Ketakutan pendanaan baru-baru ini telah menyingkap kerapuhan infrastruktur pelacakan kerentanan global - dan apa artinya bagi ketahanan keamanan siber.
Selama hampir 25 tahun, program Kerentanan dan Keterpaparan Umum (CVE) telah menjadi tulang punggung manajemen kerentanan global. Program ini menyediakan pengidentifikasi universal untuk kerentanan, membantu organisasi di seluruh dunia untuk menilai eksposur mereka, mengoordinasikan tanggapan dan mengurangi risiko.
Stabilitas tersebut terguncang minggu ini ketika MITRE, pengelola program CVE yang telah lama berdiri, mengumumkan penghentian pendanaan secara mendadak. Meskipun dukungan darurat dalam bentuk perpanjangan kontrak 11 bulan dari Badan Keamanan Siber dan Infrastruktur AS (CISA) telah mencegah gangguan langsung, insiden ini telah mengekspos kerentanan struktural dalam ekosistem keamanan siber global - salah satu yang membutuhkan refleksi dan tindakan segera.
Satu titik kegagalan
Program CVE bertindak sebagai bahasa bersama industri untuk pengungkapan kerentanan. Ketika seorang peneliti atau organisasi menemukan kerentanan baru, kerentanan tersebut diajukan untuk ditinjau dan - jika divalidasi - menerima pengidentifikasi CVE standar. Hal ini memungkinkan untuk memahami dengan cepat sifat ancaman, mengidentifikasi apakah ancaman tersebut berdampak pada sistem Anda, dan memprioritaskan upaya penambalan.
Penggunaan ID CVE tertanam kuat dalam peralatan keamanan dan alur kerja. Pemindai kerentanan, sistem informasi keamanan dan manajemen peristiwa (SIEM), dan platform risiko pihak ketiga bergantung pada data CVE agar dapat berfungsi secara efektif. Organisasi menggunakan CVE untuk mengotomatiskan deteksi, penilaian, dan respons - serta berkomunikasi secara konsisten di seluruh tim dan pemasok.
Seandainya program CVE dihentikan, kerentanan yang baru ditemukan tidak akan dikatalogkan. Proses manajemen patch otomatis akan rusak. Aturan deteksi akan gagal dipicu. Dan upaya tanggap insiden bisa saja tertunda atau gagal. Ancaman itu tidak bersifat teoretis - ancaman itu hanya tinggal menunggu waktu.
Fragmentasi dan kebingungan
Dengan tidak adanya otoritas pusat seperti CVE, kita menghadapi risiko masa depan yang terpecah-pecah - beberapa basis data tidak resmi, masing-masing dengan konvensi penamaan dan logika klasifikasinya sendiri. Hal ini menciptakan kebingungan, ketidakselarasan antara alat dan penundaan dalam penanganan insiden.
Efek riaknya akan sangat parah:
- Penyedia infrastruktur penting, seperti layanan kesehatan dan utilitas, di mana protokol penambalan bergantung pada otomatisasi yang didukung CVE
- UKM, yang sangat bergantung pada umpan publik, gratis, dan alat otomatis untuk mengelola keamanan
- Tim keamanan yang kekurangan sumber daya, yang mungkin tidak memiliki kapasitas untuk beralih ke sistem alternatif dengan cepat
Masalah sistemik, bukan peristiwa yang terjadi sekali saja
Ini bukan pertama kalinya infrastruktur keamanan siber inti menunjukkan tanda-tanda ketegangan. Kerentanan Heartbleed pada tahun 2014 di OpenSSL menunjukkan kerapuhan yang sama - dengan perangkat lunak penting yang dikelola oleh satu pengembang dan pendanaan yang minim. Panggilan untuk sadar itu mengarah pada penciptaan Core Infrastructure Initiative (CII) untuk mempertahankan proyek-proyek sumber terbuka yang vital.
Sekarang, sebagai tanggapan atas ketakutan pendanaan CVE ini, CVE Foundation telah diluncurkan untuk mendukung stabilitas jangka panjang dan kemandirian program. Ini merupakan langkah positif, namun kesuksesan jangka panjang akan bergantung pada kolaborasi di seluruh industri dan investasi yang konsisten.
Apakah ada alternatif lain?
Terdapat alternatif publik dan komersial untuk CVE - seperti National Vulnerability Database (NVD) dan VulDB milik NIST - namun banyak yang terkait erat dengan program CVE itu sendiri atau tidak memiliki dukungan industri yang luas.
Computer Incident Response Center Luxembourg juga memposisikan GCVE sebagai alternatif yang terdesentralisasi, menggunakan otoritas penomoran yang mirip dengan program CVE tetapi tanpa bergantung pada sistem distribusi blok yang tersentralisasi atau penegakan kebijakan yang kaku. Namun untuk saat ini, tata kelola, kepercayaan, dan skalabilitas masih menjadi tantangan yang belum terselesaikan.
Kenyataan jangka pendeknya adalah: tidak ada pengganti yang jelas untuk sistem CVE saat ini. Ketahanan harus datang dari memperkuat apa yang sudah ada - dan merencanakan alternatif yang tahan terhadap masa depan.
Apa yang harus dilakukan organisasi sekarang
Para pemimpin keamanan dan TI harus menggunakan momen ini untuk melakukan evaluasi:
- Menilai ketergantungan pada data CVE di seluruh perkakas, proses penambalan, dan pelaporan risiko
- Memantau perkembangan di sekitar Yayasan CVE dan potensi perubahan dalam tata kelola
- Terlibat dengan vendor dan badan industri yang membentuk masa depan pelacakan kerentanan
Perspektif LRQA
Ketidakstabilan di sekitar program CVE merupakan pengingat bahwa bahkan elemen yang paling mapan dari ekosistem keamanan siber pun tidak dapat dianggap remeh. Di dunia yang semakin kompleks dan jendela respons yang semakin sempit, ketahanan bergantung pada lebih dari sekadar peralatan yang baik - ketahanan membutuhkan wawasan tepercaya, jaminan berkelanjutan, dan kemampuan untuk beradaptasi.
Di LRQA, kami membantu organisasi memperkuat postur keamanan siber mereka melalui portofolio layanan yang terhubung - mulai dari strategi dan tata kelola hingga pengujian keamanan, kepatuhan, pelatihan, dan pemantauan ancaman 24/7. Baik Anda sedang menilai ulang kemampuan manajemen kerentanan Anda atau ingin menerapkan pendekatan yang lebih kuat dan berbasis risiko, kami dapat membantu.
Untuk membahas bagaimana LRQA dapat mendukung strategi keamanan siber Anda, hubungi tim kami.