Sekitar dua hari yang lalu komunitas IT security cukup diramaikan dengan munculnya Webcasts dari Qualys sebagai respon dimana intinya mereka tidak terima dengan klaim dari Rapid7 terhadap program terbaru Qualys yang diberi nama VMDR (Vulnerability Management Detection and Response).
https://www.brighttalk.com/webcast/11673/399796
Another IT-Security Theatric? Maybe…, namun yang pasti topik ini semakin populer dan semakin banyak muncul di publik. Misalnya, artikel yang ditulis oleh Jorge Orchilles berikut ini terkait “Vulnerability Management is Hard! How do you prioritize what to patch?”.
![]("https://cdn-images-1.medium.com/fit/c/320/320/0*vI4bcmcJHJ3sfYpc.png")
Artikel tersebut membahas cukup banyak hal yang dapat menjadi fondasi awal advanced vulnerability management system.
Tulisan kali ini sebenarnya bagian dari artikel yang sejatinya ditulis untuk salah satu komunitas di Indonesia (CDEF) dengan harapan agar semakin banyak masyarakat Indonesia memulai riset terkait topik ini, namun karena cukup banyak informasi teknis yang disampaikan pada artikel tersebut dan berhubungan erat dengan proyek komersial yang sedang berjalan saat ini maka pada akhirnya saya batalkan.
Namun ketika melihat topik ini mulai mencuat beberapa hari terakhir dengan disertai lebih banyak informasi teknis di share ke publik maka saya coba tuliskan beberapa informasi umum terkait advanced vulnerability management system, atau yang dalam bahasa Indonesia bisa kita sebut Sistem Manajemen Kerentanan.
Saya melakukan riset terkait hal ini sejak pertengahan tahun 2018 silam ketika melakukan inisiasi awal suatu produk. Riset tersebut dilakukan bersama tim salah satu perusahaan teknologi security di Indonesia. Ketika melakukan riset tersebut saya jadi teringat kembali dengan tulisan yang pernah saya buat sekitar 7 tahun sebelumnya bertajuk “Penetration Testing is Obsolete?”. Artikel tersebut lahir setelah sekitar 1.5 tahun menjalani aktivitas professional penetration testing dengan salah satu perusahaan konsultan IT Security terkemuka di Jakarta (Bellua Asia Pacific).
Meskipun sebagai konsultan tim kami melakukan aktivitas penetration testing dengan sangat baik, namun saya cenderung menyoroti efektifitasnya dari sisi customer. Intinya begini, katakanlah proyek pentest telah selesai berikut remediasinya, sebagai individu yang cukup paham seluk beluk dunia IT security saya berpendapat celah kemanan baru bisa saja muncul seminggu kemudian sehingga meskipun sebelumnya telah ditutup maka customer bisa jadi kembali beresiko di-hack. Artinya, customer butuh tenaga Security Auditor atau Pentester yang bekerja secara berkesinambungan 24/7 memastikan resiko terhadap aset-aset IT mereka.
Pada tahun 2011 itu saya sempat melempar pertanyaan pada salah satu group mailing list dengan harapan bisa mendapatkan jawaban atas pertanyaan tersebut. Memang muncul beberapa jawaban namun belum sepenuhnya menjawab inti dari permasalahan yang saya kemukakan.
Tujuh tahun kemudian — masa dimana sistem semakin canggih, saya melihat otomasi serta kecerdasan bisa ditanamkan pada mesin sehingga bisa lebih baik membantu customer melakukan manajemen kerentanan. Hal inilah yang kemudian disampaikan pada salah satu event tertutup (invitation-only) yang diadakan tahun lalu di Jakarta dengan tema “Managing Cyber Security Risk in 4.0 Era”. Link beritanya bisa dilihat pada link dibawah ini.
![]("https://cdn-images-1.medium.com/fit/c/320/320/0*3URNqFJTQTq2VHW2")
Pada kesempatan tersebut saya memaparkan konsep dibalik fitur produk “security automation”. Ada 4 fitur yang dipaparkan saat itu dimana salah satunya adalah advanced vulnerability management system.
Ketiga slide berikut ini yang diambil dari presentasi tersebut menjadi salah satu fondasi justifikasi atas kebutuhan akan fitur tersebut sekaligus jawaban atas pertanyaan saya tahun 2011 silam.
Seiring dengan berjalannya waktu, jumlah aset IT semakin banyak. Jumlah blackhat hacker-nya pun semakin banyak dibandingkan dengan jumlah whitehat hacker (IT Security Consultant / Engineer). Kondisi pertumbuhan tidak seimbang ini menyebabkan jumlah target yang harus di audit oleh tim IT Security menjadi bertambah banyak setiap harinya dan harus diselesaikan dalam tempo yang singkat.
Hal diatas dapat menyebabkan hasil audit tidak maksimal dan pada akhirnya merugikan customer. Hal ini senada dengan yang disampaikan oleh Qualys.
Jumlah aset infrastruktur bertambah dengan sangat cepat sehingga target audit semakin banyak namun jumlah resource IT security tidak bisa mengimbangi kecepatan pertumbuhan tersebut.
Mohon maaf sebelumnya jika pada bagian ini saya seakan-akan tidak memihak pada komunitas IT Security, namun sekali lagi, perspektif saya pada poin ini lebih kepada customer.
