Dalam terminologi umum Vulnerability Analysis dianggap mirip dengan Vulnerability Assessment. Namun, saya merasa ada perbedaan kecil antara keduanya. Vulnerability Analysis adalah bagian dari siklus Vulnerability Assessment.
Kita melakukan identifikasi, mengukur resiko dan memprioritaskan risiko. Analisis kerentanan menyelidiki kerentanan yang terdeteksi oleh alat Vulnerability Assesment.
Perlu dicatat bahwa analisis kerentanan adalah langkah opsional yang bergantung pada kemampuan alat penilaian kerentanan, lingkungan pemindaian, analisis mendalam, dan seterusnya. Investigasi kerentanan harus dilakukan dengan mempertimbangkan semua faktor ini.
Setelah Anda mendapatkan laporan hasil pemindaian dari pemindai kerentanan seperti misalnya Nessus, Anda dapat melakukan tinjauan terperinci dari setiap kerentanan untuk memeriksa setidaknya bidang-bidang berikut:
- False Positif
- Risk Severity
- Aplicability Analysis
- Recommendation
False Positif
Kalau ada false positif, ini bisa di abaikan karena false positif adalah bukan menunjukkan kerentanan.
Risk Severity
Tingkat keparahan risiko adalah tingkat keparahan risiko yang terkait dengan setiap kerentanan, tergantung pada lingkungan dan sifat bisnis yang terkena. Tingkat keparahan risiko dapat bersifat kuantitatif atau kualitatif. Umumnya, lebih disukai, dan diakui oleh industri, untuk menggunakan risiko keparahan sebagai kualitatif.
Secara umum resiko dapat dikategorikan sebagai Critical, High, Medium, Low, dan Info. Beberapa organisasi mengkategorikan mereka hanya sebagai Tinggi, Sedang, dan Rendah.
Sebagian besar organisasi perusahaan besar yang telah menjalankan dan mempunyai standar sertifikasi misalnya seperti ISO 27001 pasti sudah menentukan proses manajemen risikonya.
Proses manajemen risiko ini menentukan tingkat keparahan risiko mereka termasuk disana ada definisi, matriks risiko, kriteria penerimaan risiko, dan sebagainya.
Aplicability Analysis
Setiap kerentanan yang ditemukan oleh alat penilaian kerentanan mungkin tidak berlaku ke organisasi. Penerapan kerentanan digunakan untuk memeriksa apakah kerentanan dilaporkan oleh alat Vulnerability Assessment otomatis berlaku untuk organisasi atau tidak.
Recommendation
Tool Vulnerability Assement misalnya Nessus biasanya akan memberikan rekomendasi dari laporan yang muncul untuk tiap tiap kerentanan. Beberapa diantaranya bisa di gunakan secara bersamaan ( sekaligus) atau dengan cara manual..