AI dan SBOM: Memprediksi Rantai Serangan Multi-Kerentanan di Rantai Pasok Perangkat Lunak
Pelajari bagaimana AI dan grafik SBOM mengubah keamanan rantai pasok perangkat lunak, memprediksi serangan multi-kerentanan untuk perlindungan proaktif.
Mengapa Keamanan Rantai Pasok Perangkat Lunak Semakin Krusial
Dalam era digital saat ini, rantai pasok perangkat lunak menjadi semakin kompleks, melibatkan berbagai komponen dari berbagai sumber. Seiring dengan peningkatan kompleksitas ini, risiko keamanan juga meningkat secara signifikan. Banyak organisasi mengandalkan Software Bill of Materials (SBOM) untuk mendapatkan transparansi mengenai komponen yang ada dalam perangkat lunak mereka dan untuk membantu mengelola risiko keamanan. Namun, meskipun SBOM menjadi alat yang penting, praktik analisis keamanan yang ada sering kali hanya fokus pada kerentanan individu, yang dikenal sebagai Common Vulnerabilities and Exposures (CVE). Pendekatan ini, meskipun bermanfaat untuk triase awal, memiliki keterbatasan serius.
Kerentanan tunggal yang tampaknya memiliki tingkat keparahan rendah dapat berubah menjadi celah kritis ketika digabungkan dalam "rantai serangan multi-kerentanan" yang memanfaatkan interaksi kompleks antar komponen. Serangan semacam itu sering kali melintasi berbagai komponen perangkat lunak, menciptakan jalur eksploitasi yang tidak terdeteksi oleh pemindaian terisolasi. Insiden nyata, seperti kampanye ProxyLogon pada tahun 2021 yang mengeksploitasi empat kerentanan Microsoft Exchange secara berurutan, menunjukkan bagaimana rangkaian kerentanan dapat memperbesar risiko secara drastis, memungkinkan kendali jarak jauh atas server email perusahaan sebelum otentikasi. Ini menggarisbawahi perlunya pergeseran paradigma dari hanya menilai CVE individu menjadi memahami pola interaksi kerentanan dalam konteks ketergantungan rantai pasok.
Kelemahan Pendekatan Tradisional dalam Analisis Kerentanan
Pendekatan keamanan siber saat ini sebagian besar masih berputar pada pelaporan dan prioritisasi kerentanan di tingkat CVE, menggunakan mekanisme seperti Common Vulnerability Scoring System (CVSS), Exploit Prediction Scoring System (EPSS), dan anotasi gaya VEX. Metode ini memberikan hasil yang berguna untuk membantu tim keamanan menentukan kerentanan mana yang harus segera ditangani. Namun, fokusnya yang sempit pada entri individual dari database CVE gagal memodelkan bagaimana kerentanan dapat saling berinteraksi dan membentuk jalur eksploitasi yang lebih besar.
Pemindai ketergantungan statis seperti Snyk dan Trivy, meskipun efektif dalam menghitung komponen yang rentan, umumnya tidak dapat menyimpulkan rantai serangan multi-langkah yang muncul dari struktur grafik ketergantungan perangkat lunak. Akibatnya, masalah yang terlihat memiliki tingkat keparahan rendah saat diisolasi dapat menjadi sangat kritis ketika digabungkan melalui struktur ketergantungan dan pola kelemahan keamanan yang lebih luas, seperti yang didokumentasikan dalam Common Weakness Enumeration (CWE). Kerentanan tersebut, terutama yang bersifat transparan, dapat bertahan untuk waktu yang lama dalam sistem, meningkatkan kemungkinan terjadinya serangan berantai di seluruh grafik ketergantungan. Ini mendorong kebutuhan untuk beralih dari filosofi "nilai setiap CVE" menjadi "pelajari pola interaksi yang dibatasi oleh grafik ketergantungan."
Inovasi: Membangun Graf Ketergantungan Kerentanan dengan AI
Untuk mengatasi keterbatasan pendekatan tradisional, sebuah penelitian baru yang dipublikasikan dalam jurnal FSE Companion ’26 (2026) oleh Laura Baird dan Armin Moin, mengusulkan arah penelitian baru berbasis pembelajaran rantai serangan multi-kerentanan melalui pendekatan pembelajaran grafik berbasis SBOM yang inovatif. Pendekatan ini memperlakukan struktur SBOM dan output pemindai sebagai "grafik bukti yang dibatasi ketergantungan" daripada daftar kerentanan yang datar dan terpisah. Inti dari inovasi ini adalah representasi SBOM yang diperkaya kerentanan (format CycloneDX) sebagai "grafik heterogen".
Dalam grafik heterogen ini, komponen perangkat lunak dan kerentanan yang diketahui (CVE) direpresentasikan sebagai node, yang kemudian dihubungkan oleh berbagai jenis relasi, seperti ketergantungan antar komponen dan tautan kerentanan. Untuk memvalidasi struktur ini, sebuah model Heterogeneous Graph Attention Network (HGAT) dilatih untuk memprediksi apakah suatu komponen terkait dengan setidaknya satu kerentanan yang diketahui. Penelitian ini menunjukkan bahwa model HGAT mencapai Akurasi 91,03% dan F1-score 74,02% pada 200 SBOM dunia nyata dari dataset publik Wild SBOMs. Hasil ini membuktikan bahwa struktur ketergantungan perangkat lunak membawa sinyal yang berguna di luar metadata komponen lokal, membuka jalan bagi analisis keamanan yang lebih mendalam dan proaktif. Untuk implementasi solusi AI kustom yang dapat menganalisis dan mengoptimalkan sistem kompleks, organisasi dapat mempertimbangkan layanan solusi AI kustom ARSA Technology.
