Industri keamanan siber sedang menghadapi krisis persepsi yang sistemik. Selama bertahun-tahun, banyak organisasi mengandalkan Common Vulnerability Scoring System (CVSS) untuk memprioritaskan hal-hal yang perlu diperbaiki. Namun, pelanggaran tingkat tinggi baru-baru ini—terutama “Operasi Lunar Peek”—telah mengungkap kelemahan fatal: CVSS menilai kerentanan secara terpisah, sementara penyerang mengeksploitasinya secara berantai.
Ketika tim keamanan memperlakukan setiap kerentanan sebagai titik data yang berdiri sendiri, mereka menciptakan titik buta (blind spot) yang semakin mahir dieksploitasi oleh aktor-aktor negara.
Studi Kasus Palo Alto: Kegagalan Logika
Selama Operasi Lunar Peek pada bulan November 2024, penyerang memperoleh akses root ke lebih dari 13.000 antarmuka manajemen Jaringan Palo Alto. Pelanggaran besar-besaran ini dimungkinkan dengan “merangkai” dua kerentanan spesifik:
- CVE-2024-0012: Bypass autentikasi (mendapat nilai tinggi pada 9,3).
- CVE-2024-9474: Cacat eskalasi hak istimewa (skornya lebih rendah di 6,9).
Karena kelemahan kedua diberi skor yang relatif rendah, kelemahan ini berada di bawah ambang batas patch perusahaan. Selain itu, karena kelemahan eskalasi secara teknis memerlukan “akses admin” agar dapat berfungsi, hal ini dianggap sebagai prioritas rendah. Kesalahan fatal adalah kegagalan untuk menyadari bahwa kerentanan pertama memberikan akses admin yang kedua diperlukan.
Seperti yang dicatat oleh Adam Meyers, SVP Counter Adversary Operations di CrowdStrike, logika triase sering kali mengalami bentuk “amnesia”, yang memperlakukan ancaman yang terhubung sebagai peristiwa yang tidak terhubung.
5 Titik Buta Kritis dalam Manajemen Kerentanan Modern
Kesenjangan antara tingkat keparahan teoritis (CVSS) dan risiko di dunia nyata semakin besar karena lima kelas ancaman yang terus berkembang:
1. Rantai Kerentanan
Seperti yang terlihat pada Palo Alto, penyerang tidak menyerang satu bug dalam satu waktu. Mereka menggabungkan bug risiko “menengah” dengan bug risiko “tinggi” untuk menciptakan bencana “kritis”. Jika proses triase Anda hanya melihat skor individual, Anda akan selalu kehilangan efek gabungannya.
2. Perlombaan Senjata
Peluang pertahanan semakin mengecil. Data dari Laporan Ancaman Global CrowdStrike 2026 menunjukkan bahwa musuh-musuh China-nexus dapat mempersenjatai kerentanan yang baru ditambal dalam dua hingga enam hari. Dengan rata-rata “waktu breakout” penyerang hanya 29 menit, model tradisional “Patch Tuesday” sudah ketinggalan zaman.
3. Resiko “Penimbunan”.
Aktor-aktor negara sering kali menyimpan kerentanan yang diketahui (CVE) selama bertahun-tahun, menunggu saat yang tepat untuk menyerang. Dalam kasus serangan “Salt Typhoon”, perangkat Cisco disusupi menggunakan kerentanan yang telah ditambal selama lebih dari setahun. CVSS tidak memperhitungkan paparan “penuaan”, yang berarti kerentanan yang belum ditambal selama 14 bulan ditangani dengan urgensi yang sama seperti yang ditemukan kemarin.
4. Kesenjangan Identitas
Tidak semua kerentanan berbasis kode. Panggilan rekayasa sosial ke pusat bantuan dapat melewati jutaan dolar keamanan perangkat lunak tanpa satu pun CVE dikeluarkan. Selain itu, ketika sistem Agentic AI mulai beroperasi dengan token dan izin API mereka sendiri, sistem tersebut menciptakan “permukaan identitas” baru yang tidak dapat dilihat oleh pemindai perangkat lunak tradisional.
5. Ledakan Penemuan Berbasis AI
Banyaknya kerentanan sedang mencapai titik puncaknya. Dengan peningkatan pengungkapan CVE sebesar lebih dari 20% setiap tahunnya, dan model AI seperti Claude dari Anthropic yang mampu menemukan bug dalam skala besar dan berbiaya rendah, industri ini bersiap menghadapi “tsunami kerentanan”. Jika AI mendorong peningkatan penemuan sebesar 10x, infrastruktur pengelolaan patch yang ada saat ini akan runtuh.
Rencana Aksi Strategis untuk Pemimpin Keamanan
Untuk beralih dari patching reaktif ke pertahanan proaktif, organisasi harus mengembangkan model tata kelola mereka:
- Audit untuk Rantai: Jangan hanya melihat CVE individual. Lakukan “audit ketergantungan rantai” pada semua Kerentanan yang Diketahui dan Dieksploitasi (KEV). Jika bypass autentikasi dan kelemahan eskalasi hak istimewa ada pada sistem yang sama, keduanya harus diperlakukan sebagai satu prioritas penting.
- Mempercepat SLA: Untuk sistem yang terhubung ke internet, beralihlah ke jendela patch 72 jam untuk KEV. Siklus mingguan tidak lagi cukup untuk melawan kecepatan terobosan modern.
- Lacak “Usia Kerentanan”: Memberikan laporan kepada dewan yang menunjukkan tidak hanya apa yang belum ditambal, namun juga berapa lama hal tersebut telah ditambal. Paparan penuaan adalah target utama bagi para aktor yang canggih.
- Menyatukan Identitas dan Tata Kelola Perangkat Lunak: Integrasikan protokol autentikasi layanan bantuan dan manajemen kredensial AI ke dalam saluran pelaporan kerentanan standar Anda.
Kesimpulan: Mengandalkan skor CVSS saja akan menciptakan rasa aman yang palsu. Ketahanan sejati memerlukan peralihan dari “mencari kesalahan” menjadi “menganalisis jalur serangan,” yang memperhitungkan kecepatan, skala, dan keterhubungan eksploitasi modern.
