Contoh lain adalah Zero Logon, yang ditemukan pada tahun 2020. “Jadi, ini adalah kerentanan yang berusia lima tahun, dan masih ada sistem yang memiliki kerentanan ini dan belum di-patch, serta terpapar ke internet,” kata Reuben Koh.
Meskipun vendor telah merilis perbaikan atau patch untuk setiap kerentanan yang dieksploitasi, masalahnya adalah waktu yang dibutuhkan oleh organisasi untuk menerapkan patch tersebut.
Menurut Reuben, penyebab dieksploitasinya kerentanan lawas ini sangat sederhana, yaitu perbaikan sistem tidak segera dilakukan. “Ada yang menundanya sesaat, beberapa bulan, bahkan ada yang sama sekali tidak pernah memasang patch,” ujarnya.
Proses manajemen patch memang seringkali menjadi tantangan bagi organisasi. Namun menurut Reuben Koh, harus ada cara-cara yang konsisten untuk menemukan dan mengatasi kerentanan dalam waktu yang tepat.
Kerentanan Pada Model AI
Sementara itu terkait ancaman-ancaman baru yang bermunculan saat ini, Reuben Koh menjelaskan bahwa pada 2024, banyak organisasi mulai mengembangkan konsep penggunaan model AI, misalnya large language model (LLM), untuk mendukung tujuan bisnis mereka. Namun, seiring dengan penerapan teknologi ini, muncul kerentanannya, terutama yang terkait dengan privasi dan keamanan data, serta potensi penyalahgunaan oleh pihak internal maupun eksternal.
“Kami percaya bahwa pada 2025, penggunaan LLM akan lebih mainstream dan digunakan dalam berbagai skenario bisnis nyata, yang tentunya akan memperkenalkan lebih banyak kerentanannya,” ujar Reuben.
Salah satu kerentanan yang dijumpai pada LLM atau model AI generatif pada 2024 adalah prompt injection. Menurut Reuben Koh, meski saat ini sudah diperkuat, beberapa model Gen AI, bahkan termasuk ChatGPT, pernah memiliki kerentanan ini.
"Tapi seiring dengan kemajuan cara penggunaan LLM atau AI secara umum, akan ada kerentanan-kerentanan lain dan berbeda yang akan muncul,” ujarnya.