Lakukan Analisis Akar Masalah pada Kerentanan Keamanan
Deskripsi
Lakukan analisis akar masalah pada kerentanan keamanan. Saat meninjau kerentanan, analisis akar masalah dimaksudkan untuk melebihi perbaikan langsung yang dilakukan dan mengidentifikasi kerentanan yang mendasarinya, termasuk kerentanan dalam pengkodean, desain, dan pengembangan.
Daftar Periksa Implementasi
Rekomendasi Alat
Platform keamanan aplikasi dengan SAST, DAST, SCA, dan pelatihan pengembang untuk pengembangan perangkat lunak yang aman
Veracode · Langganan per aplikasi
Platform keamanan aplikasi cloud-native dengan SAST, SCA, DAST, keamanan API, dan pengujian keamanan rantai pasokan
Checkmarx · Langganan per pengembang
Rangkaian pengujian keamanan aplikasi dengan SAST (Coverity), SCA (Black Duck), dan DAST untuk AppSec yang komprehensif
Synopsys · Langganan per pengembang
Ancaman & Kerentanan (CIS RAM)
Skenario Ancaman
Pola Kerentanan Berulang Dieksploitasi di Beberapa Aplikasi
IntegrityKelas kerentanan yang sama seperti SQL injection berulang di beberapa aplikasi karena kelemahan individual ditambal tanpa menganalisis akar penyebab, memungkinkan kesalahan pengkodean sistemis tetap ada.
Tim Pengembangan Berulang Kali Memperkenalkan Jenis Kerentanan yang Sama
ConfidentialityTim pengembangan terus menghasilkan kode dengan kelemahan bypass autentikasi yang sama karena tidak ada analisis akar penyebab yang mengidentifikasi kesenjangan proses atau pengetahuan yang mendasari yang menyebabkan kerentanan berulang.
Kerentanan (Saat Pengamanan Tidak Ada)
Tidak Ada Analisis Akar Penyebab pada Kerentanan Keamanan
Tanpa analisis akar penyebab, organisasi hanya menangani gejala (bug individual) daripada penyebab yang mendasari (pola pengkodean tidak aman, pelatihan yang hilang, arsitektur yang cacat), menyebabkan kerentanan berulang.
Manajemen Kerentanan Hanya Reaktif
Ketiadaan analisis akar penyebab membuat tim pengembangan tetap dalam mode reaktif murni, menambal kerentanan individual tanpa meningkatkan keamanan sistemis dari codebase.
Persyaratan Bukti
| Jenis | Item Bukti | Frekuensi Pengumpulan |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |