Diterbitkan: 15 Desember 2023
Kontributor: Matt Kosinski, Amber Forrest
Pemindaian kerentanan, juga disebut "penilaian kerentanan," adalah proses mengevaluasi jaringan atau aset TI untuk mengetahui kerentanan keamanan, kekurangan atau kelemahan yang dapat dieksploitasi oleh pelaku ancaman eksternal atau internal. Pemindaian kerentanan adalah tahap pertama dari siklus manajemen kerentanan yang lebih luas.
Di sebagian besar organisasi saat ini, pemindaian kerentanan sudah sepenuhnya otomatis. Proses dilakukan oleh alat pemindaian kerentanan khusus yang menemukan dan menandai kelemahan untuk ditinjau oleh tim keamanan.
Eksploitasi kerentanan adalah vektor serangan siber paling umum kedua setelah phishing, menurut X-Force Threat Intelligence Index IBM. Pemindaian kerentanan membantu organisasi menangkap dan menutup kelemahan keamanan sebelum penjahat siber dapat memanfaatkannya. Karena alasan ini, Center for Internet Security (CIS) (tautan berada di luar ibm.com) menganggap manajemen kerentanan berkelanjutan, termasuk pemindaian kerentanan otomatis, sebagai praktik keamanan siber yang sangat penting.
Kerentanan keamanan adalah kelemahan dalam struktur, fungsi, atau implementasi aset atau jaringan TI yang dapat dieksploitasi oleh peretas atau pelaku ancaman lainnya untuk mendapatkan akses tidak sah dan menyebabkan kerusakan pada jaringan, pengguna, atau bisnis. Kerentanan umum meliputi:
- Kelemahan pengkodean, seperti aplikasi web yang rentan terhadap skrip lintas situs, injeksi SQL, dan serangan injeksi lainnya karena cara mereka menangani input pengguna.
- Port terbuka yang tidak terlindungi di server, laptop, dan titik akhir lainnya, yang dapat digunakan peretas untuk menyebarkan malware.
- Kesalahan konfigurasi, seperti bucket penyimpanan cloud yang mengekspos data sensitif ke internet publik karena memiliki izin akses yang tidak sesuai .
- Tambalan yang hilang, kata sandi yang lemah, atau kekurangan lainnya dalam kebersihan keamanan siber.
Ribuan kerentanan baru ditemukan setiap bulannya. Dua lembaga pemerintah Amerika Serikat memiliki katalog yang dapat dicari tentang kerentanan keamanan yang diketahui, yaitu National Institute of Standards and Technologies, atau NIST, dan Cybersecurity and Infrastructure Security Agency, atau CISA (tautannya berada di luar ibm.com).
Sayangnya, meskipun kerentanan didokumentasikan secara menyeluruh setelah ditemukan, para peretas dan pelaku ancaman lainnya sering kali menemukannya terlebih dahulu, sehingga memungkinkan mereka untuk mengejutkan organisasi.
Untuk mengadopsi postur keamanan yang lebih proaktif dalam menghadapi ancaman siber ini, tim TI menerapkan program manajemen kerentanan . Program-program ini mengikuti proses berkelanjutan untuk mengidentifikasi dan menyelesaikan risiko keamanan sebelum peretas dapat mengeksploitasinya. Pemindaian kerentanan biasanya merupakan langkah pertama dalam proses manajemen kerentanan, mengungkap kelemahan keamanan yang perlu ditangani oleh tim TI dan keamanan.
Banyak tim keamanan juga menggunakan pemindaian kerentanan untuk
Memvalidasi langkah-langkah keamanan dan kontrol. Setelah menerapkan kontrol baru, tim sering kali menjalankan pemindaian lagi untuk mengonfirmasi bahwa kerentanan yang teridentifikasi telah ditutup dan bahwa upaya remediasi tidak menimbulkan masalah baru.
Pertahankan kepatuhan terhadap peraturan. Beberapa peraturan secara eksplisit mewajibkan pemindaian kerentanan. Misalnya, Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS) mewajibkan organisasi yang menangani data pemegang kartu menjalani pemindaian triwulanan (tautan berada di luar ibm.com).
Di antara aplikasi cloud dan aplikasi on premises, perangkat seluler dan IoT, laptop, dan titik akhir tradisional lainnya, jaringan perusahaan modern mengandung terlalu banyak aset untuk pemindaian kerentanan secara manual. Sebagai gantinya, tim keamanan menggunakan pemindai kerentanan untuk melakukan pemindaian otomatis secara berulang.
Untuk menemukan potensi kerentanan, pemindai pertama-tama mengumpulkan informasi tentang aset TI. Beberapa pemindai menggunakan agen yang diinstal pada titik akhir untuk mengumpulkan data pada perangkat dan perangkat lunak yang berjalan di dalamnya. Pemindai lain memeriksa sistem dari luar, menyelidiki port yang terbuka untuk mengungkap detail tentang konfigurasi perangkat dan layanan yang aktif. Beberapa pemindai melakukan pengujian yang lebih dinamis, seperti mencoba masuk ke perangkat menggunakan kredensial default.
Setelah pemindai mengambil stok aset, pemindai membandingkannya dengan basis data kerentanan yang mencatat kerentanan dan eksposur umum (CVE) untuk berbagai versi perangkat keras dan perangkat lunak. Beberapa pemindai mengandalkan sumber publik seperti basis data NIST dan CISA dan yang lainnya menggunakan basis data berpemilik.
Pemindai memeriksa apakah setiap aset menunjukkan tanda-tanda kelemahan yang terkait dengannya, seperti sistem operasi yang diketahui memiliki bug protokol desktop jarak jauh yang memungkinkan peretas mengendalikan perangkat. Pemindai juga dapat memeriksa konfigurasi aset terhadap daftar praktik keamanan terbaik, seperti memastikan kriteria autentikasi yang ketat dan tepat untuk database yang sensitif.
Selanjutnya, pemindai menyusun laporan tentang kerentanan yang teridentifikasi untuk ditinjau oleh tim keamanan. Laporan yang paling dasar hanya mencantumkan setiap masalah keamanan yang perlu ditangani. Beberapa pemindai dapat memberikan penjelasan terperinci dan membandingkan hasil pemindaian dengan pemindaian sebelumnya untuk melacak manajemen kerentanan dari waktu ke waktu.
Pemindai yang lebih canggih juga memprioritaskan kerentanan berdasarkan tingkat kekritisan. Pemindai dapat menggunakan intelijen ancaman sumber terbuka, seperti skor Common Vulnerability Scoring System (CVSS), untuk menilai seberapa kritisnya sebuah kelemahan, atau dapat menggunakan algoritme yang lebih kompleks yang mempertimbangkan kelemahan dalam konteks unik organisasi. Pemindai ini juga dapat merekomendasikan metode remediasi dan mitigasi untuk setiap kelemahan.
Risiko keamanan jaringan berubah ketika aset baru ditambahkan dan kerentanan baru ditemukan di alam liar. Namun, setiap pemindaian kerentanan hanya dapat menangkap momen dalam waktu. Untuk mengikuti lingkungan ancaman siber yang terus berkembang, organisasi melakukan pemindaian secara teratur.
Sebagian besar pemindaian kerentanan tidak melihat semua aset jaringan sekaligus, karena hal ini akan memakan banyak sumber daya dan waktu. Sebaliknya, tim keamanan sering kali mengelompokkan aset menurut tingkat kekritisannya dan memindainya secara bertahap. Aset yang paling penting dapat dipindai secara mingguan atau bulanan, sedangkan aset yang tidak terlalu penting dapat dipindai secara triwulanan atau tahunan.
Tim keamanan juga dapat menjalankan pemindaian setiap kali terjadi perubahan besar pada jaringan, seperti menambahkan server web baru atau membuat database baru yang sensitif.
Beberapa pemindai kerentanan tingkat lanjut menawarkan pemindaian berkelanjutan. Alat-alat ini memantau aset secara real time dan menandai kerentanan baru segera setelah muncul. Namun demikian, pemindaian secara terus-menerus tidak selalu layak atau diinginkan. Pemindaian kerentanan yang lebih intensif dapat mengganggu kinerja jaringan, sehingga beberapa tim TI mungkin lebih suka mengadakan pemindaian secara berkala.
Ada banyak jenis pemindai yang berbeda, dan tim keamanan sering kali menggunakan kombinasi alat untuk mendapatkan gambaran komprehensif tentang kerentanan jaringan.
Beberapa pemindai fokus pada jenis aset tertentu. Misalnya, pemindai cloud berfokus pada layanan cloud, sementara alat pemindaian aplikasi web mencari kekurangan pada aplikasi web.
Pemindai dapat diinstal secara lokal atau dikirimkan sebagai aplikasi perangkat lunak sebagai layanan (SaaS). Pemindai kerentanan sumber terbuka dan alat berbayar adalah hal biasa. Beberapa organisasi mengalihdayakan pemindaian kerentanan sepenuhnya ke penyedia layanan pihak ketiga.
Sementara pemindai kerentanan tersedia sebagai solusi mandiri, vendor semakin menawarkannya sebagai bagian dari rangkaian manajemen kerentanan holistik. Alat-alat ini menggabungkan berbagai jenis pemindai dengan manajemen permukaan serangan, manajemen aset, manajemen tambalan, dan fungsi utama lainnya dalam satu solusi.
Banyak pemindai yang mendukung integrasi dengan alat keamanan siber lainnya, seperti informasi keamanan dan sistem manajemen peristiwa (SIEM) serta alat deteksi dan respons titik akhir (EDR) .
Tim keamanan dapat menjalankan berbagai jenis pemindaian tergantung pada kebutuhan mereka. Beberapa jenis pemindaian kerentanan yang paling umum meliputi:
Pemindaian kerentanan eksternal melihat jaringan dari luar. Mereka berfokus pada kelemahan pada aset yang berhadapan dengan internet seperti aplikasi web dan menguji kontrol perimeter seperti firewall. Pemindaian ini menunjukkan bagaimana peretas eksternal dapat membobol jaringan.
Pemindaian kerentanan internal melihat kerentanan dari dalam jaringan. Mereka menjelaskan apa yang dapat dilakukan peretas jika mereka masuk, termasuk bagaimana mereka dapat bergerak secara lateral dan informasi sensitif apa yang dapat mereka curi dalam pelanggaran data.
Pemindaian yang diautentikasi, juga disebut "pemindaian kredensial," memerlukan hak akses dari pengguna yang berwenang. Alih-alih hanya melihat aplikasi dari luar, pemindai dapat melihat apa yang akan dilihat oleh pengguna yang login. Pemindaian ini mengilustrasikan apa yang dapat dilakukan peretas dengan akun yang dibajak atau bagaimana ancaman orang dalam dapat menyebabkan kerusakan.
Pemindaian yang tidak diautentikasi, juga disebut "pemindaian tanpa kredensial," tidak memiliki izin akses atau hak istimewa. Mereka hanya melihat aset dari sudut pandang orang luar. Tim keamanan dapat menjalankan pemindaian tidak terautentikasi internal dan eksternal.
Meskipun setiap jenis pemindaian memiliki contoh penggunaannya sendiri, namun ada beberapa yang tumpang tindih, dan keduanya bisa digabungkan untuk tujuan yang berbeda. Sebagai contoh, pemindaian internal yang diautentikasi akan menunjukkan perspektif ancaman orang dalam. Sebaliknya, pemindaian internal yang tidak terautentikasi akan menunjukkan apa yang akan dilihat oleh peretas jahat jika mereka berhasil melewati perimeter jaringan.
Pemindaian kerentanan dan pengujian penetrasi adalah bentuk pengujian keamanan jaringan yang berbeda namun saling terkait. Meskipun memiliki fungsi yang berbeda, banyak tim keamanan yang menggunakannya untuk saling melengkapi.
Pemindaian kerentanan adalah pemindaian aset tingkat tinggi otomatis. Mereka menemukan kekurangan dan melaporkannya ke tim keamanan. Pengujian penetrasi, atau pengujian pena, adalah proses manual. Penguji pena menggunakan skill peretasan etis untuk tidak hanya menemukan kerentanan jaringan tetapi juga mengeksploitasinya dalam serangan simulasi.
Pemindaian kerentanan lebih murah dan lebih mudah dilakukan, sehingga tim keamanan menggunakannya untuk mengawasi sistem. Uji penetrasi membutuhkan lebih banyak sumber daya tetapi dapat membantu tim keamanan untuk lebih memahami kelemahan jaringan mereka.
Jika digunakan bersama-sama, pemindaian kerentanan dan uji pena dapat membuat manajemen kerentanan menjadi lebih efektif. Sebagai contoh, pemindaian kerentanan memberikan penguji pena titik awal yang berguna. Sementara itu, uji penetrasi dapat menambahkan lebih banyak konteks pada hasil pemindaian dengan mengungkap positif palsu, mengidentifikasi akar masalah, dan mengeksplorasi bagaimana penjahat siber dapat merangkai kerentanan bersama dalam serangan yang lebih kompleks.
Meningkatkan tingkat deteksi secara signifikan dan mempercepat waktu untuk mendeteksi dan menyelidiki ancaman
Menerapkan program manajemen kerentanan yang mengidentifikasi, memprioritaskan, dan mengelola remediasi kelemahan yang dapat mengekspos aset paling penting Anda.
Identifikasi ancaman dalam hitungan menit. Mencapai efisiensi yang lebih besar dan operasi yang sederhana dengan alur kerja bawaan.
Bersiaplah dengan lebih baik untuk menghadapi pelanggaran dengan memahami penyebabnya dan faktor-faktor yang meningkatkan atau mengurangi biaya. Belajarlah dari pengalaman lebih dari 550 organisasi yang menjadi korban pelanggaran data.
Perburuan ancaman adalah pendekatan proaktif untuk mengidentifikasi ancaman yang tidak diketahui atau yang sedang berlangsung dan belum diremediasi di dalam jaringan organisasi.
Kenali ancaman untuk mengalahkannya. Dapatkan insight yang dapat ditindaklanjuti yang membantu memahami cara pelaku ancaman melancarkan serangan, dan cara melindungi organisasi Anda secara proaktif.