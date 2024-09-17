Kekhawatiran seputar backlog NVD dapat dimengerti. Makin lama NIST menganalisis CVE dan menyarankan penanggulangan yang efektif, makin besar risikonya bagi perusahaan.

Namun, seperti yang dicatat oleh Cybersecurity Dive, lingkungan keamanan siber sedang berubah. Selama konferensi virtual Keamanan dan Manajemen Risiko Gartner, analis utama Mitchell Schneider mencatat bahwa meskipun jumlah total kerentanan terus meningkat, jumlah CVE penting tidak melampaui jumlah kerentanan dengan tingkat keparahan tinggi, sedang, dan rendah.

Terlebih lagi, penyerang tidak menggunakan tingkat keparahan CVE sebagai kriteria pembobolan. “Tidak ada korelasi yang melekat antara kerentanan dan apakah aktor ancaman mengeksploitasinya berdasarkan peringkat keparahan tersebut,” kata Schneider. Sebaliknya, penyerang memprioritaskan kerentanan yang paling dapat dieksploitasi, yang seringkali termasuk dalam tingkat keparahan sedang atau rendah.

Dalam praktiknya, hal ini menciptakan skenario yang terlalu berfokus pada detail kecil dan mengabaikan gambaran lengkapnya: Jika perusahaan terlalu fokus pada CVE penting, mereka dapat melewatkan exploit dengan tingkat kerumitan sedang, yang memungkinkan penyerang mendapatkan akses jaringan dan kemudian berpindah secara lateral ke sistem yang lebih penting.

Akibatnya? Meskipun database kerentanan umum tetap menjadi bagian penting dari keamanan yang efektif, ini bukan solusi yang ajaib. Taktik ancaman siber berubah, dan tim keamanan harus siap untuk berubah untuk meresponsnya.