Security

NIST Berhenti Beri Peringkat pada Kerentanan Non-Prioritas Akibat Lonjakan Volume

10 hours ago
2 minutes read

Institut Nasional Standar dan Teknologi Amerika Serikat (NIST) mengumumkan akan berhenti memberikan skor tingkat keparahan (severity scores) untuk kerentanan berprioritas rendah. Keputusan drastis ini diambil akibat beban kerja sistem yang membengkak seiring dengan lonjakan volume pengiriman celah keamanan baru.

Mulai tanggal 15 April 2026, layanan ini hanya akan menganalisis dan memberikan detail tambahan—seperti peringkat keparahan (CVSS) dan daftar produk yang terdampak—untuk masalah keamanan yang memenuhi kriteria risiko spesifik.

Basis Data Kerentanan Nasional (NVD) akan tetap mencantumkan semua kerentanan yang dilaporkan. Namun, bagi celah yang dianggap berprioritas rendah, peringkat keparahannya hanya akan bergantung pada penilaian dari Otoritas Penomoran CVE (CNA) awal yang mengevaluasi dan mengirimkannya.

Kriteria Baru Pengayaan NVD

Dalam pengumumannya minggu ini, agensi federal non-regulasi tersebut menyatakan hanya akan memberikan detail tambahan (enrichment) untuk kerentanan yang memenuhi salah satu kriteria ketat berikut:

  • Masuk dalam katalog Kerentanan yang Diketahui Dieksploitasi (KEV) milik CISA.
  • Memengaruhi perangkat lunak yang digunakan oleh pemerintah federal Amerika Serikat.
  • Melibatkan perangkat lunak penting/kritis sesuai dengan amanat Perintah Eksekutif (EO) 14028.

Alasan di Balik Kebijakan Baru

NIST menjelaskan bahwa manuver ini murni didorong oleh membludaknya jumlah pengiriman laporan celah keamanan, yang baru-baru ini melonjak tajam hingga 263% dan terus berakselerasi pada tahun 2026.

Sebagai perbandingan, organisasi ini telah berhasil memperkaya 42.000 data CVE pada tahun 2025 lalu. Sayangnya, mereka kini tidak lagi mampu mengimbangi dan memproses peningkatan volume yang sangat masif tersebut dengan sumber daya yang ada.

NVD milik NIST merupakan basis data publik terpusat yang sangat krusial bagi industri keamanan siber. Fungsinya adalah memperkaya informasi celah keamanan di luar pengidentifikasi unik (ID CVE) standar yang ditetapkan oleh CNA (seperti vendor atau The MITRE Corporation). Pengayaan detail ini, yang mencakup penugasan skor keparahan, klasifikasi kelemahan, dan tautan tambalan, sangat penting agar entri CVE dapat digunakan secara praktis untuk manajemen risiko oleh peneliti, vendor, hingga profesional TI.

Dampak dan Mekanisme Pengecualian

“Semua CVE yang dikirimkan akan tetap ditambahkan ke NVD. Namun, data yang tidak memenuhi kriteria di atas akan dikategorikan sebagai ‘Not Scheduled’ (Tidak Dijadwalkan),” urai NIST.

“Ini akan memungkinkan kami untuk berfokus pada CVE dengan potensi dampak luas yang paling besar. Meskipun CVE yang tidak memenuhi kriteria ini mungkin memiliki dampak signifikan pada sistem yang terdampak, mereka umumnya tidak menghadirkan tingkat risiko sistemik yang sama dengan kategori yang diprioritaskan.”

NIST menyadari bahwa aturan pemfilteran baru ini mungkin saja secara tidak sengaja melewatkan beberapa CVE yang berpotensi berdampak tinggi. Oleh karena itu, agensi tersebut membuka jalur pengecualian dengan menerima permintaan pengayaan untuk “CVE berprioritas terendah apa pun” melalui pesan email ke [email protected].

Gejala penundaan dan kurangnya pengayaan data di NVD ini sebenarnya telah dikeluhkan oleh komunitas keamanan sejak tahun 2024, namun organisasi tersebut baru secara resmi mengesahkan kebijakan pembatasan fokus mereka saat ini.

Tags
10 hours ago
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button