kerentanan yang kritis sangat banyak.
Di sinilah RBVM bisa membantu. Itu mengatasi jumlah kerentanan yang luar biasa tinggi untuk ditangani, menambahkan konteks tentang apa arti kerentanan bagi organisasi individual dan menciptakan jalan yang dapat diterapkan menuju perbaikan.
Alat RBVM menganalisis kerentanan berdasarkan keterlihatannya, kemudahan eksploitasi dan intelijen ancaman lainnya untuk mengidentifikasi kerentanan yang menimbulkan risiko terbesar bagi organisasi. Mereka juga mempertimbangkan aset organisasi, dampak yang mungkin terjadi pada organisasi dan faktor risiko lainnya.
Analisis ini memungkinkan alat RBVM untuk menyaring jumlah kerentanan yang menakutkan menjadi yang harus diprioritaskan untuk ditangani oleh organisasi.
Selain itu, alat-alat ini menggunakan AI dan otomatisasi lainnya untuk menangani sebagian besar pekerjaan perbaikan yang sebelumnya harus dilakukan secara manual oleh tim TI dan keamanan, sehingga mempercepat perbaikan dan membebaskan tim untuk menangani tugas yang lebih bernilai tinggi.
Manfaat RBVM
RBVM memberikan nilai signifikan, memberikan berbagai manfaat yang bersama-sama menghasilkan postur keamanan yang lebih baik untuk organisasi. Manfaatnya meliputi:
- Fokus pada apa yang paling penting. RBVM memungkinkan organisasi untuk menangani kerentanan yang dapat merugikan mereka paling banyak, memastikan bahwa itu diperbaiki terlebih dahulu alih-alih terjebak dalam antrean kerentanan yang memerlukan perbaikan.
- Waktu lebih cepat untuk bertindak. Berkat AI, ML dan otomatisasi lainnya, RBVM dapat mengidentifikasi dan menangani kerentanan yang paling kritis lebih cepat daripada alat warisan dan proses manual.
- Tim TI dan keamanan yang lebih efisien. Kecerdasan dan otomatisasi yang tertanam dalam alat RBVM mengambil alih tugas yang dulu ditangani oleh tim TI dan keamanan, memberi mereka lebih banyak waktu untuk tugas bernilai tinggi yang tidak bisa dengan mudah diotomatisasi.
- Visibilitas yang lebih besar. Alat RBVM terus memindai lingkungan TI organisasi untuk mengidentifikasi dan memahami asetnya serta mendeteksi kerentanan. Kemampuan pemindaiannya yang aktif jauh melampaui alat manajemen kerentanan warisan, memberikan organisasi visibilitas ke hampir setiap bagian dari lanskap teknologi mereka, termasuk lingkungan cloud.
- Agilitas lebih. Kecerdasan yang tertanam dalam alat RBVM memungkinkan teknologi untuk terus menerima dan menganalisis data baru, seperti laporan intelijen ancaman, dan menyesuaikan dengan keadaan, membantu organisasi untuk mengikuti perubahan lanskap keamanan siber yang terus berkembang dan keterampilan aktor ancaman yang terus berkembang.