D. Tahap Penanganan

Penanganan terhadap kerentanan yang ditemukan harus dilakukan organisasi untuk menjaga aset Organisasi dari serangan dan ancaman yang mungkin muncul dari kerentanan tersebut. Secara garis besar proses penanganan kerentanan yang dilakukan Organisasi dapat dilakukan melalui tahapan remediasi, mitigasi, dan penerimaan kerentanan. Alur proses tersebut dapat dilihat pada Gambar 16.

Gambar 16. Tahapan Penanganan Kerentanan (Gartner, 2020)

1. Remediasi

Berdasarkan ISO/IEC 30111:2019(E) (ISO, 2019), organisasi perlu melakukan remediasi yang terbagi ke dalam 3 tahap:

a) Menentukan keputusan remediasi

Pada tahap ini organisasi perlu menentukan remediasi seperti apa yang dapat dilakukan. Beberapa pertimbangan yang perlu diperhatikan:

1) Kecepatan remediasi, pada dasarnya kerentanan perlu diremediasi dengan cepat, terutama kerentanan dengan tingkat risiko tinggi atau kritikal. Namun organisasi juga perlu memastikan langkah remediasi yang dilakukan dapat menutup kerentanan dengan baik.

2) Pengujian, remediasi yang dilakukan perlu diuji untuk memastikan tidak menimbulkan masalah baru atau berdampak negatif bagi sistem.

3) Tingkat risiko eksploitasi, organisasi perlu memperhatikan tingkat risiko eksploitasi dari kerentanan, termasuk apabila kerentanan tersebut mudah dieksploitasi atau telah berhasil dieksploitasi secara publik.

4) Solusi sementara, dalam hal kerentanan memiliki risiko yang tinggi, solusi sementara dapat dilakukan untuk mencegah kerentanan dieksploitasi secara masif, hingga terdapat remediasi utuh yang dapat menutup kerentanan dengan komprehensif.

b) Melakukan remediasi

Remediasi kerentanan merupakan langkah kritikal dalam manajemen kerentanan yang efektif (Government of South Australia, 2021). Organisasi harus melaksanakan strategi remediasi yang telah diputuskan, yang bisa mencakup berbagai tindakan seperti membuat (K. Scarfone & Souppaya, 2022), melakukan pembaruan, memperbaiki kode sumber, atau melakukan perubahan konfigurasi untuk menutup kerentanan yang teridentifikasi. Tindakan ini dirancang untuk memperkuat sistem terhadap serangan potensial dan mengurangi risiko keamanan yang dihadapi.

c) Menguji hasil remediasi

Organisasi perlu memastikan dan menguji tindakan remediasi yang sudah dilakukan dapat menutup kerentanan. Serta perlu dipastikan tidak menimbulkan kerentanan baru, atau masalah lain yang mengganggu operasional sistem. Jika ditemukan adanya permasalahan yang ditimbulkan, maka organisasi perlu memperbarui atau mengubah remediasi yang telah dilakukan.

Proses remediasi perlu segera dilakukan sesuai dengan hasil analisis, perhitungan tingkat kerentanan dan prioritisasi (University of Toronto, 2024). Dalam hal organisasi tidak dapat menyelesaikan remediasi sesuai jangka waktu yang direkomendasikan di atas, maka perlu dilakukan langkah mitigasi untuk memperkecil tingkat likelihood dari suatu kerentanan.

2. Mitigasi

Mitigasi adalah tahapan kedua dalam tahapan tindakan manajemen kerentanan. Upaya mitigasi harus dilakukan oleh organisasi jika kerentanan tidak dapat diremediasi secara penuh oleh organisasi. Beberapa kondisi dan alasan yang dapat menjadi penyebab mitigasi harus dilakukan adalah jika langkah remediasi yang diperlukan dapat mengganggu berjalannya proses bisnis aplikasi, keterbatasan teknologi yang membutuhkan biaya, dan belum adanya update/patch yang disediakan oleh vendor teknologi terdampak[27].

Tim manajemen kerentanan yang menemukan/mengetahui kerentanan pada organisasi tidak selalu bertanggung jawab untuk melakukan perbaikan dan melaksanakan langkah mitigasi atau memberikan solusi dari kerentanan tersebut. Namun, Tim VM harus memberikan informasi dan berkoordinasi dengan pemangku kepentingan/bagian terkait.

Terdapat 3 (tiga) model mitigasi kerentanan (Roytman & Bellis, 2023) yang dapat diterapkan oleh organisasi sesuai dengan kebutuhan:

1) Asset-Centric: Fokus kepada dampak terhadap proses bisnis, nilai organisasi, dan nilai aset, dengan pendekatan pengurangan risiko secara bertahap.

2) Vulnerability Centric: Fokus kepada kemungkinan terjadi dan dampak dari kerentanan, dengan pendekatan risiko secara bertahap.

