Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Analisis firmware menampilkan kelemahan yang terdeteksi dalam komponen firmware yang diekstrak selama analisis. Sinyal ini membantu Anda memahami potensi risiko keamanan, tetapi harus ditafsirkan dengan hati-hati dan dalam konteks. Artikel ini menjelaskan bidang terkait kelemahan yang mungkin Anda lihat dalam hasil analisis firmware, bagaimana hubungannya satu sama lain, dan cara mengevaluasinya bersama-sama untuk memprioritaskan risiko secara efektif.
Nota
Kehadiran kelemahan atau CVE dalam analisis firmware tidak selalu berarti perangkat rentan. Dampak aktual tergantung pada bagaimana komponen yang terpengaruh digunakan dalam sistem.
Sinyal kelemahan dalam analisis firmware
Analisis firmware memperkaya temuan dengan beberapa sinyal standar industri. Setiap sinyal mewakili aspek risiko yang berbeda dan tidak boleh ditafsirkan dalam isolasi.
Kerentanan Umum dan Eksposur (CVE)
CVE adalah identifikator yang diungkapkan secara publik untuk kerentanan keamanan yang diketahui. Analisis firmware mengaitkan CVE dengan komponen firmware yang diekstrak saat kecocokan diidentifikasi. Satu komponen firmware mungkin dikaitkan dengan beberapa CVE, dan satu CVE mungkin muncul di beberapa perangkat atau komponen.
CVE mengidentifikasi apa masalahnya, tetapi mereka tidak menunjukkan dampak atau kemungkinan bisa dieksploitasi secara mandiri.
Untuk informasi selengkapnya tentang pengidentifikasi CVE dan program CVE, lihat dokumentasi Common Vulnerabilities and Exposures resmi yang dikelola oleh MITRE.
Skor dan versi CVSS
Analisis firmware mungkin menampilkan data Common Vulnerability Scoring System (CVSS) untuk CVE. Beberapa versi CVSS dapat muncul untuk CVE yang sama:
- CVSS v2 – penilaian lama yang digunakan oleh kerentanan lama
- CVSS v3 – standar yang diadopsi secara luas dengan metrik yang ditingkatkan
- CVSS v4 – versi lebih baru yang memperkenalkan dimensi tambahan
Kehadiran beberapa versi CVSS mencerminkan bagaimana penilaian kerentanan berkembang dari waktu ke waktu daripada beberapa kerentanan yang berbeda.
CVSS menjelaskan tingkat keparahan teknis, bukan kemungkinan eksploitasi dunia nyata.
Untuk informasi selengkapnya tentang penilaian CVSS dan perbedaan versi, lihat dokumentasi Common Vulnerability Scoring System (CVSS) resmi yang dikelola oleh FIRST.
Vektor CVSS
Selain skor numerik, CVSS menyertakan string vektor yang menjelaskan faktor-faktor yang berkontribusi pada skor, seperti:
- Tingkat akses yang diperlukan
- Kompleksitas serangan
- Dampak pada kerahasiaan, integritas, dan ketersediaan
Vektor menyediakan lebih banyak konteks seperti kondisi dan faktor dampak yang berkontribusi pada peringkat tingkat keparahan CVE.
Untuk penjelasan lengkap tentang string vektor CVSS dan arti metrik, lihat spesifikasi CVSS yang diterbitkan oleh FIRST.
Untuk contoh bagaimana skor dan vektor CVSS diterbitkan untuk CVE, lihat Database Kerentanan Nasional (NVD) NIST.
Kerentanan Eksploitasi (KEV) yang Diketahui CISA
Beberapa CVE mungkin ditandai sebagai bagian dari katalog CISA Known Exploited Vulnerabilities (KEV). Penandaan ini menunjukkan bahwa kerentanan diketahui aktif dieksploitasi dalam skenario dunia nyata.
Nota
- Status KEV mencerminkan aktivitas eksploitasi yang diamati, bukan apakah perangkat tertentu terpengaruh.
