CVSS Dijelaskan: Bagaimana Kami Menilai Tingkat Keparahan Kerentanan
CVSS — Common Vulnerability Scoring System — adalah cara standar industri yang terbuka untuk menilai seberapa parah sebuah kerentanan, pada skala 0 sampai 10. Skor diturunkan secara transparan dari sekumpulan metrik yang menggambarkan bagaimana sebuah kelemahan dieksploitasi dan apa dampaknya, lalu dipublikasikan sebagai angka sekaligus vector string sehingga siapa pun bisa melihat bagaimana skor itu dicapai. Kami menilai setiap temuan dalam sebuah penetration test dengan CVSS agar tim Anda dapat memprioritaskan secara objektif — tetapi angka itu adalah awal pembicaraan, bukan akhirnya.
Jika Anda pernah membuka laporan keamanan dan bertanya-tanya mengapa satu isu adalah “9.8 Critical” dan yang lain “5.3 Medium,” panduan ini menjelaskan persis bagaimana angka itu dibangun dan cara membacanya.
Mengapa standar diperlukan
Sebelum CVSS, tiap vendor dan penguji menilai keparahan dengan caranya sendiri, dan “high” berarti hal berbeda di tiap laporan. CVSS, yang dikelola FIRST.org (Forum of Incident Response and Security Teams), memperbaiki itu dengan membuat keparahan dapat direproduksi: kerentanan yang sama, dinilai dua analis berbeda, menghasilkan angka yang sama, karena inputnya eksplisit dan perhitungannya tetap. Keterbandingan itulah intinya — ia memungkinkan Anda menumpuk temuan dari alat, vendor, dan tahun yang berbeda pada satu skala.
Bagaimana skor dibangun: vector string
Skor CVSS bukan firasat; ia dihitung dari vector string — satu baris ringkas yang mencatat setiap keputusan yang membentuk angka tersebut. Contoh kasus terburuk klasik tampak seperti ini:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H → 9.8, Critical
Tiap segmen adalah metrik. Yang terpenting di grup Base adalah:
- Attack Vector (AV) — seberapa dekat penyerang harus berada.
N(Network) berarti dapat dieksploitasi dari mana saja di internet; nilai lain adalah Adjacent, Local, dan Physical. Kelemahan yang terjangkau jaringan mendapat skor tertinggi. - Attack Complexity (AC) — seberapa banyak hal yang harus selaras agar eksploit berhasil.
L(Low) berarti langsung jalan;H(High) berarti bergantung pada kondisi di luar kendali penyerang. - Privileges Required (PR) — akses apa yang dibutuhkan penyerang lebih dulu.
N(None) adalah kasus terburuk;LatauHmemerlukan akun yang sudah ada. - User Interaction (UI) — apakah korban harus melakukan sesuatu (mengeklik tautan, membuka berkas).
N(None) berarti sepenuhnya otomatis. - Scope / Attack Requirements — apakah dampak tetap dalam komponen yang rentan atau menjalar memengaruhi sistem lain.
- Confidentiality, Integrity, Availability (C/I/A) — kerusakan sebenarnya: bisakah penyerang membaca data, mengubah data, atau membuat sistem tumbang?
H/H/Hadalah dampak total.
Baca contoh di atas dengan bahasa sederhana: dapat dieksploitasi dari internet, tanpa kondisi khusus, tanpa privilege, dan tanpa interaksi pengguna, mengakibatkan kompromi penuh atas kerahasiaan, integritas, dan ketersediaan data. Itulah mengapa skornya 9.8 — kira-kira separah yang bisa terjadi.
Apa arti angkanya
CVSS memetakan skor 0–10 ke lima pita kualitatif agar non-spesialis bisa melakukan triase sekilas:
| Skor | Keparahan |
|---|---|
| 0.0 | None |
| 0.1 – 3.9 | Low |
| 4.0 – 6.9 | Medium |
| 7.0 – 8.9 | High |
| 9.0 – 10.0 | Critical |
Dalam laporan, temuan Critical dan High adalah yang harus diperbaiki lebih dulu — biasanya merupakan isu berdampak tinggi yang dapat dieksploitasi dari jarak jauh. Temuan Medium umumnya memerlukan suatu prasyarat atau memberi dampak parsial, dan temuan Low bersifat minor atau sulit dieksploitasi. Pita ini mengubah skor teknis menjadi keputusan prioritas yang dapat langsung ditindaklanjuti tim Anda.
Melampaui Base: Threat/Temporal dan Environmental
Skor Base mengukur keparahan intrinsik kerentanan, dengan asumsi lingkungan generik. CVSS punya dua grup metrik lanjutan yang menyesuaikannya dengan kenyataan:
- Threat / Temporal — memperhitungkan kondisi dunia saat ini: apakah ada eksploit publik yang berfungsi, apakah sedang aktif dieksploitasi di alam liar? Kelemahan dengan eksploit terpersenjatai lebih mendesak daripada yang teoretis.
- Environmental — menyesuaikan skor untuk penerapan spesifik Anda. Kerentanan yang sama lebih parah pada server yang menyimpan basis data pelanggan dibanding pada mesin uji terisolasi, dan metrik ini membuat skor mencerminkan hal itu.
