Mengungkap VISS: pendekatan revolusioner dalam penilaian dampak kerentanan

Dalam upaya membentuk kembali lanskap penilaian kerentanan dan penanganan insiden, kami dengan senang hati mengumumkan ketersediaan umum dari proyek open-source inovatif kami: Vulnerability Impact Scoring System, atau VISS. Sistem ini dikembangkan selama setahun terakhir dengan tujuan meningkatkan langkah-langkah keamanan untuk menciptakan dunia digital yang lebih aman melalui pendekatan penilaian kerentanan kami yang mutakhir. VISS menyediakan UI berbasis web yang mudah digunakan dan algoritma canggih yang memprioritaskan dampak nyata yang ditunjukkan daripada kemungkinan dampak keamanan teoretis.

Sementara sistem penilaian tradisional seperti Common Vulnerability Scoring System (CVSS) berfokus pada sudut pandang penyerang dan skenario terburuk, VISS mengambil pendekatan yang berbeda. VISS melengkapi CVSS dengan menawarkan sistem penilaian unik yang meningkatkan kemampuan respons insiden. Dengan mengukur dampak kerentanan secara obyektif dari sudut pandang pertahanan, VISS dapat mendasarkan evaluasinya pada eksploitasi yang ditunjukkan secara bertanggung jawab, bukan pada ancaman teoretis. 

Sejak Maret 2023, Zoom telah menggunakan sistem penilaian inovatif ini untuk menilai pembayaran hadiah dalam Program Bug Bounty kami. Program ini menawarkan tempat yang aman bagi peneliti keamanan dan pengguna produk untuk menemukan dan melaporkan kerentanan keamanan kepada Zoom, semuanya tanpa khawatir menghadapi tuntutan hukum. Program Bug Bounty ini seringkali disertai dengan imbalan bagi penemu yang disebut bounty. Inisiatif ini telah menyaksikan transformasi yang luar biasa dalam laporan yang diajukan, menandai evolusi signifikan dari praktik sebelumnya.

Kami percaya bahwa tren yang terlihat dari temuan-temuan yang berdampak lebih tinggi dan eksploitasi multilangkah yang semakin rumit ini mencerminkan bagaimana para peneliti meluangkan lebih banyak waktu untuk mempelajari lebih dalam tentang potensi kerentanan.

Alih-alih memusatkan sumber daya terbatas pada kerentanan yang kemungkinan memiliki dampak yang kurang nyata, VISS dapat membantu Anda melindungi lingkungan secara proaktif dan memprioritaskan kerentanan yang kemungkinan besar akan berdampak pada organisasi Anda. Dengan banyaknya perusahaan yang mengurangi jumlah karyawan selama setahun terakhir, penentuan prioritas ini sangat penting untuk membantu Anda memahami di mana harus memusatkan waktu dan upaya untuk mendapatkan nilai maksimal.

VISS menganalisis kerentanan berdasarkan 13 aspek dampak, yang dikelompokkan menjadi platform, infrastruktur, dan data. Hasilnya berupa skor numerik, dari 0 hingga 100, yang mencerminkan tingkat keparahan dampak dalam lingkungan tertentu. Dengan menggunakan metrik Compensating Controls, skor VISS dapat disesuaikan dan memberikan fleksibilitas bagi pemilik lingkungan untuk menyesuaikan skor sesuai dengan profil risiko dan toleransi individu mereka melalui portal administrasi yang kuat.

Untuk mempelajari secara spesifik, dan mencoba implementasi kalkulator VISS Zoom, baca spesifikasi lengkap VISS.

Zoom menjadi sponsor acara peretasan langsung HackerOne H1-4420 di London pada tahun 2023. Dalam acara ini, laporan kerentanan yang disampaikan para peretas dievaluasi menggunakan proses evaluasi bug tingkat lanjut menggunakan CVSS dan VISS. Mendemonstrasikan keefektifan VISS, metode ini memfasilitasi alokasi sumber daya yang lebih baik dan konsentrasi yang lebih tinggi untuk menangani kerentanan dengan tingkat keparahan Kritis dan Tinggi. 

Setelah beralih ke VISS, pengajuan laporan kerentanan menunjukkan pergeseran yang signifikan. Fokus laporan beralih dari tingkat keparahan Rendah dan Sedang ke tingkat keparahan Tinggi dan Kritis. Para peneliti kini menginvestasikan lebih banyak waktu dan energi untuk mengembangkan eksploitasi mereka, bukan hanya pada skenario teoretis, tetapi lebih pada dampak yang dapat dibuktikan. Selama periode Maret 2023 hingga 1 Desember 2023, Zoom mengamati peningkatan 28% dalam laporan kerentanan Kritis dan peningkatan 12% dalam laporan kerentanan Tinggi. Selain itu, terdapat penurunan yang signifikan sebesar 57% dalam pengajuan laporan dengan tingkat keparahan Sedang dibandingkan dengan 8 bulan sebelumnya sebelum penerapan VISS pada Maret 2023. 

Misi VISS tidak hanya terbatas pada Zoom, tetapi bertujuan untuk membantu meningkatkan respons insiden dan tim keamanan secara global. Dengan menyediakan ukuran komprehensif dan objektif tentang dampak kerentanan bagi industri, VISS berkontribusi pada upaya berkelanjutan untuk menciptakan internet yang aman bagi semua orang.
Kami mengundang Anda untuk mempelajari VISS, berkontribusi pada pengembangannya, dan bergabung bersama kami dalam merevolusi penilaian dampak kerentanan. Mari bersama-sama membangun masa depan digital yang lebih aman. Lihat repositori sumber terbuka di https://github.com/zoom/viss.

Sumber terbuka tunduk pada lisensi GPL 3.0.