Sebagaimana hukum supply-demand dalam ekonomi maka seiring dengan semakin langkanya individu IT security maka harganya pun semakin mahal. Saya menekankan harga individunya, bukan project nya ya ;)
Sudah hal lumrah bahwa banyak perusahaan struggling untuk me-maintain individu IT security didalam perusahaan mereka dimana dapat membantu mengamankan aset-aset IT perusahaan. Dengan adanya produk yang dapat membantu proses manajemen kerentanan secara otomatis namun dengan kemampuan menyerupai tenaga manusia maka sudah tentu perusahaan dapat melakukan penghematan dari sisi cost.
Dengan meningkatnya kecanggihan teknologi, melalui otomasi, AI, bigdata, dsb maka sangat memungkinkan untuk memasukan pengetahuan IT security kedalam sebuah sistem / produk. Memasukan pengetahuan dari white-hat, blackhat, community, ragam riset dsb sehingga menghasilkan produk yang dapat membantu customer menjaga aset-aset IT mereka.
Saya gambarkan disitu bahwa sebuah produk tetap membutuhkan manusia, sehingga point sangat penting disini adalah ketika menanamkan kemampuan IT security kedalam sebuah produk maka bukan berarti produk tersebut akan menggantikan posisi manusia. Itu salah. Produk tersebut justru dapat membantu dimana meskipun dengan jumlah tenaga manusia yang sedikit namun hasilnya tetap efektif atau bahkan bisa jadi lebih baik.
Analogi sederhananya begini deh, katakanlah dalam satu perusahaan seperti perbankan jumlah asetnya mencapai puluhan ribu, jika sebelumnya butuh 5 orang IT security untuk melakukan audit keamanan secara berkala di internal perusahaan, maka dengan adanya produk seperti advanced vulnerability management system bisa jadi cuma butuh 1–2 orang saja. Dengan demikian jumlah individu IT security yang tersedia bisa di distribusikan pada perusahaan lain.
Tunggu sebentar, Ferguso. SECURITY IS A PROCESS, NOT A PRODUCT!
Nah, disitulah letak perbedaan filosofi konsep atau arsitektur sebuah produk seperti advance vulnerability management system dimana core-nya sebenarnya adalah pengolahan data. Hal ini tentunya kembali lagi pada vendor pembuatnya. Kalo dari sisi saya, justru dengan adanya produk ini sebenarnya posisi manusia menjadi naik levelnya. Kenapa? Karena hal-hal yang sifatnya berulang seperti scanning, analisa hasil scanning, reporting, patching, mencari-cari kemungkinan threat dari beragam sumber di internet seperti worm, dsb sudah bisa dijalankan oleh mesin.
Manusia justru bisa berperan sebagai pelatih bagi produk tersebut dengan cara melakukan riset-riset terbaru, belajar hal-hal baru, dimana hasil dari proses tersebut kemudian dapat diformulasikan dan ditambahkan pada kemampuan produk. Dengan demikian pada dasarnya “security is a process” tetap valid.
Framework yang memungkinkan keterlibatan manusia dalam proses ini ini sempat muncul dalam tulisan saya sebelumnya.
![]("https://cdn-images-1.medium.com/fit/c/320/320/1*_4bl2ThDt84nykfvJjJdGA.png")
Hingga saat ini saya masih meneruskan riset terkait advanced vulnerability management system. Sejak awal melakukan eksplorasi, topik ini relatif masih baru sehingga belum banyak disentuh dan didiskusikan oleh masyarakat umum sehingga risetnya pun lebih susah karena informasi-informasinya terbatas.
But, that’s the fun fact about it 😉
Ada banyak hal-hal baru serta menarik yang saya pelajari selama 2 tahun terakhir dan bukan saja menyangkut hal-hal teknis, namun menyangkut hal-hal non-teknis.
Hal non-teknis disini misalnya, bagaimana metodologi terbaik untuk meng-kuantifikasi resiko serangan siber sehingga bisa dimodelkan dan dimasukan kedalam sistem. Beberapa pihak seperti deloitte, mckinsey, microsoft, infosec institute sempat menyinggung hal ini dan menuliskannya.
![]("https://cdn-images-1.medium.com/fit/c/320/320/0*i1U-EgGJQZJ2xKMq")
![]("https://cdn-images-1.medium.com/fit/c/320/320/0*Hq3F86ekNJmnG3p0")
![]("https://cdn-images-1.medium.com/fit/c/320/320/0*WLXrIdgR-wxgGziR")
![]("https://cdn-images-1.medium.com/fit/c/320/320/0*HpQVPJ-aBcMysmh1")
![]("https://cdn-images-1.medium.com/fit/c/320/320/0*Hx9KPcNN5y_88amc")
Ataupun hal non-teknis lain seperti bagaimana mem-visualisasikan data serta kondisi keamanan suatu jaringan dengan baik (dan elegan) sehingga orang awam sekalipun mampu memahami dalam hitungan detik proses didalamnya yang sebenarnya sangat kompleks.
Saya yakin mulai saat ini akan semakin banyak lagi diskusi serta informasi-informasi, hasil riset, dan juga mungkin proyek-proyek opensource terkait advanced vulnerability management system bermunculan dalam beberapa waktu kedepan.
We’ll see… 😊
Member discussion