Abstrak
Dengan lebih dari 15,000 kerentanan yang telah teridentifikasi pada tahun 2023 dan 25,227 pada tahun 2022, organisasi bergantung pada sumber daya yang tersedia bagi mereka. Organisasi semakin kewalahan oleh banyaknya temuan dan tugas yang menantang dalam memilah kerentanan untuk menentukan mana yang harus ditangani terlebih dahulu secara tepat waktu dan dengan pertimbangan yang matang.
Akibatnya, diperlukan pematangan proses manajemen kerentanan dan pergeseran dari penilaian keparahan tradisional. Dengan evolusi kemampuan pelaku ancaman yang sangat memengaruhi peningkatan eksploitasi, penting bagi organisasi untuk menerapkan kerangka kerja dan standar yang berkelanjutan untuk penentuan prioritas dalam manajemen kerentanan. Makalah ini merupakan iterasi pertama dari serangkaian komunikasi mengenai manajemen kerentanan, yang berfokus pada pentingnya penentuan prioritas dan penerapannya pada organisasi dengan menggunakan berbagai konsep yang direkomendasikan.
Ringkasan Eksekutif
Tim keamanan jaringan sering kali terbebani dengan terus dirilisnya kerentanan yang
baik diungkapkan ke publik atau diidentifikasi sebagai zero-days oleh vendor dan peneliti keamanan. Setiap tingkat keparahan dan tingkat eksploitasi kerentanan ini dikaitkan dengan skor Common Vulnerability Scoring System (CVSS) dan, sering kali, dengan angka Common Vulnerabilities and Exposures (CVE). Kumpulan informasi ini terbukti merepotkan dan, terkadang, dapat menimbulkan teka-teki bagi organisasi terkait kemampuan manajemen kerentanan mereka. Hanya 2-7 persen dari semua kerentanan yang dipublikasikan yang pernah dieksploitasi secara liar dan, dalam banyak kasus, diabaikan karena kurangnya prioritas.
Konsep prioritas dalam manajemen kerentanan penting karena membantu mendukung strategi mitigasi dan remediasi yang efektif di berbagai tingkat kemampuan organisasi. Korelasi antara prioritas dan tingkat kemampuan organisasi sangat erat kaitannya karena dapat membantu tim keamanan berkomunikasi secara efektif dengan para pemangku kepentingan, mengidentifikasi nilai aset, dan mengembangkan kebijakan remediasi yang mendukung kelangsungan sistem penting bagi bisnis. Prioritas adalah proses yang mencakup semua tingkat kemampuan dan memungkinkan tim keamanan mengalokasikan sumber daya dengan tepat untuk mengatasi kerentanan yang terkait dengan tingkat keparahan yang melampaui selera risiko organisasi.
Buku Putih Pendekatan Berbasis Risiko ISAC Kesehatan FNL
Ukuran: 4.2 MB Format: PDF
