Bayangkan Anda sedang mempertimbangkan mobil baru untuk keluarga Anda. Sebelum melakukan pembelian, Anda mengevaluasi peringkat keselamatannya, efisiensi bahan bakar, dan keandalan. Anda bahkan mungkin mengambilnya untuk test drive untuk memastikan memenuhi kebutuhan Anda. Pendekatan yang sama harus diterapkan pada produk perangkat lunak dan perangkat keras sebelum mengintegrasikannya ke dalam lingkungan organisasi. Sama seperti Anda tidak akan membeli mobil tanpa mengetahui fitur keselamatannya, Anda tidak boleh menggunakan perangkat lunak tanpa memahami risiko yang diperkenalkan.
Ancaman serangan rantai pasokan yang meningkat
Penjahat dunia maya telah mengakui bahwa alih-alih menyerang organisasi secara langsung, mereka dapat menyusup melalui rantai pasokan perangkat lunak-seperti menyelipkan bagian-bagian palsu ke dalam jalur perakitan. Menurut State Sonatype 2024 dari Laporan Rantai Pasokan Perangkat Lunak, para penyerang menyusup ke ekosistem open-source pada tingkat yang mengkhawatirkan, dengan lebih dari 512.847 paket jahat terdeteksi tahun lalu saja-peningkatan 156% dari tahun sebelumnya. Alat dan proses keamanan tradisional sering kali kehilangan ancaman ini, membuat organisasi tidak siap.
Salah satu contoh utama pada tahun 2024 adalah serangan rantai pasokan selama setahun yang ditemukan dalam Indeks Paket Python (PYPI). Penyerang mengunggah paket berbahaya yang disamarkan sebagai alat chatbot AI yang sah, berharap dapat menipu pengembang agar mengintegrasikannya ke dalam proyek mereka. Paket -paket ini berisi kode berbahaya yang dirancang untuk mencuri data sensitif dan menjalankan perintah jarak jauh pada sistem yang terinfeksi. Karena PYPI banyak digunakan di berbagai industri, serangan ini memiliki potensi untuk mengkompromikan ribuan aplikasi sebelum peneliti keamanan di Kaspersky terdeteksi dan melaporkan aktivitas jahat. Kejadian ini menyoroti bagaimana penyerang semakin mengeksploitasi repositori tepercaya untuk mendistribusikan malware, memperkuat kebutuhan akan langkah-langkah mendalam tambahan saat mengevaluasi perangkat lunak.
Pendekatan langsung untuk penilaian risiko: pengujian keamanan produk
Organisasi membutuhkan cara terstruktur dan berulang untuk mengevaluasi risiko perangkat lunak dan perangkat keras sebelum memasukkannya ke lingkungan mereka. Proses ini, yang dikenal sebagai Pengujian Keamanan Produk (PST), adalah tentang menjawab pertanyaan kunci:
- Risiko apa yang diperkenalkan produk ini ke jaringan saya?
- Haruskah kita menggunakan produk ini, atau apakah ada alternatif yang lebih aman?
- Jika kita menggunakannya, mitigasi apa yang harus diberlakukan untuk meminimalkan risiko?
PST bukan hanya tentang memindai kerentanan – ini tentang memahami bagaimana suatu produk berperilaku di lingkungan spesifik Anda dan menentukan dampak risiko keseluruhannya. Mengingat sejumlah besar komponen pihak ketiga yang digunakan dalam TI modern, tidak realistis untuk meneliti setiap paket perangkat lunak secara setara. Sebaliknya, tim keamanan harus memprioritaskan upaya mereka berdasarkan dampak bisnis dan menyerang paparan permukaan. Aplikasi privilege tinggi yang sering berkomunikasi dengan layanan eksternal harus menjalani pengujian keamanan produk, sementara aplikasi berisiko lebih rendah dapat dinilai melalui metode otomatis atau kurang sumber daya. Apakah dilakukan sebelum penyebaran atau sebagai analisis retrospektif, pendekatan terstruktur untuk PST memastikan bahwa organisasi fokus pada pengamanan aset paling kritis terlebih dahulu sambil mempertahankan integritas sistem secara keseluruhan.
