Google Ingatkan Ancaman Peretasan Zero-Day, Tahun 2021 Tercatat 58 Kasus
loading...
A
A
A
NEW YORK - Tim keamanan internal Google memperingatkan bahwa ancaman keamanan zero-day menjadi risiko yang lebih besar daripada sebelumnya. Tim Google Project Zero mencatat ada 58 ancaman zero-day berbeda yang diidentifikasi pada tahun 2021.
Itu adalah jumlah terbesar yang dilaporkan sejak zero-day mulai dikenal pada tahun 2014. Jumlah ini naik dari 25 eksploitasi yang ditemukan pada tahun 2020. Hampir dua kali lipat dari jumlah yang terdeteksi beberapa tahun belakangan.
Zero-day adalah istilah luas yang menggambarkan kerentanan keamanan yang baru ditemukan yang dapat digunakan peretas untuk menyerang sistem. Zero-day merupakan serangan cyber yang terjadi pada hari yang sama saat kelemahan atau kerentanan ditemukan di dalam sistem perangkat lunak.
Tim keamanan internalGoogle mencatat bahwa metodologi yang digunakan oleh penyerang zero-day tampaknya tidak banyak berubah atau berevolusi dari tahun-tahun sebelumnya. Tetap dengan pola bug dan teknik eksploitasi yang sama masih dan sudah populer.
“Ketika kami melihat 58 zero-dayi yang digunakan pada tahun 2021, kami lihat zero-day ini mirip dengan sebelumnya yang sudah diketahui publik. Agar berhasil, penyerang harus menemukan kelas bug baru dari kerentanan di permukaan serangan baru menggunakan metode eksploitasi yang belum pernah terlihat sebelumnya,” tuls Google dikutip SINDOnews dari laman techradar, Kamis (21/4/2022).
Namun, Google juga mencatat bahwa peningkatan zero-days yang dilaporkan sebenarnya bisa menjadi hal yang baik, karena itu berarti lebih banyak ancaman yang dilaporkan dan diungkapkan kepada publik. "Kami melakukan dan membagikan analisis ini untuk membuat zero-day jadi sulit," tulis Maddie Stone dari tim Project Zero dalam posting blog yang mengumumkan temuan tersebut.
Secara keseluruhan, Google mengatakan industri tampaknya membaik dalam hal "deteksi dan pengungkapan" eksploitasi zero-day, tetapi memperingatkan bahwa ini masih "langkah kecil". Perusahaan menyerukan sejumlah langkah untuk meningkatkan kemajuan, termasuk menetapkan perilaku standar industri bagi semua vendor untuk diungkapkan kepada publik ketika ada bukti yang menunjukkan bahwa kerentanan dalam produk mereka sedang dieksploitasi.
“2021 menyoroti betapa pentingnya untuk tetap tanpa henti dalam upaya kami untuk mempersulit penyerang mengeksploitasi pengguna dengan 0-hari. Kami berulang kali mendengar tentang bagaimana pemerintah menargetkan jurnalis, populasi minoritas, politisi, pembela hak asasi manusia. , dan bahkan peneliti keamanan di seluruh dunia,” tulis Google.
Google juga mengatakan bahwa vendor dan peneliti keamanan sama-sama harus lebih baik dalam berbagi sampel atau teknik eksploitasi. Perlu lebih banyak upaya juga diperlukan untuk mengurangi kerentanan kerusakan memori atau membuatnya tidak dapat dieksploitasi.
Itu adalah jumlah terbesar yang dilaporkan sejak zero-day mulai dikenal pada tahun 2014. Jumlah ini naik dari 25 eksploitasi yang ditemukan pada tahun 2020. Hampir dua kali lipat dari jumlah yang terdeteksi beberapa tahun belakangan.
Zero-day adalah istilah luas yang menggambarkan kerentanan keamanan yang baru ditemukan yang dapat digunakan peretas untuk menyerang sistem. Zero-day merupakan serangan cyber yang terjadi pada hari yang sama saat kelemahan atau kerentanan ditemukan di dalam sistem perangkat lunak.
Tim keamanan internalGoogle mencatat bahwa metodologi yang digunakan oleh penyerang zero-day tampaknya tidak banyak berubah atau berevolusi dari tahun-tahun sebelumnya. Tetap dengan pola bug dan teknik eksploitasi yang sama masih dan sudah populer.
“Ketika kami melihat 58 zero-dayi yang digunakan pada tahun 2021, kami lihat zero-day ini mirip dengan sebelumnya yang sudah diketahui publik. Agar berhasil, penyerang harus menemukan kelas bug baru dari kerentanan di permukaan serangan baru menggunakan metode eksploitasi yang belum pernah terlihat sebelumnya,” tuls Google dikutip SINDOnews dari laman techradar, Kamis (21/4/2022).
Namun, Google juga mencatat bahwa peningkatan zero-days yang dilaporkan sebenarnya bisa menjadi hal yang baik, karena itu berarti lebih banyak ancaman yang dilaporkan dan diungkapkan kepada publik. "Kami melakukan dan membagikan analisis ini untuk membuat zero-day jadi sulit," tulis Maddie Stone dari tim Project Zero dalam posting blog yang mengumumkan temuan tersebut.
Secara keseluruhan, Google mengatakan industri tampaknya membaik dalam hal "deteksi dan pengungkapan" eksploitasi zero-day, tetapi memperingatkan bahwa ini masih "langkah kecil". Perusahaan menyerukan sejumlah langkah untuk meningkatkan kemajuan, termasuk menetapkan perilaku standar industri bagi semua vendor untuk diungkapkan kepada publik ketika ada bukti yang menunjukkan bahwa kerentanan dalam produk mereka sedang dieksploitasi.
“2021 menyoroti betapa pentingnya untuk tetap tanpa henti dalam upaya kami untuk mempersulit penyerang mengeksploitasi pengguna dengan 0-hari. Kami berulang kali mendengar tentang bagaimana pemerintah menargetkan jurnalis, populasi minoritas, politisi, pembela hak asasi manusia. , dan bahkan peneliti keamanan di seluruh dunia,” tulis Google.
Google juga mengatakan bahwa vendor dan peneliti keamanan sama-sama harus lebih baik dalam berbagi sampel atau teknik eksploitasi. Perlu lebih banyak upaya juga diperlukan untuk mengurangi kerentanan kerusakan memori atau membuatnya tidak dapat dieksploitasi.
(wib)