- Status KEV dalam analisis firmware saat ini adalah nilai statis, mencerminkan status database CVE analisis Firmware pada saat pemindaian dilakukan. Nilai ini tidak diperbarui secara dinamis. Untuk melihat status KEV terkini, pindai ulang citra firmware Anda.
KEV adalah sinyal kuat risiko langsung.
Untuk status KEV resmi dan panduan remediasi, lihat Katalog Kerentanan Eksploitasi yang Diketahui CISA.
Sistem Penilaian Prediksi Eksploitasi (EPSS)
Analisis firmware mungkin mencakup data EPSS, yang memperkirakan kemungkinan kerentanan akan dieksploitasi. Dua nilai terkait mungkin muncul:
- Skor EPSS – perkiraan kemungkinan eksploitasi berdasarkan tren yang diamati di seluruh ekosistem kerentanan
- Persentil EPSS – bagaimana probabilitas tersebut dibandingkan dengan kerentanan lain
Nilai-nilai ini memberikan konteks risiko komparatif tetapi tidak menjamin eksploitasi.
Untuk memfilter menurut EPSS di portal Microsoft Azure, tentukan skor EPSS dalam bentuk desimal (misalnya, untuk skor >50%EPSS , filter untuk >0.5).
Peringkat persentil sering lebih berguna secara operasional, karena menunjukkan bagaimana peringkat CVE relatif terhadap ekosistem kerentanan yang lebih luas.
Nota
- Nilai EPSS saat ini adalah nilai statis, mencerminkan status database CVE analisis Firmware pada saat pemindaian dilakukan. Nilai ini tidak diperbarui secara dinamis. Untuk melihat status EPSS paling up-to-date, pindai ulang citra firmware Anda.
EPSS menyediakan sinyal kemungkinan berwawasan ke depan, bukan jaminan eksploitasi.
Untuk detail tentang cara menghitung skor dan persentil EPSS, lihat dokumentasi Sistem Penilaian Prediksi Eksploitasi yang dikelola oleh FIRST.
Enumerasi Kelemahan Umum (CWE)
CWE mewakili kelas kelemahan yang mendasar (misalnya, buffer overflow atau validasi input yang tidak tepat) yang menyebabkan kerentanan, bukan instans kerentanan tertentu. Pengidentifikasi CWE memberikan lebih banyak konteks dengan menjelaskan mengapa kerentanan ada, bukan hanya di mana itu terjadi.
Pengidentifikasi CWE bersifat informasi dan harus digunakan untuk memahami akar penyebab daripada memprioritaskan sendiri.
Nota
Data CWE mencerminkan klasifikasi kelemahan standar yang ditentukan oleh proyek Enumerasi Kelemahan Umum MITRE. Pengidentifikasi CWE bersifat informasional dan tidak menunjukkan eksploitasi atau dampak pada perangkat atau gambar firmware tertentu sendirinya.
Untuk informasi selengkapnya tentang definisi dan klasifikasi CWE, lihat dokumentasi resmi MITRE CWE.
Mengeksploitasi kematangan
Kematangan eksploitasi menjelaskan status ketersediaan eksploitasi saat ini untuk kerentanan, seperti:
- Belum Terbukti
- Pembuktian Konsep
- Eksploit fungsional
- Eksploitasi yang dipersenjatai
Ketika ada, informasi kematangan eksploitasi biasanya muncul bersama penilaian CVSS v4, dan dijelaskan dalam spesifikasi CVSS yang dikelola oleh FIRST.
Menggunakan data kelemahan secara bersama
Setiap sinyal kelemahan mewakili perspektif yang berbeda:
- CVE - Apa kerentanannya
- CVSS - Tingkat keparahan dan dampak teknis
- KEV - Bukti eksploitasi aktif
- EPSS - Kemungkinan eksploitasi jangka dekat
- Kematangan eksploitasi - Ketersediaan teknik eksploitasi
- CWE - Kategori kelemahan yang mendasar
Mengevaluasi sinyal ini bersama-sama memberikan pemahaman yang lebih lengkap tentang potensi risiko daripada mengandalkan bidang tunggal apa pun.
