NIST Batasi Enrichment CVE Setelah Lonjakan 263% Pengajuan Kerentanan

National Institute of Standards and Technology (NIST) telah mengumumkan perubahan signifikan dalam pengelolaan Common Vulnerabilities and Exposures (CVE) di dalam National Vulnerability Database (NVD) mereka. Perubahan ini dilakukan karena terjadi lonjakan pengajuan CVE sebesar 263% antara tahun 2020 hingga 2025, yang menyebabkan NIST memutuskan untuk membatasi enrichment atau pemerkayaan data CVE hanya untuk yang memenuhi kriteria tertentu.

Prioritas Baru untuk Enrichment CVE

Mulai 15 April 2026, NIST menerapkan kriteria prioritas baru dalam melakukan enrichment CVE. Kriteria tersebut adalah:

• CVE yang tercantum dalam katalog Known Exploited Vulnerabilities (KEV) milik U.S. Cybersecurity and Infrastructure Security Agency (CISA).
• CVE untuk perangkat lunak yang digunakan oleh pemerintah federal Amerika Serikat.
• CVE untuk perangkat lunak kritis sebagaimana didefinisikan dalam Executive Order 14028. Ini mencakup perangkat lunak yang berjalan dengan hak istimewa tinggi, mengelola akses ke sumber daya jaringan atau komputasi, mengontrol akses data atau teknologi operasional, serta beroperasi di luar batas kepercayaan normal dengan akses tinggi.

Semua pengajuan CVE yang tidak memenuhi kriteria tersebut akan diberi label "Not Scheduled" dan tidak secara otomatis diperkaya oleh NIST. Tujuannya adalah untuk fokus pada CVE yang berpotensi memiliki dampak luas dan sistemik.

"Walaupun CVE yang tidak memenuhi kriteria ini mungkin berdampak signifikan pada sistem yang terkena, mereka umumnya tidak menimbulkan risiko sistemik sebesar kategori prioritas," ujar NIST.

Data dan Perubahan Operasional NIST

Data menunjukkan bahwa pengajuan CVE dalam tiga bulan pertama tahun 2026 naik hampir sepertiga dibandingkan tahun sebelumnya. Pada tahun 2025, NIST berhasil memperkaya hampir 42.000 CVE, meningkat hingga 45% dari tahun-tahun sebelumnya.

Perubahan lain yang diterapkan NIST meliputi:

• Tidak lagi rutin menyediakan skor severity terpisah jika CVE sudah memiliki skor dari CVE Numbering Authority.
• CVE yang dimodifikasi hanya akan dianalisis ulang jika perubahan tersebut berdampak material pada data enrichment.
• Semua CVE yang belum diperkaya dengan tanggal terbit sebelum 1 Maret 2026 akan dipindahkan ke kategori "Not Scheduled", kecuali yang sudah masuk dalam katalog KEV.
• Pembaruan label status CVE dan dashboard NVD untuk mencerminkan status dan statistik secara real-time.

Pengguna yang menemukan CVE berdampak tinggi namun masuk kategori "Not Scheduled" dapat mengajukan permintaan enrichment melalui email ke [email protected]. NIST akan meninjau dan menjadwalkan ulang sesuai kebutuhan.

Reaksi dan Analisis Ahli Keamanan Siber

Caitlin Condon, Wakil Presiden Riset Keamanan di VulnCheck, menyatakan bahwa langkah NIST ini sudah diperkirakan dan merupakan bagian dari model prioritas berbasis risiko yang sebelumnya telah disinyalir. Dia menambahkan:

"NIST dengan jelas menetapkan harapan bagi komunitas di tengah lonjakan besar dan terus meningkatnya jumlah kerentanan baru. Namun, ini juga berarti sebagian besar kerentanan kini tidak memiliki jalur jelas untuk diperkaya, yang menjadi tantangan bagi organisasi yang mengandalkan data NIST sebagai sumber otoritatif mereka."

Data menunjukkan sekitar 10.000 kerentanan tahun 2025 belum memiliki skor CVSS, dan NIST sudah memperkaya sekitar 14.000 CVE dari tahun tersebut, yang mewakili 32% dari total populasi CVE 2025.

Condon menekankan bahwa:

"Kita tidak lagi hidup di dunia di mana enrichment manual terhadap kerentanan baru adalah strategi yang efektif. Kondisi ancaman saat ini menuntut pendekatan otomatisasi dengan kecepatan mesin dan perspektif global yang menyadari sifat saling ketergantungan ekosistem perangkat lunak dan pelaku ancaman."

Sementara itu, David Lindner, Chief Information Security Officer di Contrast Security, menyampaikan bahwa keputusan NIST menandai berakhirnya era di mana para defender bisa mengandalkan satu basis data pemerintah untuk menilai risiko keamanan. Kini, organisasi harus beralih ke pendekatan manajemen risiko yang proaktif berbasiskan intelijen ancaman.

"Defender modern harus fokus pada daftar KEV CISA dan metrik eksploitabilitas, bukan pada seluruh volume CVE yang berisik. Meskipun transisi ini mungkin mengganggu proses audit lama, ini memajukan industri dengan menuntut prioritas pada eksposur nyata, bukan hanya tingkat keparahan teoretis," kata Lindner.

Analisis Redaksi

Menurut pandangan redaksi, keputusan NIST ini mencerminkan tantangan besar dalam mengelola ledakan data kerentanan yang tidak seimbang dengan sumber daya manusia dan teknologi manual. Langkah ini bisa memperkuat keamanan nasional dengan fokus pada kerentanan yang benar-benar berisiko tinggi dan dieksploitasi secara nyata, namun bisa juga meninggalkan celah bagi organisasi yang tidak memiliki akses ke sumber intelijen lain selain NIST.

Perubahan ini menandai pergeseran paradigma dalam manajemen kerentanan di tingkat global, dari pendekatan komprehensif ke pendekatan yang lebih selektif dan berbasis risiko. Organisasi harus segera menyesuaikan strategi keamanan mereka dengan mengintegrasikan intelijen ancaman dan teknologi otomatisasi untuk mengisi kekosongan data yang tidak lagi diperkaya oleh NIST.

Ke depan, berkembangnya teknologi AI dalam deteksi dan validasi kerentanan akan menjadi kunci agar proses enrichment dapat berjalan efektif dan efisien. Selain itu, kolaborasi internasional dalam berbagi data kerentanan juga harus diperkuat agar tidak ada celah keamanan yang terlewat oleh fokus prioritas semata.

Informasi lebih lanjut dan update terkait perubahan ini dapat diakses langsung melalui sumber resmi The Hacker News dan situs-situs resmi keamanan siber lainnya.