Penulis: Jonathan Knudsen, Senior Security Strategist, Synopsys Software Integrity Group
Sedikit perubahan pada strategi keamanan aplikasi untuk mengatasi security fatigue dapat membantu mengelola dan meminimalkan risiko pada aplikasi.
Berapa kali dalam sehari Anda mengalami hal ini? Sepuluh kali sehari? 25 kali? Atau 100 kali?
ilustrasi security fatigue
Bahkan sebagai seorang profesional keamanan yang paham hal teknis pun saya tidak tahu pasti apa yang harus saya lakukan. Apa itu What is PC-Doctor? Apa itu SystemIdleCheck.exe? Jika saya mengeklik "No", mungkinkah terjadi hal yang tidak saya inginkan?
Setiap kali ada notifikasi seperti itu, apa yang Anda lakukan? Mungkin Anda akan berkata, sebelum melakukan apapun, Anda membaca notifikasi dengan cermat dan mempertimbangkan berbagai hal yang mungkin terjadi. Anda mungkin juga akan mengatakan bahwa Anda sudah melakukan riset lain untuk memastikan apakah aman jika diteruskan.
Tapi mari kita jujur. Yang terjadi adalah kita kesal karena merasa terganggu, dan segera mengeklik tombol apapun untuk bisa segera melanjutkan apapun yang sedang kita kerjakan.
"Software yang berteriak '(awas) serigala!'". Ini sebuah analogi modern untuk cerita lama tentang penggembala yang sengaja berteriak "(awas) serigala!" untuk mempermainkan teman-temannya, seolah-olah ada serigala yang menyerang. Si anak gembala senang melihat teman-temannya panik.
Namun ketika serigala benar-benar datang, tak ada lagi yang percaya pada si anak gembala. Domba-domba milik si anak gembala pun habis dimangsa serigala. Dan beberapa versi cerita menyebutkan bahwa si anak gembala pun mati diterkam serigala.
Nah, mirip dengan situasi yang dihadapi para developer software. Tapi bedanya, software Anda tidak hanya mendatangkan masalah. Namun mengevaluasi risiko di depan mata kita memang kadang sulit.
Misalnya kita mengunjungi sebuah situs web dan peramban yang kita gunakan meragukan sertifikat situs web tersebut. Apakah ada seseorang yang membajak situs tersebut? Apakah ada sesuatu yang tidak dikonfigurasi dengan benar? Kita tidak mungkin tahu tentang itu. Pilihnya adalah (a) lanjutkan, berharap tidak ada masalah serius nantinya, (b) tidak melakukan apapun, (c) mencoba lagi di lain hari, siapa tahu masalahnya sudah teratasi. Bagi kebanyakan orang, (b) dan (c) bukan pilihan yang bagus. Jadi, pada umumnya kita cenderung mengabaikan peringatan keamanan dan berharap tidak terjadi masalah sesudahnya. Ini yang disebut security fatigue.
Vulnerability Overload