Apa yang dimaksud dengan Sistem Penilaian Kerentanan Umum (CVSS)?

Common Vulnerability Scoring System (CVSS) adalah kerangka kerja yang digunakan secara luas untuk mengklasifikasikan dan memeringkat kerentanan perangkat lunak.

Melalui kerangka kerja ini, organisasi dapat menghitung skor CVSS, yaitu skor numerik yang mewakili tingkat keparahan kerentanan. Karakteristik kerentanan yang berkontribusi pada skor CVSS diwakili dalam rantai teks yang dikenal sebagai string vektor CVSS.

Ada beberapa versi CVSS sejak 2005. Versi terbaru, CVSS v4.0, dirilis pada tahun 2022. Kelompok nirlaba FIRST.org, Inc., juga dikenal sebagai Forum of Incident Response and Security Teams, mengelola kerangka kerja ini.

CVSS adalah alat penting untuk manajemen kerentanan, yang merupakan penemuan, penentuan prioritas, dan penyelesaian kerentanan keamanan secara terus-menerus dalam perangkat lunak dan infrastruktur TI organisasi. Mengidentifikasi dan mengatasi kesalahan serta kelemahan keamanan siber, seperti kesalahan konfigurasi firewall dan bug yang belum ditambal, sangat penting untuk memastikan perangkat lunak dan infrastruktur TI berfungsi sepenuhnya.

Langkah-langkah resolusi dapat mencakup:

• Remediasi: memastikan kerentanan tidak dapat lagi dieksploitasi.
  
• Mitigasi: membuat kerentanan lebih sulit dieksploitasi, sekaligus mengurangi potensi dampak eksploitasi.
  
• Penerimaan: membiarkan kerentanan tetap ada jika kecil kemungkinannya untuk dieksploitasi atau hanya akan menyebabkan sedikit kerusakan.

Mengingat kompleksitas sistem TI saat ini dan banyaknya kerentanan serta ancaman siber, menentukan masalah mana yang harus diatasi dan diselesaikan terlebih dahulu dapat menjadi tantangan bagi manajer TI.

Di situlah CVSS terbukti berharga: CVSS memberikan pendekatan sistematis bagi manajer TI untuk menilai tingkat keparahan kerentanan, sebagai pertimbangan keputusan dalam memprioritaskan dan merencanakan resolusi kerentanan untuk sistem yang terdampak.¹

Skor CVSS dapat diintegrasikan dalam penilaian risiko, tetapi penilaian CVSS sendiri tidak boleh digunakan sebagai pengganti penilaian risiko yang komprehensif, menurut FIRST.org. Panduan pengguna CVSS menyarankan bahwa penilaian komprehensif harus meliputi faktor-faktor di luar cakupan CVSS.²

CVSS dimulai sebagai proyek penelitian yang dilaksanakan atas permintaan National Infrastructure Advisory Council (NIAC) pada tahun 2003. Pada saat itu, lingkungan untuk penilaian kerentanan perangkat lunak tidak terkoordinasi dengan baik: Vendor keamanan komputer dan kelompok nirlaba menggunakan prosedur dan metrik yang berbeda, sehingga menghasilkan beragam sistem penilaian yang unik dan sering kali eksklusif, serta tidak kompatibel satu sama lain.³ Ketidaksesuaian ini mempersulit kolaborasi di antara tim keamanan di berbagai organisasi.⁴

Peneliti NIAC menciptakan CVSS untuk membuat standar atas penilaian kerentanan. CVSS dirancang sebagai sistem terbuka yang dapat disesuaikan untuk dan diadopsi oleh berbagai sistem dan lingkungan TI.⁵

CVSS v4.0 terdiri dari 4 kelompok metrik.⁶

• Edisi Dasar
• Ancaman
• Lingkungan
• Supplemental (Tambahan)

Kelompok-kelompok metrik ini mewakili beragam karakteristik dan kualitas kerentanan perangkat lunak. Berdasarkan kerangka kerja CVSS v4.0, kelompok-kelompok tersebut dapat dijelaskan sebagai berikut:

Metrik Base (Basis) mewakili kualitas intrinsik kerentanan yang konstan di seluruh lingkungan pengguna dan dari waktu ke waktu. Metrik Base terdiri dari dua rangkaian, metrik Exploitability (Eksploitabilitas) dan Impact (Dampak).

