Yang dapat dikategorikan detektor adalah segala jenis aplikasi yang mampu "mendengarkan" jaringan, socket, atau file log, kemudian mencari pola-pola tertentu, dan menghasilkan event security bila pola tersebut sesuai. Detektor dapat dibagi lagi menjadi dua kelompok, yaitu pattern detector adalah detector yang bekerja berdasarkan pola tertentu, dan anomaly detector adalah detector yang bekerja berdasarkan wajar atau tidaknya suatu keadaan.
Pattern detector yang paling umum adalah IDS, yang mampu mendeteksi pola-pola berdasarkan rule-rule atau signature yang sudah didefinisikan sebelumnya. Akan tetapi sebenarnya hampir semua element dalam jaringan (router, firewall, dll) memiliki kemampuan sebagai pattern detector. Element-element tersebut biasanya menghasilkan log apabila ada pola-pola security yang cocok. Aplikasi pattern detector yang sudah ada dalam OSSIM antara lain Snort (NIDS), Snare (HIDS) dan Osiris (HIDS). OSSIM juga juga memiliki sebuah Collection System sehingga mampu mengumpulkan data dari berbagai perangkat eksternal.
Anomaly detector menerapkan konsep pendeteksian keanehan (anomali) daripada kecocokan pola. Sehingga dalam sistem deteksi kita tidak perlu menentukan mana yang baik dan mana yang buruk. Sistem anomaly detector bisa belajar sendiri, dan memperingatkan kita apabila statistik keadaan meningkat dan melebihi batas normal. Dengan anomali detector, kita bisa mengetahui adanya serangan dari internal perusahaan, misalnya oleh seorang karyawan yang tidak bertanggung jawab. Serangan yang dilakukan karyawan tersebut tidak melanggar pola-pola keamanan dalam membuka akses, karena dia memiliki hak akses yang sah. Akan tetapi perilaku dan tata cara penggunaan hak tersebut tidak wajar, seperti karyawan lainnya.
Berikut ini beberapa manfaat penggunaan anomaly detector:
- Mendeteksi serangan tipe paling baru dimana belum ada signature untuk keanehan dan gejala dari serangan tersebut.
- Malware, worm, spam dan bahkan penggunaan program P2P akan menghasilkan koneksi tidak wajar yang mudah dideteksi.
- Mendeteksi service yang memiliki asal dan target yang tidak normal.
- Mendeteksi penggunaan jaringan pada waktu-waktu tidak wajar.
- Mendeteksi penggunaan traffic yang berlebihan.
- Perubahan keadaan sistem, misalnya perubahan sistem operasi, IP, MAC, dan service.
Berikut ini aplikasi anomaly detector berbasis opensource yang sudah terkompilasi dalam OSSIM:
- Spade, digunakan untuk mendeteksi koneksi yang tidak wajar dalam penggunaan port dan tujuan.
- Plugin Aberrant Behaviour untuk Ntop mempelajari penggunaan parameter, dan akan memperingatkan apabila Ntop berperilaku tidak seperti yang diharapkan.
- Arpwatch digunakan untuk mendeteksi MAC spoofing.
- P0f digunakan untuk mendeteksi perubahan sistem operasi.
- Pads dan Nmap digunakan untuk mendeteksi service jaringan baru yang mungkin mengalami perubahan.
Tweet
Tidak ada komentar:
Posting Komentar