Menambal bukanlah a keamanan strategi — ini adalah keputusan manajemen perubahan dengan konsekuensi finansial, operasional, dan risiko.
Para CIO sudah mengetahui bahwa ancaman saat ini bergerak dengan cepat. Dan yang memperparah tantangan ini adalah meningkatnya penggunaan otomatisasi oleh penyerang untuk mengidentifikasi dan mengeksploitasi kelemahan.
Wakil Presiden untuk Keamanan Cyber dan Produk di Dukungan Spinnaker.
Sebagian besar pekerjaan awal yang dulunya memerlukan waktu, kini dapat dilakukan hampir secara instan. Ketika kerentanan baru diketahui publik, penyerang kini memvalidasinya terhadap perangkat lunak nyata dalam beberapa hari, terkadang beberapa jam, menggunakan otomatisasi dan AIteknik penemuan yang didorong untuk memunculkan jalur eksploitasi jauh lebih cepat daripada yang bisa dilakukan pengujian manusia.
Hal ini memperkecil peluang bagi organisasi untuk merespons, bahkan ketika mereka menjalankan proses patching secara disiplin.
Namun sistem perusahaan beroperasi pada timeline yang berbeda. ERP Platform-platform tersebut berkembang secara perlahan karena platform-platform tersebut berada di pusat proses keuangan, operasional, dan rantai pasok. Bahkan pembaruan kecil pun dapat memengaruhi integrasi, logika pelaporan, atau ekstensi khusus yang dibangun selama bertahun-tahun. Secara desain, sistem ini hanya berubah jika aman untuk dilakukan.
Jadi apa yang terjadi ketika mekanisme serangan semakin cepat, namun mekanisme perubahan perusahaan tetap hati-hati dan lambat? Dampaknya adalah kesenjangan yang semakin lebar antara bagaimana risiko diciptakan dan bagaimana risiko tersebut dimitigasi.
Penyerang berupaya mengatasi kelemahan yang dapat dijangkau di seluruh identitas, konfigurasi, dan arsitektur, sementara patch hanya mengatasi sebagian kelemahan yang diketahui dalam kode vendor. Ketidakcocokan ini berarti paparan tetap ada, tidak peduli seberapa cepat pembaruan diterapkan.
Sebuah patch menghilangkan kerentanan tertentu, namun penyerang mengeksploitasi kelemahan mendasar yang dapat mencakup banyak kerentanan, itulah sebabnya memperbaiki satu CVE jarang menutup seluruh jalur serangan.
Masalah dengan keamanan yang berpusat pada patch
Patching telah menjadi respons standar terhadap risiko keamanan, namun dalam lingkungan ERP, patching merupakan alat yang tumpul dan semakin rapuh. Sistem ini dibangun dari lapisan kode khusus, modul lama, dan integrasi erat yang tidak dicerminkan oleh model vendor standar, sehingga pembaruan pada dasarnya tidak dapat diprediksi.
Ketika tekanan untuk melakukan patch lebih cepat meningkat, banyak organisasi terpaksa menerima lebih banyak risiko operasional sebagai imbalan atas keamanan yang dirasakan. Sistem rusak, antarmuka gagal, dan alur kerja penting terganggu, meskipun sebagian besar lingkungan masih belum dapat ditambal atau didukung.
Platform ERP tidak dirancang untuk bergerak dengan kecepatan penemuan kerentanan modern, namun keamanan yang mengutamakan patch berasumsi bahwa hal tersebut harus dilakukan.
Mengapa CIO mengadaptasi pertahanan mendalam untuk lanskap aplikasi
Banyak CIO yang meninjau kembali pertahanan secara mendalam dan menafsirkannya kembali untuk lingkungan aplikasi yang kompleks, bukan hanya jaringan atau titik akhir. Hal ini bukan karena mereka ingin berhenti melakukan patching, namun karena patching telah menjadi sebuah keputusan dengan tanggung jawab yang besar.