Belajar berpikir merah, bertindak biru
Kursus SANS Sec568 dirancang untuk membangun keterampilan praktis di PST. Ini berfokus pada pengujian kotak hitam, metode yang mensimulasikan kondisi dunia nyata di mana kode sumber tidak tersedia. Ini membuatnya sangat berlaku untuk mengevaluasi produk pihak ketiga yang organisasi tidak memiliki kendali langsung. Kursus ini mengikuti prinsip Think Red, Act Blue – dengan belajar taktik ofensif, organisasi dapat bertahan lebih dari mereka.
Sementara pengujian keamanan produk tidak akan pernah mencegah pelanggaran pihak ketiga di luar kendali Anda, perlu untuk memungkinkan organisasi membuat keputusan berdasarkan informasi tentang postur tubuh dan strategi respons pertahanan mereka. Banyak organisasi mengikuti proses standar untuk mengidentifikasi kebutuhan, memilih suatu produk, dan menggunakannya tanpa evaluasi keamanan yang mendalam. Kurangnya pengawasan ini dapat membuat mereka berebut untuk menentukan dampak ketika serangan rantai pasokan terjadi.
Dengan memasukkan PST ke dalam proses pengambilan keputusan, tim keamanan mendapatkan dokumentasi kritis, termasuk pemetaan ketergantungan, model ancaman, dan mitigasi spesifik yang disesuaikan dengan teknologi yang digunakan. Pendekatan proaktif ini mengurangi ketidakpastian, memungkinkan respons yang lebih cepat dan lebih efektif ketika kerentanan muncul. Daripada hanya mengandalkan mitigasi industri yang luas, organisasi dengan dokumentasi PST dapat menerapkan kontrol keamanan yang ditargetkan yang meminimalkan risiko bahkan sebelum pelanggaran terjadi.
Siapa yang memanfaatkan pengujian keamanan produk?
Terlepas dari judul pekerjaan, memiliki fondasi yang kuat dalam pengujian keamanan produk mengarah pada postur keamanan dan kesiapsiagaan yang lebih baik di seluruh organisasi. Sementara kecocokan yang jelas adalah tim pengujian keamanan produk dapat memanfaatkan metodologi ini untuk mengevaluasi perangkat lunak pihak ketiga serta produk in-house mereka sendiri-pengujian keamanan produk tidak terbatas pada satu peran tertentu. Ini adalah keahlian berharga yang meningkatkan berbagai posisi dalam suatu organisasi. Auditor keamanan dapat menggunakan PST untuk menyesuaikan evaluasi dengan risiko unik dan kebutuhan kepatuhan organisasi, sementara penguji penetrasi dapat melampaui pemindaian kerentanan sederhana untuk menganalisis protokol yang tidak diketahui dan perangkat lunak berpemilik. Pengembang aplikasi mendapat manfaat dengan memahami bagaimana penyerang mengeksploitasi kelemahan keamanan, membantu mereka menulis kode yang lebih aman sejak awal, sementara analis SOC dapat menggunakan keterampilan ini untuk mendeteksi dan mengurangi ancaman yang diperkenalkan oleh perangkat lunak dan perangkat keras baru. Bahkan pembuat keputusan mendapatkan wawasan dari PST, karena membantu mereka membuat pilihan berdasarkan informasi tentang risiko, investasi keamanan, dan strategi mitigasi. Penting untuk diingat bahwa tidak mungkin untuk mendeteksi, mengurangi, mengeksploitasi, atau mengembangkan apa yang tidak kita pahami.
Untuk mendapatkan pengalaman langsung dalam pengujian keamanan produk, pertimbangkan untuk menghadiri Sec568 di Orlando mulai 13-18 April 2024. Pelatihan ini akan memberikan fondasi teknis yang diperlukan untuk menilai keamanan perangkat lunak dan perangkat keras secara efektif. Sama seperti mengambil mobil untuk test drive sebelum membeli, menerapkan pendekatan terstruktur untuk pengujian keamanan produk memungkinkan organisasi untuk sepenuhnya memahami risiko potensial sebelum penyebaran. Dengan mengikuti metodologi yang berulang, tim keamanan dapat mengurangi risiko dan lebih siap untuk ancaman di masa depan.
Catatan: Artikel ini ditulis secara ahli dan disumbangkan oleh Douglas McKee, direktur eksekutif Ancaman Research di SonicWall, serta penulis utama dan instruktur untuk SANS Sec568.
