Selama bertahun-tahun, CVSS telah menjadi aspek yang diperhatikan oleh tim keamanan IT dalam mengidentifikasi karakteristik kerentanan dan tingkat keparahannya melalui skor penilaian. Penilaian tersebut berfungsi sebagai standar representatif yang membantu perusahaan selama proses manajemen kerentanan dengan tepat. Berikut beberapa hal yang perlu diketahui terkait fungsi CVSS pada sistem keamanan.

CVSS: Pengertian, Manfaat, dan Kekurangannya

Pengertian

Common vulnerability scoring system atau CVSS adalah framework industri untuk menilai tingkat keparahan kerentanan keamanan pada perangkat lunak. Dengan CVSS, perusahaan dapat menilai kerentanan IT di berbagai produk perangkat lunak mulai dari sistem operasi, database, hingga aplikasi berbasis web menggunakan framework penilaian yang sama.

Manfaatnya Dalam Sistem Keamanan Perusahaan

Menyederhanakan Penilaian Kerentanan

Sebelum adanya CVSS, perusahaan menggunakan metode mereka sendiri ketika menilai kerentanan perangkat lunak dan seringkali tidak menjabarkan bagaimana skor penilaian tersebut dihitung. Perbedaan metode penilaian pada setiap perangkat lunak yang digunakan membuat tim IT kebingungan untuk memperbaiki kerentanan dengan tingkat keparahan berlabelkan “tinggi” ataupun kerentanan dengan peringkat 5. Common vulnerability scoring system dirancang spesifik dalam rangka menyederhanakan skor penilaian kerentanan yang dapat mencerminkan keparahan dan pengaruhnya pada infrastruktur IT tertentu.

Open Framework

Common vulnerability scoring system merupakan framework terbuka. Artinya, perusahaan memiliki akses penuh ke parameter yang digunakan untuk menghasilkan skor sehingga setiap orang mendapatkan pemahaman jelas tentang alasan dan perbedaan di balik penilaian apapun.

Acuan Penanganan Kerentanan

Common vulnerability scoring system menjadi acuan bagi perusahaan dalam memenuhi persyaratan pengujian keamanan. Pengujian keamanan berbasiskan CVSS memastikan kerentanan serius yang ditemukan telah dihapus ataupun dimitigasi selama proses pengembangan ketahanan sistem.

Kekurangan CVSS Pada Masa Kini

Meskipun sudah digunakan selama lebih dari satu dekade, common vulnerability scoring system memiliki banyak kekurangan akibat perkembangan serangan siber yang semakin canggih. Apabila dilihat dari perspektif masa kini, CVSS merupakan metode kurang efektif dan menyebabkan tim IT menghabiskan sebagian besar waktunya pada kerentanan yang menimbulkan sedikit atau bahkan tanpa risiko sama sekali terhadap bisnis. Lantas, apa saja kekurangan tersebut?.

Tidak Dirancang Untuk Prioritisasi

Pada esensinya, CVSS tidak dirancang sebagai acuan prioritas keamanan yang harus segera tim IT tangani. Framework ini hanya memberikan gambaran mengenai setiap kerentanan pada perangkat lunak tanpa memperhatikan konteks infrastruktur IT perusahaan. Alhasil, perusahaan hanya akan menghabiskan banyak waktu pada kerentanan yang tidak berdampak signifikan pada sistem.

Tidak Merefleksikan Kerentanan Sebenarnya

Skor penilaian dari CVSS biasanya diberikan dalam waktu dua minggu setelah kerentanan ditemukan dan hampir tidak pernah ditinjau kembali setelah proses assessment awal. Karena keterbatasan itu, vulnerability assessment bergantung pada informasi tentang risiko yang mungkin ditimbulkan oleh kerentanan ketimbangkan ancaman sebenarnya terjadi.

Skor Penilaian Kurang Relevan

Skor penilaian CVSS tetaplah sama selama bertahun-tahun, terlepas dari perubahan jenis ancaman di dunia keamanan siber. Itu berarti, jika terdapat kerentanan yang awalnya diberi skor dasar 6.0 dan beberapa waktu kemudian justru menjadi celah utama penyerang untuk menyebabkan kerugian perusahaan, skor CVSS akan tetap memiliki skor yang sama.

Solusi VOAR Memiliki Skor Penilaian Lebih Akurat

Bersama Hackuity, Aplikas Servis Pesona menawarkan solusi VOAR atau Vulnerability Orchestration Automation and Response untuk menyatukan seluruh vulnerability tools perusahaan dalam satu ekosistem dan mengimplementasikan algoritma True Risk Score (TRS)

True Risk Score merupakan algoritma perhitungan yang mengkualifikasikan ancaman dan memprioritaskan tindakan perbaikan jauh melampaui skor CVSS. TRS mengintegrasikan semua komponen dasar CVSS (Base, Environmental, dan Temporal) serta memungkinkan penggunaan atribut perhitungan berdasarkan konteks risiko bisnis. Algoritma TRS mampu memberikan fungsi seperti CVSS pada sistem keamanan tanpa kekurangan sedikit pun.

Konsultasikan kebutuhan anda bersama Aplikas Servis Pesona selaku partner resmi Hackuity di Indonesia melalui email marketing@phintraco.com.

Baca juga: 3 Jenis Cyber Threat Intelligence