Selasa, 14 Juli 2026 | 13 min read | Andhika R

Dari Vulnerability Management ke Exposure Management: Mengapa Perusahaan Perlu Mengubah Cara Membaca Risiko

Perusahaan dapat paling berbahaya terbuka. Kondisi ini terdengar kontradiktif, tetapi justru menggambarkan persoalan mendasar dalam banyak program keamanan siber.

Tim keamanan telah bekerja. Vulnerability scanner dijalankan secara berkala. Temuan telah dikelompokkan berdasarkan tingkat keparahan. Tiket remediasi juga telah dibagikan kepada tim infrastruktur dan pengembang. Namun, setelah seluruh aktivitas tersebut dilakukan, satu pertanyaan penting sering belum terjawab: apakah risiko terhadap bisnis benar-benar berkurang?

Selama ini, keberhasilan vulnerability management kerap diukur dari jumlah temuan, persentase patch compliance, waktu penyelesaian tiket, atau banyaknya vulnerability berstatus critical yang berhasil ditutup. Metrik tersebut tetap berguna, tetapi belum tentu menunjukkan apakah penyerang masih memiliki jalur menuju aset penting perusahaan.

Masalahnya bukan terletak pada vulnerability management sebagai sebuah proses. Masalah muncul ketika daftar kerentanan diperlakukan sebagai gambaran lengkap mengenai risiko.

Inilah alasan perusahaan perlu mulai bergerak menuju exposure management. Bukan untuk meninggalkan vulnerability management, melainkan untuk menempatkannya dalam konteks yang lebih luas: konteks aset, identitas, konfigurasi, jalur serangan, ancaman aktual, dan dampak bisnis.

Dari Vulnerability Management ke Exposure Management Mengapa Perusahaan Perlu Mengubah Cara Membaca Risiko.webp

Daftar Temuan yang Panjang Tidak Sama dengan Risiko yang Terbaca

Laporan hasil pemindaian keamanan dapat berisi ratusan hingga ribuan temuan. Sebagian diberi label critical, sebagian high, sementara sisanya masuk dalam kategori medium atau low.

Banyaknya temuan sering menciptakan kesan bahwa perusahaan telah memiliki visibilitas yang baik. Padahal, visibilitas tidak selalu berarti pemahaman.

Perusahaan mungkin mengetahui bahwa sebuah server memiliki sepuluh vulnerability. Namun, perusahaan belum tentu mengetahui apakah server tersebut dapat diakses dari internet, terhubung dengan sistem produksi, memiliki akun dengan hak akses tinggi, atau menjadi bagian dari jalur menuju basis data pelanggan.

Di sisi lain, sebuah aset mungkin hanya memiliki satu vulnerability dengan tingkat keparahan sedang. Akan tetapi, aset itu terhubung langsung dengan sistem identitas perusahaan dan dapat digunakan untuk melakukan lateral movement menuju lingkungan yang lebih sensitif.

Jika prioritas hanya ditentukan dari jumlah temuan atau label severity, perusahaan berisiko memperbaiki masalah yang paling terlihat, bukan masalah yang paling berbahaya.

Ketika semua temuan dianggap mendesak, tidak ada lagi temuan yang benar-benar menjadi prioritas.

Kondisi ini mendorong munculnya vulnerability backlog. Tim keamanan terus menghasilkan temuan baru, sementara kapasitas tim pengembang dan infrastruktur untuk melakukan remediation tetap terbatas. Akibatnya, pekerjaan keamanan berubah menjadi perlombaan mengejar daftar yang tidak pernah selesai.

Persoalannya bukan sekadar kekurangan sumber daya. Perusahaan juga membutuhkan cara yang lebih baik untuk menentukan vulnerability mana yang perlu ditangani terlebih dahulu.

Vulnerability Management Menemukan Kelemahan, tetapi Tidak Selalu Membaca Hubungannya

Vulnerability management tetap menjadi fondasi penting dalam keamanan siber. Proses ini membantu perusahaan menemukan kelemahan teknis, mengelompokkan tingkat keparahan, menentukan pemilik aset, memantau remediation, dan memastikan perbaikan dapat diverifikasi.

