Patching adalah metode penting untuk mengisolasi risiko dan untuk memastikan alur kerja tidak terganggu karena memungkinkan perangkat lunak keluar dari versi yang dapat didukung.
Grafik risiko keamanan yang dihasilkan dari kerentanan yang tidak ditambal adalah substansial โ Investigasi Pelanggaran Data Verizon 2022 melaporkan menemukan sekitar 70% dari serangan siber yang berhasil mengeksploitasi kerentanan yang diketahui dengan patch yang tersedia.
Namun, terlalu sering, tim TI harus memilih item mendesak mana yang mendapat perhatian mereka, yang menciptakan skenario di mana tugas mendesak menghalangi tugas penting. Dengan mengalihdayakan manajemen patch, juga dikenal sebagai patching-as-a-service, organisasi dapat mengalihkan beban untuk memastikan bahwa proses patch diselesaikan secara konsisten kepada pihak ketiga.
Kontrol, Transparansi Harus Dijaga
Patching outsourcing dapat menghemat waktu dan uang organisasi. Ini juga dapat mengarah pada peningkatan keamanan. Model outsourcing menyediakan pemimpin keamanan dengan perjanjian tingkat layanan (SLA) yang dapat diverifikasi untuk menjamin bahwa investasi melindungi organisasi.
โAda beberapa tantangan yang datang dengan outsourcing patching,โ memperingatkan Darryl MacLeod, vCISO di Lares Consulting, sebuah perusahaan keamanan informasi. โMisalnya, sebuah organisasi mungkin kehilangan kendali atas manajemen tambalan, dan proses manajemen tambalan mungkin tidak setransparan jika manajemen tambalan dilakukan di rumah.โ
Dia menambahkan bahwa patching-as-a-service mungkin paling efektif untuk organisasi kecil dan menengah yang tidak memiliki sumber daya untuk patch in-house, tetapi juga dapat bermanfaat bagi organisasi dengan kebutuhan manajemen patch yang kompleks.
Perusahaan manajemen data dan analitik Aunalytics baru-baru ini menambahkan platform patching-as-a-service yang dikelola bersama ke rangkaian solusi keamanannya. Wakil presiden perusahaan, Steven Burdick, menunjukkan tantangan keamanan untuk setiap organisasi berkembang setiap hari.
โAktor jahat mengetuk pintu mana pun yang mereka temukan dengan harapan bahwa Anda belum menambal workstation atau aplikasi pihak ketiga utama seperti Acrobat Reader,โ katanya. โNamun, terlepas dari upaya Anda untuk mengamankan lingkungan Anda dengan mengurangi palka, eksploitasi baru yang belum ditemukan terus muncul.โ
Dia berpendapat bahwa outsourcing patch keamanan dan platform perlindungan antivirus/malware memungkinkan organisasi untuk menginvestasikan waktu anggota tim mereka di area di mana bisnis bisa mendapatkan nilai terbaik.
โMenetapkan FTE atau bagian dari FTE kepada seseorang untuk mengelola patching dan platform keamanan memerlukan investasi tambahan dalam waktu, perjalanan, dan pelatihan yang tidak lebih dari mempersiapkan staf TI Anda untuk peran berikutnya di perusahaan lain,โ katanya.
Membayar Pihak Ketiga untuk Bertanggung Jawab
Mike Parkin, insinyur teknis senior di Vulcan Cyber, penyedia SaaS untuk remediasi risiko cyber perusahaan, menjelaskan bahwa outsourcing patching ke vendor patching-as-a-service adalah bagian dari outsourcing operasi TI, di mana sebuah organisasi mengalihkan tanggung jawab ke pihak ketiga.
โAda banyak alasan mengapa organisasi mengalihdayakan tugas-tugas ini, meskipun penghematan biaya dan tidak harus mengelola departemen TI internal adalah dua alasan umum,โ katanya.
Seperti MacLeod, dia menunjukkan ada juga tantangan. Pertama, organisasi harus mengandalkan efisiensi dan integritas vendor untuk menangani isu-isu penting tanpa pengawasan yang datang dengan aset internal.
Parkin mengatakan program yang sukses akan membutuhkan alat manajemen aset yang akurat dan kuat, sehingga vendor tahu apa yang ada di lingkungan klien.
โMereka akan membutuhkan fungsi manajemen patch yang disertakan, atau kompatibel,โ tambahnya. โIdealnya, mereka akan mendapat masukan dari pemindai kerentanan dan platform manajemen risiko untuk membantu mereka memprioritaskan tambalan yang paling penting.โ
Layanan Penambalan Mengandalkan Otomatisasi
MacLeod memperkirakan bahwa ketika manajemen tambalan menjadi lebih kompleks, penyedia tambalan sebagai layanan kemungkinan akan menawarkan solusi yang lebih komprehensif yang mencakup perangkat lunak manajemen tambalan, repositori tambalan, alat penyebaran tambalan, dan layanan lainnya.
Perangkat lunak manajemen tambalan mengotomatiskan proses tambalan; repositori tambalan menyimpan dan mengelola tambalan; dan alat penyebaran tambalan digunakan untuk menyebarkan tambalan ke sistem.
โPenyedia layanan kemungkinan akan terus memperluas basis pelanggan mereka dengan menawarkan layanan patch ke lebih banyak jenis organisasi,โ tambahnya.
Dia menunjukkan bahwa pasar patching-as-a-service telah berkembang dalam beberapa tahun terakhir karena lebih banyak organisasi mengalihdayakan manajemen patch.
โPertumbuhan ini diperkirakan akan terus berlanjut karena patching menjadi tugas yang semakin kompleks dan memakan waktu,โ kata MacLeod.
Outsourcing Mengganti Sumber Daya Manusia yang Langka
Burdick mengatakan Aunalytics melihat banyak minat di industri perawatan kesehatan, perusahaan layanan profesional, dan pemerintah, di mana bakat TI sulit untuk ditarik dan dipertahankan.
Dia menambahkan bahwa produsen sering kali menjadi pengadopsi awal dari jenis solusi ini karena mereka menyadari bahwa mereka harus terus berkembang untuk bersaing.
Membayar untuk layanan ini dalam model "sebagai layanan" menghalangi organisasi untuk membayar biaya pelatihan dan perjalanan anggota tim keamanan TI, kata Burdick, serta biaya untuk mengganti dan melatih kembali staf ketika sumber daya internal perusahaan meninggalkan.
โBisnis saat ini tidak berjuang untuk membeli teknologi; orang-orang yang menggunakan teknologi dan membuatnya tetap berjalan efisienlah yang sangat sulit diperoleh dalam perekonomian ini,โ kata Burdick.