3) Threat Centric: Fokus pada kerentanan yang sering kali menjadi target aktivitas malware, ransomware, dan threat actors, dengan pendekatan pengurangan risiko secara bertahap.

Upaya mitigasi dilakukan untuk meminimalkan risiko yang dapat diakibatkan dari kerentanan tersebut, sehingga keberlangsungan proses bisnis organisasi dapat tetap berjalan secara normal. Untuk melakukan upaya mitigasi, organisasi disarankan membuat rencana mitigasi kerentanan yang setidaknya meliputi namun tidak terbatas pada[28]:

a) Penerapan kontrol keamanan untuk mitigasi kerentanan

Penerapan perangkat lunak/tools keamanan dapat menjadi alternatif untuk melakukan mitigasi berupa deteksi, proteksi, dan analisis keamanan secara efektif. Beberapa perangkat lunak/tools yang dapat diterapkan sebagai mitigasi kerentanan antara lain adalah Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR), Next-Generation Firewalls (NGFW), Antivirus/Anti-Malware, Patch Management Systems (Deputi III, 2024).

b) Penerapan multi-factor authentication (MFA)

Penerapan MFA dapat dilakukan ketika diketahui kerentanan yang bersumber dari adanya penggunaan mekanisme autentikasi yang kurang tepat atau kerentanan itu berasal dari fitur aplikasi yang berada pada sisi pengguna (Mohammed et al., 2023).

c) Pengisolasian sumber daya/perangkat yang rentan

Pengisolasian sumber daya/perangkat yang rentan dilakukan sebagai langkah sementara ketika patching belum dapat dilakukan pada sumber daya/perangkat yang rentan. Langkah ini dapat dilakukan dengan pemblokiran akses, segmentasi jaringan, hingga pengisolasian sistem. Langkah ini dilakukan untuk mencegah adanya akses tidak sah terhadap sumber daya/perangkat yang rentan (Government of South Australia, 2021).

d) Penghapusan atau penghentian penggunaan sumber daya/perangkat yang rentan

Penghapusan atau penggantian sumber daya/perangkat yang rentan dilakukan sebagai tindak lanjut ketika sumber daya/perangkat tidak dapat diisolasi dan dilindungi lagi, sehingga untuk mengantisipasi adanya eksploitasi oleh pihak tidak bertanggung jawab maka perlu dilakukan penghapusan atau penghentian penggunaan sumber daya/perangkat tersebut.

e) Peningkatan atau penggantian sumber daya/perangkat yang rentan

Peningkatan atau penggantian sumber daya/perangkat yang rentan dilakukan sebagai langkah lanjutan ketika terdapat kerentanan yang tidak dapat diremediasi namun Organisasi memiliki ketergantungan terhadap sumber daya/perangkat terkait, sehingga perlu dilakukan penyesuaian dengan melakukan peningkatan/upgrade dari sumber daya/perangkat tersebut atau dengan melakukan penggantian sumber daya/perangkat yang memiliki fungsi serupa, sehingga proses bisnis dari Organisasi dapat tetap berjalan.

Rencana mitigasi kerentanan dapat digunakan oleh organisasi ketika ditemukan sebuah kerentanan yang tidak dapat diremediasi secara langsung. Untuk menerapkan langkah mitigasi, organisasi harus melakukan percobaan pada sistem skala kecil guna mengetahui kompabilitas dari langkah mitigasi yang dilakukan terhadap sistem, sehingga tidak mengganggu operasional proses bisnis yang berjalan ketika diterapkan dalam sistem besar (K. Scarfone & Souppaya, 2022). Dalam hal remediasi dan mitigasi tidak dapat dilakukan oleh organisasi, maka organisasi harus menerima risiko dan dampak yang mungkin terjadi dari kerentanan yang diketahui.

3. Penerimaan Risiko

Penerimaan terhadap risiko dilakukan sebagai langkah terakhir dalam penanganan kerentanan. Pada tahap ini organisasi harus menentukan apakah risiko dari kerentanan tersebut dapat diterima oleh organisasi atau tidak. Jika risiko dari kerentanan tidak dapat diterima, maka organisasi harus kembali ke tahap remediasi dan menentukan cara yang dapat dilakukan untuk memperbaiki kerentanan tersebut atau melakukan mitigasi untuk mengurangi risiko dari kerentanan tersebut. Jika risiko dari kerentanan berada pada level yang dapat diterima oleh organisasi tanpa dilakukan remediasi dan mitigasi, maka dampak yang mungkin terjadi dari risiko kerentanan tersebut menjadi tanggung jawab organisasi.

[27]https://www.rapid7.com/blog/post/2020/09/14/vulnerability-remediation-vs-mitigation-whats-the-difference/).

[28] https://www.esecurityplanet.com/compliance/vulnerability-management-policy-template/

PreviousC. Tahap PrioritisasiNextE. Tahap Verifikasi

Last updated