Tanpa vulnerability management, perusahaan akan kesulitan memahami kelemahan yang terdapat pada aplikasi, sistem operasi, perangkat jaringan, layanan cloud, maupun komponen pihak ketiga.

Namun, vulnerability management sering bekerja pada tingkat temuan individual. Satu vulnerability diperiksa, dinilai, diteruskan kepada pemilik sistem, kemudian ditutup setelah perbaikan dilakukan.

Pendekatan ini menjadi kurang memadai ketika risiko tidak berasal dari satu kelemahan tunggal.

Penyerang dapat menggabungkan beberapa kondisi yang tampak tidak terlalu berbahaya. Kesalahan konfigurasi pada layanan internet-facing dapat digunakan sebagai titik masuk. Akun layanan dengan permission berlebihan kemudian membantu penyerang meningkatkan akses. Segmentasi jaringan yang lemah memungkinkan lateral movement. Kredensial yang tersimpan secara tidak aman akhirnya membuka jalan menuju sistem produksi.

Tidak semua titik dalam rangkaian tersebut memiliki nomor CVE. Sebagian bahkan tidak akan terdeteksi oleh vulnerability scanner tradisional.

Risiko dapat muncul dari cloud misconfiguration, excessive permissions, akun tidak aktif yang belum dicabut, API yang terekspos, kredensial yang bocor, aset yang tidak terinventarisasi, atau kontrol keamanan yang tidak berfungsi sesuai rancangan.

Exposure management memperluas cara pandang tersebut. Fokusnya bukan hanya pada keberadaan vulnerability, tetapi pada seluruh kondisi yang dapat dimanfaatkan untuk mencapai tujuan serangan.

Dengan demikian, perusahaan tidak lagi hanya bertanya, “Apa saja celah yang ditemukan?” Pertanyaan yang lebih relevan adalah, “Kondisi mana yang benar-benar dapat membawa penyerang menuju aset penting?”

Skor Keparahan Tidak Mengetahui Nilai Bisnis Sebuah Aset

Common Vulnerability Scoring System atau CVSS telah lama menjadi rujukan untuk mengomunikasikan karakteristik dan tingkat keparahan teknis sebuah vulnerability. Sistem ini membantu perusahaan menggunakan bahasa yang konsisten ketika membandingkan kelemahan dari berbagai produk dan teknologi.

Namun, CVSS bukan ukuran risiko bisnis.

Nilai CVSS tidak secara otomatis mengetahui apakah sebuah aset mendukung transaksi utama perusahaan. Skor tersebut juga tidak selalu memahami apakah sistem terekspos ke internet, apakah exploit telah digunakan secara aktif, apakah terdapat kontrol kompensasi, atau apakah aset dapat menjadi penghubung menuju lingkungan yang lebih sensitif.

Dua vulnerability dengan skor yang sama dapat membutuhkan keputusan yang berbeda.

Vulnerability dengan skor sangat tinggi pada server pengujian yang terisolasi mungkin dapat dijadwalkan untuk diperbaiki setelah validasi lebih lanjut. Sebaliknya, vulnerability dengan skor sedang pada server identitas yang dapat diakses dari luar mungkin membutuhkan penanganan segera.

Artinya, severity tetap penting, tetapi tidak boleh menjadi satu-satunya dasar prioritas.

Perusahaan perlu menambahkan konteks lain, seperti criticality aset, exposure terhadap internet, ketersediaan exploit, aktivitas threat actor, posisi aset dalam attack path, hak akses yang dapat diperoleh, dan dampaknya terhadap layanan bisnis.

Exploit Prediction Scoring System atau EPSS dapat membantu memperkirakan kemungkinan sebuah CVE dieksploitasi di dunia nyata dalam periode tiga puluh hari. Sementara itu, katalog Known Exploited Vulnerabilities dari CISA memberikan informasi mengenai vulnerability yang telah memiliki bukti eksploitasi aktif.

Kedua sumber tersebut memperkaya proses vulnerability prioritization. Namun, EPSS maupun CISA KEV juga tidak seharusnya digunakan secara terpisah dari konteks organisasi.

Vulnerability yang aktif dieksploitasi tetap harus dinilai berdasarkan keberadaannya di lingkungan perusahaan, posisi aset, kontrol yang tersedia, serta dampak apabila eksploitasi berhasil dilakukan.

