Bangun Agen Intelijen CVE & Kerentanan: CISA KEV, NVD, EPSS & MITRE ATT&CK dalam Satu API

Setiap tim keamanan tenggelam dalam CVE. Sinyalnya bukan tingkat keparahan — melainkan apakah suatu kerentanan sedang dieksploitasi dan seberapa besar kemungkinannya. Berikut cara membangun agen yang memadukan NVD, CISA KEV, EPSS, dan ATT&CK untuk menjawab 'apa yang harus saya patch lebih dulu?'
TL;DR
- •Tingkat keparahan CVSS saja menghitung berlebihan: sebagian besar CVE 'critical' tidak pernah dieksploitasi. Prioritas yang sesungguhnya butuh CISA KEV (diketahui-dieksploitasi) + EPSS (probabilitas eksploitasi) dilapiskan di atasnya.
- •Empat sumbernya: NVD (rekaman CVE + CVSS), CISA KEV (daftar otoritatif yang dieksploitasi di dunia nyata), EPSS (skor probabilitas eksploitasi harian 0–1), MITRE ATT&CK (taktik/teknik untuk konteks).
- •Cybersecurity Search dari API Pick membungkus keempatnya di balik satu endpoint POST — 10 kredit per panggilan, hanya-jika-berhasil — sehingga agen mendapatkan intelijen kerentanan yang sudah dipadukan tanpa empat scraper.
- •Pola agen: tarik CVE-nya, periksa keanggotaan KEV, baca skor EPSS, petakan ke teknik ATT&CK, lalu urutkan berdasarkan dieksploitasi-dulu, kemudian EPSS, lalu CVSS.
- •Ini adalah retrieval, bukan scanner: ia memberi tahu apa yang diketahui dan kemungkinan terkait suatu kerentanan, untuk memprioritaskan triase oleh manusia — bukan untuk mengotorisasi tindakan otomatis.
Tingkat keparahan adalah kunci pengurutan yang salah
Program kerentanan yang mem-patch berdasarkan skor CVSS itu sibuk dan tidak efektif. National Vulnerability Database mencantumkan puluhan ribu CVE High dan Critical; mayoritas besarnya tidak pernah dieksploitasi. Sementara itu sebuah "Medium" dengan eksploit yang berfungsi di dunia nyata teronggok di backlog. Pertanyaan yang harus dijawab oleh agen keamanan bukanlah "seberapa buruk ini bisa terjadi" — melainkan "apa yang harus saya patch lebih dulu, hari ini."
Menjawabnya membutuhkan empat sumber data yang dipadukan menjadi satu. Masing-masing gratis dan publik; masing-masing punya format dan kecepatan pembaruannya sendiri.
Empat sumber
NVD — rekaman CVE
National Vulnerability Database milik NIST. Daftar CVE kanonik dengan vektor CVSS, produk yang terdampak (CPE), dan referensi. Lapisan dasar "apa kerentanan ini". Kekuatan: otoritatif dan lengkap. Kelemahan: CVSS saja menghitung tingkat keparahan secara berlebihan.
CISA KEV
Katalog Known Exploited Vulnerabilities — daftar otoritatif CISA berisi CVE yang dikonfirmasi dieksploitasi di dunia nyata, beserta tenggat remediasi untuk lembaga federal AS. Jika sebuah CVE ada di KEV, ia menyalip antrean. Kekuatan: penanda dengan sinyal tertinggi di seluruh manajemen kerentanan.
EPSS
Exploit Prediction Scoring System dari FIRST.org: probabilitas harian 0–1 bahwa sebuah CVE akan dieksploitasi dalam 30 hari ke depan. Mengubah "bisa dieksploitasi" menjadi "seberapa mungkin". Kekuatan: pengurutan probabilistik yang memetakan perilaku penyerang yang sesungguhnya.
MITRE ATT&CK
Basis pengetahuan taktik-dan-teknik lawan. Memetakan suatu kerentanan ke perannya dalam kill-chain. Kekuatan: mengubah sebuah CVE menjadi cerita operasional yang bisa dipakai oleh deteksi dan rencana respons Anda.
Satu endpoint, intelijen yang dipadukan
Cybersecurity Search membungkus NVD, CISA KEV, EPSS, dan MITRE ATT&CK di balik satu endpoint POST — 10 kredit per panggilan, hanya-jika-berhasil. Berikan sebuah ID CVE atau kueri bahasa alami; hasilnya kembali sudah dipadukan dan dibentuk lebih dulu untuk sebuah LLM. Padukan dengan Web Search untuk advisory vendor dan Extract untuk menarik satu halaman advisory penuh.
