Pengantar

Setiap hari, ratusan kerentanan keamanan baru ditemukan di perangkat lunak, sistem operasi, dan aplikasi yang kita gunakan. Bayangkan kekacauan yang terjadi jika setiap kerentanan itu hanya disebut “bug berbahaya” tanpa sistem pencatatan yang rapi! Bagaimana para ahli keamanan siber di seluruh dunia melacak, membahas, dan memutuskan mana yang harus diperbaiki terlebih dahulu?

Jawabannya terletak pada dua singkatan kunci yang menjadi bahasa universal dalam keamanan digital: CVE dan CVSS. Artikel ini akan menjelaskan kedua konsep ini dengan bahasa sederhana, tanpa jargon teknis yang membingungkan. Setelah membaca, Anda akan mampu memahami berita keamanan siber, laporan kerentanan, dan alasan di balik prioritas perbaikan sistem dengan lebih baik.

CVE – “KTP” atau “Kode ISBN” untuk Setiap Kerentanan

Apa Itu CVE?

CVE (Common Vulnerabilities and Exposures) adalah sistem penamaan standar global. Fungsinya sederhana: memberikan nama dan identitas unik untuk setiap kerentanan keamanan yang telah diketahui dan diumumkan ke publik.

Analoginya:

  • Seperti KTP: Setiap kerentanan mendapatkan “Nomor Induk” sendiri-sendiri.

  • Seperti Kode ISBN: Setiap buku punya ISBN unik; setiap kerentanan punya CVE ID unik.

Seperti Apa Bentuknya?

Format CVE sangat konsisten:
CVE-TAHUN-NOMOR URUT

Contoh: CVE-2021-44228

  • CVE: Standar penamaannya.

  • 2021: Tahun kerentanan tersebut diterbitkan/ditemukan.

  • 44228: Nomor urut identitasnya.

Pemberian nomor ini dikelola oleh organisasi nirlaba MITRE Corporation dengan bantuan berbagai pihak berwenang (CNA).

Apa Isi Sebuah Entri CVE?

Jika Anda mencari sebuah CVE di database resmi, Anda akan menemukan:

  1. Deskripsi Singkat: Penjelasan tentang jenis kerentanan dan perangkat lunak yang terdampak.

  2. Referensi: Tautan ke artikel teknis, advisori keamanan dari vendor, atau informasi patch.

Poin Penting: CVE hanya menjawab pertanyaan “APA”.

  • Apa nama kerentanan ini?

  • Di software apa kerentanan ini ditemukan?

CVE tidak memberi tahu Anda seberapa berbahaya kerentanan tersebut. Untuk itu, kita butuh CVSS.

CVSS – “Skala Richter” atau “Level Prioritas Medis” untuk Kerentanan

Apa Itu CVSS?

CVSS (Common Vulnerability Scoring System) adalah skala numerik standar yang digunakan untuk mengukur tingkat keparahan sebuah kerentanan. Skornya berkisar dari 0.0 (paling tidak bahaya) hingga 10.0 (paling kritis).

Analoginya:

  • Seperti Skala Richter: Mengukur kekuatan gempa. CVSS mengukur “kekuatan” kerentanan.

  • Seperti Triage di Rumah Sakit: Dokter mendiagnosis pasien (CVE) lalu menentukan level keparahan (CVSS): masuk ICU, rawat inap, atau rawat jalan.

Memahami Skor dan Kategori CVSS

Skor CVSS dibagi menjadi beberapa kategori yang mudah diingat:

Skor CVSS Tingkat Keparahan Warna (Biasanya) Arti Praktis
0.0 None Abu-abu Tidak ada dampak.
0.1 – 3.9 Low Hijau Risiko rendah. Eksploitasi sulit atau dampaknya minimal.
4.0 – 6.9 Medium Kuning Risiko sedang. Perlu diperhatikan dan direncanakan perbaikannya.
7.0 – 8.9 High Oranye Risiko tinggi. Dapat dieksploitasi dan berdampak signifikan. Perlu diprioritaskan.
9.0 – 10.0 Critical Merah Risiko sangat kritis. Mudah dieksploitasi dan dampaknya luas/perusak. Harus segera ditangani!

Bagaimana Skor Itu Dihitung? (Tanpa Matematika Rumit)

Skor CVSS tidak asal diberikan. Ia dihitung berdasarkan tiga kelompok metrik:

  1. Base Score (Skor Dasar): “Sifat bawaan” kerentanan.

    • Seberapa mudah dieksploitasi? (Complexity)

    • Apa dampaknya terhadap Kerahasiaan (C)Integritas (I), dan Ketersediaan (A) data/sistem?

    • Skor dasar adalah yang paling sering Anda lihat.