Metrik Exploitability menunjukkan seberapa mudah kerentanan dapat berhasil dieksploitasi. Contoh metrik Exploitability meliputi:

• Mengukur seberapa banyak interaksi pengguna yang dibutuhkan penyerang untuk mengeksploitasi kerentanan
• Apakah penyerang dapat mengakses sistem secara lokal atau jarak jauh (“attack vector” (vektor serangan))
• Tingkat hak istimewa apa yang dibutuhkan penyerang agar berhasil (“privileges required” (hak istimewa yang diperlukan))
• Apakah kondisi tertentu atau pengetahuan lanjutan diperlukan untuk melakukan serangan (“attack complexity” (kompleksitas serangan))

Metrik Impact (Dampak) menunjukkan akibat dari keberhasilan eksploitasi, dampak pada sistem yang rentan (seperti aplikasi perangkat lunak atau sistem operasi), dan dampak hilir pada sistem lain. Contoh metrik Impact meliputi:

• Mengukur hilangnya kerahasiaan, misalnya akses ke informasi terbatas
• Kehilangan integritas, misalnya ketika penyerang memodifikasi data sistem
• Dampak ketersediaan, mengacu pada apakah serangan menurunkan kinerja sistem atau menolak akses sistem ke pengguna yang sah

Metrik Threat (Ancaman) menunjukkan karakteristik kerentanan yang berubah seiring waktu. Exploit Maturity (Kematangan Eksploitasi) adalah metrik utama dalam kategori ini, yang mengukur kemungkinan kerentanan tertentu diserang.

Ketersediaan kode eksploitasi, keadaan teknik eksploitasi, dan contoh serangan di kehidupan nyata menentukan nilai metrik yang ditetapkan untuk metrik Exploit Maturity. Nilai-nilai tersebut meliputi:

• “Attacked” (Diserang) (menandakan bahwa dilaporkan telah terjadi serangan pada kerentanan ini)
• “Proof-of-concept” (Bukti konsep) (menunjukkan bahwa kode eksploitasi tersedia, tetapi belum ada serangan yang diketahui)
• “Unreported” (Tidak dilaporkan) (menunjukkan tidak ada kode eksploitasi bukti konsep yang diketahui atau upaya untuk mengeksploitasi kerentanan)

Jika tidak ada intelijen ancaman yang dapat diandalkan untuk menentukan kematangan eksploitasi, nilai default “not defined” (tidak ditentukan) akan digunakan.

Kelompok metrik Environmental (Lingkungan) menunjukkan karakteristik kerentanan yang unik untuk lingkungan pengguna. Seperti kelompok metrik Base, kelompok Environmental mencakup kerahasiaan, integritas, dan ketersediaan, dan setiap metriknya diberi nilai yang mencerminkan seberapa pentingnya aset yang rentan dalam organisasi. Hal ini berbeda dengan fokus intrinsik metrik Base.

Selain itu, melalui kelompok metrik Environmental, analis dapat mengganti berbagai metrik basis asli dengan metrik basis yang dimodifikasi jika situasi di lingkungan tertentu menunjukkan bahwa nilai yang berbeda diperlukan.

Pertimbangkan skenario di mana konfigurasi default aplikasi memerlukan autentikasi untuk akses, tetapi lingkungan asal aplikasi tidak memerlukan autentikasi untuk administrator. Dalam kasus ini, nilai dasar asli untuk kerentanan “privileges required” dari aplikasi adalah “high” (tinggi), yang berarti hak istimewa tingkat tinggi diperlukan untuk mengaksesnya. Namun, nilai “privileges required” yang dimodifikasi akan menjadi “none” (tidak ada) karena penyerang secara teoretis dapat mengeksploitasi kerentanan dengan menggunakan fungsi administratif.

Kelompok metrik Supplemental memberikan informasi tambahan tentang karakteristik ekstrinsik kerentanan, dengan fokus pada masalah di luar tingkat keparahan teknis. Contoh metrik Supplemental meliputi:

• “Automatable” (Dapat diotomatiskan) (apakah penyerang dapat mengotomatiskan langkah-langkah serangan untuk mencapai beberapa target)
• “Safety” (Keamanan) (potensi bahwa manusia dapat mengalami cedera sebagai akibat dari kerentanan yang dieksploitasi)
• “Recovery” (Pemulihan) (seberapa baik sistem dapat pulih setelah serangan)

Metrik dalam CVSS bervariasi, tergantung versinya. Sebagai contoh, kelompok metrik Supplemental adalah tambahan yang relatif baru pada CVSS. Versi CVSS sebelumnya (CVSS v1, CVSS v2, CVSS v3, dan CVSS v3.1) tidak menyertakan rangkaian metrik ini.

Namun, versi CVSS yang lebih lama memang menyertakan metrik lain, seperti “report confidence” (kepercayaan laporan) dan “remediation level” (tingkat remediasi), yang termasuk dalam kelompok metrik yang disebut metrik Temporal. Kategori metrik Threat pada CVSS v4.0 menggantikan kelompok metrik Temporal yang ada di versi lama.

CVSS v4.0 juga dianggap memiliki lebih banyak detail pada metrik Base, yang memungkinkan pemahaman yang lebih komprehensif tentang kerentanan.

