Manajemen Kerentanan (VM) telah lama menjadi landasan keamanan siber organisasi. Hampir sama tuanya dengan disiplin keamanan siber itu sendiri, hal ini bertujuan untuk membantu organisasi mengidentifikasi dan mengatasi potensi masalah keamanan sebelum menjadi masalah serius. Namun, dalam beberapa tahun terakhir, keterbatasan pendekatan ini semakin nyata.
Pada intinya, proses Manajemen Kerentanan tetap penting untuk mengidentifikasi dan mengatasi kelemahan. Namun seiring berjalannya waktu dan berkembangnya jalur serangan, pendekatan ini mulai menunjukkan usianya. Dalam laporan terbaru, How to Grow Vulnerability Management into Exposure Management (Gartner, How to Grow Vulnerability Management Into Exposure Management, 8 November 2024, Mitchell Schneider Et Al.), kami yakin Gartner® menjawab permasalahan ini dengan tepat dan menunjukkan bagaimana organisasi dapat – dan harus – beralih dari strategi yang berpusat pada kerentanan ke kerangka Manajemen Paparan (EM) yang lebih luas. Kami rasa ini lebih dari sekedar bacaan yang berharga dan dalam artikel ini, kita akan melihat mengapa Manajemen Kerentanan gagal, mengapa sangat penting untuk memasukkan konteks bisnis ke dalam operasi keamanan, dan bagaimana organisasi dapat melibatkan kepemimpinan dengan lebih baik dengan metrik yang menunjukkan bukti nyata. nilai.
Untuk Memulai, Manajemen Kerentanan Tradisional Terbatas
Tidak mengherankan jika solusi Manajemen Kerentanan tradisional kesulitan menjawab tantangan keamanan siber saat ini. Ada beberapa alasan khusus untuk hal ini; Pengelolaan kerentanan merupakan sebuah tantangan karena luasnya cakupan pemangku kepentingan yang terkena dampak dan berinteraksi dengannya. Tantangan utama lainnya hanyalah banyaknya kerentanan yang teridentifikasi. Tanpa cara yang jelas untuk menentukan peringkatnya, solusi VM tradisional meninggalkan organisasi keamanan dengan daftar kerentanan yang sangat panjang – dan tidak ada peta jalan yang jelas untuk menanganinya.
Alat Manajemen Kerentanan Berbasis Risiko (RBVM) memang memprioritaskan remediasi berdasarkan seberapa besar kemungkinan dampaknya terhadap lingkungan atau konteks Anda, namun bahkan dengan alat ini, alat tersebut masih belum cukup untuk mengurangi volume keterpaparan yang Anda perlukan. untuk mengatasi.
Kelelahan operasional akibat banyaknya kerentanan yang tidak diprioritaskan ini sering mengakibatkan kerentanan kritis terabaikan. Hal ini, meskipun isu-isu yang tidak terlalu mendesak menghabiskan waktu dan sumber daya yang berharga. Hal ini juga dapat menyebabkan 'kelumpuhan analisis', ketika tim menjadi lumpuh karena banyaknya masalah yang mereka hadapi, tidak mampu memutuskan harus mulai dari mana atau bagaimana harus bertindak.
VM tradisional juga meleset karena gagal memasukkan konteks bisnis. Hal ini dapat menyebabkan fokus pada masalah teknis tanpa mempertimbangkan bagaimana kerentanan terkait dapat berdampak pada fungsi bisnis yang penting. Mirip dengan kelumpuhan analisis, ketidakselarasan ini menyebabkan penggunaan sumber daya yang tidak efisien dan membuat organisasi menjadi rentan.
Terakhir, penilaian kerentanan yang berbasis kepatuhan saat ini lebih terfokus pada pemenuhan persyaratan peraturan dibandingkan pada peningkatan postur keamanan. Meskipun penilaian berbasis VM ini dapat memuaskan auditor, penilaian tersebut jarang mengatasi ancaman dunia nyata yang dihadapi organisasi.
Saus Rahasia: Konteks Bisnis
Langkah penting dalam peralihan ke Manajemen Eksposur melibatkan penambahan konteks bisnis ke setiap operasi keamanan yang relevan. Hal ini penting untuk menyelaraskan upaya keamanan siber dengan tujuan strategis organisasi. Namun hal ini juga diperlukan agar kita dapat mengubah keamanan siber jauh dari yang dianggap sebagai latihan teknis dan pusat biaya yang didorong oleh pencegahan dan ke arah menjadi penggerak strategis dan pendapatan. Dengan melakukan hal ini, kita dapat mendorong pengambilan keputusan yang lebih tepat di sisi keamanan, sekaligus mengurangi resistensi dari pemangku kepentingan non-keamanan.
Menyelaraskan tujuan keamanan dengan prioritas bisnis juga meminimalkan gesekan. Daripada hanya berfokus pada risiko teknis, tim keamanan dapat menjawab pertanyaan seperti aset mana yang paling penting bagi operasional dan reputasi. Tingkat kejelasan ini membantu memastikan bahwa sumber daya yang langka menyasar risiko yang paling signifikan. (Ingin memahami lebih lanjut tentang cara membidik aset penting bisnis? Lihat artikel terbaru kami untuk mempelajari bagaimana XM Cyber membantu mengidentifikasi aset yang sangat penting untuk berfungsinya bisnis Anda dan melindunginya dari risiko berdampak tinggi.)