  2. Temporal Score (Skor Temporal): Faktor yang bisa berubah seiring waktu.

    • Apakah sudah ada exploit code yang beredar aktif?

    • Apakah patch perbaikannya sudah tersedia?

    • Seberapa bagus solusi sementara (workaround)-nya?

  3. Environmental Score (Skor Lingkungan): Disesuaikan dengan kondisi spesifik sebuah organisasi.

    • Seberapa penting/kritis sistem yang terdampak bagi bisnis Anda?

    • Apakah sistem tersebut terbuka ke internet atau terisolasi?

CVE & CVSS Bekerja Sama – Kisah Dua Sekawan

Inilah intinya: CVE dan CVSS adalah pasangan yang tak terpisahkan. Mereka bekerja sama untuk memberikan gambaran lengkap.

Analogi Medis yang Lengkap:

  • CVE adalah diagnosis resmi penyakitnya. Contoh: “Demam Berdarah Dengue (DBD).”

  • CVSS adalah hasil pemeriksaan dan level prioritasnya. Contoh: “Derajat III, trombosit sangat rendah, butuh perawatan ICU segera (skor 9.5/Critical).”

Contoh Nyata yang Menggemparkan Dunia:

  • CVE-2021-44228 adalah “nama penyakit”-nya. Dunia lebih mengenalnya dengan sebutan Log4Shell.

  • Kerentanan ini memiliki skor CVSS 10.0 (tingkat tertinggi, Critical).

  • Kombinasi ini langsung memberi sinyal kepada semua tim IT di dunia: “ADA MASALAH SANGAT BERBAHAYA YANG HARUS DIPERBAIKI SEKARANG JUGA!”

Alur Kerja di Dunia Nyata:

  1. Peneliti keamanan menemukan bug/celah di sebuah perangkat lunak.

  2. Bug tersebut dilaporkan dan mendapatkan ID CVE resmi (misal: CVE-2024-12345).

  3. Kerentanan itu kemudian dinilai menggunakan kerangka kerja CVSS, menghasilkan sebuah skor (misal: 7.5/High).

  4. Skor CVSS ini membantu tim keamanan siber dan IT di perusahaan mengambil keputusan:

    • Skor 9.0+ (Critical): “Semua tangan di deck! Hentikan yang lain, perbaiki ini sekarang!”

    • Skor 7.0 (High): “Prioritas tinggi. Jadwalkan patch dalam 1-2 minggu ke depan.”

    • Skor 4.0 (Medium): “Rencanakan perbaikan dalam siklus update reguler.”

    • Skor 2.0 (Low): “Catat, pantau, dan perbaiki jika memungkinkan.”

Bagaimana Saya Bisa Memanfaatkan Pengetahuan Ini?

Memahami CVE dan CVSS bukan hanya untuk para hacker bertopi putih. Pengetahuan dasar ini berguna untuk:

  1. Membaca Berita Keamanan Siber dengan Lebih Cerdas.
    Sekarang, saat Anda membaca judul “Vulnerability Kritis Ditemukan di Aplikasi Zoom“, Anda bisa mencari ID CVE-nya dan melihat skor CVSS-nya sendiri. Anda jadi paham betapa seriusnya ancaman itu.

  2. Memahami Laporan dari Alat Pemindaian (Vulnerability Scanner).
    Tools seperti Nessus atau Qualys akan selalu mencantumkan CVE ID dan CVSS Score untuk setiap kerentanan yang mereka temukan di jaringan Anda. Anda kini bisa langsung fokus pada yang bernilai High dan Critical.

  3. Melacak Kerentanan Secara Mandiri.

    • Database CVE Utama: Kunjungi cve.mitre.org atau nvd.nist.gov (National Vulnerability Database milik NIST AS).

    • Cara Pakai: Cari nama produk (misal, “Windows 11” atau “Apache”) atau langsung masukkan ID CVE jika Anda mengetahuinya. Di NVD, skor CVSS akan terpampang jelas di setiap halaman CVE.

Kesimpulan

CVE adalah sistem PENGIDENTIFIKASI (memberi nama), sedangkan CVSS adalah sistem PENILAIAN (memberi skor).

Dengan memahami perbedaan dan hubungan simbiosis antara CVE dan CVSS, Anda telah mengambil langkah pertama yang penting dalam melek keamanan siber. Anda kini memiliki lensa yang lebih tajam untuk melihat dunia digital: tidak hanya sekadar tahu ada ancaman, tetapi juga bisa menilai ancaman mana yang paling mendesak untuk diwaspadai dan ditangani.

Pengetahuan ini membuka pintu untuk mempelajari konsep keamanan yang lebih advanced, seperti prioritisasi kerentanan dan manajemen patch.

Related Posts: