Setiap tahun, perusahaan keamanan dan teknologi mempublikasikan detail ribuan kerentanan. Media benar-benar melaporkan kerentanan tersebut, menyoroti masalah paling berbahaya dan menasihati pengguna tentang cara tetap aman.
Tetapi bagaimana jika saya memberi tahu Anda bahwa dari ribuan kerentanan itu, hanya sedikit yang secara aktif dieksploitasi di alam liar?
Jadi, berapa banyak kerentanan keamanan yang ada, dan apakah perusahaan keamanan memutuskan seberapa buruk kerentanan itu?
Berapa Banyak Kerentanan Keamanan yang Ada?
Kenna Security Prioritas ke Seri Laporan Prediksi menemukan bahwa pada 2019, perusahaan keamanan menerbitkan lebih dari 18.000 CVE (Kerentanan dan Eksposur Umum).
Meskipun angka itu terdengar tinggi, laporan tersebut juga menemukan bahwa, dari 18.000 kerentanan tersebut, hanya 473 yang "mencapai eksploitasi yang meluas", yaitu sekitar 6 persen dari total. Meskipun kerentanan ini benar-benar dieksploitasi di internet, bukan berarti setiap peretas dan penyerang di seluruh dunia menggunakannya.
Lebih lanjut, "kode eksploitasi sudah tersedia untuk> 50% kerentanan pada saat mereka dipublikasikan daftar CVE. "Bahwa kode exploit sudah tersedia terdengar mengkhawatirkan pada nilai nominal, dan itu adalah file isu. Namun, ini juga berarti bahwa peneliti keamanan sudah bekerja untuk memperbaiki masalah tersebut.
Praktik umum adalah menambal kerentanan dalam jangka waktu publikasi 30 hari. Itu tidak selalu terjadi, tetapi itulah yang dikerjakan sebagian besar perusahaan teknologi.
Bagan di bawah ini lebih jauh menggambarkan perbedaan antara jumlah CVE yang dilaporkan dan jumlah yang benar-benar dieksploitasi.
Sekitar 75 persen CVE terdeteksi oleh kurang dari 1 dari 11.000 organisasi, dan hanya 5,9 persen CVE yang terdeteksi oleh 1 dari 100 organisasi. Itu cukup menyebar.
Anda dapat menemukan data dan angka di atas dalam Prioritas ke Prediksi Volume 6: Pembagian Penyerang-Pembela.
Siapa yang Menugaskan CVE?
Anda mungkin bertanya-tanya siapa yang menugaskan dan membuat CVE untuk memulai. Tidak sembarang orang dapat menetapkan CVE. Saat ini ada 153 organisasi dari 25 negara yang diberi wewenang untuk menetapkan CVE.
Itu tidak berarti hanya perusahaan dan organisasi ini yang bertanggung jawab atas penelitian keamanan di seluruh dunia. Jauh dari itu, nyatanya. Artinya adalah 153 organisasi ini (dikenal sebagai CVE Numbering Authorities, atau disingkat CNA) bekerja dengan standar yang telah disepakati untuk melepaskan kerentanan ke domain publik.
Ini adalah posisi sukarela. Organisasi yang berpartisipasi harus menunjukkan "kemampuan untuk mengontrol pengungkapan kerentanan informasi tanpa pra-penerbitan, "serta untuk bekerja dengan peneliti lain yang meminta informasi tentang kerentanan.
Ada tiga Root CNA, yang berada di bagian atas hierarki:
- MITRE Corporation
- Sistem Kontrol Industri (ICS) Badan Keamanan Siber dan Infrastruktur (CISA)
- JPCERT / CC
Semua CNA lainnya melapor ke salah satu dari tiga otoritas tingkat atas ini. CNA yang melaporkan sebagian besar adalah perusahaan teknologi serta pengembang dan vendor perangkat keras dengan pengenalan nama, seperti Microsoft, AMD, Intel, Cisco, Apple, Qualcomm, dan seterusnya. Daftar CNA lengkap tersedia di Situs MITRE.
Pelaporan Kerentanan
Pelaporan kerentanan juga ditentukan oleh jenis perangkat lunak dan platform tempat kerentanan ditemukan. Itu juga tergantung pada siapa yang awalnya menemukannya.
Misalnya, jika peneliti keamanan menemukan kerentanan di beberapa perangkat lunak berpemilik, mereka mungkin akan melaporkannya langsung ke vendor. Atau, jika kerentanan ditemukan dalam program sumber terbuka, peneliti mungkin membuka masalah baru di halaman pelaporan atau masalah proyek.
Namun, jika orang jahat menemukan kerentanan terlebih dahulu, mereka mungkin tidak mengungkapkannya kepada vendor yang bersangkutan. Ketika ini terjadi, peneliti keamanan dan vendor mungkin tidak menyadari kerentanan sampai itu terjadi digunakan sebagai eksploitasi zero-day.
Bagaimana Perusahaan Keamanan Menilai CVE?
Pertimbangan lainnya adalah bagaimana perusahaan keamanan dan teknologi menilai CVE.
Peneliti keamanan tidak hanya menarik nomor dari udara tipis dan menetapkannya ke kerentanan yang baru ditemukan. Ada kerangka penilaian di tempat yang memandu penilaian kerentanan: Sistem Penilaian Kerentanan Umum (CVSS).
Skala CVSS adalah sebagai berikut:
Kerasnya | Skor Dasar |
---|---|
Tidak ada | 0 |
Rendah | 0.1-3.9 |
Medium | 4.0-6.9 |
Tinggi | 7.0-8.9 |
Kritis | 9.0-10.0 |
Untuk mengetahui nilai CVSS suatu kerentanan, peneliti menganalisis serangkaian variabel yang meliputi Base Score Metrics, Temporal Score Metrics, dan Environmental Score Metrics.
