Penilaian Kerentanan dari Panduan Kali Linux oleh OnWorks

Loncat ke daftar isi

11.2.1. Penilaian Kerentanan‌

A kerentanan dianggap sebagai kelemahan yang dapat digunakan dalam beberapa cara untuk mengkompromikan kerahasiaan, integritas, atau ketersediaan sistem informasi. Dalam penilaian kerentanan, tujuan Anda adalah membuat inventaris sederhana dari kerentanan yang ditemukan di dalam lingkungan sasaran. Konsep lingkungan target ini sangat penting. Anda harus yakin untuk tetap berada dalam cakupan jaringan target klien Anda dan tujuan yang diperlukan. Merayap di luar cakupan penilaian dapat menyebabkan gangguan layanan, pelanggaran kepercayaan dengan klien Anda, atau tindakan hukum terhadap Anda dan atasan Anda.

Karena relatif sederhana, uji kerentanan sering diselesaikan di lingkungan yang lebih matang secara teratur sebagai bagian dari menunjukkan uji tuntas mereka. Dalam kebanyakan kasus, alat otomatis, seperti yang ada di Analisis Kerentanan7 dan Aplikasi Web8 kategori situs Kali Tools dan menu Aplikasi desktop Kali, digunakan untuk menemukan sistem langsung di lingkungan target, mengidentifikasi layanan mendengarkan, dan menghitungnya untuk menemukan informasi sebanyak mungkin seperti perangkat lunak server, versi, platform, dan sebagainya .

Informasi ini kemudian diperiksa untuk mengetahui tanda-tanda potensi masalah atau kerentanan. Tanda tangan ini terdiri dari kombinasi titik data yang dimaksudkan untuk mewakili masalah yang diketahui. Beberapa titik data digunakan, karena semakin banyak titik data yang Anda gunakan, semakin akurat identifikasinya. Ada sejumlah besar titik data potensial, termasuk namun tidak terbatas pada:

• Versi Sistem Operasi: Tidak jarang perangkat lunak rentan pada satu versi sistem operasi tetapi tidak pada versi lain. Karena itu, pemindai akan berusaha menentukan, seakurat mungkin, versi sistem operasi apa yang menampung aplikasi yang ditargetkan.

• Level Patch: Sering kali, patch untuk sistem operasi akan dirilis yang tidak meningkatkan informasi versi, tetapi masih mengubah cara kerentanan akan merespons, atau bahkan menghilangkan kerentanan sepenuhnya.

• Arsitektur Prosesor: Banyak aplikasi perangkat lunak tersedia untuk beberapa arsitektur prosesor seperti Intel x86, Intel x64, beberapa versi ARM, UltraSPARC, dan sebagainya.

5https://en.wikipedia.org/wiki/Executable_space_protection#Windows 6https://en.wikipedia.org/wiki/Address_space_layout_randomization 7http://tools.kali.org/category/vulnerability-analysis 8http://tools.kali.org/category/web-applications‌‌‌

Dalam beberapa kasus, kerentanan hanya akan ada pada arsitektur tertentu, jadi mengetahui sedikit informasi ini sangat penting untuk tanda tangan yang akurat.

• Versi Perangkat Lunak: Versi perangkat lunak yang ditargetkan adalah salah satu item dasar yang perlu ditangkap untuk mengidentifikasi kerentanan.

Ini, dan banyak titik data lainnya, akan digunakan untuk membuat tanda tangan sebagai bagian dari pemindaian kerentanan. Seperti yang diharapkan, semakin banyak titik data yang cocok, semakin akurat tanda tangannya. Saat berhadapan dengan kecocokan tanda tangan, Anda dapat memiliki beberapa hasil potensial yang berbeda:

• Benar Positif: Tanda tangan cocok dan menangkap kerentanan yang sebenarnya. Hasil ini adalah hasil yang perlu Anda tindak lanjuti dan perbaiki, karena ini adalah item yang dapat dimanfaatkan oleh orang jahat untuk merugikan organisasi Anda (atau klien Anda).

• Positif Palsu: Tanda tangan cocok; namun masalah yang terdeteksi bukanlah kerentanan yang sebenarnya. Dalam penilaian, ini sering dianggap kebisingan dan bisa sangat membuat frustrasi. Anda tidak pernah ingin mengabaikan positif sejati sebagai positif palsu tanpa validasi yang lebih ekstensif.

• True Negative: Tanda tangan tidak cocok dan tidak ada kerentanan. Ini adalah skenario yang ideal, memverifikasi bahwa kerentanan tidak ada pada target.

• Negatif Palsu: Tanda tangan tidak cocok tetapi ada kerentanan yang ada. Seburuk positif palsu, negatif palsu jauh lebih buruk. Dalam hal ini, ada masalah tetapi pemindai tidak mendeteksinya, jadi Anda tidak memiliki indikasi keberadaannya.

Seperti yang dapat Anda bayangkan, keakuratan tanda tangan sangat penting untuk hasil yang akurat. Semakin banyak data yang diberikan, semakin besar peluang untuk mendapatkan hasil yang akurat dari pemindaian berbasis tanda tangan otomatis, itulah sebabnya pemindaian yang diautentikasi sering kali sangat populer.