Jika pembaruan yang terburu-buru merusak proses inti ERP, vendorlah yang menanggung sebagian besar kesalahannya. Jika kelemahan yang diketahui dieksploitasi sebelum patch diterapkan, maka organisasilah yang bertanggung jawab atas kegagalan tersebut. Ketidakseimbangan tersebut membuat ketergantungan pada satu pengendalian menjadi semakin berisiko.
Pertahanan yang mendalam menawarkan cara untuk menyebarkan risiko tersebut. Daripada bergantung pada patch saja, hal ini memastikan organisasi memiliki lebih dari satu jalur perlindungan selama jangka waktu yang lama ketika pembaruan tidak dapat diterapkan, atau belum ada.
Dalam praktiknya, hal ini bukan tentang mengumpulkan peralatan, melainkan tentang membentuk lingkungan sehingga tidak ada satu pun kendali yang bisa menjadi solusi jitu.
Model Zero Trust mengasumsikan pelanggaran, memerlukan verifikasi berkelanjutan, dan meminimalkan radius ledakan. Patching mempunyai peranan, namun kontribusinya kecil:
– Ini mengatasi kelemahan yang teridentifikasi kemarin, bukan ketidaktahuan hari ini atau zeroday besok
– Itu tidak meningkatkan tata kelola identitas, segmentasi, kekuatan otentikasi, atau kemampuan deteksi
– Hal ini membutuhkan ketergantungan pada jadwal dan praktik pengungkapan vendor tunggal
Sebaliknya, Defense in Depth mendukung Zero Trust dengan menambahkan lapisan kompensasi: konfigurasi yang diperkeras, pengurangan hak istimewa, kontrol gerakan lateral, pemantauandan mitigasi cepat yang tidak bergantung pada siklus patch vendor.
Untuk sistem ERP, hal ini dimulai dengan dasar konfigurasi yang lebih kuat, wawasan yang lebih jelas tentang bagaimana kelemahan terjadi di lingkungan organisasi, dan proses respons yang mencerminkan bagaimana sistem sebenarnya beroperasi.
Tidak seperti patching, yang hanya menghasilkan pengurangan risiko yang kecil dan hanya terjadi satu kali saja, kontrol ini akan bertambah seiring berjalannya waktu, sehingga mengurangi keseluruhan jenis serangan.
Memperkuat bagian-bagian yang dikendalikan organisasi
Penguatan konfigurasi adalah salah satu langkah pertama yang paling efektif. Banyak kelemahan berasal dari pengaturan atau hak istimewa yang tidak pernah sepenuhnya ditinjau kembali, atau dari antarmuka yang dibiarkan aktif karena kebiasaan dan bukan karena kebutuhan.
Ini adalah kelemahan struktural dalam cara sistem dioperasikan, bukan cacat pada kode vendor, dan kelemahan tersebut tidak akan pernah bisa dihilangkan dengan patching. Ini juga merupakan salah satu dari sedikit area di mana CIO memiliki hak pilihan yang lengkap.
Pengerasan tidak bergantung pada siklus rilis atau peta jalan pengembangan dan dapat ditingkatkan secara bertahap, sehingga mengurangi risiko dengan segera.
Memahami kerentanan di properti Anda sendiri
Visibilitas membentuk lapisan berikutnya. Penasihat vendor mungkin menjelaskan cara kerja cacat pada produk standar, namun hanya sedikit organisasi yang melakukan hal serupa. Alur kerja khusus, modul lama, dan ekstensi pihak ketiga semuanya memengaruhi cara pengungkapan kelemahan.
Oleh karena itu, CIO memerlukan analisis yang didasarkan pada lingkungan mereka sendiri. Mengetahui apakah suatu kerentanan benar-benar dapat dijangkau, bagaimana caranya kode mengubah kemampuan alamatnya dan apakah pengendalian yang ada sudah mengurangi risiko membantu tim fokus pada hal yang paling penting, daripada bereaksi terhadap skor tingkat keparahan yang mungkin tidak berlaku di wilayah mereka.
Kemampuan respons selaras dengan cara organisasi beroperasi
Ketika terjadi sesuatu yang tidak beres, respons organisasi Anda adalah ujian yang menentukan ketahanannya. Tim memerlukan kejelasan tentang proses mana yang terpengaruh, bagaimana data berpindah ke seluruh lingkungan, dan di mana isolasi dapat terjadi tanpa gangguan yang tidak perlu. Model keamanan berlapis mendukung hal ini.
Garis dasar yang lebih kuat membatasi paparan, visibilitas yang lebih baik mempersingkat waktu investigasi, dan proses respons yang dirancang berdasarkan arsitektur organisasi memungkinkan pengambilan keputusan yang lebih cepat dan lebih percaya diri.
Tata kelola, kepatuhan dan pengendalian peta jalan
Regulator dan auditor mengharapkan bukti adanya pengawasan yang berkelanjutan dibandingkan jaminan bahwa sistem sudah mutakhir. Kerangka kerja seperti ISO27001 memperjelas hal ini dengan memperlakukan patching hanya sebagai satu elemen kecil dari Perlindungan dan Tata Kelola, di samping identitas, deteksi, respons, dan pemulihan.
Mereka ingin melihat bagaimana risiko dikelola antara pembaruan besar dan bagaimana kepatuhan dipertahankan ketika peta jalan vendor tidak selaras bisnis prioritas.
Bagi banyak CIO, masalah mendasarnya adalah kontrol. Mereka memerlukan fleksibilitas untuk memutuskan kapan peningkatan diperlukan, bagaimana mengurutkan perubahan, dan bagaimana menunjukkan kepatuhan tanpa harus dipaksa ke dalam jadwal yang mengganggu.
Pendekatan pertahanan yang berlapis dan mendalam mendukung hal ini dengan memperkuat langkah-langkah yang dapat dilakukan organisasi secara langsung.
Fondasi yang lebih kokoh untuk ketahanan jangka panjang
Ketahanan semakin menjadi sesuatu yang dibangun di dalam lingkungan, dan bukan hanya diwujudkan melalui patch saja. CIO masih mengandalkan perbaikan vendor, namun mereka melengkapinya dengan kontrol yang mereka miliki: pilihan konfigurasi, wawasan spesifik kawasan, dan proses respons yang disesuaikan dengan cara sistem mereka beroperasi.
Membangun kepercayaan diri melalui kemandirian
Langkah menuju kemandirian ini tidak berarti membuang vendor Anda, namun berarti memperkuat lapisan perlindungan yang berdampingan dengan dukungan vendor. Di banyak lingkungan, hal ini juga berarti bersikap realistis mengenai di mana patch tertunda, tidak tersedia, atau tidak lagi diproduksi, termasuk pada sistem lama atau sistem yang sangat disesuaikan.
Oleh karena itu, banyak organisasi bekerja sama dengan mitra dukungan pihak ketiga yang memberikan pandangan spesifik pada platform dan memberikan jaminan, keahlian, dan kesinambungan di seluruh perkebunan. Hubungan ini memberikan pilihan kepada CIO untuk menjaga kepatuhan, mengelola risiko, dan menjaga sistem tetap stabil tanpa bergantung pada satu jalur tunggal menuju perlindungan.
Produk akhirnya adalah model operasi yang lebih percaya diri dan berbiaya seimbang. Ancaman mungkin bergerak cepat dan jadwal vendor mungkin tidak selalu selaras dengan jadwal Anda, namun organisasi Anda tidak lagi ditentukan oleh keduanya.
Sebaliknya, keamanan selaras dengan realitas operasional Anda, yang dibentuk oleh kontinuitas, kendali, dan kebebasan mengambil keputusan sesuai jadwal Anda sendiri.
Kami telah menampilkan kursus keamanan siber online terbaik.
Artikel ini dibuat sebagai bagian dari saluran Expert Insights TechRadarPro tempat kami menampilkan para pemikir terbaik dan tercemerlang di industri teknologi saat ini. Pandangan yang diungkapkan di sini adalah milik penulis dan belum tentu milik TechRadarPro atau Future plc. Jika Anda tertarik untuk berkontribusi, cari tahu lebih lanjut di sini: https://www.techradar.com/news/submit-your-story-to-techradar-pro
