Nyaris 80% dari produk ekamanan gagal melakukan aksi seperti yang diharapkan ketika dites untuk pertama kalinya, dan umumnya membutuhkan lebih dari sekali perputaran pengetesan sebelum menerima sertifikasi, seperti dilaporkan terbaru ICSA Labs. Studi ini mencakup ribuan pengetesan produk keamanan selama 20 tahun.

Laporan ini menemukan bahwa alasan utama mengapa sebuah produk gagal dalam pengetesan awal karena produk itu tidak menunjukkan performa seperti yang diharapkan.
pada tujuh kategori produk, fungsi-fungsi produk inti mengalami kegagalan sebesar 78% pada pengetesan awal. MIsalnya, produk anti-virus gagal melakukan pencegahan infeksi, atau produk IPS (intrusion prevention system) yang gagal menyaring trafik berbahaya.

Kegagalan produk untuk mencatat data secara lengkap dan akurat merupakan alasan umum kedua mengapa produk keamanan tidak berperforma seperti yang diharapkan. Pencatatan yang tidak lengkap dan akurat mengenai siapa melakukan apa dan dimana, mencapai kegagalan sebesar sebesar 58%.

Berdasarkan temuan laporan ini pula disarankan bagi sejumlah vendor dan pengguna korporat untuk mempertimbangkan mencatatkan gangguan dan selalu memerhatikan "kotak yang mesti diperiksa". Masih menurut laporan tersebut, pencatatan masih menjadi kendala besar yang umum bagi firewall. Hampir setiap firewall jaringan (97%) atau firewall aplikasi web (80%) mengalami maslah pencatatan setidaknya satu kali.

Alasan ketiga yang biasanya menyebabkan kegagalan produk adalah teuan bahwa 44% dari produk keamanan memiliki masalah keamanan sendiri, termasuk kerentanan yang mengkompromikan kerahasiaan atau integritas dari sistem, dan perilaku acak yang berdampak pada ketersediaan produk.

Meskipun proses sertifikasi bisa menjadi proses yang sangat menuntut, sertifikasi dengan keterlibatan pihak ketiga yang terpercaya menjadi penting untuk memverifikasi kualitas produk, terang laporan itu. Kategori produk yang diteliti adalah anti-virus, network firewall, Web application firewall, network IPS, IPSec VPN, SSL VPN dan pengetesan custom.

"Tujuan kami adalah untuk membantu vendors membangun produk yang lebih aman," ujar George Japak, managing director, ICSA Labs sekaligus asisten penulis laporan tersebut. "Ketika sebuah produk gagal, kami mendorong vendor untuk melihatnya sebagai kesempatan untuk meningkatkan produk sebelum masuk ke pasar. Keuntungan lainnya bagi industri keamanan adalah pertukaran informasi yang dapat menguntungkan korporat sebab menyediakan informasi yang lebih terpercaya untuk menilai produk sebelum melakukan pembelian."

Proses penngetesan dan sertifikasi dari ICSA dilakukan dengan teliti, dan hanya 4% dari produk yang dites yang lolos pengetesan tahap pertama. Meski demikian, 82% produk yang didaftar uang untuk pengetesan akhirnya memperoleh sertifikasi ICSA Labs. Ketika vendor telahmendapat sertifikasi, produk itu diwajibkan untuk menjalani pengetesan terus-menerus untuk menjaga sertifikasinya.

Japak menyatakan, "Pertanyaan yang saya tanyakan ke vendor adalah: siapakah yang lebih anda suka, bertemu sebuah masalah pada produk anda dari ICSA Labs yang dilaukan di lingkungan pengetesan yang aman, atau bertemu kriminal di luar sana?"

Studi ini juga mengidentifikasi beberapa isu lainnya termasuk dokumentasi produk yang buruk dan masalah yang melibatkan penambalan, yaitu kemampuan produk untuk menerima pembaruan secara tepat.

Laporan ini juga merekomendasikan langkah yang perlu diambil oleh perusahaan sebelum membeli dan menggunakan produk keamanan. Beberapa diantaranya adalah;

• Tuntutan kualitas. Pasar biasanya memilih fitur ketimbang kualitas. Jika end-users menuntut kualitas, vendor akan menyediakannya.

• Berhati-hati dengan klaim performa dan angka. Pertanyakan mereka, jadilah pembeli yang terdidik dan waspada.

• Pilih produk yang telah mapan ketimbang yang baru. Produk baru memiliki lebih banyak masalah; terkadang mereka malah belum dapat bekerja baik.

• Pilih kesederhanaan dari kompleksitas.

• Gunakan produk yang tersertifikasi. Ini penting untuk mengurangi resiko. Ketika menggunakan produk tersertifikasi, pastikan sertifikasi tersebut valid. Dorong vendor untuk menjaga sertifikasi hingga akhir dari hidup jika produk itu masih digunakan.


Eka Santhika