Perlunya pendekatan baru mengamankan sistem komputer
Ancaman virus, worms, dan malicious code terhadap jaringan komputer belakangan ini bukan saja meningkat jumlahnya, penyebarannya juga semakin cepat .
Adalah wajar jika pengembang menyediakan perbaikan (fixes) atau tambalan (patches) secara berkala untuk menutup kelemahan. Namun, perbaikan menjadi mubazir jika pengguna komputer-sengaja atau tidak- mengabaikannya.
Faktor pengguna (manusia) inilah letak celah keamanan terbesar dalam pengamanan komputer. Umumnya, masa antara ketersediaan perbaikan peranti lunak dari pengembang dan instalasinya ke komputer oleh pengguna adalah masa yang paling rawan terhadap serangan. Masalahnya, rentang waktu antara keduanya semakin hari semakin sempit.
Tiga tahun lalu, serangan worm Nimda terjadi 331 hari setelah Microsoft menyediakan perbaikannya. Dua tahun kemudian, SQL Slammer dan Welchia/Nachi menyerang antara 150 hari dan 180 hari setelah perbaikan dirilis dan di penghujung 2003, Blaster hanya butuh 25 hari untuk menyerang. Bahkan worm "pintar" Sasser yang ditemukan Mei 2004 memperpendek rentang waktu ini menjadi hanya 14 hari saja. Selama enam bulan terakhir, laporan se-mesteran perusahaan antivirus Symantec menunjukkan rentang waktu ini rata-rata hanya 5,8 hari saja.
"Serangan yang mengeksploitasi kelemahan semakin mudah dibuat dan lebih cepat daripada sebelumnya, sedangkan serangan juga semakin canggih dan terkadang memiliki tujuan finansial," tutur Arthur Wong, Vice President Symantec Corp.
Bagi perusahaan, ini berarti berpacu dengan waktu. Mereka harus secepat mungkin mengambil tindakan pencegahan sebelum penyerang mengeksploitasi kelemahan itu. Dengan rentang waktu yang hanya hitungan beberapa hari saja, hampir mustahil bagi administrator sistem untuk menutup semua celah keamanan di seantero perusahaan. Apalagi jika mereka juga harus menangani setiap unit personal computer (PC).
Menurut Symantec, seorang administrator rata-rata menghadapi 48 kelemahan yang harus ditambal dan diperbaiki setiap pekannya. Sungguh pekerjaan yang melelahkan dan menghabiskan sumber daya.
Pendekatan baru
Rentang waktu yang semakin sempit, dalam skala perusahaan membuat patching ibarat pekerjaan yang tak ada habisnya bagi administrator. Jelas sudah, pengamanan komputer membutuhkan pendekatan baru.
Wesly Sumenap, Desktop Product Marketing Manager PT Microsoft Indonesia, memaparkan tiga aspek keamanan, yakni manusia, proses dan teknologi. "Ketiganya berperan penting, sebab keamanan bukanlah tujuan melainkan sebuah proses yang berlangsung terus-menerus," ujarnya.
Dalam pendekatan keamanan selama ini, faktor manusia (pengguna) memegang peran yang sangat besar. Pengguna atau administrator sebagai garda depan pengamanan, harus tetap waspada dan up-to-date terhadap perkembangan. Ketika ditemukan kelemahan atau ancaman baru, mereka harus cepat-cepat mungkin mengambil langkah pencegahan seperti menginstalasi patches.
Pendekatan seperti ini kurang menonjolkan peran vendor, kewajiban mereka hanya sebatas menyediakan perbaikan. Instalasinya di sistem komputer, sepenuhnya menjadi tanggung jawab pengguna atau administrator. Pengamanan sistem komputer semakin sulit ketika administrator juga harus memastikan agar setiap karyawan menjaga keamanan PC masing-masing.
Serangan virus Mydoom misalnya, masuk melalui e-mail dengan me-nyamar sebagai attachment. Tentu saja pencegahannya tergantung pengalaman dan pemahaman setiap karyawan terhadap pengamanan komputer. Karyawan yang paham tidak akan sembarangan membuka attachment, walaupun subyeknya menarik.
Dari pemaparan tadi, manusia menjadi aspek sentral namun juga sebagai titik kelemahan utama dalam pengamanan komputer Belajar dari hal itu, vendor mulai memikirkan pendekatan baru yang cenderung meminimalkan campur tangan manusia.
Intinya, sistem komputer dirancang untuk bisa mengamankan dan menanggulangi diri sendiri dari ber-bagai serangan. Manusia hanya terlibat di awal ketika menentukan kebijakan keamanan dan melakukan konfigurasi disana-sini. Pendekatan ini tidak diperkenalkan oleh vendor aplikasi antivirus, melainkan oleh penyedia sistem operasi dan peranti jaringan -dua titik utama yang menjadi entry point serangan terhadap sistem komputer.
Microsoft menghadirkan pendekatan ini pada pada Service Pack 2 (SP2) untuk sistem operasi Windows XP. SP2 secara default "menyelubungi" jaringan, attachment (e-mail), memori dan koneksi Web, menutup port yang tidak perlu dan mencegah eksekusi file yang tidak jelas. Kelihatannya rumit, tapi pengguna hanya perlu menjalankan Windows Security Manager untuk mengatur tingkat keamanan itu, sesuai kebijakan.
Dari penyedia teknmologi jaringan, Cisco Systems memposisikan jaringan sebagai "penjaga gerbang" terhadap sistem komputer. Perusahaan itu memperkenalkan konsep "Self-Defending Network." Di sini, jaringan dalam skala tertentu dengan sendirinya mampu mencegah, mendeteksi dan menanggulangi serangan.
"Jaringan dengan mekanisme pertahanan diri ini sangat penting bagi CIO karena melindungi investasi solusi keamanan yang sudah mereka tanamkan sebelumnya," ujar Bernard Trudel, Principal Security Consultant Cisco Systems untuk Asia Pasifik.
Wujud konsep pertahanan diri ini terlihat dari sejumlah peranti keamanan Cisco, seperti Cisco Traffic Detector dan Cisco Guard yang memungkinkan jaringan menanggulangi serangan DDoS (Distributed Denial of Service) secara otomatis. Selain itu, ada juga Cisco Security Agent (CSA) yang mencegah virus dan worm mengubah kerja komputer sesuai tujuan penyerangan ken-dati berhasil mempenetrasi sistem.
Dari pendekatan baru dalam mengamankan sistem komputer itu, diharapkan selama beberapa bulan ke depan muncul berbagai solusi baru, dipelopori penyedia sistem operasi dan infrastruktur.
Para vendor juga diperkirakan menyepakati satu standar yang memungkinkan berbagai produk keamanan bekerja bersama. Standar ini mengurangi kerumitan konfigurasi dan penyesuaian manual oleh manusia.
Sementara faktor manusia tidak lagi dibebani tugas-tugas pengamanan yang sifatnya rutin-seperti menginstalasi patch- tetapi lebih berperan dalam menentukan kebijakan, dan memastikan kebijakan itu dipatuhi hingga ke seluruh level perusahaan.
Deriz S. Syarief