Berbagai jenis skor CVSS menunjukkan berbagai kelompok metrik yang dipertimbangkan dalam mengevaluasi kerentanan:

• CVSS-B mengacu pada skor Base CVSS
• CVSS-BE mengacu pada skor Base dan Environmental
• CVSS-BT mengacu pada skor Base dan Threat CVSS
• CVSS-BTE mengacu pada skor Base, Threat, dan Environmental CVSS⁷

Semua skor berkisar dari 0 hingga 10, dengan 0 sebagai tingkat keparahan terendah dan 10 sebagai skor tingkat keparahan yang paling tinggi. Metrik Supplemental tidak memengaruhi skor CVSS, tetapi mungkin disertakan dalam string vektor CVSS v4.0.

Entitas yang berbeda mungkin memprioritaskan kelompok dan skor metrik yang berbeda pula. Misalnya, vendor perangkat lunak sering kali menentukan skor Base produk mereka, sementara organisasi konsumen mungkin mengandalkan metrik Threat dan Environmental untuk mengindikasikan potensi dampak dari kerentanan di lingkungan mereka.⁸

String vektor CVSS adalah representasi teks yang dapat dibaca mesin dari sekelompok metrik CVSS untuk suatu kerentanan. Singkatan yang berbeda dalam string vektor merujuk padan nilai metrik tertentu, demi membantu menafsirkan konteks skor CVSS kerentanan tersebut.⁹

Misalnya, kerentanan dengan metrik “attack vector” dan nilai “L” (kependekan dari “local” (lokal)) akan mencantumkan “AV:L” pada string vektornya. Jika kerentanan tersebut memerlukan hak istimewa tingkat tinggi untuk penyerang agar dapat berhasil mengeksploitasi, metrik “privileges required” akan memiliki nilai “H” (kependekan dari “high” (tinggi)), dan string vektornya akan mencantumkan “PR:H”.

Dalam string vektor, setiap nilai dipisahkan oleh garis miring (“/”) dan harus dicantumkan dalam urutan yang ditentukan, sebagaimana diatur dalam kerangka kerja CVSS. Beragam nilai dari kelompok metrik Base, Threat, dan Environmental dapat dikombinasikan menjadi 15 juta string vektor yang berbeda.¹⁰

CVSS dapat membantu menilai jenis kerentanan keamanan siber tertentu yang sering ditemukan dalam aplikasi AI, termasuk pencemaran model, denial-of-service, atau pengungkapan informasi. Namun, menurut FIRST.org, CVSS mungkin tidak begitu efektif untuk kerentanan terkait AI yang sebagian besar terkait dengan bias, etika, atau masalah hukum. Kerentanan tersebut berhubungan dengan inferensi, inversi model, dan injeksi prompt.¹¹

CVSS adalah kerangka kerja untuk menilai kerentanan, sedangkan CVE (kependekan dari Common Vulnerabilities and Exposures) merupakan glosarium kerentanan keamanan siber yang diungkapkan secara publik. Kerentanan yang termasuk dalam program CVE diberi pengidentifikasi unik yang disebut ID CVE. Program ini dikelola oleh perusahaan nirlaba MITRE dan disponsori oleh Kementerian Keamanan Dalam Negeri AS.

Tingkat keparahan kerentanan yang tercantum dalam katalog program CVE dapat dinilai menggunakan kerangka kerja CVSS. Namun, dalam hal kerentanan yang dipublikasikan oleh CVE, organisasi CVE dapat memilih untuk tidak melakukan penghitungan secara mandiri, dan sebagai gantinya mengandalkan skor CVSS yang disediakan oleh National Vulnerability Database (NVD). NVD adalah repositori standar untuk data manajemen kerentanan dari National Institute of Standards and Technology (NIST). NVD menghosting database online yang dapat ditelusuri untuk kerentanan yang diidentifikasi oleh CVE, ditambah dengan informasi tambahan, termasuk skor CVSS Base dan string vektor.

Organisasi dapat menggunakan kalkulator online untuk menentukan beberapa jenis skor CVSS, termasuk skor CVSS berdasarkan versi CVSS yang lebih lama. Kalkulator CVSS tersedia di situs web CVSS dan NVD. Dokumentasi CVSS berisi rekomendasi agar organisasi menggunakan otomatisasi untuk memindai ancaman sebagai informasi kepada bagian metrik Threat dan Environmental dari penilaian.¹²

Organisasi juga dapat memanfaatkan alat dan platform manajemen kerentanan yang mengintegrasikan penilaian CVSS. Solusi perangkat lunak penilaian kerentanan terkemuka merujuk skor CVSS di antara beberapa faktor utama, termasuk tolok ukur kepatuhan, panduan keamanan vendor, dan riset industri. Solusi semacam ini mungkin juga mencakup fitur berdukungan AI, seperti penemuan data real-time otomatis yang dapat membantu meningkatkan respons insiden organisasi dan manajemen privasi.