RESPON

Malware seperti worm dan virus dapat menyebar lebih cepat dari
pada kemampuan manusia untuk menganalisa dan meresponinya.
Sebuah strategi pertahanan yang baik menghadapi worm haruslah dapat
dilakukan secara otomatis. Sebuah respon otomatis dapat memperlambat
dan membatasi ruang-gerak worm.
Respon otomatis yang diberikan biasanya berupa blocking terhadap
aktifitas worm.
Kelemahan respon otomatis yang umum adalah
terjadinya respon terhadap false positive dan false negative. False positive
adalah situasi dimana respon diberikan namun tidak terjadi indikasi
adanya worm, sementara false negative adalah situasi dimana worm benar-
benar menyerang namun respon tidak diberikan.
Keputusan untuk menanggapi keberadaan worm pada network
haruslah bijak. Berarti dalam pengambilan sebuah keputusan tersebut
haruslah berdasarkan analisa teknis yang melibatkan banyak aspek
seperti statistik, usage policy, maupun security advisory.
Host Response—Sebuah proses respon pada sistim komputer akan
melibatkan personal firewall yang mampu membaca alerts yang diha-
silkan oleh host-based IDS. Pada level ini, respon yang diberikan dapat
menjadi lebih efektif dalam membendung aktifitas worm.
Network Response—Respon pada level ini haruslah memungkinkan
untuk mengkombinasikan teknik blocking ketika mendapat alert dan
mampu memilah kelas dari trafik yang diduga sebagai worm yang sedang
menyebar. Network-based IDS seperti snort dan prelude dapat digunakan
untuk mengidentifikasi keberadaan worm dengan menganalisa network
traffic secara pasif.
ISP Response—Walaupun tingkat kesulitan dalam melakukan respon
otomatis pada level ini cukup tinggi, namun proteksi dengan skala sistim
yang lebih besar dapat menjadi pertimbangan. Implementasi respon
otomatis pada level ISP haruslah terlebih dahulu teruji dengan baik
karena terjadinya false positive dan false negative dapat dengan mudah
terjadi.