NIST Persempit Fokus Analisis CVE Demi Atasi Lonjakan Kerentanan di NVD
Baca dalam 60 detik
- Badan federal AS, NIST, mempersempit ruang lingkup analisis kerentanan (CVE) pada database NVD mereka karena kewalahan menghadapi lonjakan laporan tahunan yang ekstrem.
- Analisis kini hanya diprioritaskan pada kerentanan yang masuk dalam katalog CISA, perangkat lunak pemerintah federal, serta perangkat lunak kritis lainnya.
- Para pakar keamanan siber menilai langkah ini tidak terhindarkan karena dari puluhan ribu celah keamanan yang dilaporkan setiap tahunnya, hanya sekitar 1 persen yang benar-benar dieksploitasi oleh peretas di dunia nyata.
National Institute of Standards and Technology (NIST) Amerika Serikat resmi mengumumkan bahwa mereka akan mempersempit prioritas analisis untuk National Vulnerability Database (NVD). Langkah drastis ini diambil karena badan federal tersebut kewalahan menghadapi gelombang laporan celah keamanan atau kerentanan (CVE) yang terus melonjak tajam setiap tahunnya.
Fakta Kunci Kebijakan Baru NIST:
- Fokus Prioritas Baru: Analisis kini hanya difokuskan secara khusus pada CVE yang muncul di katalog kerentanan yang dieksploitasi (KEV) milik CISA, perangkat lunak yang digunakan pemerintah federal, dan perangkat lunak kritis sesuai Perintah Eksekutif 14028.
- Lonjakan Laporan Ekstrem: Tahun lalu NIST menganalisis hampir 42.000 kerentanan. Jumlah pengajuan CVE meroket 263% dari 2020 hingga 2025, dan pengajuan pada kuartal pertama 2026 tercatat hampir sepertiga lebih tinggi dari periode yang sama tahun lalu.
- Penghapusan Skor Ganda: Untuk mengurangi duplikasi pekerjaan, CVE yang diajukan dengan peringkat keparahan oleh CNA (CVE Numbering Authorities) tidak akan lagi menerima skor CVSS terpisah dari NIST.
Perubahan kebijakan ini bertujuan untuk mencapai keberlanjutan jangka panjang dan menstabilkan program NVD. Sebelumnya, program ini sempat menghadapi tantangan berat, salah satunya masalah kekurangan pendanaan pada awal 2024 yang memaksa NIST menghentikan sementara penyediaan metadata utama. Hal tersebut menciptakan tumpukan pekerjaan (backlog) besar yang belum terselesaikan hingga kini.
"Mereka harus melakukan sesuatu. NIST sangat tertinggal dalam mengklasifikasikan CVE dan kemungkinan besar tidak akan pernah bisa mengejarnya. Entah ini tugas yang sangat berat atau sia-sia, bagaimanapun juga, mereka dipersiapkan untuk gagal di bawah sistem sebelumnya. Perubahan ini memungkinkan mereka untuk memprioritaskan pekerjaan mereka," ungkap Dustin Childs, Kepala Kesadaran Ancaman di Zero Day Initiative Trend Micro.
Realitas Eksploitasi di Dunia Nyata
Banyak pakar keamanan siber dan pemburu ancaman memandang pendekatan baru NIST ini sebagai sesuatu yang tidak terhindarkan. Hal ini juga menyoroti masalah mendasar tentang urgensi dan prioritas ancaman dalam komunitas keamanan:
| Aspek Kerentanan | Data & Dampak Analisis (VulnCheck) |
|---|---|
| Total Kerentanan (2025) | Terdapat lebih dari 40.000 kerentanan baru yang diterbitkan dan dikatalogkan sepanjang tahun lalu. |
| Tingkat Eksploitasi Nyata | Hanya sekitar 1 persen (tepatnya 422 kerentanan) dari total cacat tersebut yang benar-benar terbukti dieksploitasi di dunia nyata. |
| Dampak bagi Pengguna NVD | Kerentanan di luar kategori prioritas tetap akan dicantumkan di NVD, namun tidak akan diperkaya secara otomatis dengan detail teknis tambahan. Hal ini akan mendorong organisasi untuk mencari sumber alternatif dari perusahaan swasta. |
NIST menyadari bahwa perubahan ini akan berdampak besar pada pengguna layanan mereka, namun pendekatan berbasis risiko ini dinilai mutlak diperlukan agar NVD tetap dapat bertahan sebagai sumber informasi kerentanan keamanan siber yang andal, berkelanjutan, dan tersedia untuk publik di tengah tsunami celah keamanan digital masa kini.