Memprediksi Rantai Serangan Multi-Kerentanan dengan Machine Learning
Langkah selanjutnya dalam pendekatan inovatif ini adalah menemukan kerentanan berantai atau "cascading vulnerabilities." Proses ini dibingkai sebagai masalah prediksi tautan pasangan CVE (CVE-pair link prediction). Artinya, model mencoba memprediksi pasangan CVE mana yang kemungkinan besar akan berinteraksi dan membentuk rantai serangan. Untuk ini, jaringan saraf tiruan Multi-Layer Perceptron (MLP) yang ringan dilatih menggunakan metadata fitur dari catatan National Vulnerability Dataset (NVD), yang serupa dengan database CVE. Model MLP ini dilatih secara khusus pada seed set yang terdiri dari 35 rantai serangan multi-kerentanan yang telah didokumentasikan, meskipun data pelatihan untuk jenis serangan berantai ini masih langka.
Model prediksi rantai serangan (MLP) menunjukkan kinerja yang sangat baik, mencapai Receiver Operating Characteristic - Area Under Curve (ROC-AUC) sebesar 0.93. Angka ini menunjukkan kemampuan model yang kuat untuk membedakan antara pasangan CVE yang mungkin membentuk rantai serangan dan yang tidak. Meskipun saat ini penelitian ini memisahkan HGAT dan MLP sebagai dua tahap pembelajaran modular, alur kerja end-to-end yang dimaksudkan adalah di mana embedding yang dipelajari HGAT akan langsung diumpankan ke prediktor rantai serangan. Tautan pasangan CVE yang diprediksi kemudian dapat diproyeksikan kembali ke subgraph ketergantungan SBOM untuk memprioritaskan kandidat rantai serangan di tingkat komponen bagi analis keamanan.
Aplikasi Praktis dan Dampak Bisnis
Implementasi pendekatan ini membawa dampak signifikan bagi keamanan rantai pasok perangkat lunak di berbagai industri. Dengan kemampuan untuk memprediksi rantai serangan multi-kerentanan secara proaktif, organisasi dapat beralih dari respons reaktif menjadi strategi keamanan yang lebih prediktif dan efisien.
- Peningkatan Intelijen Ancaman Proaktif: Daripada hanya menandai kerentanan individual, sistem ini mengidentifikasi bagaimana kerentanan yang berbeda dapat digabungkan untuk menciptakan jalur eksploitasi yang lebih berbahaya. Ini memungkinkan tim keamanan untuk mengantisipasi dan memitigasi serangan kompleks sebelum terjadi.
- Pengurangan Risiko yang Komprehensif: Dengan memahami interaksi antar kerentanan dan komponen, organisasi dapat mengurangi risiko yang berasal dari serangan canggih yang memanfaatkan banyak celah keamanan. Hal ini penting untuk sektor-sektor seperti manufaktur, logistik, dan layanan keuangan yang sangat bergantung pada perangkat lunak yang aman.
- Peningkatan Kepatuhan: Pendekatan ini dapat membantu organisasi memenuhi persyaratan kepatuhan yang semakin ketat terkait keamanan rantai pasok perangkat lunak, terutama yang mengharuskan pemahaman mendalam tentang semua komponen dan potensi kerentanannya.
- Optimalisasi Alokasi Sumber Daya: Dengan identifikasi jalur serangan yang diprioritaskan, tim keamanan dapat mengalokasikan sumber daya mereka secara lebih efektif untuk menambal kerentanan yang paling kritis dan potensial untuk eksploitasi berantai, bukan hanya kerentanan dengan skor keparahan individual tertinggi.
Penelitian ini juga mengusulkan alur kerja inspeksi yang berorientasi pada analis, yang disebut "protokol pemetaan," yang melokalisasi bukti rantai serangan yang didokumentasikan ke subgraph SBOM. Ini mendukung pelabelan ringan, analisis kesalahan, dan evaluasi top-k, memungkinkan analis untuk meninjau dan memvalidasi prediksi model secara lebih efisien. Sebagai penyedia solusi AI dan IoT, ARSA Technology memahami pentingnya sistem yang tangguh dan aman dalam operasional dunia nyata untuk berbagai industri.
Masa Depan Keamanan Rantai Pasok Perangkat Lunak
Arah penelitian baru ini menandai langkah maju yang signifikan dalam mengamankan rantai pasok perangkat lunak. Dengan beralih dari analisis kerentanan yang terisolasi ke pemahaman pola interaksi yang saling berhubungan, kita dapat membangun pertahanan siber yang lebih kuat dan adaptif. Kemampuan untuk mengonversi SBOM menjadi grafik heterogen dan kemudian melatih model pembelajaran mesin untuk memprediksi rantai serangan multi-kerentanan adalah terobosan yang menjanjikan.
Meskipun model saat ini masih bersifat modular, integrasi penuh embedding HGAT ke dalam prediktor rantai serangan akan menjadi langkah logis berikutnya. Penelitian lebih lanjut akan terus memperkaya model dengan data rantai serangan yang lebih banyak dan lebih bervariasi. Hal ini akan memungkinkan prediksi yang lebih akurat dan detail, pada akhirnya menyediakan lapisan pertahanan baru yang sangat dibutuhkan dalam lanskap ancaman siber yang terus berkembang. ARSA Technology berkomitmen untuk menyediakan produk dan solusi AI yang terdepan, termasuk AI Video Analytics Software dan AI Box Series, yang dirancang dengan mempertimbangkan keamanan dan keandalan tingkat enterprise.
Untuk mempelajari lebih lanjut tentang bagaimana solusi AI dan IoT dapat memperkuat operasional dan keamanan bisnis Anda, jangan ragu untuk menghubungi tim ARSA untuk konsultasi gratis.