All Products
Search

This Product

    Security Center:Lihat dan tangani kerentanan

    Document Center

    Security Center:Lihat dan tangani kerentanan

    Last Updated:Mar 26, 2026

    Kerentanan pada sistem atau aplikasi Anda dapat menjadi titik masuk bagi penyerang. Mendeteksi dan memperbaiki kerentanan tersebut secara cepat sangat penting untuk melindungi aset Anda serta mengurangi risiko potensial. Security Center mendeteksi berbagai kerentanan di seluruh aset Anda, menyediakan informasi terperinci beserta panduan remediasi, serta mendukung perbaikan satu-klik untuk jenis kerentanan tertentu guna memungkinkan manajemen risiko yang efisien.

    Penemuan dan penilaian kerentanan

    Sebelum memperbaiki kerentanan, Anda harus terlebih dahulu mengidentifikasi dan menilai risiko yang ditimbulkannya terhadap aset Anda secara akurat.

    Lihat status keseluruhan kerentanan

    1. Buka halaman Manajemen Kerentanan di konsol Security Center. Di pojok kiri atas halaman, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.

    2. Lihat ikhtisar kerentanan

      Bagian atas halaman Vulnerabilities menyediakan statistik keseluruhan kerentanan untuk membantu Anda memahami postur risiko secara cepat.

      • High-priority Vulnerabilities (CVE): Menampilkan daftar kerentanan prioritas utama berdasarkan tingkat keparahan dan tingkat eksploitasi kerentanan.

        Catatan

        Jika sebuah server memiliki beberapa kerentanan, masing-masing dihitung secara terpisah.

      • Vulnerable Servers: Jumlah total server yang memiliki kerentanan terdeteksi. Klik angka tersebut untuk menuju tab Assets > Server guna melihat detail aset server yang rentan.

      • Fixing: Klik statistik tersebut untuk melihat daftar kerentanan yang sedang dalam proses perbaikan beserta progresnya.

      • Total Handled Vulnerabilities: Jumlah total kerentanan yang telah diperbaiki, diabaikan, atau ditambahkan ke daftar putih. Arahkan kursor ke ikon informasi image untuk melihat jumlah Handled Vulnerabilities Today.

      • Disclosed Vulnerabilities: Klik angka tersebut. Pada panel Detectable Vulnerabilities, Anda dapat melihat kerentanan yang didukung oleh Security Center untuk deteksi, lengkap dengan detail seperti ID kerentanan, metode deteksi, dan waktu rilis.

    Filter dan identifikasi kerentanan kritis

    Pemfilteran yang efisien sangat penting saat mengelola banyak notifikasi kerentanan. Mulailah dengan tiga pendekatan berikut:

    • Aktifkan filter "Show Only Exploitable Vulnerabilities" untuk penghilangan derau otomatis

      Metode ini secara otomatis menyaring kerentanan berprioritas rendah yang hanya menimbulkan risiko teoretis dan sulit dieksploitasi dalam praktik.

      • Deskripsi fitur:

        • Menggunakan model penilaian kerentanan Alibaba Cloud yang mempertimbangkan faktor seperti skor kelemahan, waktu, lingkungan, dan pentingnya aset. Dikombinasikan dengan tingkat eksploitasi (PoC/EXP) dan pentingnya aset, model ini secara otomatis mengidentifikasi kerentanan yang benar-benar mengancam.

        • Jika Automatic Vulnerability Remediation juga diaktifkan, kerentanan berisiko rendah yang telah difilter tidak akan memicu tugas perbaikan otomatis. Hal ini mencegah konsumsi sumber daya perbaikan (jumlah kuota perbaikan kerentanan) yang tidak perlu.

      • Instruksi: Aktifkan sakelar Show Only Exploitable Vulnerabilities di pojok kanan atas halaman.

    • Gunakan AI Analysis untuk investigasi mendalam

      • Deskripsi fitur: Fitur ini menggunakan model AI besar untuk memberikan ikhtisar kerentanan, prevalensi eksploitasinya di luar sistem, analisis jalur serangan, serta saran remediasi kontekstual guna menilai risiko kerentanan kompleks secara lebih akurat. Prosedurnya sebagai berikut:

      • Instruksi:

        1. Klik nama Vulnerability target untuk menuju halaman detail.

        2. Di area Vulnerability Details, klik AI Analysis di sebelah CVE ID.

    • Filter secara presisi dan temukan dengan cepat

      Gunakan fitur pemfilteran dan pengurutan platform untuk segera menemukan kerentanan atau aset spesifik yang diminati.

      • Filter kerentanan terkait aplikasi AI:

        • Deskripsi fitur: Security Center mendeteksi dan menampilkan secara terpusat kerentanan pada aplikasi AI—seperti model dan framework—yang dapat menyebabkan kebocoran data atau akses model tanpa izin.

        • Instruksi: Pada halaman Vulnerabilities, di tab Application Vulnerability, pilih Display Only AI-related Vulnerabilities.

      • Memahami kolom Affected Assets

        Kolom ini menunjukkan jumlah aset yang terdampak oleh kerentanan dan menggunakan warna untuk mengindikasikan urgensi remediasi.

        • Merah: Jumlah server dengan urgensi remediasi High.

        • Oranye: Jumlah server dengan urgensi remediasi Medium.

        • Abu-abu: Jumlah server dengan urgensi perbaikan kerentanan Low.

    Lihat detail kerentanan

    Klik nama Vulnerability untuk membuka panel detail dan melihat informasi kerentanan beserta daftar aset terdampak. Untuk informasi lebih lanjut, lihat Lampiran: Deskripsi parameter halaman detail kerentanan.