Dengan pemindaian yang diautentikasi, perangkat lunak pemindaian akan menggunakan kredensial yang disediakan untuk mengautentikasi ke target. Ini memberikan tingkat visibilitas yang lebih dalam ke target daripada yang mungkin dilakukan. Misalnya, pada pemindaian normal, Anda hanya dapat mendeteksi informasi tentang sistem yang dapat diperoleh dari layanan mendengarkan dan fungsionalitas yang disediakannya. Ini bisa menjadi sedikit informasi kadang-kadang tetapi tidak dapat bersaing dengan tingkat dan kedalaman data yang akan diperoleh jika Anda mengautentikasi ke sistem dan meninjau secara komprehensif semua perangkat lunak yang diinstal, patch yang diterapkan, proses yang berjalan, dan sebagainya. . Luasnya data ini berguna untuk mendeteksi kerentanan yang mungkin belum ditemukan.

Penilaian kerentanan yang dilakukan dengan baik menyajikan gambaran tentang potensi masalah dalam sebuah organisasi dan menyediakan metrik untuk mengukur perubahan dari waktu ke waktu. Ini adalah penilaian yang cukup ringan, tetapi meskipun demikian, banyak organisasi akan secara teratur melakukan pemindaian kerentanan otomatis di luar jam kerja untuk menghindari potensi masalah di siang hari ketika ketersediaan layanan dan bandwidth paling kritis.

Seperti disebutkan sebelumnya, pemindaian kerentanan harus memeriksa banyak titik data yang berbeda untuk mendapatkan hasil yang akurat. Semua pemeriksaan yang berbeda ini dapat membuat beban pada sistem target serta menghabiskan bandwidth. Sayangnya, sulit untuk mengetahui secara pasti berapa banyak sumber daya yang akan dikonsumsi sesuai target karena tergantung pada jumlah layanan terbuka dan jenis layanan.

pemeriksaan yang akan dikaitkan dengan layanan tersebut. Ini adalah biaya untuk melakukan pemindaian; itu akan menempati sumber daya sistem. Memiliki gambaran umum tentang sumber daya yang akan dikonsumsi dan berapa banyak beban yang dapat diambil sistem target adalah penting saat menjalankan alat ini.

Memindai Utas Sebagian besar pemindai kerentanan menyertakan opsi untuk menyetel utas per pemindaian, yang sama dengan jumlah pemeriksaan serentak yang terjadi pada satu waktu. Meningkatkan jumlah ini akan berdampak langsung pada beban pada platform penilaian serta jaringan dan target yang berinteraksi dengan Anda. Ini penting untuk diingat saat Anda menggunakan pemindai ini. Sangat menggoda untuk meningkatkan utas untuk menyelesaikan pemindaian lebih cepat, tetapi ingat peningkatan beban substansial yang terkait dengan melakukannya.

Ketika pemindaian kerentanan selesai, masalah yang ditemukan biasanya ditautkan kembali ke pengidentifikasi standar industri seperti nomor CVE9, ID-EDB10, dan saran vendor. Informasi ini, bersama dengan skor kerentanan CVSS11, digunakan untuk menentukan peringkat risiko. Bersamaan dengan negatif palsu (dan positif palsu), peringkat risiko arbitrer ini adalah masalah umum yang perlu dipertimbangkan saat menganalisis hasil pemindaian.

Karena alat otomatis menggunakan database tanda tangan untuk mendeteksi kerentanan, sedikit penyimpangan dari tanda tangan yang diketahui dapat mengubah hasil dan juga validitas kerentanan yang dirasakan. Positif palsu salah menandai kerentanan yang tidak ada, sementara negatif palsu secara efektif buta terhadap kerentanan dan tidak melaporkannya. Karena itu, pemindai sering dikatakan hanya sebagus basis aturan tanda tangannya. Untuk alasan ini, banyak vendor menyediakan beberapa set tanda tangan: satu yang mungkin gratis untuk pengguna rumahan dan set lain yang cukup mahal yang lebih komprehensif, yang umumnya dijual kepada pelanggan korporat.

Masalah lain yang sering dihadapi dengan pemindaian kerentanan adalah validitas peringkat risiko yang disarankan. Peringkat risiko ini ditentukan secara umum, dengan mempertimbangkan banyak faktor berbeda seperti tingkat hak istimewa, jenis perangkat lunak, dan pra-atau pasca-otentikasi. Tergantung pada lingkungan Anda, peringkat ini mungkin atau mungkin tidak berlaku sehingga tidak boleh diterima secara membabi buta. Hanya mereka yang berpengalaman dalam sistem dan kerentanan yang dapat memvalidasi peringkat risiko dengan benar.

Meskipun tidak ada kesepakatan yang ditetapkan secara universal tentang peringkat risiko, publikasi Khusus NIST 800-3012 direkomendasikan sebagai dasar untuk evaluasi peringkat risiko dan akurasinya di lingkungan Anda. NIST SP 800-30 mendefinisikan risiko sebenarnya dari kerentanan yang ditemukan sebagai kombinasi dari kemungkinan terjadinya dan potensi dampak.

9https://cve.mitre.org 10https://www.exploit-db.com/about/ 11https://www.first.org/cvss‌‌‌

12http://csrc.nist.gov/publications/PubsSPs.html#800-30