Doing Vulnerability Management

dash-board

Apa itu Vulnerability Management ? istilah ini dapat diartikan secara harfiah secara sistematis menemukan dan mengeliminasi faktor kelemahan ( vulnerability) dalam network. Tentunya ada beberapa langkah langkah untuk melakukan Vulnerabilty Management ( VM), yang jelas ini membutukkan komitmen dari seluruh IT Staff agar dapat di implementasikan, tujuan utamanya adlaah  “menghasilkan “ keamanan network yang lebih kuat dan lebih aman dalam melindungi system dan data yang ada.

Kata kata “kebijakan” adalah merupakan ide utama dalam hal ini, melontarkan ide suatu kebijakan didalam VM sama pentingnya seperti seorang CEO atau Politisi dalam menjalankan tugasnya. Satu kebijakan yang bagus akan membuat mudah dan mempercepat buat kita dan seluruh Tim IT untuk menemukan  vulnerabilities, menemukan lubang lubang / celah keamanan dan menghasilkan  dokumen  yang akan menjadi bahan utama dalam audit IT.

Ya tentunya kalau kita berbicara kebijakan selalu berkitan dengan kreasi dan management yang harus dimulai dari top level organisasi, jika kita memulainya dari menengah atau bawah kebijakan tidak memiliki Peluang untuk bisa survive. Beberapa kunci yang bisa menjamin kesuksesan dari suatu kebijakan antara lain :

Kebijakan harus mencerminkan control terhadap keamanan, misalnya saja adanya standar konfigurasi untuk semua device / perangkat keamanan baik hardware / software misalnya antivirus, firewall, IPS dll. Seorang IT Security Expert harus bisa membuat  matrix dengan shortlist  dari konfigurasi yang mudah sehingga policy maker dapat memahami pilihan yang ada untuk mengontrol security.

Kebijakan dan control harus diaplikasi ke semua sector baik ke server, network service, aplikasi dan endpoint .

Policy Maker / Pembuat keputusan harus faham resiko bisnis yang terjadi akibat adanya kelemahan pada setiap aset.

Dalam memperbaiki vulnerability , pertama yang harus dilakukan adalah memahani asetnya apa saja, ( server, computer, devices) yang ada didalam network, baru kemudian perangkat tersebut di test vulnerabilitynya. Oleh karena itu langkah pertama ini adalah melakukan track inventory dan meng kategorikan aset .

Langkah yang kedua adalah mengindentikasi inventory dengan cara melakukan scanning ke ip address . Elemen yang di masukkan aset group termasuk juga adalah hardware, software, aplikasi, service dan konfigurasi. VM menganjurkan kita melalukan pengelompokan berdasarakan impact resiko terhadap bisnis, Dengan demikian kita punya gambaran mana mana aset yang memiliki impact resiko besar terhadap bisnis dan memiliki vulnerability besar pula, aset sepeti ini layak dikategorikan sebagai aset yang kritikal.

Bagaimana mengenai alat alatnya ? tentunya banyak pilihan yang bisa kita ambil alternatifnya, dari yang gratis, murah ataupun berbayar. Atau bisa kita memilih dengan melakukan kontrak pihak ke3 , katakanlah model Saas( Software as a Services), salah satu keuntungan SaaS ialah kita tidak perlu berpikir lagi mengenai update, scanning technology dll, sebab semua sudah tersedia di VM system.

Apa saja yang akan kita scan ? hmm lumayan banyak , tapi kira kira dibawah ini :

Operating System – Windows, Linux, Mac

Webserver- Apache, Tomcat, IIS

SMTP / POP Services – Exchange, Sendmail, Zimbra

FTP Server – IIS FTP Server, Wu FTP, Fizella FTP

Database – Oracle, MySQL

eCOmmerce – EZ Shooper, Perishop, Shopping Cart

LDAP Server – Netscape, IIS, DOmino

Load Balancing – Cisco, Css

Switch / Hub – Cisco, 3M, Alcatel, Juniper, H3C

Wireless Accces Point – Cisco 3Com, Netgear, D-Link

Demikian dapat saya sharing untuk hari ini..

Salam

Edy Susanto

Edy Susanto|IT Konsultan
Visit Website
  • Edy Susanto Has Completed Training |CISA|CISM|RHCA|RHCE|CWNA|CWNE|CISSP|ISSEP|VCP DV|CEH|ECSA|CSSA|HEROWARE|SURELINE|QLIKVIEW|ITILv3|COBIT5|CSSGB|CTFL|OSCP|Lean Management |
  • Attenzione ! Attention !

    Segala yang artikel yang saya tulis ditujukan dalam rangka pembelajaran, mohon digunakan sebijaksana mungkin. Saya tidak bertanggung jawab apabila ada artikel yang disalah gunakan untuk kepentingan diluar mencerdaskan kehidupan bangsa.