Pada akhir tahun 2021, dunia keamanan siber diguncang oleh kerentanan Log4Shell (CVE-2021-44228).
Kerentanan ini mendapat skor CVSS sempurna: 10, namun kenyataannya, yang paling berbahaya bukanlah nilainya — melainkan seberapa cepat dan luas serangan terjadi di seluruh dunia.
Dari sini, kita belajar satu hal penting: skor keparahan tidak selalu menggambarkan risiko sebenarnya.
Mengapa CVSS Tidak Selalu Cukup
Sistem CVSS (Common Vulnerability Scoring System) dibuat sejak 2005 untuk menilai tingkat keparahan kerentanan secara standar.
Versi-versinya terus berkembang:
-
CVSS 2.0 memberi dasar perhitungan standar,
-
CVSS 3.x menambahkan konteks lingkungan dan waktu,
-
CVSS 4.0 memperkenalkan metrik tambahan untuk analisis lebih detail.
Namun, CVSS hanya menjawab pertanyaan “Seberapa parah kerentanan ini?”
Bukan “Apakah ini akan benar-benar dieksploitasi di dunia nyata?” atau “Seberapa mendesak harus diperbaiki di lingkungan saya?”
Akibatnya, banyak tim keamanan mengalami kelelahan alert, salah prioritas, dan pemborosan waktu karena terlalu fokus pada angka.
Contoh Nyata: Skor Tinggi Belum Tentu Berisiko Besar
Bayangkan sebuah scanner mendeteksi kerentanan dengan skor 9.8 (kritikal) di plugin WordPress lama, yang hanya digunakan di situs internal tanpa akses data penting.
Secara teori berbahaya, tapi di dunia nyata risikonya kecil.
Sebaliknya, kerentanan dengan skor 6.5 (sedang) pada API pembayaran publik bisa jauh lebih berbahaya — karena jika dieksploitasi, dampaknya bisa menyebabkan kerugian finansial dan reputasi.
Artinya, skor CVSS tidak mempertimbangkan konteks aset dan lingkungan.
Hasilnya: tim keamanan sering membuang waktu memperbaiki hal yang salah, sementara risiko nyata terlewatkan.
Risiko yang Tak Terlihat: Kurangnya Konteks Aset
CVSS tidak bisa menjawab pertanyaan penting seperti:
-
Apakah sistem ini bisa diakses publik?
-
Apakah dilindungi firewall atau arsitektur zero-trust?
-
Apakah sistem ini penting untuk bisnis?
Tanpa informasi seperti ini, kita kehilangan konteks penting.
Misalnya, server uji lama dengan skor CVSS tinggi mungkin tampak tidak berbahaya. Tapi jika server itu masih aktif di internet dan tidak tercatat di inventaris, ia bisa menjadi pintu masuk hacker.
Inilah yang disebut blind spot, dan CVSS tidak mampu mendeteksinya.
Mengapa Kita Perlu Melihat Lebih dari Sekadar Skor
Untuk menentukan prioritas perbaikan yang tepat, tim keamanan perlu menjawab tiga pertanyaan utama:
-
Apakah kerentanan ini sedang dieksploitasi di dunia nyata?
(contohnya dari katalog CISA Known Exploited Vulnerabilities). -
Seberapa penting aset yang terdampak?
-
Apa dampak bisnis jika diserang?
(misalnya denda, kehilangan data, atau gangguan operasional).
Dengan kata lain, kita harus mempertimbangkan:
-
Kemungkinan eksploitasi (Exploitability)
-
Nilai aset (Asset Criticality)
-
Dampak bisnis (Business Impact)
Contoh paling jelas adalah Log4Shell: skor 10 memang tinggi, tapi yang membuatnya berbahaya adalah kemudahan eksploitasi dan penggunaannya yang luas di aplikasi penting.
Model Tambahan yang Lebih Realistis
Karena CVSS hanya melihat keparahan teknis, kini banyak tim menggunakan model tambahan seperti:
| Model | Tujuan | Kegunaan |
|---|---|---|
| EPSS (Exploit Prediction Scoring System) | Menilai kemungkinan eksploitasi di dunia nyata | Fokus patching pada CVE yang paling mungkin diserang |
| SSVC (Stakeholder-Specific Vulnerability Categorization) | Panduan prioritas berbasis kepentingan bisnis | Tentukan patch berdasarkan nilai aset |
| KEV (CISA’s Known Exploited Vulnerabilities) | Daftar CVE yang sedang aktif dieksploitasi | Wajib ditangani untuk kepatuhan |
| VEX (Vulnerability Exploitability eXchange) | Menyatakan apakah suatu CVE benar-benar berpengaruh di produk tertentu | Kurangi kebisingan dan patch yang tidak perlu |
Dengan menggabungkan model-model ini, kita bisa memahami risiko dari berbagai sisi, bukan hanya satu angka.
Dari Skor ke Tindakan Nyata
Contoh sederhana:
| CVE | CVSS | EPSS | Aktif Dieksploitasi | Aset | Prioritas |
|---|---|---|---|---|---|
| CVE-2024-21683 | 8.8 | 0.94 | Ya | Portal publik pelanggan | Patch segera |
| CVE-2024-29824 | 9.6 | 0.85 | Ya | Sistem internal HR | Patch tinggi |
| CVE-2024-26082 | 6.5 | 0.02 | Tidak | Situs marketing | Tunda ke jadwal berikut |
Dengan pendekatan ini, keputusan patching menjadi berdasarkan data nyata dan konteks bisnis, bukan sekadar skor.
Kesimpulan: Gunakan Skor sebagai Panduan, Bukan Kebenaran Mutlak
Satu skor tidak bisa menggambarkan semua risiko.
CVSS tetap penting, tapi harus dilengkapi dengan data eksploitasi (EPSS, KEV) dan konteks bisnis agar penilaian lebih akurat.
Jika sumber daya terbatas, mulailah langkah kecil:
-
Tambahkan data EPSS atau KEV ke proses triase.
-
Tandai aset paling penting dan terbuka ke publik.
-
Tinjau ulang prioritas patch setiap kuartal.
Tujuan akhirnya bukan kesempurnaan, tapi keputusan yang lebih tepat, cepat, dan berdampak nyata.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan Pentes indonesia, merupakan bagian dari PT. iLogo Infralogy Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia.
Hubungi kami sekarang atau kunjungi pentestindonesia.com untuk informasi lebih lanjut!