Apa itu Vulnerability?
Dalam teknologi informasi (IT), vulnerability atau kerentanan adalah celah dalam kode atau desain yang bisa menjadi titik lemah keamanan pada perangkat atau jaringan. Kerentanan ini menciptakan vektor serangan yang memungkinkan penyerang menjalankan kode atau mengakses memori sistem target. Cara eksploitasi kerentanan ini sangat bervariasi, seperti injeksi kode, buffer overrun, atau melalui skrip hacking, aplikasi, hingga pengkodean manual. Contohnya, zero-day exploit terjadi segera setelah kerentanan diketahui secara umum.
Disclosure Kerentanan
Pertanyaan tentang kapan kerentanan sebaiknya dipublikasikan sering menjadi perdebatan. Beberapa ahli keamanan menyarankan pengungkapan penuh dan segera, termasuk informasi spesifik yang bisa digunakan untuk mengeksploitasi kerentanan tersebut. Pendukung pengungkapan segera percaya bahwa ini akan mendorong lebih banyak perbaikan (patching) dan perangkat lunak menjadi lebih aman.
Namun, beberapa pihak berpendapat informasi tentang kerentanan tidak seharusnya dipublikasikan karena dapat dimanfaatkan oleh penyerang. Untuk mengurangi risiko, banyak ahli merekomendasikan agar informasi kerentanan hanya dibagikan secara terbatas kepada kelompok tertentu setelah jangka waktu tertentu sejak deteksi.
Baik black hat maupun white hat secara rutin mencari kerentanan dan menguji eksploitasi. Beberapa perusahaan menawarkan bug bounty untuk mendorong white hat menemukan kerentanan. Besaran pembayaran biasanya bergantung pada ukuran organisasi, tingkat kesulitan meretas sistem, dan dampak bug tersebut pada pengguna.
Pemindaian dan Penilaian Kerentanan
Rencana pengelolaan kerentanan mencakup praktik dan proses untuk mengidentifikasi, menganalisis, dan mengatasi kelemahan pada perangkat keras atau perangkat lunak yang bisa menjadi vektor serangan. Proses ini meliputi:
- Memeriksa Kerentanan: Dilakukan melalui pemindaian jaringan, pencatatan firewall, pengujian penetrasi, atau menggunakan alat otomatis seperti pemindai kerentanan.
- Mengidentifikasi Kerentanan: Menganalisis hasil pemindaian, pengujian penetrasi, atau log firewall untuk menemukan anomali yang mungkin menunjukkan serangan malware.
- Memverifikasi Kerentanan: Menentukan apakah kerentanan yang ditemukan dapat dieksploitasi, termasuk mengklasifikasikan tingkat keparahan dan risiko terhadap organisasi.
- Memitigasi Kerentanan: Menemukan cara untuk mencegah eksploitasi sebelum patch tersedia, misalnya dengan menonaktifkan bagian sistem yang terpengaruh (jika tidak kritis) atau menggunakan solusi sementara.
- Mengatasi Kerentanan: Menerapkan patch dari vendor perangkat lunak atau perangkat keras secara tepat waktu, seringkali dengan bantuan alat manajemen patch.
Framework Manajemen Kerentanan
Common Vulnerability Scoring System (CVSS) adalah framework untuk menilai tingkat keparahan kerentanan keamanan pada perangkat lunak. CVSS menggunakan algoritma untuk menghasilkan tiga skor keparahan: Base, Temporal, dan Environmental, dengan skala 0.0 hingga 10.0 (10.0 adalah yang paling parah).
Selain itu, National Vulnerability Database (NVD) adalah repositori pemerintah yang menyimpan informasi kerentanan berbasis standar. NVD dikelola oleh National Institute of Standards and Technology (NIST) dan digunakan untuk manajemen keamanan serta kepatuhan di berbagai organisasi.