    • Detail Kerentanan: Meliputi deskripsi kerentanan, skor dampak CVSS (0,1–3,9 adalah Rendah, 4,0–6,9 adalah Menengah, 7,0–8,9 adalah Tinggi, dan 9,0–10,0 adalah Kritis), versi komponen yang terdampak, dan lainnya.

    • Daftar kerentanan yang perlu ditangani: Menampilkan semua server tempat kerentanan ini terdeteksi. Dalam daftar ini, Anda dapat melihat Status kerentanan pada setiap server. Status tersebut dijelaskan sebagai berikut:

      Catatan

      Jika beberapa proses pada satu server cocok dengan kerentanan, daftar akan menampilkan beberapa entri.

      Ditangani

      Status

      Deskripsi

      Handled

      Fixed

      Kerentanan telah diperbaiki.

      Fix failed

      Perbaikan kerentanan gagal. Hal ini mungkin terjadi karena file kerentanan telah dimodifikasi atau tidak lagi ada.

      Ignored

      Operasi Ignore telah dilakukan pada kerentanan ini. Security Center tidak akan lagi menghasilkan peringatan untuk kerentanan ini.

      Vulnerability expired

      Kerentanan tidak terdeteksi lagi dalam periode tertentu. Masa kedaluwarsa untuk berbagai jenis kerentanan adalah sebagai berikut:

      • Kerentanan perangkat lunak Linux dan kerentanan sistem Windows: 3 hari

      • Kerentanan Web-CMS: 7 hari

      • Kerentanan aplikasi: 30 hari

      • Kerentanan darurat: 90 hari

      Unhandled

      Not fixed

      Kerentanan menunggu untuk diperbaiki.

      Verifying

      Setelah Anda memperbaiki kerentanan secara manual, klik Verify di kolom Actions kerentanan target. Status Unfixed berubah menjadi Verifying. Tindakan ini memverifikasi apakah kerentanan telah diperbaiki.

    Tangani kerentanan

    Perbaiki kerentanan

    Langkah 1: Pilih metode perbaikan

    • Perbaikan satu-klik: Security Center menyediakan fitur perbaikan satu-klik di konsol untuk mengotomatiskan remediasi kerentanan tanpa perlu login manual ke server. Fitur ini didukung untuk edisi dan jenis kerentanan berikut:

      Penting

      Application Vulnerability dan Urgent Vulnerability tidak didukung oleh fitur perbaikan satu-klik.

      Service Model

      Service Edition / Protection Level

      Description

      Subscription

      Enterprise dan Ultimate

      Mendukung perbaikan Linux Software Vulnerability, Windows System Vulnerability, dan Web-CMS Vulnerability.

      Advanced

      Mendukung perbaikan Linux Software Vulnerability dan Windows System Vulnerability.

      Basic, Value-added Plan, dan Anti-virus
      Penting

      Untuk mengaktifkan fitur remediasi satu-klik, Anda harus membeli layanan tambahan Vulnerability Fix. Untuk petunjuknya, lihat Beli remediasi kerentanan (subscription) atau Beli remediasi kerentanan (pay-as-you-go).

      Mendukung perbaikan Linux Software Vulnerability dan Windows System Vulnerability.

      Pay-as-you-go

      All protection levels

    • Perbaikan otomatis: Anda dapat mengaktifkan Automatic Vulnerability Remediation dan mengonfigurasi tugas perbaikan otomatis untuk secara berkala memperbaiki kerentanan baru yang ditemukan pada waktu tertentu.

      Penting

      • Tugas perbaikan otomatis bergantung pada fitur one-click fix. Jika edisi dan jenis kerentanan saat ini tidak mendukung one-click fix, perbaikan otomatis juga tidak didukung.

      • Automatic fix hanya didukung untuk kerentanan sistem Linux non-kernel. Tidak didukung untuk kerentanan lainnya.

    • Perbaikan manual: Jika edisi atau kerentanan saat ini tidak mendukung perbaikan satu-klik, atau jika fitur Vulnerability Fix belum diaktifkan, Anda harus login ke server dan menerapkan perbaikan secara manual berdasarkan saran remediasi yang disediakan dalam detail kerentanan.

    Langkah 2: Lakukan perbaikan

    Perbaikan satu-klik

    1. Buka Security Center console - Risk Governance - Vulnerability Management. Di pojok kiri atas halaman, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.

    2. Pada tab Linux Software Vulnerability, Windows System Vulnerability, atau Web-CMS Vulnerability, klik nama Vulnerability target atau tombol Fix di kolom Actions.

    3. Di area Unhandled Vulnerabilities, klik Fix di kolom Actions server target.

      Catatan

      Anda juga dapat memilih beberapa server sekaligus dan mengklik Fix di bawah daftar untuk memperbaiki kerentanan secara batch pada server yang dipilih.

    4. Pada kotak dialog perbaikan, pilih metode perbaikan: Automatically Create Snapshot and Fix Risk atau Skip Snapshot and Fix.

      Penting

      Memperbaiki kerentanan mungkin melibatkan peningkatan kernel sistem atau versi perangkat lunak, yang berisiko terhadap kompatibilitas bisnis. Kami menyarankan melakukan operasi ini pada jam sepi dan memilih opsi Automatically Create Snapshot and Fix Risk agar dapat segera melakukan rollback jika terjadi masalah.

    5. Klik Fix Now. Sistem memulai tugas perbaikan, dan status kerentanan berubah menjadi Fixing. Setelah berhasil, status berubah menjadi Fixed.

    Perbaikan otomatis

    Prosedur

    1. Pada halaman Vulnerabilities, klik Vulnerability Auto-remediation Settings di pojok kanan atas, lalu aktifkan Automatic Vulnerability Remediation.

    2. Konfigurasikan kebijakan perbaikan otomatis kerentanan

      • Vulnerability Auto-Fix Schedule

        Penting

        Memperbaiki kerentanan membawa risiko tertentu. Lakukan perbaikan pada jam sepi untuk meminimalkan dampak terhadap bisnis.

        • Task Type: Anda dapat memilih One-time (hanya dijalankan sekali) atau Cycle (dijalankan secara berkala).

        • Execution Date : Parameter ini wajib diisi hanya jika Task Type diatur ke One-time.

        • Execution Cycle: Parameter ini wajib diisi hanya jika Task Type diatur ke Cycle. Anda dapat memilih Every Day atau Every Week.

        • Execution Time: Parameter ini wajib diisi hanya jika Task Type diatur ke Cycle.

      • Vulnerability Fix Configuration

        • Vulnerability Level: Filter kerentanan yang perlu diremediasi berdasarkan Vulnerability Level.

        • Select Manually: Filter kerentanan yang akan diperbaiki berdasarkan Vulnerability yang dipilih.

      • Snapshot Configuration

        Peringatan

        Jika Anda mengaktifkan sakelar snapshot, biaya snapshot tambahan akan dikenakan saat tugas perbaikan kerentanan dijalankan. Membuat dan menyimpan snapshot dikenai biaya, yang dibebankan oleh produk snapshot. Mode bayar sesuai penggunaan (post-paid) digunakan secara default.

        • Snapshot Configuration: Jika Anda mengaktifkan sakelar ini, sistem akan membuat cadangan snapshot saat tugas perbaikan dijalankan. Hal ini memastikan bahwa jika terjadi masalah, Anda dapat menggunakan snapshot untuk melakukan rollback sistem dan memulihkan layanan secara cepat.

        • Snapshot Name: Tetapkan nama yang mudah dikenali, misalnya, snapshot perbaikan kerentanan.

        • Storage Period: Tetapkan durasi penyimpanan untuk snapshot.

    3. Konfigurasikan Auto-Repair Asset

      • All Assets: Memperbaiki semua aset yang memiliki kerentanan yang dapat diperbaiki.

        Penting

        Perbaikan mengonsumsi kuota perbaikan kerentanan. Untuk menghindari pemborosan, pilih opsi ini dengan hati-hati.

      • By Asset: Tentukan aset tempat tugas perbaikan otomatis dapat dijalankan.

    4. Setelah konfigurasi selesai, klik Save.

    Lihat tugas perbaikan otomatis

    Sistem secara berkala mengambil kerentanan server dan melakukan operasi perbaikan berdasarkan siklus tugas perbaikan otomatis yang dikonfigurasi. Anda dapat memperoleh hasil eksekusi sebagai berikut:

    1. Pada halaman Vulnerabilities, klik Task Management di pojok kanan atas.

    2. Pada tab Auto Repair Task, Anda dapat melihat statistik eksekusi tugas perbaikan.

      Catatan

      Satu catatan dihasilkan setiap kali tugas berkala dijalankan.

      • Status: Status eksekusi tugas.

      • Progress: Progres eksekusi tugas.

      • Vulnerability Statistics: Jumlah perbaikan yang berhasil dan gagal.

      • Host Statistics: Jumlah host yang terdampak.

    3. Anda dapat mengklik Details di kolom Actions tugas target untuk melihat detail eksekusi kerentanan.

    4. Anda dapat mengklik ikon image sebelum kolom Target Server untuk memperluas detail semua kerentanan yang telah diperbaiki, seperti CVE ID, Handled At, dan Status.

    Perbaikan manual

    1. Dapatkan solusi remediasi

      Pada daftar pengumuman kerentanan di tab yang sesuai, klik nama pengumuman target.

      • Application Vulnerability: Pada tab Vulnerability Details, lihat cakupan yang terdampak dan Fixing Suggestions.

      • Linux Software Vulnerability/Windows System Vulnerability/Web-CMS Vulnerability:

        1. Di area Vulnerability Details, klik Fixing Suggestions di kolom Actions untuk kerentanan tersebut.

        2. Di bagian Solution Suggestions pada Alibaba Cloud Vulnerability Database, lihat rencana remediasi untuk kerentanan tersebut. Ikuti rencana tersebut untuk login ke server dan memperbaiki kerentanan.

    2. Jalankan solusi remediasi

      1. Sebelum melakukan perubahan, buat cadangan snapshot manual untuk server.

        Peringatan

        Memperbaiki kerentanan membawa risiko tertentu. Cadangkan data server Anda sebelum memperbaiki kerentanan. Jika server yang memiliki kerentanan adalah instance ECS Alibaba Cloud, Anda dapat membuat snapshot untuk mencadangkan data. Untuk informasi selengkapnya, lihat Buat snapshot.

      2. Login ke server menggunakan metode seperti SSH atau Remote Desktop.

      3. Jalankan perintah yang sesuai berdasarkan solusi remediasi yang diperoleh, seperti memperbarui paket perangkat lunak atau memodifikasi konfigurasi.

    3. Lihat hasil perbaikan

      Setelah perbaikan manual, status kerentanan tidak langsung diperbarui. Status tersebut perlu dikonfirmasi melalui pemindaian ulang oleh Security Center.

      1. Setelah kerentanan diperbaiki, kembali ke konsol Security Center.

      2. Klik nama pengumuman kerentanan untuk membuka panel detail kerentanan. Di daftar Unhandled Vulnerabilities pada panel, temukan server tempat Anda baru saja memperbaiki kerentanan.

      3. Klik Verify di kolom Actions untuk memeriksa apakah kerentanan telah diperbaiki. Setelah kerentanan diperbaiki, statusnya berubah menjadi Fixed.

        Catatan

        Jika status tidak diperbarui dalam waktu lama, hal ini mungkin disebabkan oleh latensi jaringan atau cache. Anda dapat merefresh halaman nanti untuk memeriksa kembali.

