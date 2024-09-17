Diperbarui 24 September 2024
Pada bulan Februari, jumlah kerentanan yang diproses dan diperkaya oleh Database Kerentanan Nasional (NVD) Institut Standar dan Teknologi Nasional (NIST) mulai menurun. Pada bulan Mei, 93,4% kerentanan baru dan 50,8% kerentanan yang dieksploitasi masih menunggu analisis, menurut riset dari VulnCheck.
Tiga bulan kemudian, masalahnya tetap ada. Meskipun NIST memiliki rencana untuk kembali melanjutkan pekerjaannya, analisis saat ini mengenai kondisi Kerentanan dan Paparan Umum (CVE) saat ini tidak sejalan dengan deteksi kerentanan baru. Berikut adalah apa yang ada di balik backlog, mengapa CVE mungkin tidak lagi menjadi Target Utama pertahanan TI, dan bagaimana tim keamanan dapat tetap mengantisipasi upaya penyerang.
Pemotongan anggaran turut berkontribusi terhadap masalah analisis CVE. Seperti yang dicatat oleh Security Magazine, pendanaan NIST dipotong sebesar 12% tahun ini, sehingga makin sulit bagi badan tersebut untuk memperkaya CVE. Dalam praktiknya, NVD secara efektif merupakan konsumen hilir data CVE—meskipun jumlah CVE yang ditemukan dan dilaporkan tetap stabil, kemampuan NIST untuk menilai dan memperkaya kerentanan ini telah berkurang secara signifikan.
Banyaknya kerentanan yang dilaporkan juga menimbulkan masalah dalam upaya analisis; riset Flashpoint menemukan bahwa NIST melaporkan 33.137 kerentanan pada tahun 2023. Peningkatan jumlah ini sebagian juga terkait dengan peningkatan kemampuan deteksi. Ketika perusahaan memperluas upaya keamanan dengan teknologi berbasis cloud dan alat yang didukung AI, mereka lebih mampu menentukan potensi ancaman. Akibatnya, angka yang lebih besar tidak selalu menunjukkan peningkatan risiko, tetapi menunjukkan makin banyaknya potensi jalur serangan.
NIST memang memiliki rencana untuk menghapus backlog. Menurut USASpending.Gov, pemerintah telah memberikan kontrak 860.000 USD kepada Analygence untuk analisis keamanan siber dan dukungan email. Upaya analisis dijadwalkan dimulai 3 Juni, dan NIST berharap dapat kembali melanjutkan tugasnya pada September 2024. Meskipun kontrak dijadwalkan berakhir pada Desember 2024, agensi memiliki opsi untuk memperpanjang layanan hingga Juli 2025.
Kekhawatiran seputar backlog NVD dapat dimengerti. Makin lama NIST menganalisis CVE dan menyarankan penanggulangan yang efektif, makin besar risikonya bagi perusahaan.
Namun, seperti yang dicatat oleh Cybersecurity Dive, lingkungan keamanan siber sedang berubah. Selama konferensi virtual Keamanan dan Manajemen Risiko Gartner, analis utama Mitchell Schneider mencatat bahwa meskipun jumlah total kerentanan terus meningkat, jumlah CVE penting tidak melampaui jumlah kerentanan dengan tingkat keparahan tinggi, sedang, dan rendah.
Terlebih lagi, penyerang tidak menggunakan tingkat keparahan CVE sebagai kriteria pembobolan. “Tidak ada korelasi yang melekat antara kerentanan dan apakah aktor ancaman mengeksploitasinya berdasarkan peringkat keparahan tersebut,” kata Schneider. Sebaliknya, penyerang memprioritaskan kerentanan yang paling dapat dieksploitasi, yang seringkali termasuk dalam tingkat keparahan sedang atau rendah.
Dalam praktiknya, hal ini menciptakan skenario yang terlalu berfokus pada detail kecil dan mengabaikan gambaran lengkapnya: Jika perusahaan terlalu fokus pada CVE penting, mereka dapat melewatkan exploit dengan tingkat kerumitan sedang, yang memungkinkan penyerang mendapatkan akses jaringan dan kemudian berpindah secara lateral ke sistem yang lebih penting.