- Metrik Skor Dasar mencakup hal-hal seperti bagaimana kerentanan dapat dieksploitasi, kompleksitas serangan, hak istimewa yang diperlukan, dan cakupan kerentanan.
- Metrik Skor Temporal mencakup aspek-aspek seperti seberapa matang kode eksploitasi, jika ada perbaikan untuk eksploitasi, dan kepercayaan dalam pelaporan kerentanan.
-
Metrik Skor Lingkungan menangani beberapa bidang:
- Metrik yang Dapat Dieksploitasi: Meliputi vektor serangan, kompleksitas serangan, hak istimewa, persyaratan interaksi pengguna, dan ruang lingkup.
- Metrik Dampak: Meliputi dampak pada kerahasiaan, integritas, dan ketersediaan.
- Dampak Berlangganan: Menambahkan definisi lebih lanjut ke Metrik Dampak, yang mencakup persyaratan kerahasiaan, persyaratan integritas, dan persyaratan ketersediaan.
Sekarang, jika semua itu terdengar sedikit membingungkan, pertimbangkan dua hal. Pertama, ini adalah iterasi ketiga dari skala CVSS. Ini awalnya dimulai dengan Skor Dasar sebelum menambahkan metrik berikutnya selama revisi selanjutnya. Versi saat ini adalah CVSS 3.1.
Kedua, untuk lebih memahami bagaimana CVSS menentukan skor, Anda dapat menggunakan Kalkulator CVSS Database Kerentanan Nasional untuk melihat bagaimana metrik kerentanan berinteraksi.
Tidak ada keraguan bahwa menilai kerentanan "dengan mata" akan sangat sulit, jadi kalkulator seperti ini membantu memberikan skor yang tepat.
Tetap Aman Saat Daring
Meskipun laporan Keamanan Kenna menggambarkan bahwa hanya sebagian kecil dari kerentanan yang dilaporkan menjadi ancaman serius, peluang eksploitasi sebesar 6 persen masih tinggi. Bayangkan jika kursi favorit Anda memiliki peluang 6 banding 100 untuk rusak setiap kali Anda duduk. Anda akan menggantinya, bukan?
Anda tidak memiliki opsi yang sama dengan internet; itu tak tergantikan. Namun, seperti kursi favorit Anda, Anda dapat menambalnya dan mengamankannya sebelum menjadi masalah yang lebih besar. Ada lima hal penting yang harus dilakukan untuk mengatakan aman saat online dan menghindari malware dan eksploitasi lainnya:
- Memperbarui. Selalu perbarui sistem Anda. Pembaruan adalah cara nomor satu perusahaan teknologi menjaga komputer Anda tetap aman, memperbaiki kerentanan dan kelemahan lainnya.
- Anti Virus. Anda mungkin membaca hal-hal di internet seperti "Anda tidak lagi membutuhkan antivirus" atau "antivirus tidak berguna". Tentu, penyerang terus berevolusi untuk menghindari program antivirus, tetapi Anda akan berada dalam situasi yang jauh lebih buruk jika tidak melakukannya mereka. Antivirus terintegrasi pada sistem operasi Anda adalah titik awal yang bagus, tetapi Anda dapat meningkatkan perlindungan Anda dengan alat seperti Malwarebytes.
- Tautan. Jangan klik mereka kecuali Anda tahu ke mana mereka pergi. Kamu bisa periksa tautan yang mencurigakan menggunakan alat bawaan browser Anda.
- Kata sandi. Buat menjadi kuat, unik, dan jangan pernah digunakan kembali. Namun, mengingat semua kata sandi itu sulit — tidak ada yang akan membantahnya. Itulah mengapa Anda harus melakukannya lihat pengelola kata sandi alat untuk membantu Anda mengingat dan mengamankan akun Anda dengan lebih baik.
- Scam. Ada banyak penipuan di internet. Jika tampaknya terlalu bagus untuk menjadi kenyataan, itu mungkin. Penjahat dan scammer mahir membuat situs web yang keren dengan bagian-bagian yang dipoles untuk membocorkan Anda melalui penipuan tanpa menyadarinya. Jangan percaya semua yang Anda baca online.
Tetap aman saat online tidak harus menjadi pekerjaan penuh waktu, dan Anda tidak perlu khawatir setiap kali menyalakan komputer. Mengambil beberapa langkah keamanan akan meningkatkan keamanan online Anda secara drastis.
Berapa banyak akses yang terlalu banyak? Pelajari tentang prinsip hak istimewa terendah dan bagaimana prinsip tersebut dapat membantu menghindari serangan dunia maya yang tidak terduga.
- Teknologi Dijelaskan
- Keamanan
- Scam
- Keamanan Online
- Anti Virus
- Perangkat lunak perusak
- Pintu belakang
Gavin adalah Editor Junior untuk Windows and Technology Explained, kontributor tetap untuk Really Useful Podcast, dan merupakan Editor untuk situs saudari MakeUseOf yang berfokus pada crypto, Blocks Decoded. Dia memiliki gelar BA (Hons) Menulis Kontemporer dengan Praktik Seni Digital yang dijarah dari perbukitan Devon, serta lebih dari satu dekade pengalaman menulis profesional. Dia menikmati teh, permainan papan, dan sepak bola dalam jumlah yang banyak.
Berlangganan newsletter kami
Bergabunglah dengan buletin kami untuk kiat-kiat teknologi, ulasan, ebook gratis, dan penawaran eksklusif!
Satu langkah lagi…!
Harap konfirmasi alamat email Anda di email yang baru saja kami kirimkan.