    Langkah 3: Verifikasi hasil dan atasi kegagalan

    Jika status kerentanan adalah Fixing Failed atau verifikasi gagal setelah perbaikan manual, Anda dapat mengatasi masalah tersebut dengan langkah-langkah berikut:

    • Kegagalan perbaikan satu-klik: Biasanya disebabkan oleh lingkungan abnormal untuk skrip perbaikan, seperti file target yang dimodifikasi, ruang disk tidak mencukupi, atau masalah izin. Anda dapat melihat alasan kegagalan di detail tugas, lalu mencoba memperbaikinya secara manual.

      Peringatan

      Setelah perbaikan satu-klik, restart server. Jika perbaikan gagal, kuota perbaikan kerentanan tidak dikonsumsi.

    • Kegagalan verifikasi setelah perbaikan manual:

      1. Konfirmasi operasi perbaikan sudah benar: Periksa apakah perintah atau operasi yang dilakukan di server persis sama dengan saran remediasi.

      2. Konfirmasi versi komponen: Periksa apakah versi perangkat lunak atau komponen terkait telah ditingkatkan ke versi yang disyaratkan oleh solusi remediasi.

      3. Tunggu sinkronisasi pemindaian: Pembaruan status kerentanan bergantung pada hasil pemindaian, sehingga mungkin terjadi penundaan.

    Langkah 4 (Opsional): Rollback perbaikan

    Jika terjadi pengecualian bisnis setelah perbaikan kerentanan dan Anda telah membuat snapshot sebelumnya, Anda dapat melakukan rollback di konsol. Langkah-langkahnya sebagai berikut:

    1. Pada halaman Vulnerabilities, klik angka di bawah Total Handled Vulnerabilities.

    2. Di panel Total Handled Vulnerabilities, untuk Status, pilih Fixed, lalu klik Roll Back di kolom Actions pengumuman kerentanan target.

    3. Pilih snapshot yang ingin Anda rollback, lalu klik OK.

    Tunda perbaikan (Ignore/Add to Whitelist)

    Jika Anda memastikan bahwa suatu kerentanan tidak perlu diperbaiki, Anda dapat memilih untuk mengabaikannya atau menambahkannya ke daftar putih guna menghindari peringatan berulang.

    • Add to Whitelist: Operasi ini menekan peringatan untuk jenis kerentanan tertentu dalam cakupan yang dikonfigurasi (cakupan default adalah semua Aset). Hal ini dapat menyebabkan risiko keamanan terkait terlewatkan. Harap gunakan dengan hati-hati.

    • Ignore: Operasi Ignore hanya berlaku untuk proses saat ini. Jika aplikasi di-restart atau proses baru dimulai, kerentanan tersebut mungkin terdeteksi kembali.

    Fitur

    Ignore

    Add to Whitelist

    Cakupan

    Berlaku untuk instans kerentanan tunggal pada aset tunggal.

    • Berlaku untuk kelas kerentanan (misalnya, CVE ID).

    • Cakupan default adalah All Assets, dan Anda dapat mengubah cakupan yang berlaku berdasarkan Hosts atau By Asset Group.

    Persistensi

    Sementara. Peringatan mungkin muncul kembali setelah proses di-restart.

    Bertahan hingga aturan daftar putih dihapus secara manual.

    Kasus penggunaan

    • Anda telah memastikan bahwa kerentanan tertentu bukan merupakan risiko.

    • Anda sementara menerima risiko tersebut dan akan menanganinya nanti.

    • Anda telah memastikan bahwa kelas kerentanan tersebut merupakan positif palsu.

    • Anda menerima risiko kelas kerentanan tersebut karena alasan bisnis dan tidak berencana memperbaikinya.

    Ignore

    Prosedur

    1. Pada halaman Vulnerabilities, pada tab kerentanan seperti Linux Software Vulnerability, temukan pengumuman kerentanan target.

    2. Klik nama pengumuman untuk menuju halaman detail pengumuman kerentanan. Di bagian Unhandled Vulnerabilities, pilih satu atau beberapa server tempat kerentanan akan diabaikan.

    3. Klik Ignore di bawah daftar, masukkan keterangan, lalu klik OK.

      Catatan

      Anda juga dapat mengklik Ignore di bawah image di kolom Actions untuk kerentanan individual.

    Lihat dan batalkan pengabaian

    1. Kembali ke halaman Vulnerabilities dan klik angka di bawah Total Handled Vulnerabilities.

    2. Di panel Total Handled Vulnerabilities, atur Status ke Ignored untuk melihat daftar semua kerentanan yang diabaikan.

    3. Klik Cancel Ignore di kolom Actions bulletin kerentanan target.

    image.png

    Add to Whitelist

    Prosedur

    • Metode 1:

      1. Pada halaman Vulnerabilities, pada tab kerentanan seperti Linux Software Vulnerability, pilih satu atau beberapa pengumuman kerentanan untuk diproses.

      2. Klik Add to Whitelist di pojok kiri bawah daftar.

        Penting

        Metode ini berlaku untuk All Assets secara default.

    • Metode 2:

      1. Pada halaman Vulnerabilities, klik Vulnerability Settings di pojok kanan atas.

      2. Pada tab Vulnerability Whitelist Settings, klik Create Rule.

      3. Setelah mengonfigurasi pengaturan seperti dijelaskan di bawah, klik OK.

        1. Select Vulnerability: Pilih satu atau beberapa pengumuman kerentanan untuk ditambahkan ke daftar putih.

        2. Applied Assets: Tetapkan cakupan efektif daftar putih. Jika Anda memilih Asset Group atau Hosts, Anda harus memilih data target yang sesuai.

