Meskipun pengujian bug dan kerentanan ekstensif dilakukan oleh perusahaan perangkat lunak pada produk mereka, kelemahan keamanan sering kali masih ada. Jika dibiarkan tidak ditemukan, kelemahan ini dapat ditemukan dan dieksploitasi oleh peretas yang kemudian memanfaatkannya untuk melancarkan serangan terhadap bisnis dan konsumen.
Namun untungnya, peneliti keamanan ada di sana untuk mengambil beberapa kelonggaran dan menemukan kerentanan ini sebelum dapat ditemukan oleh peretas. Untuk mempelajari lebih lanjut tentang apa yang dibutuhkan oleh seorang peneliti keamanan, TechRadar Pro berbicara dengan peneliti keamanan di SafeBreach Labs (terbuka di tab baru)Peleg Hadar.
Apa saja aspek kunci dari peran Anda sebagai peneliti keamanan?
Inti dari pekerjaan kami adalah mencari konsep dan mekanisme keamanan baru yang belum pernah diserang sebelumnya. Target baru lebih cenderung mengandung bug yang dapat membahayakan pengguna. Secara umum, kami mencoba menjadi sekreatif peretas, dan satu atau dua bulan di depan mereka.
Kami mencari konsep baru yang dapat digunakan untuk menyerang target bernilai tinggi dan kami mencari ide untuk menguranginya. Untuk melakukan ini, seorang peneliti perlu memahami pola serangan dan teknik sebelumnya, mengkategorikannya dan menggunakan pengetahuan itu untuk mengembangkan mitigasi baru untuk serangan baru yang serupa.
Dari 23 kerentanan keamanan utama yang Anda ungkapkan antara Juni dan Desember tahun lalu, mana yang paling parah dan apakah sudah ditambal?
Pertanyaan sulit! Semuanya berpotensi parah, jadi sulit untuk menunjukkan hanya satu, tetapi saya percaya bahwa kerentanan yang kami temukan pada produk antivirus, dan kerentanan yang kami temukan pada laptop merek besar (langsung dari rantai pasokannya) akan berdampak paling besar. mereka memengaruhi jutaan pengguna.
Sebagian besar vendor perangkat lunak yang kami informasikan tentang kerentanan dapat dengan cepat dimitigasi dan ditambal. Pengguna di seluruh dunia harus lebih cepat dan rajin menginstal pembaruan dan tambalan.
Apa saja tema umum dan akar penyebab di seluruh kerentanan yang memungkinkan penyerang mengeksekusi kode berbahaya?
Mengejutkan – kecuali bagi peretas – betapa kelalaian yang mudah diperbaiki namun berbahaya dapat mengintai selama bertahun-tahun di banyak produk dari vendor yang bersaing. Misalnya, kami menemukan beberapa alat keamanan yang memuat dan mengeksekusi file arbitrer tak bertanda tangan tanpa verifikasi lebih lanjut.
Saat ini, tidak ada kebijakan di seluruh sistem operasi di Windows untuk membatasi praktik ini, sehingga pengembang perangkat lunak harus secara eksplisit menerapkannya saat menerapkan kode mereka.
Apa pendapat Anda tentang program hadiah bug, dan menurut Anda apakah semua perusahaan besar harus memilikinya?
Gagasan bounty memang menarik, tetapi dari pengalaman saya, bounty sebenarnya dapat memperlambat proses pelaporan kerentanan, karena tim lain melihat laporan tersebut sebelum vendor aslinya melihatnya. Bahkan mungkin tidak diteruskan ke perusahaan karena tim triase pihak ketiga awal dapat memutuskan bahwa itu tidak cukup penting. Kasus-kasus ini mungkin berbahaya dan dapat membuat kerentanan tidak tertambal.
Mengapa menurut Anda perusahaan perangkat lunak dan perangkat keras global harus memiliki kebijakan keamanan publik yang sangat terlihat?
Setiap vendor teknologi harus menetapkan upaya dan sumber daya, termasuk orang, untuk menangani laporan keamanan eksternal tentang produk mereka. Terkadang sangat sulit bagi peneliti untuk mengetahui siapa yang harus mereka informasikan tentang kelemahan serius, karena orang yang tepat tidak teridentifikasi.
Kami di komunitas riset keamanan mencoba memberi tahu vendor terlebih dahulu, karena kami ingin celah keamanan diperbaiki, jadi mari bekerja sama dan jadikan dunia tempat yang lebih aman.
Nasihat apa yang akan Anda berikan kepada bisnis yang mencoba menghindari menjadi korban kerentanan keamanan?
Pertama dan terpenting, selalu perbarui perangkat lunak dan perangkat keras Anda. Saya tidak bisa mengatakannya dengan cukup; ini sangat penting dan merupakan cara paling sederhana dan paling murah untuk menghentikan banyak serangan. Juga, sebagai praktik berkelanjutan, tantang produk dan solusi keamanan Anda, dan validasi mereka – serang mereka dengan cara yang akan dilakukan penyerang dan lakukan secara terus menerus. Menginstalnya saja tidak cukup.
Banyak alat keamanan yang salah konfigurasi dan menyimpang dari waktu ke waktu. Simulasi serangan berkelanjutan dapat menangkap kesalahan konfigurasi. Penting juga untuk melatih karyawan dan meningkatkan kesadaran mereka akan ancaman dunia maya, dan cara menggagalkannya. Manusia biasanya merupakan mata rantai terlemah dalam rantai keamanan dan sering membiarkan penyerang menyusup ke jaringan melalui rekayasa sosial dasar.
Ancaman dunia maya apa yang saat ini ada di radar Anda untuk tahun 2020?
Saya yakin kami akan terus memerangi ransomware dan email phishing tombak – serangan yang menggunakan rekayasa sosial sangat efektif untuk penyerang. Sebagian besar fokus kami adalah mencari kerentanan prioritas tinggi baru dan memeriksa produk populer.