Banyak bisnis mengandalkan Common Vulnerability Scoring System (CVSS) untuk menilai tingkat keparahan kerentanan untuk membuat prioritas. Meskipun skor ini memberikan beberapa wawasan mengenai potensi dampak kerentanan, skor ini tidak memperhitungkan data ancaman di dunia nyata, seperti kemungkinan eksploitasi. Dengan ditemukannya kerentanan baru setiap hari, tim tidak mempunyai waktu – atau anggaran – yang terbuang untuk memperbaiki kerentanan yang tidak benar-benar mengurangi risiko.
Baca terus untuk mengetahui lebih lanjut tentang perbandingan CVSS dan EPSS dan mengapa penggunaan EPSS merupakan terobosan baru dalam proses penentuan prioritas kerentanan Anda.
Apa yang dimaksud dengan prioritas kerentanan?
Prioritas kerentanan adalah proses mengevaluasi dan memberi peringkat kerentanan berdasarkan potensi dampaknya terhadap organisasi. Tujuannya adalah membantu tim keamanan menentukan kerentanan mana yang harus diatasi, dalam jangka waktu berapa, atau apakah kerentanan tersebut perlu diperbaiki. Proses ini memastikan bahwa risiko paling kritis telah dimitigasi sebelum dapat dieksploitasi dan merupakan bagian penting dari manajemen permukaan serangan.
Idealnya, tim keamanan akan mampu memulihkan setiap kerentanan segera setelah ditemukan, namun hal tersebut tidak mungkin dan tidak efisien. Penelitian telah menunjukkan bahwa sebagian besar tim hanya dapat memulihkan sekitar 10-15% dari kerentanan terbuka mereka per bulan, itulah sebabnya menentukan prioritas secara efektif sangatlah penting.
Pada akhirnya, menetapkan prioritas kerentanan dengan tepat akan memastikan organisasi dapat memanfaatkan sumber daya mereka dengan sebaik-baiknya. Mengapa ini penting? Karena bisnis tidak mampu mengeluarkan uang untuk hal-hal yang tidak membawa perubahan, dan manajemen risiko adalah tentang memastikan uang dibelanjakan untuk benar-benar mengurangi risiko.
Keterbatasan CVSS untuk penentuan prioritas kerentanan
Secara historis, salah satu cara paling umum bagi organisasi untuk memprioritaskan kerentanan adalah dengan menggunakan skor dasar CVSS.
Skor dasar CVSS ditentukan oleh faktor-faktor yang konstan sepanjang waktu dan lingkungan pengguna, seperti kemudahan dan sarana teknis yang dapat digunakan untuk mengeksploitasi kerentanan dan konsekuensi dari keberhasilan eksploitasi. Faktor-faktor ini dihitung dan digabungkan untuk menghasilkan skor akhir antara 0 dan 10 – semakin tinggi skornya, semakin tinggi tingkat keparahannya.
Skor CVSS memberikan dasar dan cara standar untuk menilai tingkat keparahan dan terkadang diperlukan untuk kepatuhan. Namun, mereka memiliki keterbatasan yang membuat penggunaan data tersebut menjadi kurang efisien dibandingkan mempertimbangkannya bersama dengan sumber data real-time.
Salah satu keterbatasan utama skor CVSS adalah bahwa skor tersebut tidak mempertimbangkan lanskap ancaman saat ini, seperti apakah suatu kerentanan sedang dieksploitasi secara aktif di alam liar. Artinya, kerentanan dengan skor CVSS yang tinggi belum tentu merupakan masalah paling kritis yang dihadapi suatu organisasi. Ambil CVE-2023-48795, misalnya. Skor CVSS-nya saat ini adalah 5,9, yang berarti 'sedang'. Namun jika Anda mempertimbangkan sumber intelijen ancaman lainnya, seperti EPSS, Anda akan melihat kemungkinan besar sumber tersebut akan dieksploitasi dalam 30 hari ke depan (pada saat artikel ini ditulis).
Hal ini menunjukkan pentingnya mengambil pendekatan yang lebih holistik terhadap penentuan prioritas kerentanan yang tidak hanya mempertimbangkan skor CVSS tetapi juga intelijen ancaman secara real-time.
Meningkatkan prioritas dengan data eksploitasi
Untuk meningkatkan prioritas kerentanan, organisasi harus melampaui skor CVSS dan mempertimbangkan faktor-faktor lain, seperti aktivitas eksploitasi yang teridentifikasi di alam. Sumber berharga untuk hal ini adalah EPSS, model yang dikembangkan oleh FIRST.
