False Positive Alarms (False Alarms): Deteksi Maksimal dengan False Alarm Minimal

False Positive adalah cara lain untuk menyatakan ‘mistake’ atau keliru. Dalam penerapannya di dalam program anti-virus, kondisi false positive terjadi saat sebuah file dianggap atau di klaim sebagai file yang terinfeksi (virus, malware, dll) padahal pada kenyataannya file tersebut tidak mengandung virus, atau dengan kata lain file bersih.

Kondisi demikian cukup merepotkan apa lagi jika file tersebut adalah file penting, sehingga bisa sangat mengganggu. Produktivitas Anda jadi terganggu karena pekerjaan menjadi melambat. Anda mungkin juga akan kehilangan waktu karena Anda harus membersihkan file yang “terinfeksi” itu bahkan jika back-up file-nya juga dinyatakan terinfeksi. Pendeknya, kasus-kasus false positives bisa menjadi kendala bagi proses kerja. Pada kenyataannya false alarms adalah kondisi yang tidak dapat dihindari, karena performa kerja antivirus yang sangat ketat dalam melakukan scanning files.

Istilah false positive tersebut tidak hanya dikenal di dunia antivirus, pada bidang proteksi anti-spam, false positive diartikan sebagai kesalahan identifikasi terhadap pesan e-mail yang dianggap spam. Hal ini juga bisa menjadi masalah, karena e-mail yang mungkin saja merupakan e-mail penting jadi tidak terkirim.

False alarms terjadi karena data yang tidak dienkripsi diblok oleh antivirus dan langsung diabaikan oleh scanner antivirus. Jika pada produk tertentu terjadi beberapa false alarms terhadap file-file dengan software yang sama, maka hanya akan dianggap satu false alarms. Perlu digaris bawahi juga bahwa tidak semua false alarms itu sama, sehingga untuk memberikan informasi yang lebih baik tentang false alarms, tingkat prevalensi false alarms akan dibagi berdasarkan kategori-kategori seperti pada tabel dibawah ini.

Tabel kategori false alarms.

False positive tidak hanya terkait dengan scanners tetapi juga ke ‘Web Application Firewalls’ dan ‘NIDS’s/IDS’s/IPS’s’. Aplikasi yang ditujukan untuk melakukan monitoring ini, bisa saja memberikan laporan tentang adanya upaya serangan ke komputer kita tetapi terkadang rancu dengan masuknya pesan data atau informasi valid yang masuk. Setiap Anda melakukan scan, pasti Anda temukan report yang menginformasikan tentang komputer Anda yang rentan terhadap aplikasi tertentu seperti websphere, yang pasti tidak akan Anda jalankan. Terkadang kerentanan yang sama bisa terdapat pada banyak produk atau aplikasi tetapi ketika dilakukan penelusuran lebih jauh, maka akan bisa diketahui bahwa produk atau aplikasi tersebut ditulis dengan apikasi yang spesifik sehingga produk dan atau deskripsi dari kerentanan yang ada mungkin tidak 100% akurat.
Di dalam program-program yang digunakan untuk menyaring atau mem-filter spam, false positive alarm bisa muncul dalam bentuk “mail sungguhan tetapi dinyatakan sebagai spam”. Pesan atau surat yang dinyatakan sebagai spam akan ditolak masuk oleh server atau program penyaring spam di komputer client dan pesan tersebut akan dikembalikan ke pengirim sebagai bounce e-mail.

Salah satu masalah yang muncul jika menggunakan beberapa filtering tools adalah jika konfigurasi pada perangkat tersebut akan terdefault dengan sangat ketat dengan tujuan agar lebih efektif. Langkah tersebut akan meningkatkan kemungkinan terjadinya false positives. Karena bisa mengakibatkan pesan atau e-mail penting ter-blok dan jika hal tersebut terjadi, akan membuat perusahaan-perusahaan enggan untuk menggunakan perangkat anti spam.

Keberadaan false positives akan tak terhindarkan, dan yang dapat menekannya adalah kemampuan dari seseorang dalam menulis signatures atau check logic. Sebelum Anda melayangkan keluhan Anda ke vendor atau pengembang produk yang Anda gunakan, perlu dipahami bahwa check logic tersebut ditulis dengan sangat hati-hati dan sudah melalui tahap pengujian. Jika menurut Anda, Anda mengalami false positive, dianjurkan agar Anda berkomunikasi dengan pihak vendor untuk mencari solusi atas masalah tersebut. Sebab, bisa saja justeru komputer Anda benar-benar dalam keadaan rentan, atau ada hal lain yang rentan terhadap ‘security check’ tertentu.

Jadi disatu sisi, sebuah produk keamanan dikatakan sebagai handal jika mampu melakukan scanning secara proaktif dan ketat terhadap semua file yang ada dan masuk ke komputer, meskipun resiko terjadinya false alarms tidak terhindarkan. Pada titik inilah tantangannya bagi produk keamanan yaitu menjamin keamanan komputer dengan scanning yang ketat, disaat yang sama juga mMenghadapi kondisi demikian, maka produk keamanan komputer ESET dengan Advance Heuristics Engine berusaha meminimalkan tingkat false alarms.