Dalam dunia keamanan siber, "National Vulnerability Database" (NVD) yang dikelola oleh National Institute of Standards and Technology (NIST) merupakan sumber informasi penting yang menyediakan data terkait kerentanan yang telah diidentifikasi dan dikatalogkan. Namun, baru-baru ini, terjadi penghentian yang mengakibatkan ribuan kerentanan tidak ditandai dengan tag yang sesuai, meninggalkan para profesional keamanan siber dan organisasi tanpa informasi kritis yang diperlukan untuk melindungi sistem mereka dari ancaman keamanan.
.
Penghentian ini berdampak signifikan karena NVD berperan sebagai repositori pemerintah AS untuk data manajemen kerentanan yang berbasis standar, yang direpresentasikan menggunakan Security Content Automation Protocol (SCAP). Data ini memungkinkan otomatisasi manajemen kerentanan, pengukuran keamanan, dan kepatuhan. Setiap kerentanan dalam NVD telah diberi pengenal CVE, yang memastikan bahwa dua pihak atau lebih dapat dengan percaya diri merujuk pada pengenal CVE ketika mendiskusikan atau berbagi informasi tentang kerentanan unik.
.
Sejak pertengahan Februari, ribuan CVE telah ditinggalkan tanpa tag yang penting. NVD hanya menandai 59 CVE sejak Februari, meninggalkan 40% CVE tahun 2024 tanpa informasi vital. Hal ini menimbulkan kekhawatiran di kalangan komunitas keamanan siber, karena tanpa penandaan yang tepat, sulit untuk melacak dan mengatasi kerentanan yang mungkin dimanfaatkan oleh penyerang.
.
Kerentanan dalam NVD didefinisikan sebagai kelemahan dalam logika komputasi (misalnya, kode) yang ditemukan dalam komponen perangkat lunak dan perangkat keras yang, ketika dimanfaatkan, menghasilkan dampak negatif terhadap kerahasiaan, integritas, atau ketersediaan. Mitigasi kerentanan biasanya melibatkan perubahan kode, tetapi juga bisa termasuk perubahan spesifikasi atau bahkan penghapusan spesifikasi (misalnya, penghapusan protokol atau fungsionalitas yang terpengaruh secara keseluruhan).
.
Penghentian penandaan ini menimbulkan pertanyaan penting tentang bagaimana organisasi dapat tetap mengikuti perkembangan kerentanan dan memastikan bahwa mereka mengambil langkah-langkah yang tepat untuk melindungi aset digital mereka. Ini juga menyoroti pentingnya memiliki strategi keamanan siber yang proaktif dan tangguh yang tidak hanya bergantung pada satu sumber informasi.
.
Untuk informasi lebih lanjut mengenai CVE, Anda dapat merujuk ke situs resmi CVE atau aturan CNA yang disediakan oleh CVE. Sementara itu, bagi para profesional keamanan siber dan organisasi, penting untuk tetap waspada dan mencari sumber informasi alternatif untuk tetap up-to-date dengan kerentanan terbaru dan praktik terbaik dalam manajemen keamanan siber.
.
Penghentian ini berdampak signifikan karena NVD berperan sebagai repositori pemerintah AS untuk data manajemen kerentanan yang berbasis standar, yang direpresentasikan menggunakan Security Content Automation Protocol (SCAP). Data ini memungkinkan otomatisasi manajemen kerentanan, pengukuran keamanan, dan kepatuhan. Setiap kerentanan dalam NVD telah diberi pengenal CVE, yang memastikan bahwa dua pihak atau lebih dapat dengan percaya diri merujuk pada pengenal CVE ketika mendiskusikan atau berbagi informasi tentang kerentanan unik.
.
Sejak pertengahan Februari, ribuan CVE telah ditinggalkan tanpa tag yang penting. NVD hanya menandai 59 CVE sejak Februari, meninggalkan 40% CVE tahun 2024 tanpa informasi vital. Hal ini menimbulkan kekhawatiran di kalangan komunitas keamanan siber, karena tanpa penandaan yang tepat, sulit untuk melacak dan mengatasi kerentanan yang mungkin dimanfaatkan oleh penyerang.
.
Kerentanan dalam NVD didefinisikan sebagai kelemahan dalam logika komputasi (misalnya, kode) yang ditemukan dalam komponen perangkat lunak dan perangkat keras yang, ketika dimanfaatkan, menghasilkan dampak negatif terhadap kerahasiaan, integritas, atau ketersediaan. Mitigasi kerentanan biasanya melibatkan perubahan kode, tetapi juga bisa termasuk perubahan spesifikasi atau bahkan penghapusan spesifikasi (misalnya, penghapusan protokol atau fungsionalitas yang terpengaruh secara keseluruhan).
.
Penghentian penandaan ini menimbulkan pertanyaan penting tentang bagaimana organisasi dapat tetap mengikuti perkembangan kerentanan dan memastikan bahwa mereka mengambil langkah-langkah yang tepat untuk melindungi aset digital mereka. Ini juga menyoroti pentingnya memiliki strategi keamanan siber yang proaktif dan tangguh yang tidak hanya bergantung pada satu sumber informasi.
.
Untuk informasi lebih lanjut mengenai CVE, Anda dapat merujuk ke situs resmi CVE atau aturan CNA yang disediakan oleh CVE. Sementara itu, bagi para profesional keamanan siber dan organisasi, penting untuk tetap waspada dan mencari sumber informasi alternatif untuk tetap up-to-date dengan kerentanan terbaru dan praktik terbaik dalam manajemen keamanan siber.