Apa itu EPSS?
EPSS adalah model yang memberikan perkiraan harian tentang kemungkinan suatu kerentanan akan dieksploitasi di alam liar dalam 30 hari ke depan. Model ini menghasilkan skor antara 0 dan 1 (0 dan 100%), dengan skor yang lebih tinggi menunjukkan kemungkinan eksploitasi yang lebih tinggi.
Model ini bekerja dengan mengumpulkan berbagai informasi kerentanan dari berbagai sumber, seperti National Vulnerability Database (NVD), CISA KEV, dan Exploit-DB, beserta bukti aktivitas eksploitasi. Dengan menggunakan pembelajaran mesin, ia melatih modelnya untuk mengidentifikasi pola halus di antara titik-titik data ini, sehingga memungkinkannya memprediksi kemungkinan eksploitasi di masa depan.
CVSS vs EPSS
Jadi, bagaimana tepatnya skor EPSS membantu meningkatkan prioritas kerentanan?
Diagram di bawah mengilustrasikan skenario di mana kerentanan dengan skor CVSS 7 atau lebih tinggi diprioritaskan untuk remediasi. Lingkaran biru mewakili semua CVE yang tercatat pada 1 Oktober 2023. Lingkaran merah menunjukkan semua CVE dengan skor CVSS yang dieksploitasi dalam 30 hari berikutnya.
Seperti yang Anda lihat, jumlah kerentanan yang dieksploitasi secara liar mewakili sejumlah kecil kerentanan dengan skor CVSS 7 atau lebih tinggi.
Sumber asli: FIRST.org |
Mari kita bandingkan ini dengan skenario di mana kerentanan diprioritaskan berdasarkan ambang batas EPSS yang ditetapkan ke 10%.
Perbedaan mencolok antara kedua diagram di bawah ini adalah ukuran lingkaran biru, yang menunjukkan jumlah kerentanan yang perlu diprioritaskan. Hal ini memberikan gambaran tentang jumlah upaya yang diperlukan untuk setiap strategi penentuan prioritas. Dengan ambang batas EPSS 10%, upaya ini jauh lebih rendah, karena kerentanan yang perlu diprioritaskan jauh lebih sedikit, sehingga mengurangi waktu dan sumber daya yang dibutuhkan. Efisiensi juga jauh lebih tinggi, karena organisasi dapat fokus pada kerentanan yang akan berdampak paling besar jika tidak ditangani terlebih dahulu.
Sumber asli: FIRST.org |
Dengan mempertimbangkan EPSS ketika memprioritaskan kerentanan, organisasi dapat menyelaraskan upaya remediasi mereka dengan lanskap ancaman yang sebenarnya. Misalnya, jika EPSS menunjukkan kemungkinan eksploitasi yang tinggi untuk kerentanan dengan skor CVSS yang relatif rendah, tim keamanan mungkin mempertimbangkan untuk memprioritaskan kerentanan tersebut dibandingkan kerentanan lain yang mungkin memiliki skor CVSS lebih tinggi namun kemungkinan eksploitasinya lebih rendah.
Sederhanakan prioritas kerentanan dengan Intruder
Intruder adalah platform keamanan berbasis cloud yang membantu bisnis mengelola permukaan serangan mereka dan mengidentifikasi kerentanan sebelum dapat dieksploitasi. Dengan menawarkan pemantauan keamanan berkelanjutan, manajemen permukaan serangan, dan prioritas ancaman yang cerdas, Intruder memungkinkan tim untuk fokus pada risiko paling kritis sekaligus menyederhanakan keamanan siber.
Tangkapan layar platform Penyusup |
Penyusup akan merilis fitur prioritas kerentanan, yang didukung oleh Exploit Prediction Scoring System (EPSS) – sebuah model yang memanfaatkan pembelajaran mesin untuk memprediksi seberapa besar kemungkinan suatu kerentanan akan dieksploitasi dalam 30 hari ke depan.
Anda akan segera dapat melihat skor EPSS langsung di dalam platform Intruder, memberikan konteks dunia nyata kepada tim Anda untuk membuat prioritas yang lebih cerdas. Skor ini akan ditampilkan bersama dengan sistem penilaian yang ada, yang menggabungkan skor CVSS dengan masukan dari tim pakar keamanan Intruder untuk secara cerdas memprioritaskan hasil Anda.
Daftar sekarang untuk mendapatkan rilis baru. Mulai uji coba gratis 14 hari Anda atau pesan waktu untuk mengobrol dan mempelajari lebih lanjut.