Prioritas yang matang tidak dibentuk oleh satu skor. Prioritas dibentuk oleh kombinasi severity, exploitability, exposure, criticality, dan business impact.

Penyerang Melihat Jalur, Bukan Daftar CVE

Laporan keamanan biasanya menyusun temuan berdasarkan aset atau tingkat keparahan. Penyerang melihat lingkungan perusahaan dengan cara berbeda.

Mereka mencari jalur.

Sebuah layanan yang terekspos dapat menjadi titik masuk. Kredensial dengan perlindungan lemah dapat digunakan untuk meningkatkan akses. Kesalahan konfigurasi pada identity and access management dapat membuka permission tambahan. Koneksi antarsistem kemudian memungkinkan penyerang bergerak menuju aset yang sebenarnya menjadi target.

Dari sudut pandang penyerang, satu temuan tidak selalu harus bersifat critical. Temuan tersebut hanya perlu memberikan pijakan untuk melanjutkan serangan.

Inilah mengapa vulnerability berstatus medium tidak selalu dapat diperlakukan sebagai risiko menengah. Ketika berada pada posisi yang tepat dalam attack path, kelemahan tersebut dapat menjadi penghubung penting menuju sistem yang lebih kritis.

Sebaliknya, vulnerability berstatus critical belum tentu memiliki nilai serangan yang tinggi apabila aset tidak dapat dijangkau, tidak memiliki koneksi ke lingkungan sensitif, dan telah dilindungi oleh kontrol lain yang efektif.

Attack path analysis membantu perusahaan memahami hubungan tersebut. Analisis tidak berhenti pada identifikasi kelemahan, tetapi memetakan bagaimana aset, akun, konfigurasi, permission, dan vulnerability dapat digunakan secara berurutan.

Pendekatan ini juga membantu menemukan choke point, yaitu titik tertentu yang apabila diperbaiki dapat memutus beberapa jalur serangan sekaligus.

Perbaikan terhadap satu excessive permission, misalnya, mungkin lebih efektif daripada menutup puluhan vulnerability yang tidak memiliki hubungan langsung dengan aset kritis. Demikian pula, memperbaiki segmentasi jaringan dapat mengurangi blast radius sekalipun sejumlah vulnerability masih menunggu jadwal remediation.

Analisis ini sering kami temukan saat melakukan penetration testing pada perusahaan di Indonesia.

Dalam beberapa kasus, risiko terbesar tidak selalu berasal dari vulnerability dengan skor tertinggi. Risiko justru terbentuk melalui kombinasi kelemahan aplikasi, konfigurasi, hak akses, dan hubungan antarsistem yang sebelumnya dinilai secara terpisah.

Exposure Management Mengubah Unit Analisis

Perubahan dari vulnerability management menuju exposure management bukan sekadar memperluas daftar aset yang dipindai. Perubahan utamanya terletak pada unit analisis.

Vulnerability management cenderung berangkat dari temuan. Exposure management berangkat dari kemungkinan serangan dan dampaknya terhadap bisnis.

Perusahaan tidak lagi hanya menghitung berapa banyak vulnerability yang ditemukan. Perusahaan perlu memahami exposure mana yang memberikan akses menuju aset kritis.

Pertanyaan mengenai jumlah temuan critical juga perlu dilengkapi dengan pertanyaan mengenai berapa banyak temuan yang benar-benar dapat dieksploitasi dalam kondisi lingkungan saat ini.

Keberhasilan remediation tidak cukup diukur dari status tiket yang berubah menjadi selesai. Perusahaan perlu memastikan bahwa jalur serangan telah terputus dan risiko residual berada dalam tingkat yang dapat diterima.

Perubahan cara membaca risiko ini penting karena attack surface perusahaan semakin luas. Infrastruktur lokal kini terhubung dengan cloud, SaaS, API, aplikasi mobile, sistem pihak ketiga, perangkat kerja jarak jauh, serta berbagai identitas manusia dan nonmanusia.

Sebagian exposure dapat diperbaiki melalui patch. Sebagian lainnya membutuhkan perubahan konfigurasi, pembatasan permission, penguatan autentikasi, perbaikan arsitektur, segmentasi jaringan, atau penghentian layanan yang tidak lagi diperlukan.

Dengan cakupan tersebut, exposure management tidak dapat dianggap sebagai nama baru untuk vulnerability scanning. Exposure management adalah cara menghubungkan seluruh kondisi keamanan dengan kemungkinan serangan dan konsekuensi bisnis.

Risiko yang Sama Dapat Membutuhkan Keputusan Berbeda

Dalam praktiknya, perusahaan perlu menentukan prioritas berdasarkan kombinasi beberapa faktor.

Criticality aset menunjukkan seberapa besar ketergantungan operasional terhadap sebuah sistem. Reachability membantu menjelaskan apakah aset dapat dijangkau dari internet atau dari sistem yang telah lebih dahulu dikompromikan.

Threat intelligence memberikan konteks mengenai teknik serangan dan aktivitas threat actor. EPSS membantu memperkirakan kemungkinan eksploitasi, sedangkan CISA KEV memberikan bukti bahwa sebuah vulnerability telah digunakan dalam serangan nyata.

Posisi dalam attack path menunjukkan apakah kelemahan dapat menjadi jalan menuju target yang lebih penting. Kontrol kompensasi membantu menilai apakah risiko telah dikurangi meskipun patch belum tersedia.

Perusahaan juga perlu mempertimbangkan dampak terhadap kerahasiaan, integritas, ketersediaan, kepatuhan, reputasi, dan kelangsungan layanan.

Sebagai contoh, vulnerability berstatus high pada aset internal yang terisolasi mungkin tidak menjadi prioritas pertama apabila belum tersedia exploit dan terdapat kontrol akses yang efektif.

Sebaliknya, misconfiguration yang membuka panel administratif ke internet perlu ditangani segera, meskipun kondisi tersebut tidak memiliki CVE atau skor CVSS.

Akun layanan yang memiliki hak akses berlebihan juga dapat menjadi exposure kritis apabila akun tersebut dapat mencapai banyak sistem. Demikian pula, API yang tidak memiliki pembatasan otorisasi yang memadai dapat membuka akses terhadap data meskipun seluruh komponennya telah menggunakan versi terbaru.

Exposure management membantu perusahaan mengambil keputusan berdasarkan keadaan sebenarnya, bukan hanya berdasarkan label teknis.

Exposure Management Bukan Proyek Membeli Dashboard Baru

Ketika sebuah konsep keamanan menjadi populer, organisasi sering tergoda untuk menerjemahkannya menjadi kebutuhan membeli platform baru.

Exposure management tidak akan berhasil apabila hanya menghasilkan dashboard tambahan.

Menggabungkan seluruh temuan ke dalam satu layar memang dapat meningkatkan visibilitas. Namun, dashboard yang lebih besar juga dapat menghasilkan kebisingan yang lebih besar apabila perusahaan belum memiliki asset inventory, penentuan criticality, ownership, dan proses remediation yang jelas.

Exposure management perlu dipahami sebagai operating model.

Perusahaan harus menentukan sistem dan layanan bisnis yang menjadi prioritas. Setelah itu, tim keamanan perlu menemukan aset, identitas, konfigurasi, dan hubungan teknis yang menopang layanan tersebut.

Gartner menggambarkan Continuous Threat Exposure Management melalui proses berulang yang mencakup scoping, discovery, prioritization, validation, dan mobilization.

Scoping memastikan program dimulai dari kepentingan bisnis, bukan dari keinginan memindai seluruh hal sekaligus. Discovery digunakan untuk menemukan aset dan exposure di dalam ruang lingkup tersebut.

Prioritization mengurangi kebisingan dengan menentukan exposure yang benar-benar membutuhkan tindakan. Validation menguji apakah risiko dapat dieksploitasi dan apakah perbaikan yang disarankan akan efektif.

Mobilization memastikan hasil analisis dapat diterjemahkan menjadi tindakan lintas tim.

Tahap terakhir sering menjadi tantangan terbesar. Tim keamanan mungkin telah memahami exposure, tetapi tidak memiliki kewenangan untuk memperbaiki aplikasi, mengubah arsitektur, membatasi akun, atau menonaktifkan layanan.