    Lihat dan kelola daftar putih

    1. Pada halaman Vulnerabilities, klik Vulnerability Settings di pojok kanan atas.

    2. Pada tab Vulnerability Whitelist Settings, Anda dapat melihat daftar putih yang diatur untuk semua saluran.

    3. Ubah/Hapus: Klik Delete/Edit di kolom Actions daftar putih.

      1. Delete: Setelah Anda menghapus kerentanan, kerentanan tersebut akan terdeteksi kembali.

      2. Edit: Anda hanya dapat mengubah Applied Assets (cakupan daftar putih) dan catatan.

    Penagihan

    Menggunakan fitur perbaikan kerentanan mungkin melibatkan biaya berikut:

    • Layanan perbaikan kerentanan (pay-as-you-go): Aktifkan layanan ini untuk menggunakan fitur perbaikan satu-klik. Layanan ini ditagih sebesar USD 0,3/kali per hari. Aturan perhitungan jumlah perbaikan kerentanan adalah sebagai berikut:

      • Unit minimum: Berhasil memperbaiki satu Pengumuman Keamanan pada satu server dihitung sebagai satu perbaikan.

        Penting

        Satu Pengumuman Keamanan mungkin berisi beberapa CVE terkait. Memperbaiki pengumuman tersebut dihitung hanya sebagai 1 perbaikan, terlepas dari berapa banyak CVE yang tercakup.

      • Jumlah perbaikan kerentanan = Σ (Jumlah Pengumuman Keamanan dengan status "Fixed" pada setiap server)

        Penting

        Perbaikan dihitung hanya setelah server di-restart dan statusnya berubah menjadi "Fixed". Perbaikan yang gagal tidak dihitung.

      • Contoh:

        Jika Anda menggunakan Security Center untuk berhasil memperbaiki 10 Pengumuman Keamanan berbeda pada masing-masing 5 server:

        Total perbaikan kerentanan = 5 server × 10 Pengumuman Keamanan = 50 perbaikan

    • Biaya cadangan snapshot: Saat melakukan perbaikan satu-klik, kami menyarankan Anda memilih Automatically Create Snapshot and Fix Risk. Operasi ini membuat cadangan snapshot disk server sehingga Anda dapat segera melakukan rollback jika terjadi masalah tak terduga selama perbaikan. Membuat dan menyimpan snapshot dikenai biaya, yang dibebankan oleh layanan Snapshot ECS. Misalnya, membuat snapshot untuk disk sistem 40 GB dan menyimpannya selama satu hari membutuhkan biaya sekitar CNY 0,15.

    Mulai beroperasi

    Prosedur perbaikan kerentanan yang direkomendasikan

    1. Sebelum perbaikan

      • Konfirmasi aset: Verifikasi aset server dan pastikan versi perangkat lunak terkait kerentanan benar-benar ada.

      • Penilaian risiko: Nilai dampak terhadap bisnis dan tentukan urgensi serta kebutuhan perbaikan. Tidak semua kerentanan perlu diperbaiki segera.

      • Pengujian menyeluruh: Terapkan patch di lingkungan staging, verifikasi sepenuhnya kompatibilitas dan keamanannya, serta hasilkan laporan pengujian terperinci.

      • Cadangan data: Lakukan pencadangan penuh server, seperti membuat snapshot ECS, untuk memastikan rollback cepat dimungkinkan setelah kesalahan operasional.

      • Pilih waktu yang tepat: Lakukan operasi pada jam sepi untuk meminimalkan dampak terhadap bisnis Anda.

    2. Saat perbaikan

      • Operasi dua orang: Minimal dua personel profesional harus hadir. Satu orang melakukan operasi, dan yang lain meninjau serta mencatatnya untuk mencegah kesalahan.

      • Perbaiki satu per satu: Ikuti ketat daftar kerentanan dan rencana remediasi yang telah ditentukan, serta perbaiki satu per satu.

    3. Setelah perbaikan

      • Verifikasi hasil: Pastikan kerentanan telah berhasil diperbaiki dan fungsi sistem serta aplikasi bisnis berjalan normal.

      • Arsip dokumen: Buat dan arsipkan laporan akhir perbaikan kerentanan, mencatat proses operasi lengkap.

    Langkah-langkah utama pencegahan risiko

    • Buat rencana terperinci: Anda harus menyusun rencana remediasi yang layak, telah didemonstrasikan dan diuji, serta mengikuti langkah-langkahnya secara ketat.

    • Uji di lingkungan simulasi: Bangun lingkungan uji simulasi yang identik dengan lingkungan produksi (sistem, aplikasi, data) untuk memverifikasi sepenuhnya rencana remediasi.

    • Cadangan sistem lengkap: Pilih opsi Automatically Create Snapshot and Fix Risk untuk melakukan pencadangan sistem penuh (sistem, aplikasi, dan data) serta verifikasi kemampuan pemulihannya guna memastikan Anda dapat segera memulihkan layanan jika terjadi anomali.

    FAQ

    Batasan dan prinsip perbaikan

    • Mengapa tombol Fix berwarna abu-abu saat saya mencoba memperbaiki kerentanan?

      • Batasan edisi produk

        • Edisi terlalu rendah: Edisi Gratis dan Anti-virus tidak mendukung perbaikan satu-klik.

        • Solusi: Beli layanan tambahan "Vulnerability Fixing", atau tingkatkan ke Edisi Enterprise atau Ultimate.

      • Masalah server

        Linux

        • Sistem operasi tidak lagi didukung: Vendor tidak lagi menyediakan patch. Anda perlu memperbarui versi sistem operasi secara manual. Saat ini, kerentanan pada sistem operasi berikut perlu diperbaiki dengan memperbarui OS.

          • Red Hat 5, Red Hat 6, Red Hat 7, Red Hat 8

          • CentOS 5

          • Ubuntu 12

          • Debian 8, 9, 10

        • Ruang disk tidak mencukupi: Ruang kosong kurang dari 3 GB. Bersihkan atau perluas disk.

