Attestasi Tidak Selalu Mengukur Posisi Pertahanan Anda

Sebuah attestasi, menurut definisi, adalah indikasi yang menjadikan sesuatu jelas. Dalam kasus keamanan, khususnya program keamanan, itu berarti untuk mensertifikasi secara resmi.

Orang sering bertanya kepada saya apa yang membuat program keamanan yang baik. Sebanyak saya ingin menunjukkan satu aspek dari perimeter keamanan saya sebagai contoh, ada banyak item yang perlu disoroti. Industri mengandalkan attestasi dan sertifikasi untuk mengukur pertahanan keamanan Anda. Insinyur dan operator akan memberi tahu Anda bahwa perimeter keamanan nyata Anda dan kemampuan penilaian ancaman mendefinisikan program keamanan Anda. Saya akan memberi tahu Anda bahwa baik attestasi kepatuhan sebagai pengukuran dan kemampuan operasional tim keamanan Anda yang mendefinisikan program Anda. Meskipun attestasi saja tidak menjadi tolok ukur yang akurat untuk mengukur program.

Attestasi adalah suatu kebutuhan industri untuk memastikan kepatuhan terhadap undang-undang federal, lokal, dan negara bagian serta praktik terbaik industri. ISO, NIST, atau standar DoD membentuk dasar dari sebagian besar attestasi. NIST, misalnya, menerbitkan serangkaian standar dan panduan teknis untuk membantu organisasi membangun pertahanan perimeter yang “dapat diterima” oleh pemerintah. Namun, seperti yang akan saya uraikan, hanya karena standar ditetapkan tidak berarti implementasi selalu sempurna.

Penggunaan Alat Tidak Berarti Memberikan Nilai

Kontrol memungkinkan fleksibilitas dalam implementasi serta pertumbuhan dan inovasi operasional seiring waktu. Sayangnya beberapa organisasi menggunakan fleksibilitas ini untuk sekadar mencentang kotak, tetapi tidak memiliki pertahanan nyata yang diterapkan.

Contoh utama dari masalah ini adalah sistem deteksi/perlindungan intrusi (IDS atau IPS). Seperti pemindai virus, sebagian besar organisasi menginvestasikan dalam IDS/IPS sebagai praktik keamanan standar untuk melindungi dari lalu lintas berbahaya dan eksfiltrasi data. Industri ini dipenuhi dengan vendor yang membuat berbagai bentuk sistem IDS/IPS. Namun, beberapa organisasi membangun sistemnya sendiri daripada membeli.

Saya baru saja meninggalkan salah satu organisasi yang “membangun” sistem deteksi intrusi mereka sendiri dari alat sumber terbuka. Auditor diberitahu bahwa sistem tersebut adalah “alat yang fantastis”, dan bahkan diberikan contoh lalu lintas. Ketika saya menyelidiki lebih dalam ke dalam telemetry yang disediakan alat tersebut, saya menyadari bahwa lalu lintas sama sekali tidak dianalisis. Sebaliknya, hanya lewat sensor karena tidak dikonfigurasi untuk menangkap lalu lintas atau memberikan peringatan sama sekali. Selain itu, kredensial yang digunakan untuk mengelola alat tersebut diatur oleh seorang karyawan sebelumnya dan tidak pernah diperbarui setelah kepergiannya. Jadi pada dasarnya, alat tersebut diam di tempat selama berbulan-bulan tanpa intervensi manusia. Hal ini tidak hanya membahayakan perusahaan, tetapi juga mengkompromikan perimeter.

Seorang auditor yang cermat tidak akan menyadari masalah ini karena attestasi tidak mencari informasi “operasional” di semua sistem - standar ini secara harfiah hanya satu lapisan pertanyaan dan jawaban. Faktanya, sebagian besar attestasi hanya mengukur apakah alat itu ada, bukan kelayakan operasionalnya. Selain itu, sebagian besar auditor tidak cukup teknis untuk membedakan IDS/IPS yang fungsional dari yang non-fungsional. Inti dari audit bergantung pada perusahaan untuk memberikan penampilan terbaik mereka daripada menjawab pertanyaan sulit. Auditor juga harus mencakup berbagai kontrol selama audit sehingga waktu menjadi faktor besar dalam kualitas analisis mereka.

Attestasi saja akan memberi tahu Anda bahwa sebuah perusahaan memiliki program keamanan yang matang dengan kontrol. Mewajibkan mitra potensial untuk menyelesaikan survei vendor tidak akan memberikan kepercayaan kepada Anda juga. Survei hanya menggambarkan informasi yang sama dalam format yang berbeda. Jadi, bagaimana Anda mengevaluasi program keamanan yang matang?

Evaluasi Seluruh Program Keamanan Cloud

Pertama, Anda harus meninjau paling tidak attestasi dan laporan temuan, bukan ringkasan eksekutif. Itu akan memberi Anda gambaran umum tentang program yang ditinjau oleh pihak ketiga. Kedua, Anda harus pasti meninjau apakah perusahaan menjalani uji penetrasi pihak ketiga atau program bug bounty. Secara pribadi, saya tidak menyukai bug bounty, tetapi saya menyukai pengujian penetrasi pihak ketiga secara tahunan. Uji penetrasi memberi Anda tes terstruktur dari pertahanan Anda dan umpan balik nyata tentang kerentanan. Terakhir, tinjau dokumen keamanan (biasanya daftar isi) yang digunakan perusahaan sebagai dasar implementasi. Ini mencakup (tetapi tidak terbatas pada) kebijakan keamanan, respons insiden, dan manajemen kerentanan. Tim keamanan yang berpengalaman akan menawarkan untuk berbagi dokumen dan artefak tersebut sebagai bagian dari bisnis normal.

Saya menjadikannya sebagai hal yang rutin untuk mengevaluasi setiap vendor dan mitra dari perspektif akses ke data perusahaan. Berarti jika mitra atau vendor mengelola data perusahaan, mereka akan mendapatkan lebih banyak pemantauan dibandingkan vendor yang tidak. Ingatlah tujuan bisnis saat mengevaluasi program keamanan. Saya meninjau tujuan bisnis dan jenis informasi yang terlibat, kemudian mengevaluasi dari perspektif tersebut, daripada menangani semua mitra dan vendor dengan cara yang sama. Ketika ragu, selalu minta lebih banyak informasi.