Inilah nuansa krusialnya: skor Base tidak mengenal bisnis Anda. Skor 7.5 pada sistem tanpa data sensitif mungkin lebih tidak penting bagi Anda dibanding 5.3 pada layanan autentikasi Anda. Kami melaporkan skor Base standar untuk keterbandingan, lalu menambahkan konteks environmental dan penjelasan tertulis agar Anda memprioritaskan berdasarkan risiko nyata.
CVSS 3.1 vs 4.0
Anda akan menjumpai kedua versi. CVSS 3.1 masih standar yang paling banyak dirujuk. CVSS 4.0 (2023) menyempurnakan model: ia mengganti metrik Scope yang sering disalahpahami dengan Attack Requirements yang lebih jelas, membuat User Interaction lebih presisi, memisahkan dengan rapi dampak pada sistem yang rentan dari dampak pada sistem berikutnya di hilir, dan menambah Supplemental metrics — konteks tambahan seperti apakah eksploitasi dapat diotomasi atau seberapa sulit pemulihan — yang menginformasikan keputusan tanpa mengubah angka inti. Keduanya menyatakan keparahan pada skala 0–10 yang sama, sehingga tetap dapat dibandingkan untuk prioritas.
Mengapa kami menilai, dan mengapa itu bukan kata terakhir
Kami melampirkan skor CVSS dan vector string lengkap pada setiap temuan karena dua alasan: ia membuat laporan kami objektif dan dapat dibandingkan — Anda bisa melihat persis mengapa sebuah peringkat sebagaimana adanya — dan ia memberi tim Anda urutan prioritas yang instan dan dapat dipertanggungjawabkan. Tetapi skor adalah model, bukan vonis. Laporan keamanan yang paling berguna memadukan angka standar dengan penjelasan berbahasa sederhana tentang apa arti isu itu bagi Anda, beserta perbaikan konkret. Kombinasi itu — lihat metodologi kami untuk cara kami menyusunnya — adalah yang mengubah peringkat keparahan menjadi tindakan.
Untuk cara kami menjalankan asesmen penuh dan apa isi laporannya, lihat penetration testing aplikasi web dan jenis-jenis penetration testing.
Kesimpulan
CVSS adalah bahasa bersama untuk keparahan kerentanan: skor 0–10 yang transparan, dibangun dari vector metrik yang eksplisit, yang memungkinkan semua orang memprioritaskan pada skala yang sama. Baca pitanya untuk triase, baca vectornya untuk memahami mengapa, dan baca konteks penguji untuk tahu apa artinya bagi bisnis Anda. Angka memberi tahu seberapa buruk sebuah kelemahan secara umum; konteks memberi tahu seberapa buruk ia bagi Anda.
Ingin temuan dinilai dan dijelaskan sejelas ini? Hubungi kami.
Pertanyaan yang sering diajukan
Apa itu CVSS? add
CVSS (Common Vulnerability Scoring System) adalah kerangka standar industri terbuka — dikelola oleh FIRST.org — untuk menilai tingkat keparahan kerentanan keamanan pada skala 0 sampai 10. Skor dihitung dari sekumpulan metrik transparan yang menggambarkan bagaimana kerentanan dieksploitasi dan apa dampaknya, dan dinyatakan sebagai angka sekaligus vector string yang dapat dibaca manusia, sehingga dua analis yang menilai kerentanan yang sama menghasilkan hasil yang sama.
Apa arti peringkat keparahan CVSS? add
CVSS memetakan skor 0–10 ke lima pita kualitatif: None (0.0), Low (0.1–3.9), Medium (4.0–6.9), High (7.0–8.9), dan Critical (9.0–10.0). Temuan Critical umumnya dapat dieksploitasi dari jarak jauh tanpa privilege atau interaksi pengguna dan berdampak penuh pada data — jenis yang harus segera diperbaiki. Temuan Low berdampak terbatas atau punya prasyarat berat. Pita ini memungkinkan non-spesialis memprioritaskan sekilas pandang.
Apa perbedaan CVSS 3.1 dan 4.0? add
CVSS 4.0, dirilis 2023, menyempurnakan model 3.1. Ia mengganti metrik Scope yang sering membingungkan dengan Attack Requirements yang lebih jelas, memecah interaksi pengguna menjadi nilai yang lebih presisi, memisahkan skor untuk sistem yang rentan dari sistem hilir berikutnya, dan menambah Supplemental metrics (seperti eksploitasi yang dapat diotomasi dan upaya pemulihan) untuk konteks lebih kaya. Keduanya masih dipakai aktif; 3.1 tetap versi yang paling banyak dirujuk sementara adopsi 4.0 terus tumbuh.
Apakah skor CVSS tinggi selalu yang paling mendesak diperbaiki? add
Tidak selalu. Skor Base CVSS mengukur keparahan intrinsik kerentanan secara terisolasi — ia tidak tahu apakah sistem terdampak menyimpan data mahkota Anda atau berada di segmen internal yang terisolasi. Untuk itulah metrik Environmental dan analisis dampak tertulis dari penguji ada. Kami melaporkan skor standar untuk keterbandingan, lalu menambah konteks agar Anda memprioritaskan berdasarkan risiko bisnis nyata, bukan sekadar angka.