        • Proses sedang sibuk: Proses apt atau yum sedang berjalan. Tunggu hingga selesai lalu coba lagi, atau hentikan proses tersebut secara manual.

        • Izin tidak mencukupi: Pengguna yang menjalankan perintah perbaikan tidak memiliki izin yang cukup. Pastikan pemilik file adalah pengguna root dan atur izin yang wajar, seperti 755.

        Windows

        • Ruang disk tidak mencukupi: Ruang kosong kurang dari 500 MB. Bersihkan atau perluas disk.

        • Layanan Windows Update tidak normal: Layanan dinonaktifkan atau sedang berjalan.

          • Dinonaktifkan: Buka manajer layanan sistem server, aktifkan Windows Update Service, lalu coba perbaiki kerentanan lagi.

          • Sedang berjalan: Jika sedang berjalan, tunggu hingga selesai atau hentikan proses Wusa secara manual di server, lalu coba perbaiki kerentanan lagi.

    • Apa perbedaan antara kerentanan aplikasi dan kerentanan sistem? Mengapa perbaikan satu-klik tidak mendukung kerentanan aplikasi?

      • Kerentanan sistem, seperti kerentanan perangkat lunak Linux dan kerentanan sistem Windows, adalah kerentanan pada sistem operasi atau komponennya. Jalur remediasinya distandardisasi, sehingga didukung perbaikan satu-klik.

      • Kerentanan aplikasi ada pada aplikasi yang dideploy sendiri, seperti kode website atau perangkat lunak pihak ketiga. Metode remediasinya terkait erat dengan logika bisnis dan implementasi kode. Kerentanan ini tidak dapat diperbaiki secara otomatis tanpa memahami bisnis, sehingga perlu ditangani secara manual.

    • Mengapa ada begitu banyak kerentanan di server saya?

      Kerentanan terus ditemukan pada versi perangkat lunak lama karena metode serangan baru selalu muncul. Oleh karena itu, pemindaian dan penerapan patch secara rutin merupakan tugas keamanan berkelanjutan. Anda dapat mengaktifkan sakelar Show Only Exploitable Vulnerabilities untuk fokus pada risiko kritis.

    Operasi perbaikan

    • Apa yang harus saya lakukan jika muncul pesan "Permission acquisition failed, please check permissions and retry" saat menjalankan perintah perbaikan?

      • Penyebab: Pengguna yang memiliki file yang diperlukan untuk operasi perbaikan bukan root, sehingga izin tidak mencukupi.

      • Solusi:

        1. Temukan file tersebut:

          Di Security Center, lihat detail kerentanan untuk mengonfirmasi file spesifik dan jalurnya yang perlu diperbaiki.

        2. Ubah izin:

          Login ke server dan jalankan perintah berikut untuk mengubah pemilik file menjadi root.

        3. Coba perbaikan lagi:

          Kembali ke konsol Security Center dan lakukan operasi perbaikan pada kerentanan tersebut lagi.

    • Saat memperbaiki kerentanan secara batch, dalam urutan apa kerentanan tersebut diperbaiki?

      Kerentanan perangkat lunak Linux dan kerentanan Web-CMS diperbaiki secara batch sesuai urutan kemunculannya di daftar kerentanan di konsol. Memperbaiki beberapa kerentanan sistem Windows memerlukan pemasangan patch prasyarat terlebih dahulu. Saat memperbaiki kerentanan sistem Windows secara batch, jenis kerentanan ini diperbaiki terlebih dahulu. Kerentanan yang tersisa diperbaiki sesuai urutan kemunculannya di daftar kerentanan di konsol.

    • Mengapa restart tidak efektif setelah memperbaiki kerentanan patch kernel Ubuntu?

      • Gejala: Setelah menggunakan perbaikan satu-klik di Security Center untuk kerentanan kernel pada server Ubuntu, meskipun muncul pesan "Fixed, pending restart", peringatan kerentanan tetap ada setelah server di-restart. Sistem belum mengaktifkan kernel yang baru diinstal.

      • Penyebab: Hal ini biasanya karena urutan boot default menu GRUB telah dimodifikasi secara manual sebelumnya. Dalam kasus ini, skrip perbaikan sistem tidak dapat secara otomatis mengatur kernel yang baru diinstal sebagai item boot default.

      • Solusi:

        Solusi 1: Konfigurasi otomatis kernel baru

        Solusi ini mengabaikan konfigurasi GRUB kustom asli dan membiarkan sistem menerapkan pengaturan default secara otomatis untuk kernel baru.

        Prosedur:

        1. Sebelum menjalankan perbaikan kerentanan, login ke server Ubuntu Anda.

        2. Jalankan perintah berikut untuk mengatur variabel lingkungan:

          <BASH>

export DEBIAN_FRONTEND=noninteractive

        3. Kembali ke konsol Security Center dan lakukan perbaikan satu-klik pada kerentanan tersebut.

        4. Setelah perbaikan selesai, restart server seperti yang diminta. Sistem akan secara otomatis mengaktifkan kernel terbaru.

        Solusi 2: Ubah urutan boot secara manual

        Untuk mempertahankan konfigurasi GRUB asli, Anda dapat memilih solusi ini.

        Prosedur:

        1. Di konsol Security Center, lakukan perbaikan satu-klik secara normal dan restart server seperti yang diminta.

        2. Setelah perbaikan dan restart, login ke server Ubuntu Anda.

        3. Ubah urutan boot GRUB secara manual untuk mengatur versi kernel yang baru diinstal sebagai item boot default.

          Catatan

          Operasi spesifik biasanya melibatkan modifikasi file /etc/default/grub dan menjalankan perintah update-grub. Untuk operasi terkait, lihat Ubah urutan boot kernel untuk ECS Linux CentOS.

        4. Restart server lagi agar urutan boot baru berlaku.

    • Apakah saya perlu merestart sistem setelah memperbaiki kerentanan?