Karena itu, exposure management membutuhkan keterlibatan tim aplikasi, infrastruktur, cloud, identity, DevOps, risk management, internal audit, dan pemilik proses bisnis.

Teknologi membantu korelasi data. Namun, penurunan risiko tetap bergantung pada kemampuan organisasi untuk mengambil keputusan dan menjalankan perbaikan.

Vulnerability Management Tetap Dibutuhkan

Peralihan menuju exposure management tidak berarti perusahaan harus meninggalkan vulnerability management.

Vulnerability scanning tetap dibutuhkan untuk menemukan kelemahan yang telah diketahui. Patch management tetap penting untuk menjaga sistem menggunakan versi yang lebih aman. CVSS tetap bermanfaat untuk memahami tingkat keparahan teknis.

Remediation SLA juga tetap diperlukan agar temuan tidak dibiarkan tanpa batas waktu. Vulnerability assessment membantu memberikan cakupan awal, sedangkan penetration testing memberikan validasi mengenai bagaimana kelemahan dapat dimanfaatkan dalam skenario serangan.

Perbedaannya terletak pada posisi vulnerability management dalam strategi yang lebih luas.

Vulnerability management tidak lagi diperlakukan sebagai gambaran lengkap mengenai risiko. Data dari proses tersebut dikorelasikan dengan informasi mengenai aset, identity, cloud configuration, external attack surface, threat intelligence, dan hasil security validation.

Dengan cara ini, organisasi dapat membedakan kelemahan yang sekadar ada dari kelemahan yang benar-benar dapat digunakan untuk menimbulkan dampak.

Perusahaan tidak perlu membuang vulnerability management. Perusahaan hanya perlu berhenti menganggap bahwa daftar vulnerability sudah cukup untuk menjelaskan seluruh risiko.

Transisi Perlu Dimulai dari Aset Kritis

Keinginan untuk memetakan seluruh exposure perusahaan dalam satu waktu sering menghasilkan program yang terlalu luas dan sulit dijalankan.

Langkah yang lebih realistis adalah memulai dari layanan bisnis yang tidak boleh gagal.

Perusahaan dapat memilih sistem transaksi, portal pelanggan, infrastruktur identitas, basis data sensitif, aplikasi operasional, atau layanan produksi yang memiliki dampak langsung terhadap pendapatan dan operasional.

Setelah itu, petakan seluruh komponen yang menopang layanan tersebut. Pemetaan tidak hanya mencakup aplikasi dan server, tetapi juga API, akun, cloud workload, SaaS, database, koneksi jaringan, serta akses pihak ketiga.

Tahap berikutnya adalah mengidentifikasi seluruh bentuk exposure. Perusahaan perlu melihat vulnerability, kesalahan konfigurasi, permission berlebihan, akun lama, external exposure, kredensial, secret, kontrol autentikasi, dan aset yang belum dikelola.

Setiap exposure kemudian perlu diberi konteks berdasarkan criticality, reachability, exploitability, threat intelligence, dan business impact.

Hasilnya tidak boleh langsung dianggap sebagai kebenaran akhir. Risiko perlu divalidasi melalui pemeriksaan konfigurasi, penetration testing, simulasi serangan, atau metode security validation lain yang sesuai.

Setelah perbaikan dilakukan, perusahaan juga harus memverifikasi kembali bahwa exposure telah tertutup.

Status tiket selesai tidak selalu berarti risiko telah hilang. Sebuah patch mungkin telah dipasang, tetapi jalur alternatif masih tersedia. Permission telah dibatasi, tetapi akun lain masih memberikan akses serupa. Layanan telah dipindahkan, tetapi endpoint lama masih dapat dijangkau.

Karena itu, remediation perlu diikuti dengan re-testing dan pengukuran residual risk.

Keberhasilan Tidak Lagi Hanya Diukur dari Jumlah Patch

Program vulnerability management tradisional sering menggunakan jumlah temuan dan kecepatan patching sebagai indikator utama.

Metrik tersebut tetap relevan, tetapi perlu dilengkapi dengan ukuran yang mencerminkan penurunan exposure.