import httpx, os
API, HEADERS = "https://api.apipick.com/v1", {"x-api-key": os.environ["APIPICK_KEY"]}
def vuln_intel(query: str):
r = httpx.post(f"{API}/search/cybersecurity",
headers=HEADERS, json={"query": query})
r.raise_for_status()
return r.json()["results"]
# "what should I patch first across NVD + KEV + EPSS + ATT&CK?"
records = vuln_intel("actively exploited Apache and VMware vulnerabilities this month")
# Rank: KEV-listed first, then by EPSS, then CVSS. Feed the ranked,
# cited list to your LLM to summarize the worklist for an analyst.Bangun vs. beli
| Sambungkan sendiri | API Pick | |
|---|---|---|
| Sumber | NVD + KEV + EPSS + ATT&CK, terpisah | Keempatnya, dipadukan |
| Format | 4 schema + CSV EPSS | 1 bentuk JSON |
| Kesegaran | Anda menjadwalkan 4 sinkronisasi | Langsung per panggilan |
| Siap untuk LLM | Anda menormalkan masing-masing | Sudah dibentuk + URL sumber |
| Biaya | Infra + pemeliharaan | 10 kredit/panggilan, hanya jika berhasil |
Apa yang bisa Anda bangun
Lebih dari sekadar asisten prioritas patch: sebuah agen pemantau KEV harian yang memberi peringatan ketika sebuah CVE di stack Anda masuk ke daftar yang dieksploitasi; sebuah bot triase yang mengubah ekspor scanner menjadi daftar kerja yang terurut dan tersitasi; sebuah kopilot analis yang menjelaskan implikasi ATT&CK dari sebuah CVE dalam bahasa yang lugas. Pola yang sama — retrieval yang dipadukan, diurutkan berdasarkan dieksploitasi-dulu, disintesis dengan sumber terlampir. Ambil kunci gratis (100 kredit, tanpa kartu) dan arahkan agen Anda ke sana.
Pertanyaan yang Sering Diajukan
Mengapa tingkat keparahan CVSS tidak cukup untuk memprioritaskan patch?
Karena tingkat keparahan mengukur dampak potensial, bukan kemungkinan eksploitasi. Puluhan ribu CVE dinilai High atau Critical, tetapi hanya sebagian kecil yang pernah dieksploitasi di dunia nyata. Jika Anda mem-patch hanya berdasarkan CVSS, Anda menghabiskan upaya pada kerentanan yang tidak pernah disentuh penyerang sementara melewatkan yang berperingkat medium yang sedang aktif dieksploitasi. Pendekatan modern melapiskan CISA KEV (apakah diketahui dieksploitasi?) dan EPSS (berapa probabilitasnya?) di atas CVSS untuk mengurutkan apa yang benar-benar penting.
Apa itu EPSS dan bagaimana cara saya menggunakannya?
EPSS (Exploit Prediction Scoring System), dari FIRST.org, memberi setiap CVE skor yang diperbarui harian dari 0 hingga 1 yang memperkirakan probabilitas ia akan dieksploitasi dalam 30 hari ke depan. Kebijakan umum: segera patch apa pun yang ada di CISA KEV, lalu apa pun dengan EPSS di atas ~0.1 (atau ambang batas yang disesuaikan dengan risiko Anda), lalu triase sisanya berdasarkan CVSS. Karena EPSS diperbarui harian, sebuah agen sebaiknya menariknya ulang alih-alih menyimpannya di cache.
Apa yang ditambahkan MITRE ATT&CK?
Konteks. ATT&CK memetakan taktik dan teknik lawan (akses awal, eskalasi hak istimewa, eksfiltrasi, dll.). Mengaitkan suatu CVE dengan teknik yang mengeksploitasinya membantu seorang analis memahami implikasi kill-chain — bukan sekadar 'ini bisa dieksploitasi' tetapi 'ini memungkinkan pergerakan lateral', yang mengubah cara Anda memprioritaskan dan deteksi apa yang Anda tambahkan.
Bisakah agen menerapkan patch atau memblokir lalu lintas secara otomatis?
Tidak — dan Anda sebaiknya tidak menyambungkannya untuk itu. Ini adalah lapisan pengambilan intelijen: ia memadukan apa yang diketahui tentang suatu kerentanan untuk memprioritaskan triase oleh manusia. Remediasi otomatis membutuhkan kontrol perubahan, pengujian, dan penanggung jawab manusia. Gunakan agen untuk menghasilkan daftar kerja yang terurut dan tersitasi; biarkan pipeline patch/SOAR Anda dan seorang insinyur yang mengeksekusinya.
Seberapa terkini datanya?
NVD dan CISA KEV diperbarui secara terus-menerus seiring CVE dipublikasikan dan eksploitasi dikonfirmasi; EPSS dihitung ulang setiap hari. Endpoint mengkueri sumber langsung, sehingga satu kali jalannya agen mencerminkan keadaan saat ini. Untuk jejak audit, simpan skor EPSS dan status KEV beserta timestamp pada saat keputusan diambil.
API yang digunakan dalam artikel ini
Sarah Choy adalah CEO API Pick. Ia menulis tentang membangun API siap produksi untuk AI agent dan alur kerja LLM.