      • Windows: Diperlukan restart.

      • Linux Software Vulnerability: Restart diperlukan jika salah satu kondisi berikut terpenuhi:

        • Kerentanan kernel telah diperbaiki.

        • Pada tab Linux Software Vulnerability halaman Risk Governance > Vulnerabilities di konsol Security Center, pengumuman kerentanan memiliki tag Restart Required.

          需要重启的Linux内核漏洞

    • Mengapa operasi rollback kerentanan gagal?

      Saat operasi rollback kerentanan gagal, Anda dapat mengatasi masalah tersebut melalui jalur berikut:

      1. Periksa status client (Agent)

        Operasi rollback bergantung pada Agent Security Center yang online. Jika Agent offline, perintah tidak dapat dikirimkan. Anda perlu mengatasi dan menyelesaikan masalah offline tersebut terlebih dahulu.

      2. Konfirmasi snapshot cadangan valid

        Fitur rollback berbasis snapshot cadangan yang dibuat sebelum perbaikan. Jika snapshot telah kedaluwarsa atau dihapus secara manual, rollback tidak dapat dilakukan.

    • Mengapa pembuatan snapshot gagal saat memperbaiki kerentanan?

      Membuat snapshot saat memperbaiki kerentanan mungkin gagal karena alasan berikut:

      • Operasi saat ini dilakukan oleh pengguna RAM: Jika Anda saat ini menggunakan pengguna RAM dan pengguna tersebut tidak memiliki izin untuk membuat snapshot, konsol akan memberi tahu bahwa pembuatan snapshot gagal. Kami menyarankan Anda menggunakan Akun Alibaba Cloud untuk operasi tersebut. Untuk informasi selengkapnya tentang pengguna RAM, lihat Ikhtisar pengguna RAM.

      • Server bukan server Alibaba Cloud: Server non-Alibaba Cloud tidak mendukung pembuatan snapshot untuk memperbaiki kerentanan.

    Status pasca-perbaikan dan verifikasi

    • Kerentanan telah diperbaiki, tetapi Security Center masih melaporkannya. Apa yang harus saya lakukan?

      • Penyebab umum: Hal ini terjadi karena beberapa kerentanan, yaitu kerentanan kernel Linux, memerlukan restart server setelah diperbaiki.

      • Solusi: Pada halaman detail kerentanan, klik Restart. Setelah restart selesai, klik Verify. Jika muncul 'Repaired', kerentanan berhasil diperbaiki.

    • Host belum menginstal patch yang sesuai. Mengapa menunjukkan bahwa kerentanan Windows berhasil diperbaiki?

      Ini adalah fenomena normal yang disebabkan oleh mekanisme pembaruan Windows. Anda hanya perlu memastikan bahwa pembaruan kumulatif terbaru telah diinstal untuk memperbaiki semua kerentanan historis yang dikandungnya. Anda tidak perlu menginstal patch lama satu per satu.

      Catatan

      Anda dapat mengunjungi situs web resmi patch Microsoft, mencari patch terbaru yang diinstal (biasanya diidentifikasi dengan nomor KB-nya), dan memeriksa "Package Details"-nya untuk mengonfirmasi apakah telah mencakup kerentanan lama yang Anda khawatirkan.

      • Alasan utama: Mekanisme pembaruan kumulatif Windows

        Pembaruan keamanan Windows menggunakan model "kumulatif". Artinya, patch keamanan bulanan terbaru adalah paket koleksi yang secara default mencakup semua perbaikan keamanan dari bulan-bulan sebelumnya hingga tanggal rilis.

      • Logika penilaian: Saat Security Center mendeteksi bahwa sistem telah menginstal pembaruan kumulatif terbaru, sistem menandai semua kerentanan lama yang dicakupnya sebagai "Fixed". Oleh karena itu, Anda tidak perlu menginstal patch terpisah untuk setiap kerentanan historis.

    • Setelah memperbaiki kerentanan, mengapa masih menunjukkan "Not fixed" di konsol?

      Kemungkinan alasannya sebagai berikut:

      1. Penundaan verifikasi: Setelah perbaikan manual, Anda perlu mengklik tombol Verify untuk memicu pemindaian instan. Pembaruan status memerlukan beberapa menit.

      2. Masalah cache: Halaman konsol mungkin memiliki cache. Coba refresh paksa halaman atau tunggu beberapa menit.

      3. Perbaikan tidak lengkap: Operasi perbaikan mungkin belum sepenuhnya berhasil, atau mungkin ada beberapa jalur kerentanan dan hanya satu yang diperbaiki. Silakan periksa kembali langkah-langkah perbaikan.

    • Fixed and Pending Restarted: Apakah Security Center dapat memverifikasi secara otomatis?

      Tidak. Anda perlu merestart server dari konsol Security Center atau merestart server secara manual. Setelah restart selesai, klik Verify untuk mengonfirmasi apakah kerentanan telah berhasil diperbaiki.

      Penting

      Jika Anda tidak memverifikasi secara aktif, Security Center akan memeriksa secara otomatis selama pemindaian berkala berikutnya. Setelah sistem tidak mendeteksi kerentanan pada pemindaian pertama, informasi kerentanan akan disimpan selama 3 hari (untuk mencegah kesalahan penilaian akibat jaringan atau alasan lain). Jika tidak terdeteksi selama 3 hari berturut-turut, sistem akan menghapus catatan kerentanan tersebut.

    • Mengapa tidak ada respons saat saya memverifikasi secara manual setelah memperbaiki kerentanan?

      Setelah memperbaiki kerentanan secara manual di server, jika fungsi "Verify" di konsol Security Center tidak dapat memperbarui status kerentanan menjadi "Fixed", biasanya disebabkan oleh dua alasan berikut:

      • Konfigurasi tingkat pemindaian kerentanan tidak lengkap

        • Alasan: Security Center hanya memindai dan memperbarui tingkat risiko yang dipilih di Vulnerability Settings. Jika tingkat risiko kerentanan target (misalnya, penting atau menengah) tidak dipilih, sistem tidak akan memperbarui status kerentanan pada tingkat tersebut.

        • Solusi: Verifikasi bahwa tingkat pemindaian di Vulnerability Settings mencakup tingkat risiko kerentanan target.

      • Client Security Center (Agent) offline

        • Penyebab: Fungsi "Verify" bergantung pada komunikasi real-time antara konsol dan client di server. Jika client offline, konsol tidak dapat mengirimkan perintah verifikasi atau menerima hasilnya.

        • Solusi: Atasi dan selesaikan masalah offline client tersebut. Setelah kembali online, lakukan operasi verifikasi lagi.

    Lampiran: Deskripsi parameter halaman detail kerentanan

    Detail kerentanan

    Deskripsi

    CVE ID

    ID CVE suatu kerentanan. Sistem Common Vulnerabilities and Exposures (CVE) menyediakan metode referensi untuk informasi keamanan kerentanan dan eksposur yang diketahui publik. Anda dapat menggunakan ID CVE, seperti CVE-2018-1123, untuk mencari informasi terkait perbaikan kerentanan di database yang kompatibel dengan CVE. Hal ini membantu Anda menyelesaikan masalah keamanan.

    Impact Score

    Skor Common Vulnerability Scoring System (CVSS) suatu kerentanan. Skor CVSS mengikuti standar industri yang diterima secara luas dan dihitung menggunakan formula yang bergantung pada beberapa atribut kerentanan. Skor ini digunakan untuk mengkuantifikasi tingkat keparahan kerentanan. Anda dapat menggunakan skor ini untuk menentukan urgensi dan pentingnya memperbaiki kerentanan.

    Daftar berikut menjelaskan skala penilaian tingkat keparahan dalam sistem penilaian CVSS:

    • 0: None

    • 0,1 hingga 3,9: Rendah

      • Kerentanan yang dapat menyebabkan serangan denial-of-service (DoS) lokal.

      • Kerentanan lain dengan dampak rendah.

    • 4,0 hingga 6,9: Menengah

      • Kerentanan yang memerlukan interaksi pengguna untuk memengaruhi pengguna.

      • Kerentanan yang dapat menyebabkan peningkatan hak istimewa normal.

      • Kerentanan yang dapat dieksploitasi lebih lanjut setelah perubahan konfigurasi lokal atau pengumpulan informasi.

    • 7,0 hingga 8,9: Tinggi

      • Kerentanan yang dapat digunakan untuk mendapatkan izin normal secara tidak langsung pada server dan sistem aplikasi.

      • Kerentanan yang dapat menyebabkan pembacaan, pengunduhan, penulisan, atau penghapusan file arbitrer.

      • Kerentanan yang dapat menyebabkan kebocoran informasi sensitif.

      • Kerentanan yang dapat secara langsung menyebabkan gangguan bisnis atau serangan DoS jarak jauh.

    • 9,0 hingga 10,0: Kritis

      • Kerentanan yang dapat digunakan untuk langsung mendapatkan izin sistem server.

      • Kerentanan yang dapat digunakan untuk langsung mendapatkan informasi sensitif penting, menyebabkan kebocoran data.

      • Kerentanan yang dapat langsung menyebabkan akses tidak sah ke informasi sensitif.

      • Kerentanan lain yang dapat berdampak luas.

    Affected Assets

    Informasi tentang aset server yang memiliki kerentanan, termasuk alamat IP publik atau pribadi aset tersebut.

    Severity

    Tingkat keparahan kerentanan dihitung berdasarkan skor CVSS, pentingnya aset, dan faktor lainnya. Termasuk:

    • Tingkat urgensi High: Kerentanan berisiko tinggi. Anda harus segera memperbaikinya.

    • Urgensi Medium: Kerentanan berisiko menengah. Anda dapat memperbaikinya segera atau menunda perbaikan berdasarkan kebutuhan bisnis Anda.

    • Tingkat keparahan Low: Kerentanan berisiko rendah. Anda dapat memperbaikinya segera atau memilih untuk tidak memperbaikinya berdasarkan kebutuhan bisnis Anda.

    Details

    Buka halaman Vulnerabilities dan klik nama kerentanan target di kolom Vulnerability. Pada tab Unhandled Vulnerabilities, klik Details di kolom Actions kerentanan untuk melihat informasi seperti aset terdampak, perintah remediasi, dan deskripsi dampak.

    • Fixing Command: Anda dapat menjalankan perintah ini untuk memperbaiki kerentanan yang sesuai.

      Catatan

      Edisi Gratis tidak mendukung melihat informasi ini.

    • Impact Description:

      • Software: Versi perangkat lunak di server yang memiliki kerentanan, sebagaimana terdeteksi oleh Security Center. Gambar berikut adalah contoh yang menunjukkan bahwa versi mariadb-libs di server adalah 5.5.52-1.el7.

      • Hit: Alasan mengapa kerentanan terdeteksi, biasanya karena versi perangkat lunak saat ini lebih lama dari versi tertentu. Misalnya, pada gambar di bawah, kerentanan terdeteksi karena versi mariadb-libs lebih lama dari 5.5.56-2.el7.

      • Path: Jalur ke program yang rentan di server Anda, sebagaimana terdeteksi oleh Security Center. Pada contoh di bawah, jalur mariadb-libs adalah /etc/ld.so.conf.d/mariadb-x86_64.con.

    • Caution (Read Before Further Operations): Peringatan risiko untuk kerentanan, saran remediasi tambahan, dan referensi.

      image

    ,