Memahami CVE dan CVSS: Fondasi Utama dalam Manajemen Celah Keamanan Siber

pada tanggal

Analis Siber Purwakarta - Admin. Dunia keamanan siber sering kali dipenuhi dengan istilah teknis yang membingungkan. Namun, bagi pengembang web, administrator sistem, atau praktisi IT, ada dua istilah yang wajib dipahami, yaitu CVE dan CVSS.

Kedua hal tersebut merupakan standar global yang membantu kita mengidentifikasi dan memprioritaskan perbaikan kerentanan pada perangkat lunak yang kita miliki.

Apa itu CVE (Common Vulnerabilities and Exposures) ?

CVE adalah daftar publik berisi kerentanan keamanan siber yang sebelumnya telah ditemukan. CVE merupakan "KTP" atau identitas unik untuk sebuah bug keamanan tertentu. CVE memiliki format dimana setiap celah keamanan diberikan nomor unik dengan format CVE-YYYY-NNNNN, contoh dari penomoran ini, CVE-2021-44228 yang tekenal sebagai Log4Shell.

CVE memiliki tujuan untuk  memberikan standar penamaan yang sama bagi vendor, peneliti keamanan, dan pengguna. Tanpa CVE, satu celah keamanan yang sama bisa memiliki nama berbeda-beda di setiap perusahaan keamanan, yang justru memicu kebingungan.

Apa itu CVSS (Common Vulnerability Scoring System) ?

Jika CVE memberi tahu kita "apa" masalahnya, maka CVSS memberi tahu kita "seberapa parah" masalah tersebut. CVSS adalah sistem penilaian numerik yang menunjukan tingkat kerentanan sebuah celah keamanan.

CVSS terdiri dari rentang skor tertentu. Skor tersebut berkisar dari 0.0 hingga 10.0

  1. Low (0.1-3.9): Resiko rendah, biasanya sulit dieksploitasi
  2. Medium (4.0-6.9): Resiko menengah, membutuhkan perhatian tertentu
  3. High (7.0-8.9) Resiko tinggi, harus segera diperbaiki
  4. Critical (9.0 - 10.0): Sangat kritis, memerlukan tindakan langsung

Skor CVSS tidak asal tebak. Perhitungannya dilakukan menggunakan rumus Base Score yang mempertimbangkan beberapa metrik seperti:

  1. Attack Vector (AV): Apakah celah bisa diakses dari internet atau harus akses fisik?
  2. Attack Complexity (AC): Seberapa sulit eksploitasi tersebut dilakukan?
  3. Privileges Required (PR): Apakah penyerang butuh login admin atau tidak?
  4. Impact terhadap CIA triad: Bagaimana dampaknya terhadap Confidentiality, Integrity, dan Avaliability sebuah data/informasi.

Mengapa CVE dan CVSS perlu untuk diperhatikan?

Mengabaikan CVE dan CVSS sama saja dengan membiarkan pintu rumah terbuka di lingkungan yang rawan. Dengan memantau daftar CVE, anda bisa mengetahui jika plugin atau software yang anda gunakan memiliki celah keamanan atau tidak.


Referensi

Mitre CVE

NIST National Vulnerability Database (NVD)

First Org





Komentar

Posting Komentar