Kali kita akan mengulas untuk mengenal Common Vulnerability Exposures atau CVE secara mendetail dan mendalam, berikut ulasannya.
Common Vulnerability Exposures (CVE) adalah database masalah keamanan informasi yang diungkapkan secara publik. Nomor CVE secara unik mengidentifikasi satu kerentanan dari daftar.
CVE menyediakan cara yang terbaik bagi vendor, perusahaan, akademisi, dan semua pihak berkepentingan lainnya untuk bertukar informasi tentang masalah keamanan dunia maya.
Perusahaan biasanya menggunakan CVE, dan skor CVSS yang sesuai, untuk perencanaan dan prioritas dalam program manajemen kerentanan mereka.
Pertama kali diluncurkan pada tahun 1999, CVE dikelola dan dikelola oleh National Cybersecurity FFRDC (Federally Funded Research and Development Center), yang dioperasikan oleh MITRE Corporation. CVE disponsori oleh Pemerintah Federal AS, dengan Departemen Keamanan Dalam Negeri AS (DHS) dan Badan Keamanan Infrastruktur dan Cybersecurity (CISA) menyumbangkan dana operasional. CVE tersedia untuk umum dan gratis bagi siapa saja untuk digunakan.
Baca juga: Permukaan Serangan atau Attack Surface
Kerentanan dan Eksposur
Mengenal Common Vulnerability Exposures sama dengan mengenal kerentanan adalah kelemahan yang dapat dieksploitasi untuk mendapatkan akses tidak sah atau melakukan tindakan tidak sah pada sistem komputer.
Kerentanan dapat memungkinkan pelaku mendapatkan akses langsung ke sistem atau jaringan, menjalankan kode, menginstal malware, dan mengakses sistem internal untuk mencuri, menghancurkan, atau memodifikasi data sensitif. Jika tidak terdeteksi, penyerang dapat berpura-pura sebagai pengguna super atau administrator sistem dengan hak akses penuh.
Eksposur adalah kesalahan yang memberikan penyerang akses ke sistem atau jaringan. Eksposur dapat memungkinkan penyerang mengakses informasi identitas pribadi (PII) dan mengekstraknya. Beberapa pelanggaran data terbesar disebabkan oleh paparan yang tidak disengaja daripada serangan dunia maya yang canggih.
Latar Belakang CVE
Sebelum kita mengenal Common Vulnerability Exposures, CVE dimulai pada tahun 1999, sangat sulit untuk berbagi data tentang kerentanan di berbagai database dan alat.
Setiap vendor memelihara database mereka sendiri, dengan sistem identifikasi mereka sendiri dan kumpulan atribut yang berbeda untuk setiap kerentanan. CVE memastikan bahwa setiap alat dapat bertukar data dengan alat lain, sekaligus menyediakan mekanisme untuk membandingkan alat yang berbeda, seperti pemindai kerentanan.
Sementara beberapa orang mungkin mempertanyakan apakah pengungkapan kerentanan secara terbuka memudahkan peretas untuk mengeksploitasi kerentanan tersebut, secara umum diterima bahwa manfaatnya lebih besar daripada risikonya.
CVE hanya mencakup paparan dan kerentanan keamanan yang diketahui publik. Ini berarti bahwa peretas dapat memperoleh data yang terkait dengan CVE apakah itu ada dalam daftar CVE atau tidak. Selain itu, detail CVE sering dirahasiakan dari daftar kerentanan hingga vendor yang sesuai dapat mengeluarkan tambalan atau perbaikan lainnya, memastikan bahwa perusahaan dapat melindungi diri mereka sendiri setelah informasi dipublikasikan.
Selain itu, berbagi informasi di industri keamanan siber dapat membantu mempercepat mitigasi, serta memastikan bahwa semua organisasi terlindungi lebih cepat daripada jika dibiarkan mengidentifikasi dan menemukan resolusi untuk CVE sendiri.
Cara CVE Ditentukan
ID CVE ditugaskan untuk kekurangan yang memenuhi serangkaian kriteria tertentu. Mereka harus diperbaiki secara independen dari bug lainnya, mereka harus diakui oleh vendor sebagai berdampak negatif pada keamanan, dan mereka harus mempengaruhi hanya satu basis kode. Cacat yang memengaruhi lebih dari satu produk mendapatkan CVE terpisah.
Baca juga: Initial Access atau Akses Awal
Pengidentifikasi CVE
Setiap CVE diberi nomor yang dikenal sebagai Pengidentifikasi CVE. Pengidentifikasi CVE ditetapkan oleh salah satu dari sekitar 100 Otoritas Penomoran CVE (CNA). CNA mencakup vendor TI, organisasi riset seperti universitas, perusahaan keamanan, dan bahkan MITRE sendiri.