Akibatnya? Meskipun database kerentanan umum tetap menjadi bagian penting dari keamanan yang efektif, ini bukan solusi yang ajaib. Taktik ancaman siber berubah, dan tim keamanan harus siap untuk berubah untuk meresponsnya.
Jadi seperti apa cara kerja perubahan ini?
Empat pertimbangan dapat membantu perusahaan membangun pertahanan yang lebih baik dalam kondisi penambahan NVD yang tertunda.
Dengan diversifikasi metode dan pola serangan, bisnis perlu memprioritaskan visibilitas TI. Pertimbangkan perusahaan yang menggunakan penyimpanan on premises untuk data penting, cloud publik untuk pengujian dan pengembangan, dan cloud pribadi untuk sumber daya aplikasi yang dapat diskalakan.
Dalam lingkungan ancaman baru, serangan dapat datang dari sumber mana pun kapan saja. Jika tidak terdeteksi, penyerang dapat menunggu waktu sambil mengumpulkan data dan menentukan jalur serangan yang ideal. Akibatnya, visibilitas lengkap sangat penting. Makin banyak perusahaan tahu tentang apa yang terjadi di lingkungan mereka, makin siap mereka untuk mendeteksi, mengidentifikasi, dan mengurangi serangan.
Seperti yang dijelaskan oleh Gartner, kemudahan dieksploitasi sekarang menjadi prioritas utama bagi penyerang. Meskipun kerentanan yang lebih parah mungkin menjadi target yang lebih berharga dalam jangka pendek, kelemahan dengan tingkat keparahan menengah atau rendah yang mudah dieksploitasi dapat membuat penyerang berhasil mencapai tujuannya.
Misalnya, aktor jahat dapat mengeksploitasi kerentanan dengan tingkat keparahan sedang di bagian edge dari jaringan bisnis. Dalam kasus tersebut, mereka mungkin dapat membuat dan memelihara backdoor yang menyediakan akses permanen ke sistem perusahaan. Dari sana, mereka dapat melakukan pengintaian dan menunggu sampai tim keamanan fokus pada kerentanan lainnya.
Dengan menargetkan kerentanan yang paling mudah dieksploitasi daripada kerentanan yang paling parah, tim keamanan dapat mengurangi peluang keberhasilan serangan.
Keamanan bukan lagi beban eksklusif tim TI. Tim operasi, keuangan, pemasaran, penjualan, dan layanan pelanggan semuanya memiliki peran untuk menjaga keamanan perusahaan. Meskipun tanggung jawab utama untuk keamanan tetap diemban oleh profesional teknologi, berbagi beban antar tim dapat meningkatkan tingkat deteksi dan mengurangi waktu antara identifikasi dan tindakan.
Dengan backlog NVD, tim keamanan harus menemukan dan memanfaatkan sumber daya alternatif. Potensi sumber keamanan meliputi:
NIST berharap dapat menghilangkan backlog NVD pada September 2024, tetapi tidak ada jaminan bahwa upayanya akan berhasil. Seperti dicatat oleh The Record, Senator Mark Warner (D-VA) dan Thom Tillies (R-NC) telah mengusulkan undang-undang yang akan memulihkan pendanaan untuk NIST dan meningkatkan fokusnya pada risiko baru, seperti ancaman yang diaktifkan AI, tetapi RUU tersebut masih dalam tahap sangat awal.
Dengan kata lain, meskipun badan dan anggota parlemen Federal mengakui dampak penting dari analisis dan pengayaan CVE, perusahaan tidak dapat mengandalkan NVD untuk memberikan data kerentanan terbaru.
Sebaliknya, bisnis lebih baik mengubah pendekatan mereka agar seimbang dengan upaya penyerang yang terus berkembang. Dengan menerapkan alat yang membantu meningkatkan visibilitas dan mengidentifikasi kemudahan eksploitasi, perusahaan dapat memprioritaskan ancaman berisiko tinggi. Sementara itu, dengan berbagi beban keamanan di seluruh departemen dan memperluas penggunaan sumber daya keamanan yang tersedia, perusahaan dapat lebih efektif merespons pergeseran prioritas serangan.
Koreksi: Artikel ini telah diperbarui untuk memperjelas perbedaan antara NVD dan CVE. Program CVE membuat katalog kerentanan yang diungkapkan secara publik melalui Catatan CVE, sedangkan NVD adalah konsumen hilir dari data Program CVE.
