Kerentanan dan Eksposur Umum (CVE) adalah sistem standar untuk identifikasi dan publikasi kerentanan keamanan siber. Tujuan utamanya adalah memfasilitasi pembagian dan distribusi data tentang kerentanan guna memungkinkan strategi pertahanan yang lebih baik dan mendorong kolaborasi dalam komunitas keamanan siber.
Sejarah dan Kejadian CVE
Konsep CVE berasal dari akhir tahun 1990an dalam komunitas keamanan komputer, terutama sebagai inisiatif dari MITER Corporation. Sistem ini diluncurkan pada bulan September 1999 dengan Daftar CVE pertama, sebuah database pengidentifikasi standar untuk kerentanan keamanan siber yang diketahui.
Tujuan awal CVE adalah untuk menyediakan bahasa umum untuk berdiskusi dan berbagi informasi tentang kerentanan. Sebelum CVE diperkenalkan, vendor dan peneliti yang berbeda menggunakan nama dan deskripsi yang berbeda untuk kerentanan yang sama, sehingga menyebabkan kebingungan dan miskomunikasi.
Memahami CVE
Setiap Entri CVE menyertakan nomor identifikasi, deskripsi, dan setidaknya satu referensi publik. Nomor identifikasi mengikuti format tertentu: CVE-YYYY-NNNN, dengan “YYYY” adalah tahun ID CVE ditetapkan atau kerentanan dipublikasikan, dan “NNNNN” adalah nomor unik untuk kerentanan tersebut.
Sistem CVE tidak memberikan informasi apa pun mengenai tingkat keparahan atau risiko yang terkait dengan kerentanan tertentu. Namun, hal ini memberikan landasan bagi organisasi lain, seperti National Vulnerability Database (NVD), untuk dapat melampirkan metadata tambahan, seperti skor risiko atau indeks eksploitasi.
Struktur Internal dan Fungsi CVE
Sistem CVE bekerja dengan memberikan pengenal unik untuk setiap kerentanan yang diketahui. Pengidentifikasi ini membantu praktisi keamanan merujuk pada kerentanan tertentu menggunakan bahasa yang umum, sehingga membantu upaya mitigasi.
ID CVE diminta dari dan ditetapkan oleh CVE Numbering Authorities (CNA). CNA adalah organisasi dari seluruh dunia yang telah bermitra dengan Program CVE untuk menetapkan ID CVE pada kerentanan yang memengaruhi produk dalam cakupannya yang berbeda dan disepakati.
Daftar CVE, dikelola oleh MITRE, kemudian diperbarui dengan entri baru ini. Basis data kerentanan, seperti NVD, mengambil data dari Daftar CVE untuk membuat daftar kerentanan yang lebih rinci.
Fitur Utama CVE
- Pengidentifikasi Standar: Setiap ID CVE mengacu pada kerentanan unik, sehingga menghindari kebingungan saat mendiskusikan atau berbagi informasi tentang kerentanan.
- Basis Data yang Dapat Diakses Publik: Daftar CVE tersedia secara gratis untuk umum, sehingga mendorong transparansi dan kolaborasi.
- Adopsi yang Meluas: ID CVE banyak digunakan oleh vendor dan peneliti keamanan siber di seluruh dunia, menjadikannya standar yang diakui secara global.
- Bahasa umum: Penggunaan pengenal umum membantu meningkatkan koordinasi dan kolaborasi keamanan siber dengan menyediakan cara standar untuk mendiskusikan kerentanan individu.
Jenis CVE
Tidak ada klasifikasi formal untuk jenis CVE, namun kerentanan dapat diklasifikasikan berdasarkan kriteria yang berbeda, seperti area yang terkena dampaknya (misalnya, memori, OS, aplikasi), bagaimana kerentanan tersebut dapat dieksploitasi (misalnya, jarak jauh, lokal). ), dan dampak yang ditimbulkannya (misalnya kebocoran data, kerusakan sistem).
Misalnya, dengan melihat bagaimana kerentanan dapat dieksploitasi, kita dapat memperoleh:
| Vektor Eksploitasi | Keterangan |
|---|---|
| Lokal | Penyerang memerlukan akses fisik atau hak pengguna lokal untuk mengeksploitasi kerentanan |
| Bersebelahan | Penyerang harus memiliki akses ke jaringan yang sama dengan sistem target untuk mengeksploitasi kerentanan |
| Terpencil | Penyerang dapat mengeksploitasi kerentanan dari internet |
CVE digunakan oleh para profesional keamanan siber untuk mengidentifikasi kerentanan, menilai dampaknya, dan merancang strategi mitigasi. Namun, sistem ini bukannya tanpa tantangan. Khususnya, sistem CVE bisa lambat dalam menetapkan pengidentifikasi kerentanan baru, sehingga menyebabkan kesenjangan dalam cakupan. Selain itu, karena CVE tidak memberikan informasi tingkat keparahan atau risiko, organisasi harus mengandalkan sumber daya lain untuk data ini.
Untuk mengatasi permasalahan ini, komunitas keamanan siber telah mengembangkan alat dan sumber daya pelengkap. Misalnya, Basis Data Kerentanan Nasional memberikan skor tingkat keparahan dan metadata tambahan untuk setiap CVE, sementara organisasi seperti CERT/CC dan Zero Day Initiative sering kali menetapkan pengidentifikasi sementara untuk kerentanan baru sebelum ID CVE ditetapkan.
Perbandingan dengan Istilah Serupa
| Ketentuan | Keterangan | Perbandingan dengan CVE |
|---|---|---|
| CVSS | Common Vulnerability Scoring System (CVSS) menyediakan cara untuk menangkap karakteristik utama suatu kerentanan dan menghasilkan skor numerik yang mewakili tingkat keparahannya. | Meskipun CVE mengidentifikasi kerentanan, CVSS menilai kerentanan tersebut berdasarkan tingkat keparahannya. |
| CWE | Common Weakness Enumeration (CWE) adalah daftar kelemahan keamanan perangkat lunak umum yang dikembangkan oleh komunitas. Ini berfungsi sebagai bahasa umum untuk menggambarkan kelemahan-kelemahan ini. | Meskipun CVE mengidentifikasi kerentanan tertentu, CWE menjelaskan jenis kelemahan keamanan yang mungkin menyebabkan kerentanan. |
Perspektif dan Teknologi Masa Depan Terkait CVE
Ketika ancaman keamanan siber terus berkembang, sistem CVE juga perlu beradaptasi. Peningkatan sistem CVE di masa depan mungkin mencakup deteksi dan pelaporan kerentanan otomatis, perluasan cakupan CNA, dan integrasi dengan teknologi kecerdasan buatan (AI) dan pembelajaran mesin (ML) untuk analisis prediktif.
Server Proksi dan CVE
Server proxy, seperti yang disediakan oleh OneProxy, dapat menjadi target dan alat dalam konteks CVE. Sebagai target, kerentanan dalam perangkat lunak server proxy dapat menerima ID CVE mereka sendiri jika menimbulkan risiko keamanan. Sebagai alat, server proxy dapat dikonfigurasi untuk mengurangi dampak beberapa kerentanan, misalnya dengan memfilter lalu lintas berbahaya yang terkait dengan CVE yang diketahui.