Terlebih lagi, upaya keamanan tradisional seringkali gagal karena mereka menanyakan pertanyaan yang salah. Pertanyaan yang salah adalah: “Bagaimana cara menghilangkan kerentanan ini…dan selanjutnya…dan selanjutnya?” Pertanyaan yang tepat adalah “Bagaimana kerentanan ini memengaruhi profitabilitas/adopsi produk/aliran pendapatan/sebutkan hasil bisnis Anda – dan haruskah kita mengatasinya?” Dengan mengajukan pertanyaan yang tepat dan memasukkan konteks bisnis ke dalam keamanan, kami mengubah keamanan dari proses reaktif menjadi strategi proaktif. Peralihan ke Manajemen Eksposur menjembatani kesenjangan besar antara tim teknis dan pemimpin bisnis kami karena hal ini membantu kami menunjukkan bahwa inisiatif keamanan mengatasi risiko yang paling penting.
Memahami Permukaan Serangan Saat Ini
Bukan rahasia lagi bahwa permukaan serangan telah meluas melampaui batas-batas TI tradisional dan hal ini menimbulkan risiko dan tantangan yang lebih luas bagi organisasi keamanan. Era sistem dan jaringan on-prem yang 'adil' sudah lama berlalu – permukaan serangan saat ini mencakup platform SaaS, perangkat IoT, tenaga kerja hybrid dan jarak jauh, rantai pasokan yang kompleks, media sosial, platform pihak ketiga, web gelap, akses publik aset dan masih banyak lagi.
Mengelola permukaan serangan dapat menjadi hal yang sangat sulit bagi para pemimpin keamanan dan risiko, terutama ketika banyak hal yang masih kurang dipahami. Untuk mengatasi tantangan ini, manajer operasi keamanan perlu memprioritaskan upaya mereka dengan mengidentifikasi permukaan serangan yang mudah diakses atau memiliki target bernilai tinggi. Oleh karena itu, peralihan dari pengelolaan kerentanan ke pengelolaan keterpaparan merupakan langkah penting untuk mewujudkan hal ini.
Transisi ini dimulai dengan meningkatkan visibilitas di seluruh permukaan serangan dalam infrastruktur digital. Langkah-langkah kuncinya termasuk mengidentifikasi permukaan serangan mana yang akan dimasukkan dalam cakupan program, melakukan analisis kesenjangan untuk mengungkap area di mana teknologi yang ada tidak berfungsi, dan menggunakan informasi ini untuk menentukan persyaratan dalam memilih vendor yang tepat. Tindakan ini meletakkan dasar bagi pengelolaan permukaan serangan yang efektif.
Melibatkan Kepemimpinan dengan Metrik
Terakhir, dalam iklim dunia maya yang sangat kompleks tempat kita beroperasi, menemukan bahasa yang sama untuk berinteraksi dengan pimpinan organisasi sangatlah penting dalam transisi dari manajemen kerentanan ke manajemen paparan.
Metrik hanyalah sebuah bahasa. Ini adalah cara terbaik untuk menyelaraskan upaya keamanan siber dengan tujuan bisnis dan menunjukkan nilai nyata dari manajemen eksposur. Kuncinya di sini adalah memastikan bahwa para eksekutif C-suite, yang menghayati dan menghirup hasil bisnis, mendapatkan metrik yang didorong oleh bisnis.
Metrik yang mencerminkan wawasan yang didorong oleh bisnis (seperti pengurangan paparan permukaan serangan, penurunan risiko terhadap aset-aset penting, dan setiap efisiensi operasional yang diperoleh), menjembatani kesenjangan antara langkah-langkah teknis keamanan siber dan tujuan bisnis. Hasil yang tervalidasi, seperti simulasi skenario serangan atau pengurangan potensi pergerakan lateral yang dapat dibuktikan, adalah cara lain untuk memberikan bukti nyata keberhasilan dan menumbuhkan kepercayaan diri kepemimpinan.
Seperti disebutkan di atas, semakin dekat kita dapat mengaitkan operasi keamanan secara langsung dengan hasil bisnis, semakin besar kemungkinan kepemimpinan akan memandang keamanan siber sebagai pendukung bisnis dan bukan sebagai pusat biaya. Komunikasi metrik yang efektif menjamin dukungan, alokasi sumber daya, dan dukungan berkelanjutan untuk manajemen eksposur shift. (Untuk mempelajari lebih lanjut tentang cara mengoptimalkan pelaporan kepada Dewan dan atau pimpinan, lihat eBuku ini.)
Intinya
Waktu untuk beralih dari Manajemen Kerentanan ke Manajemen Eksposur bukanlah sekarang, melainkan kemarin. VM tradisional membuat organisasi kesulitan memprioritaskan hal-hal yang benar-benar penting dan berisiko membuang-buang sumber daya yang berharga. Peralihan ke Manajemen Eksposur lebih dari sekedar evolusi teknologi alami. Ini adalah perubahan pola pikir yang memberdayakan bisnis untuk fokus melindungi hal yang paling penting: aset penting, kelangsungan operasional, hasil bisnis strategis. Transisi ini bukan hanya tentang mengatasi kerentanan dengan lebih baik – ini tentang menciptakan pertahanan yang tangguh dan strategis yang mendorong keberhasilan jangka panjang.
Dengan Manajemen Eksposur, organisasi dapat mengatasi hal-hal yang benar-benar penting dengan lebih baik: menjaga aset penting kita, meminimalkan gangguan operasional, dan menyelaraskan upaya keamanan siber dengan prioritas bisnis.
Catatan: Artikel ini ditulis secara ahli dan disumbangkan oleh Shay Siksik, SVP Customer Experience di XM Cyber.
Gartner, Inc. Cara Menumbuhkan Manajemen Kerentanan Menjadi Manajemen Eksposur. Mitchell Schneider, Jeremy D'Hoinne, dkk. 8 November 2024.
GARTNER adalah merek dagang terdaftar dan merek layanan Gartner, Inc. dan/atau afiliasinya di AS dan internasional dan digunakan di sini dengan izin. Semua hak dilindungi undang-undang.