Urutan evaluasi yang direkomendasikan untuk prioritas
Prioritas efektif membutuhkan lebih dari penilaian tingkat keparahan. Model terstruktur berikut menggambarkan bagaimana data kelemahan dapat dievaluasi secara holistik. Pendekatan ini adalah panduan, bukan seperangkat aturan preskriptif.
Verifikasi status eksploitasi (KEV)
- Perlakukan kelemahan yang tercantum dalam daftar KEV sebagai prioritas tertinggi.
- Jangan menurunkan tingkat item KEV berdasarkan skor CVSS saja
Eksploitasi yang dikonfirmasi harus dievaluasi sebelum metrik penilaian apa pun.
Menilai kematangan eksploitasi
- Tingkatkan prioritas untuk kelemahan dengan eksploitasi fungsional atau persenjataan
- Menggabungkan kematangan eksploitasi dengan karakteristik paparan
Ketersediaan eksploit meningkatkan risiko di dunia nyata.
Mengevaluasi kemungkinan eksploitasi (EPSS)
- Gunakan EPSS untuk membedakan antara kerentanan dengan tingkat keparahan yang sama
- Peringkat persentil sering lebih dapat ditindak lanjuti daripada skor mentah
- Gabungkan EPSS dengan KEV dan eksploitasi kematangan
EPSS menambahkan konteks probabilistik untuk memprioritaskan keputusan.
Nota
Untuk memfilter menurut EPSS di portal Microsoft Azure, tentukan skor EPSS dalam bentuk desimal (misalnya, untuk skor
>50%EPSS , filter untuk>0.5).Meninjau vektor serangan dan kerentanan
Dari vektor CVSS, pertimbangkan:
- Kerentanan yang dapat diakses jaringan vs. akses lokal atau fisik
- Persyaratan autentikasi dan interaksi pengguna
- Apakah komponen atau layanan yang terpengaruh terekspos dalam penyebaran
Kerentanan mungkin tampak parah tetapi menunjukkan risiko yang berkurang jika tidak dapat dijangkau dalam praktiknya
Menilai tingkat keparahan dampak teknis (CVSS)
Gunakan CVSS untuk memahami dampak jika eksploitasi berhasil, bukan kemungkinan:
- Tingkat keparahan Tinggi atau Kritis: prioritaskan jika paparan atau kemungkinan sedang atau lebih tinggi.
- Tingkat keparahan sedang: prioritaskan berdasarkan sinyal eksploitasi dan paparan
- Tingkat keparahan rendah: menjadi prioritas rendah kecuali terdapat eksploitasi aktif atau eksposur tinggi
Jika kemungkinan serupa, atasi kerentanan yang berdampak lebih tinggi terlebih dahulu.
Mengevaluasi dampak bisnis (menilai kekritisan)
Kekritisan aset mencerminkan konteks organisasi dan mencakup:
- Apakah sistem adalah infrastruktur produksi atau inti
- Potensi dampak operasional, keselamatan, atau kepatuhan
Dampak bisnis memengaruhi urgensi tetapi tidak mengubah mekanisme kerentanan.
Pertimbangkan untuk memperbaiki ketersediaan
Kelayakan remediasi memengaruhi perencanaan eksekusi:
- Ketersediaan pembaruan patch atau firmware
- Tingkatkan kompleksitas
- Mitigasi yang tersedia
Ketersediaan perbaikan harus menginformasikan penjadwalan, tetapi tidak boleh lebih diutamakan daripada bukti eksploitasi.
Pertimbangan penting
Selalu tafsirkan data kelemahan dalam konteks bersamaan dengan data atau faktor lain:
- Peran dan paparan perangkat
- Konfigurasi sistem
- Penggunaan firmware dalam platform
Nota
Analisis firmware mengidentifikasi potensi risiko berdasarkan konten firmware yang diekstrak. Ini tidak menentukan apakah kerentanan dapat dijangkau, dapat dieksploitasi, atau berdampak dalam penyebaran tertentu.
Langkah berikutnya
Untuk mempelajari selengkapnya tentang cara analisis firmware mengekstrak dan menyajikan data komponen, lihat Menginterpretasikan jalur ekstraktor dari tampilan SBOM dalam analisis firmware.