Pengidentifikasi CVE berbentuk CVE-[Tahun]-[Angka]. Tahun mewakili tahun di mana kerentanan dilaporkan. Nomor tersebut adalah nomor urut yang ditetapkan oleh CNA.
Misalnya, CVE-2019-0708, terkait dengan kelemahan dalam implementasi Remote Desktop Protocol (RDP) Microsoft. Meskipun CVE-2019-0709 mungkin terdengar asing, Anda mungkin mengenali nama umum yang diberikan untuk CVE ini, BlueKeep.
CVE terkenal, seperti BlueKeep, yang mendapatkan banyak perhatian perusahaan (dan pers) biasanya mendapat julukan informal sebagai cara mudah untuk mengingat kerentanan yang dimaksud.
Beberapa CVE terpilih bahkan mendapatkan logo atau grafik kustom keren mereka sendiri (sering dirancang oleh tim pemasaran di vendor atau organisasi yang ingin mempublikasikan informasi tentang kerentanan untuk menarik minat jurnalis):
Manfaat CVE
Berbagi detail CVE bermanfaat bagi semua organisasi karena memungkinkan organisasi menetapkan dasar untuk mengevaluasi cakupan alat keamanan mereka. Nomor CVE memungkinkan organisasi untuk melihat apa yang dicakup oleh setiap alat dan seberapa sesuai alat tersebut untuk organisasi Anda.
Dengan menggunakan ID CVE untuk kerentanan atau paparan tertentu, organisasi dapat dengan cepat dan akurat memperoleh informasi tentangnya
Yang diperoleh dari berbagai sumber informasi dan mengoordinasikan upaya mereka untuk memprioritaskan dan menangani kerentanan ini agar organisasi lebih aman.
Penasihat keamanan dapat menggunakan detail kerentanan CVE untuk mencari tanda tangan serangan yang diketahui guna mengidentifikasi eksploitasi kerentanan tertentu
Melaporkan CVE
Siapa pun dapat melaporkan CVE ke CNA. Paling umum, peneliti, white hat, dan vendor menemukan dan mengirimkan laporan CVE ke salah satu CNA.
Banyak vendor secara aktif mendorong orang untuk mencari kerentanan sebagai cara “gratis” untuk meningkatkan postur keamanan produk mereka.
Bahkan, banyak yang menawarkan hadiah bug dan bentuk kontes dan hadiah lainnya untuk mendorong komunitas untuk menguji, dan menemukan kekurangan dalam, keamanan produk mereka.
Daftar lengkap CNA mencakup banyak nama, termasuk MITRE, Adobe, Apple, CERT, Cisco, Dell, Facebook, Google, IBM, Intel, dan banyak lagi.
Baca juga: Indicator of Compromise
Jumlah CVE
Ada ribuan CVE baru setiap tahun. Sejak program CVE dimulai pada tahun 1999, lebih dari 130.000 Pengidentifikasi CVE telah diterbitkan. Selama beberapa tahun terakhir, ada 12.000-15.000 CVE baru setiap tahunnya.
Vendor besar yang mewakili sebagian besar CVE, Microsoft dan Oracle, masing-masing memiliki lebih dari 6000 CVE yang dilaporkan di produknya.
Faktanya, 50 vendor perangkat lunak teratas mewakili lebih dari setengah dari semua CVE yang dikeluarkan sejak dimulainya program CVE.
Keterbatasan CVE
CVE tidak dimaksudkan untuk menjadi database kerentanan, jadi (secara desain) CVE tidak berisi beberapa informasi yang diperlukan untuk menjalankan program manajemen kerentanan yang komprehensif.
Selain pengidentifikasi CVE, entri CVE hanya menyertakan deskripsi singkat tentang kerentanan keamanan, dan referensi ke informasi lebih lanjut tentang CVE, seperti penasehat vendor.
Informasi tambahan pada setiap CVE dapat ditemukan langsung di situs web vendor, serta di NIST National Vulnerability Database (NVD). NVD memberikan Skor Berbasis CVSS, memperbaiki informasi, dan detail penting lainnya yang sering dibutuhkan oleh tim keamanan informasi yang ingin memitigasi kerentanan atau menilai prioritas keseluruhannya.
Selain itu, CVE menunjukkan kerentanan hanya pada perangkat lunak yang tidak ditambal. Sementara program manajemen kerentanan tradisional memandang perangkat lunak yang tidak ditambal sebagai masalah utama untuk penyelesaian, pendekatan berbasis risiko modern untuk manajemen kerentanan mengakui bahwa ada banyak jenis “kerentanan” yang menimbulkan risiko bagi organisasi, yang semuanya perlu diidentifikasi dan dikurangi. Banyak di antaranya tidak sesuai dengan definisi CVE dan tidak dapat ditemukan dalam daftar keamanan CVE.
Baca lainnya: |
Sumber berita: