Hampir setiap bank memiliki masalah manajemen kerentanan—termasuk bank saya. Kami terkubur dalam kerentanan dan ditantang untuk mencari tahu mana yang harus diperbaiki terlebih dahulu. Setelah bermitra dengan tim peretas veteran IBM X-Force Red, kami mencapai tingkat kontrol yang jauh lebih baik atas situasi manajemen kerentanan kami dan terus menikmati peningkatan yang berkelanjutan baik dalam praktik maupun hasil.
Tim kami kewalahan dengan sejumlah besar kerentanan, termasuk backlog kerentanan kritis yang tidak dapat diselesaikan dengan cukup cepat. Salah satu permasalahannya adalah ketidakmampuan kami untuk secara efektif menyaring data tren agregat menjadi informasi yang dapat ditindaklanjuti oleh orang-orang yang bertanggung jawab untuk melakukan remediasi.
Tim X-Force Red terjun ke dalam kekacauan masalah kami. Empat bulan setelah program ini berjalan, kami melihat adanya penurunan 60 persen dalam kerentanan kritis dan hampir 45 persen dalam kerentanan total.
Perusahaan jasa keuangan menjadi korban serangan keamanan siber 300 kali lebih sering daripada bisnis di industri lain, itulah sebabnya perusahaan kami berinvestasi dan memprioritaskan program manajemen kerentanan.
Kami memiliki backlog kerentanan yang sangat banyak dan kritis. Volume yang besar membuat pelaporan, penentuan prioritas, dan pelacakan masalah menjadi sangat menantang. Kami kekurangan solusi skala perusahaan untuk manajemen kerentanan.
Kami memiliki solusi yang tidak efektif berupa spreadsheet kompleks yang mengekstrak sejumlah besar kerentanan dari berbagai sistem dan pemindai—yang pada akhirnya membuat tim Manajemen Kerentanan dan tim lain yang bertanggung jawab untuk menambal tidak dapat mendekonstruksi laporan yang rumit dan menelusuri datanya. Laporan tersebut menunjukkan jumlah kerentanan secara keseluruhan dan indikator risiko utama berbasis formula, tetapi kami membutuhkan insight tentang bagaimana metrik tersebut dihitung dan kerentanan mana yang berdampak pada sistem tertentu.
Kami merasa lumpuh. Output pemindai kerentanan memungkinkan kami melihat berapa banyak kerentanan yang kami miliki, tetapi kami tidak dapat mengkorelasikan data tersebut dengan sistem dan pemilik tertentu secara tepat. Tanpa pelaporan yang efektif, administrator sistem tidak tahu harus mulai dari mana dalam melakukan penambalan dan tim kerentanan tidak dapat memberikan arahan yang berguna.
Stres membebani tim kami. Datanya sangat samar, rasanya seperti kami kehilangan kendali. Setiap bulan, kami melaporkan kepada manajemen, berharap angka kerentanan cenderung menurun, tetapi kami tahu bahwa kami tidak bisa mengendalikan hasilnya. Kami merasa tidak berdaya.
Selain itu, vendor kami pada saat itu tidak memiliki inisiatif tanggung jawab atas masalah yang muncul atau berusaha mengatasi masalah dengan model pelaporan mereka yang menghalangi kami untuk membuat kemajuan. Kami perlu merombak program manajemen kerentanan kami dan beralih vendor.
Kami mencari layanan dengan keahlian, alat, dan intelijen untuk membantu kami memperbaiki kerentanan yang ada, terutama yang sangat penting. Memilih Layanan Manajemen Kerentanan X-Force Red pada November 2018 dengan cepat terbukti bermanfaat. Tim peretas veteran X-Force Red segera menganalisis berbagai area teknologi dan lini bisnis perusahaan kami yang berbeda. Mereka merombak model data, memperbaiki masalah kualitas data yang signifikan, dan memperkenalkan otomatisasi yang terus mereka tingkatkan hingga saat ini.
Jika sebelumnya kami meninjau setiap kerentanan secara manual dan mencoba menguraikan mana dari jutaan kerentanan yang berpotensi paling berbahaya, formula peringkat otomatis X-Force Red membantu kami memprioritaskan kerentanan yang paling penting secara lebih efisien dan efektif.
Tim X-Force Red membuat formula ini transparan, jadi kami tahu persis bagaimana algoritma bekerja. Menerapkan pola pikir peretas, X-Force Red memprioritaskan kerentanan berdasarkan pada apakah penjahat menggunakannya dan nilai aset yang terekspos. Penentuan prioritas otomatis hanya membutuhkan waktu beberapa menit dibandingkan dengan beberapa hari jika menggunakan metode manual kami sebelumnya. Penyelesaian yang cepat ini membantu kami segera memperbaiki kerentanan untuk mencegah serangan dan memungkinkan anggota tim saya untuk fokus pada tugas-tugas lain.
Dengan bantuan X-Force Red, tim saya dapat mengaitkan kerentanan dengan pemilik remediasi yang tepat, tetapi juga lebih mudah mengukur kinerja pemilik tersebut dari waktu ke waktu. Kemampuan baru kami untuk mendukung pemilik sistem dan meminta pertanggungjawaban mereka telah mendorong kemajuan besar. Layanan Manajemen Kerentanan X-Force Red memungkinkan perbaikan cepat dan penyesuaian pada proses pelaporan kami. Kami sekarang memahami data yang sebelumnya tidak dapat kami pahami selama bertahun-tahun dan dapat meminta untuk melihat data tersebut dalam format tertentu atau sebagai irisan, semuanya karena Layanan Manajemen Kerentanan X-Force Red.
Angka tidak berbohong. Hanya dalam waktu empat bulan setelah kemitraan kami dengan X-Force Red, kami melihat penurunan 60 persen pada kerentanan yang paling penting dan 44 persen pada kerentanan total.
Kami sekarang menerapkan komponen fasilitasi remediasi dari Layanan Manajemen Kerentanan X-Force Red untuk mendorong masalah yang paling penting, dalam satuan yang mudah dikelola, ke tim administrasi sistem yang bertanggung jawab untuk memperbaikinya.
Selain pada aspek pelaporan dan pelacakan praktik manajemen kerentanan, tim X-Force Red juga berinisiatif untuk mendorong perbaikan pada infrastruktur pemindaian kami. Kami dapat memindai lingkungan hampir dua kali lebih cepat berkat konfigurasi ulang untuk menghilangkan pemindaian yang berlebihan dan memperbaiki masalah konfigurasi pemindai.
Tim kami optimis dengan kemitraan berkelanjutan kami dengan X-Force Red dan dampak signifikan dari Layanan Manajemen Kerentanan terhadap keamanan kami di masa depan. Saya sangat senang—sangat jarang ada mitra yang melebihi ekspektasi, tetapi dalam kasus ini, X-Force Red benar-benar melakukannya.
Hukum
© Hak Cipta IBM Corporation 2019. IBM Corporation, IBM Cloud, New Orchard Road, Armonk, NY 10504
Diproduksi di Amerika Serikat, September 2019.
IBM, logo IBM, ibm.com, dan X-Force adalah merek dagang dari International Business Machines Corp, terdaftar di banyak yurisdiksi di seluruh dunia. Nama produk dan layanan lain mungkin merupakan merek dagang milik IBM atau perusahaan lain. Daftar merek dagang IBM saat ini tersedia di web di “Informasi hak cipta dan merek dagang” di https://ibm.com/legal/copyright-trademark.
Dokumen ini adalah yang terbaru pada tanggal awal publikasi dan dapat diubah oleh IBM kapan saja. Tidak semua penawaran tersedia di setiap negara tempat IBM beroperasi.
Data kinerja dan contoh klien yang dikutip disajikan hanya untuk tujuan ilustrasi. Hasil kinerja aktual dapat bervariasi, tergantung pada konfigurasi dan kondisi pengoperasian tertentu. INFORMASI DALAM DOKUMEN INI DISEDIAKAN "SEBAGAIMANA ADANYA" TANPA JAMINAN APA PUN, BAIK TERSURAT MAUPUN TERSIRAT, TERMASUK TANPA JAMINAN UNTUK DAPAT DIPERJUALBELIKAN, KESESUAIAN UNTUK TUJUAN TERTENTU, DAN JAMINAN ATAU KETENTUAN APA PUN YANG TIDAK MELANGGAR. Produk IBM dijamin sesuai dengan syarat dan ketentuan perjanjian yang mengatur penyediaan produk tersebut.
Pernyataan Praktik Keamanan yang Baik: Keamanan sistem IT mencakup perlindungan sistem dan informasi melalui pencegahan, deteksi, dan respons terhadap akses yang tidak semestinya dari dalam dan luar perusahaan Anda. Akses yang tidak tepat dapat mengakibatkan informasi diubah, dihancurkan, disalahgunakan, atau disalahgunakan, atau dapat mengakibatkan kerusakan atau penyalahgunaan sistem Anda, termasuk untuk digunakan dalam serangan terhadap pihak lain. Tidak ada sistem atau produk IT yang bisa dianggap sepenuhnya aman dan tidak ada satu pun produk, layanan, atau tindakan keamanan yang bisa sepenuhnya efektif dalam mencegah penggunaan atau akses yang tidak semestinya. Sistem, produk, dan layanan IBM dirancang untuk menjadi bagian dari pendekatan keamanan yang sesuai hukum dan komprehensif, yang akan melibatkan prosedur operasional tambahan, dan mungkin memerlukan sistem, produk, atau layanan lain agar lebih efektif. IBM TIDAK MENJAMIN BAHWA SISTEM, PRODUK, ATAU LAYANAN APA PUN KEBAL DARI, ATAU AKAN MEMBUAT PERUSAHAAN ANDA KEBAL DARI, TINDAKAN JAHAT ATAU ILEGAL DARI PIHAK MANA PUN.