Video: FAQ Cyber Security #6: Cara Kerja Anti Virus? (Oktober 2024)
Pada Konferensi Internasional tahun ini tentang Perangkat Lunak Berbahaya dan Tidak Diinginkan, alias MalCon 2015, Fanny Lalonde Lévesque, Ph.D. siswa di École Polytechnique de Montréal, menunjukkan hasil yang menarik yang dapat diperoleh saat Anda memiliki banyak informasi tentang perlindungan antivirus di satu miliar komputer. Menggunakan pendekatan yang diambil dari studi ekosistem alami, ia menyusun beberapa metrik untuk mengukur kesehatan seluruh ekosistem antivirus.
Anda mungkin telah memperhatikan Alat Penghapus Perangkat Lunak Berbahaya (MSRT) yang berjalan sebagai bagian dari setiap pembaruan Microsoft. Ini sangat khusus mencari dan menghilangkan beberapa lusin keluarga malware yang sangat lazim, dipilih setiap bulan oleh tim keamanan Microsoft. Ini juga mengirim kembali telemetri yang signifikan ke Microsoft. Menurut Dennis Batchelder, direktur Pusat Perlindungan Malware Microsoft (MMPC), telemetri ini adalah alasan Microsoft tidak memerlukan tes antivirus. Dalam pidato utama beberapa tahun yang lalu di MalCon, ia menguraikan secara terperinci jumlah data yang dikumpulkan oleh MSRT, dan mengundang para akademisi untuk mengajukan proposal untuk menggunakan data itu dalam penelitian.
Jutaan dan Jutaan
Antara lain, MSRT melaporkan apakah ia menemukan malware, antivirus apa (jika ada) yang dipasang, dan apakah antivirus itu dikonfigurasi dan beroperasi dengan benar. Lalonde Lévesque memulai dengan empat bulan data MSRT dari Microsoft. Setelah menghapus entri dari mesin tanpa antivirus, dia masih memiliki hampir satu miliar entri. Ada bias tertentu dalam kumpulan sampel, karena beberapa pengguna memilih untuk tidak menjalankan Pembaruan Windows atau MSRT. Untuk membantu mengatasi bias itu, dia memilih 10 persen entri secara acak. Itu masih lebih dari 90 juta sampel.
Dengan populasi target yang dipilih, ia menganalisis kesehatan sistem secara keseluruhan. Analisis ini melihat secara khusus pada tiga area, yang berasal dari analisis ekosistem alami: Aktivitas, Keanekaragaman, dan Stabilitas.
Dalam ekosistem antivirus, tingkat perlindungan mewakili aktivitas. Antivirus yang terinstal dapat kedaluwarsa, atau dimatikan, atau ditunda perlindungannya secara waktu nyata. Lalonde Lévesque menemukan bahwa selama empat bulan jumlah instalasi up-to-date yang dikonfigurasi dengan benar berkisar antara 87 hingga 88 persen.
Keanekaragaman dalam ekosistem alami berarti bahwa tidak ada spesies tunggal yang benar-benar dominan. Lalonde Lévesque memeriksa 100+ produk antivirus berbeda di ekosistem antivirus dan menemukan tingkat keanekaragaman yang tinggi. Produk dominan, yang memiliki basis pemasangan terbesar, tidak pernah mengklaim lebih dari 18 persen pasar.
Untuk memeriksa Stabilitas, ia pertama kali mempersempit daftar itu ke komputer yang telah merespons MSRT dalam semua empat bulan. Dia melihat perubahan dalam status antivirus, dan menemukan hasil yang menggembirakan. Hanya sekitar 3 persen dari komputer yang memiliki antivirus yang berfungsi dan mutakhir melayang ke kondisi yang kurang aman, dan banyak komputer di negara bagian lain membaik.
Tapi ini kejutan. Selama studi, sepenuhnya sepertiga dari komputer beralih ke antivirus yang berbeda. Beberapa peserta berspekulasi tentang kemungkinan hasil yang miring berdasarkan berakhirnya antivirus gratis di komputer baru. Apa pun alasannya, itu banyak perubahan.
Langkah terakhir adalah memeriksa komputer pelaporan mana yang terkena malware meskipun antivirus telah diinstal. Tidak mengherankan, tingkat infeksi malware yang rendah berkorelasi kuat dengan antivirus terbaru dan berfungsi. Sebaliknya, tingkat stabilitas yang rendah, yang berarti banyak perubahan pada antivirus yang diinstal atau status antivirus, berkorelasi kuat dengan tingkat infeksi yang lebih tinggi.
Monokultur dan Kekebalan Kawanan
Langkah selanjutnya melibatkan memecah data untuk masing-masing 126 negara yang terlibat, dan mencocokkan kesehatan ekosistem antivirus di seluruh negara dengan tingkat infeksi di seluruh negara. Untuk bagian penelitian ini, Ms. Lalonde Lévesque melihat komputer yang dilindungi oleh antivirus dan komputer yang tidak memiliki perlindungan.
Beberapa negara menunjukkan peringkat keanekaragaman yang suram, dengan satu produk yang melindungi mayoritas semua sistem. Negara-negara ini secara rutin menunjukkan tingkat infeksi yang lebih tinggi dari rata-rata, sementara mereka yang lebih beragam memiliki tingkat infeksi yang lebih rendah. Laporan lengkapnya merinci bagaimana dia memverifikasi signifikansi statistik dari hasil ini. Dalam ekosistem antivirus, seperti dalam kehidupan, monokultur tidak sehat.
Tidak mengherankan jika memiliki persentase komputer yang lebih besar dengan antivirus fungsional terbaru berkorelasi kuat dengan tingkat infeksi yang lebih rendah. Jika bukan itu masalahnya, sesuatu akan sangat, sangat salah. Kicker adalah, korelasi yang sama ini berlaku ketika melihat komputer tanpa antivirus di negara yang sama. Kelihatannya semacam kekebalan kelompok mungkin muncul di sini, sehingga bahkan mereka yang mengabaikan perlindungan antivirus mendapat keuntungan dengan memiliki tetangga yang sepenuhnya lapis baja.
Lalu ada efek MSRT. Negara-negara dengan tingkat infeksi yang tinggi juga menunjukkan tingkat "churn" yang tinggi, dengan banyak pengguna mengganti produk antivirus. Mungkinkah fakta sederhana melihat MSRT menghilangkan malware menyebabkan pengguna menjadi tidak puas dengan perlindungan yang ada, dan memilih vendor yang berbeda? Itu akan sulit untuk dibuktikan, mengingat bahwa tidak ada komputer dalam studi yang tidak pernah mengalami penggunaan MSRT.
Hanya Satu Pandangan
Lalonde Lévesque bersusah payah untuk menunjukkan bahwa hasil penelitian ini memiliki keterbatasan tertentu. Hanya komputer yang terhubung ke sistem MSRT yang dimasukkan, untuk satu hal. Dan hasil infeksi hanya tersedia untuk keluarga malware yang tersebar luas yang dipilih oleh Microsoft setiap bulan. Selain itu, teori imunitas monokultur dan kawanan bukan satu-satunya penjelasan untuk korelasi yang ditemukan.
Pengumpulan data besar-besaran Microsoft tersedia untuk digunakan oleh para peneliti yang berkualifikasi. Yang lain mungkin memperluas studi Ms. Lalonde Lévesque, atau pergi ke arah yang sama sekali berbeda. Saya berharap dapat melihat apa yang mereka hasilkan.