Perusahaan dapat mengukur jumlah aset kritis yang dapat dijangkau dari titik masuk eksternal. Perusahaan juga dapat memantau jumlah high-risk attack path, waktu yang dibutuhkan untuk memutus jalur tersebut, serta jumlah exposure yang telah divalidasi.

Metrik lain yang dapat digunakan adalah penurunan blast radius, pengurangan excessive permissions, berkurangnya aset tidak terkelola, dan peningkatan coverage terhadap cloud, identity, API, serta external attack surface.

Mean time to remediate juga perlu dibedakan berdasarkan konteks. Kecepatan memperbaiki vulnerability yang tidak dapat dijangkau tidak memiliki nilai yang sama dengan kecepatan memutus jalur menuju sistem produksi.

Tujuan akhirnya bukan menghasilkan statistik remediation yang terlihat baik. Tujuannya adalah mengurangi kemampuan penyerang mencapai aset yang memiliki nilai terbesar bagi perusahaan.

Perubahan Terbesar Berada pada Pertanyaan yang Diajukan

Laporan Verizon Data Breach Investigations Report 2026 menunjukkan bahwa eksploitasi vulnerability telah menjadi salah satu jalur masuk paling dominan dalam insiden kebocoran data yang dianalisis. Temuan tersebut menegaskan bahwa vulnerability management tetap sangat penting.

Namun, peningkatan eksploitasi juga memperlihatkan bahwa sekadar menemukan vulnerability belum cukup. Perusahaan perlu mengetahui vulnerability mana yang berada pada aset relevan, dapat dijangkau, memiliki exploit, dan mampu membuka jalan menuju dampak bisnis.

ENISA juga menggambarkan lingkungan ancaman yang ditandai oleh eksploitasi vulnerability secara cepat serta kompleksitas yang semakin tinggi dalam melacak aktivitas penyerang.

Dalam kondisi tersebut, perusahaan tidak dapat terus mengelola risiko hanya melalui daftar temuan yang berdiri sendiri.

Exposure management mengubah pertanyaan dari “Berapa banyak vulnerability yang telah ditutup?” menjadi “Apakah jalur menuju aset kritis telah diputus?”

Perubahan tersebut terlihat sederhana, tetapi memiliki konsekuensi besar. Tim keamanan harus menghubungkan data teknis dengan arsitektur, identitas, proses bisnis, threat intelligence, dan hasil pengujian nyata.

Keamanan tidak lagi dinilai dari seberapa panjang laporan yang dapat dihasilkan. Keamanan dinilai dari seberapa sulit penyerang mencapai tujuan.

Validasi Risiko Bersama Fourtrezz

Perusahaan membutuhkan lebih dari sekadar daftar vulnerability. Risiko perlu diuji untuk mengetahui apakah kelemahan benar-benar dapat dieksploitasi, bagaimana kelemahan saling terhubung, dan seberapa besar dampaknya terhadap aset penting.

Fourtrezz, perusahaan keamanan siber di bawah PT Tiga Pilar Keamanan, membantu organisasi melakukan pengujian dan evaluasi keamanan melalui layanan vulnerability assessment dan penetration testing.

Pengujian dapat dilakukan pada aplikasi web, aplikasi mobile, API, serta infrastruktur jaringan sesuai dengan kebutuhan dan ruang lingkup perusahaan. Hasil pengujian disusun untuk membantu tim teknis memahami temuan, menentukan prioritas remediation, dan memvalidasi efektivitas kontrol keamanan.

Melalui pendekatan yang terukur, perusahaan dapat bergerak dari sekadar mengelola daftar kelemahan menuju pemahaman risiko yang lebih kontekstual dan dapat ditindaklanjuti.

Hubungi Fourtrezz:

Website: www.fourtrezz.co.id
Telepon/WhatsApp: +62 857-7771-7243
Email: [email protected]

Bagikan:

Avatar

Andhika RDigital Marketing at Fourtrezz

Semua Artikel

Artikel Terpopuler

Berlangganan Newsletter FOURTREZZ

Jadilah yang pertama tahu mengenai artikel baru, produk, event, dan promosi.

Partner Pendukung

infinitixyberaditif

© 2026 PT Tiga Pilar Keamanan. All Rights Reserved.