Dalam dunia keamanan siber, setiap hari ditemukan ribuan celah keamanan (kerentanan) baru pada perangkat lunak. Pertanyaannya: Mana yang harus diperbaiki duluan? Di sinilah kita membutuhkan CVSS (Common Vulnerability Scoring System). Jika gempa bumi punya skala Richter, maka celah keamanan punya skor CVSS. Skor ini berupa angka dari 0.0 hingga 10.0 yang menentukan seberapa parah suatu lubang keamanan.
Mari kita bedah “anatomi” di balik angka tersebut agar kita tidak hanya melihat skornya, tapi juga paham dari mana asal-usulnya.
Tiga Pilar Penentu Skor
CVSS tidak asal memberi angka. Ada tiga kelompok besar (pilar) yang dianalisis:
Base Group (Dasar): Ini adalah bagian inti. Menilai sifat asli celah tersebut yang tidak akan berubah, siapapun yang menyerangnya.
Temporal Group: Menilai faktor waktu. Misalnya, apakah sudah ada “obatnya” (patch) atau apakah kode untuk membobolnya sudah tersebar luas di internet?
Environmental Group: Menilai kondisi di tempat kamu. Sebuah celah mungkin sangat berbahaya di server pusat, tapi biasa saja jika ada di komputer laboratorium yang tidak terhubung internet.
Membedah “Cara Serang” (Exploitability)
Bagian pertama dari anatomi CVSS adalah melihat seberapa mudah celah ini dieksploitasi oleh peretas. Ada empat sensor utamanya:
Attack Vector (Jalur Serang): Apakah peretas bisa menyerang lewat internet (paling berbahaya), atau harus duduk langsung di depan komputer korban (kurang berbahaya)?
Attack Complexity (Kerumitan): Apakah menyerangnya butuh keahlian tingkat dewa dan kondisi khusus, atau cukup sekali klik langsung jebol?
Privileges Required (Hak Akses): Apakah peretas butuh password admin dulu, atau bisa langsung masuk tanpa izin sama sekali?
User Interaction (Interaksi Pengguna): Apakah peretas butuh “bantuan” korban (seperti menyuruh korban klik link palsu) agar serangannya berhasil?
Membedah “Dampak Serangan” (Impact)
Setelah tahu cara masuknya, CVSS menilai apa yang hancur di dalam. Ini dikenal dengan segitiga CIA:
Confidentiality (Kerahasiaan): Apakah peretas bisa mencuri data rahasia?
Integrity (Keutuhan): Apakah peretas bisa mengubah atau menghapus data penting?
Availability (Ketersediaan): Apakah peretas bisa membuat sistem mati total sehingga tidak bisa digunakan?
Membaca Skor: Dari Rendah ke Kritis
Setelah semua metrik di atas dihitung dengan rumus matematika, keluarlah angka skor:
0.1 – 3.9 (Low): Kurang berbahaya, tapi tetap harus diperhatikan.
4.0 – 6.9 (Medium): Cukup berbahaya, perlu dijadwalkan perbaikannya.
7.0 – 8.9 (High): Berbahaya! Harus segera ditangani.
9.0 – 10.0 (Critical): Gawat darurat! Perbaiki sekarang juga atau sistemmu akan tamat.
Konteks adalah Raja
Satu hal yang perlu diingat: Skor tinggi tidak selalu berarti kiamat bagi kamu. Bisa saja sebuah celah punya skor 9.8 (Critical), tapi karena sistem yang memiliki celah tersebut sudah kamu lindungi dengan tembok api (firewall) yang sangat ketat, maka risiko nyatanya di kantor kamu menjadi lebih rendah. Itulah mengapa memahami “anatomi” lebih penting daripada sekadar melihat angka akhirnya.
Kesimpulan
Memahami anatomi CVSS membantu kita menjadi lebih cerdas dalam mengelola keamanan. Kita tidak lagi panik hanya karena melihat angka merah, tapi kita tahu kenapa angka itu merah dan bagaimana cara terbaik untuk melindunginya.
Seorang Akademisi, Peneliti dan Praktisi TI, mengajar di beberapa perguruan tinggi, Authorized Training Center dan Lembaga Pengembangan SDM TI. Aktif berbagi di komunitas melalui event webinar & sharing session. aktifitas sehari-hari di isi dengan mengajar, menulis di blog, jurnal, media massa, buku dan juga membuat video tutorial. bidang ilmu yang didalami adalah cybersecurity, system administrator, programming, networking, linux, cloud computing, blockchain, data science, artificial intelligence. visit me at sulkiflysaid.com
