Dalam terminologi umum Vulnerability Analysis  dianggap mirip dengan Vulnerability Assessment. Namun, saya merasa ada perbedaan kecil antara keduanya. Vulnerability Analysis  adalah bagian dari siklus Vulnerability Assessment.

Kita melakukan identifikasi, mengukur resiko dan memprioritaskan risiko. Analisis kerentanan menyelidiki kerentanan yang terdeteksi oleh alat Vulnerability Assesment.

Perlu dicatat bahwa analisis kerentanan adalah langkah opsional yang bergantung pada  kemampuan alat penilaian kerentanan, lingkungan pemindaian, analisis mendalam,  dan seterusnya. Investigasi kerentanan harus dilakukan dengan mempertimbangkan semua faktor ini.

Setelah Anda mendapatkan laporan hasil pemindaian dari pemindai kerentanan seperti misalnya Nessus, Anda dapat melakukan tinjauan terperinci dari setiap kerentanan untuk memeriksa setidaknya bidang-bidang berikut:

• False Positif
• Risk Severity
• Aplicability Analysis
• Recommendation

False Positif

Kalau ada false positif, ini bisa di abaikan karena false positif adalah bukan menunjukkan kerentanan.

Risk Severity

Tingkat keparahan risiko adalah tingkat keparahan risiko yang terkait dengan setiap kerentanan, tergantung pada lingkungan dan sifat bisnis yang terkena. Tingkat keparahan risiko dapat bersifat kuantitatif atau kualitatif. Umumnya, lebih disukai, dan diakui oleh industri, untuk menggunakan risiko keparahan sebagai kualitatif.

Secara umum resiko dapat dikategorikan sebagai Critical, High, Medium, Low, dan Info. Beberapa organisasi mengkategorikan mereka hanya sebagai Tinggi, Sedang, dan Rendah.

Sebagian besar organisasi perusahaan besar yang telah menjalankan dan mempunyai standar sertifikasi  misalnya seperti ISO 27001 pasti sudah menentukan proses manajemen risikonya.

Proses manajemen risiko ini menentukan tingkat keparahan risiko mereka termasuk disana  ada  definisi, matriks risiko, kriteria penerimaan risiko, dan sebagainya.

Aplicability Analysis

Setiap kerentanan yang ditemukan oleh alat penilaian kerentanan mungkin tidak berlaku  ke organisasi. Penerapan kerentanan digunakan untuk memeriksa apakah kerentanan dilaporkan oleh alat Vulnerability Assessment  otomatis berlaku untuk organisasi atau tidak.

Recommendation

Tool Vulnerability Assement misalnya Nessus  biasanya akan memberikan rekomendasi dari laporan yang muncul untuk tiap tiap kerentanan.  Beberapa diantaranya bisa di gunakan secara bersamaan ( sekaligus) atau dengan cara manual..