National Institute of Standards and Technology Amerika Serikat, mereformasi lengkap basis data kerentanan operasional… Memperkuat mulai dari “CVE berisiko tinggi”

Institut Standar dan Teknologi Nasional Amerika Serikat(NIST) telah melakukan penyesuaian besar dalam cara pengelolaan basis data kerentanan nasional(NVD). Mulai sekarang, tidak lagi melakukan analisis massal terhadap semua pengungkapan kerentanan umum(CVE) yang diterima, melainkan beralih ke sistem “penyaringan berbasis risiko” yang memprioritaskan kerentanan dengan risiko nyata yang lebih tinggi.

Langkah ini diambil karena lonjakan jumlah pengajuan CVE yang sulit ditangani dengan metode yang ada. Menurut NIST, dari tahun 2020 hingga 2025, jumlah pengajuan CVE meningkat sebesar 263%, dan kuartal pertama 2026 juga meningkat sekitar sepertiga dibandingkan periode yang sama tahun lalu. NIST menjelaskan bahwa meskipun pada tahun 2025 telah memperkuat sekitar 42.000 CVE, meningkat 45% dari tahun sebelumnya, hal ini masih belum cukup mengikuti kecepatan pertumbuhan.

Mulai analisis dari “kerentanan paling berbahaya” ke depan

Berdasarkan standar baru, NIST hanya akan memprioritaskan CVE yang memenuhi tiga kriteria untuk dilakukan “penguatan lengkap”. Termasuk: tercantum dalam daftar “kerentanan yang diketahui dimanfaatkan” dari Badan Keamanan Siber dan Infrastruktur AS(CISA); mempengaruhi perangkat lunak yang digunakan oleh pemerintah federal AS; dan mempengaruhi produk terkait " perangkat lunak penting" dalam Perintah Eksekutif No. 14028.

Secara khusus, untuk kerentanan yang masuk daftar KEV dari CISA, targetnya adalah menyelesaikan penguatan dalam satu hari kerja setelah pengajuan. Sementara CVE yang tidak termasuk dalam daftar ini akan tetap didaftarkan di NVD, tetapi akan diklasifikasikan sebagai “jadwal belum ditentukan”. Dalam kasus ini, skor risiko dan informasi produk yang menjadi acuan tim keamanan saat menentukan prioritas patch tidak akan otomatis ditambahkan.

Membersihkan pekerjaan tertunda sejak 2024

NIST juga berencana membersihkan pekerjaan tertunda sejak awal 2024. Secara prinsip, CVE yang sudah dipublikasikan di NVD tetapi belum diperkuat sebelum 1 Maret 2026 akan dipindahkan ke kategori “jadwal belum ditentukan”. Namun, kerentanan yang sudah masuk daftar KEV tidak termasuk dalam pembersihan ini.

Beberapa proses juga akan disederhanakan. Jika lembaga pemberi nomor CVE(CNA) telah menyediakan skor risiko sendiri, NIST tidak akan menghitung skor yang sama lagi. Selain itu, CVE yang telah diubah tidak akan dianalisis ulang setiap kali diperbarui, kecuali perubahan tersebut secara substansial mempengaruhi data penguatan.

AI disebut sebagai penyebab lonjakan laporan kerentanan

Meskipun NIST tidak secara langsung menyebutkan bahwa kecerdasan buatan(AI) adalah penyebabnya, industri menganggap AI sebagai salah satu faktor utama yang mendorong tren peningkatan CVE. Co-founder dan CEO perusahaan deteksi dan respons ancaman identitas SlashID, Vinsenzo Yojio, mengatakan: “Laporan kerentanan yang diverifikasi yang ditemukan oleh AI meningkat secara tajam,” dan “Beberapa analisis menyebutkan bahwa jumlah kerentanan yang dilaporkan tahun lalu saja meningkat lebih dari dua kali lipat.”

Dia menilai perubahan kebijakan ini sebagai “penyesuaian yang masuk akal, karena kategori terpenting tetap akan diproses.” Dan memprediksi, seiring peningkatan performa model bahasa besar(LLM), organisasi akan mampu menilai prioritas dan latar belakang kerentanan secara mandiri sesuai lingkungan mereka, sehingga ketergantungan terhadap ‘penguatan CVE’ dari luar akan berkurang secara bertahap.

“Sekarang tidak bisa lagi hanya menunggu skor CVE”

Chief Technology Officer RunSafe Security, Shane Fleay, menunjukkan bahwa pengumuman ini mengirim sinyal yang jelas ke industri. Ia mengatakan: “Ini menandai berakhirnya era menunggu skor CVE untuk menanggapi kerentanan.”

Fleay menekankan bahwa mengingat sifat ketidaklengkapan visibilitas kerentanan, perusahaan dan lembaga tidak boleh hanya bergantung pada satu basis data, melainkan harus menggabungkan berbagai sumber informasi kerentanan untuk membuat penilaian yang lebih akurat. Ia menambahkan, juga harus membangun sistem pertahanan yang mampu mencegah eksploitasi bahkan sebelum patch atau penilaian resmi dirilis, dengan asumsi bahwa mungkin ada kerentanan yang belum dipublikasikan dalam perangkat lunak.

Reformasi ini lebih mendekati perubahan struktur pasar daripada sekadar penyesuaian administratif. Dalam lingkungan lonjakan kerentanan, metode analisis mendalam yang sama untuk semua proyek sudah mencapai batasnya, dan NIST akhirnya beralih ke pendekatan yang berpusat pada “prioritas”. Dalam praktik keamanan, di masa depan, kemampuan untuk melakukan penilaian cepat berdasarkan intelijen ancaman dan kondisi aset akan menjadi lebih penting daripada sekadar menunggu penilaian dari NVD.