Deteksi dan respon adalah dua hal yang paling penting diantara empat element dari proses security. Karena pencegahan pada akhirnya akan gagal, sebuah perusahaan harus mampu mendeteksi dengan cepat bagaimana seorang penyerang compromised terhadap korban dan mencari tahu apa saja yang dilakukan penyerang setelah mendapatkan akses secara tidak sah. Proses respon ini disebut scoping terhadap sebuah insiden. "Compromised" tidak selalu berarti "mendapatkan akses root." Seorang penyerang yang menaikkan level perijinan yang dia miliki melalui database yang cacat, sama berbahayanya dengan penyerang yang mendapatkan akses administrator dalam sebuah host Windows.
Barang siapa yang pernah melakukan respon terhadap insiden pada basis umum, dengan cepat mempelajari prioritas dari pembuatan keputusan. Manager, maupun staff manajemen lainnya, tidak peduli bagaimana seorang penyerang menembus pertahanan. Mereka biasanya menanyakan pertanyaan berikut ini:
- Apa saja yang dilakukan penyerang?
- Kapan penyerang melakukan penerobosan?
- Apakah penyerang masih memiliki akses?
- Apa akibat terburuk dari compromised?
Jawaban dari pertanyaan di atas dapat membimbing respon dari pembuat keputusan. Apabile dari pihak executive tidak memperdulikan bagaimana penyusupan terdeteksi, maka tidak masalah bagaimana compromise diketahui pada awalnya. Network security analyst menggunakan semua sumberdaya yang ada untuk mendeteksi adanya penyusupan. Indikator yang dapat dipakai antara lain log dari firewall, grafik penggunaan router, rekaman NetFlow yang aneh, atau alarm dari IDS. Selain yang sudah disebutkan, masih banyak lagi indikator yang dapat digunakan untuk mendeteksi adanya penyusupan.
Meskipun pihak executive tidak peduli mengenai metode intrusi, hal ini sangat berarti bagi pihak yang bertanggung jawab melakukan respon insiden untuk memperbaiki kerusakan yang dibuat oleh penyerang. Hanya dengan mengetahui metode akses dan kemudian menutupnya, insiden respon dapat yakin terhadap perbaikan yang dilakukannya. Selain memperbaiki kelemahan yang digunakan penyerang untuk mendapatkan akses, petugas insiden respon harus memastikan tidak ada metode mudah lainnya untuk compromise.
Ketika menentukan langkah pasca insiden, pekerjaan dari vulnerability assessment menjadi sangat penting. Tool-tool assessment dapat mengidentifikasikan bagian-bagian yang rawan pada network kita dan memberikan petunjuk untuk perbaikan, setelah mengumpulkan bukti-bukti. Bukti-bukti tersebut diperlukan untuk memperbaiki dan melanjutkan proses atau mencari dan menuntut secara hukum pelaku penyusupan. Dalam proses insiden respon, diperlukan kerjasama dari bagian pencegahan penyusupan, deteksi penyusupan, dan tim respon insiden sendiri untuk menentukan rencana paling efisien agar perusahaan segera recovery dan kembali melakukan proses produksi.
Setiap tim dapat memberikan kontribusi keahlian dengan cara berikut. Tim pencegahan berbagi dengan tim deteksi dan respon mengenai postur security dari perusahaan. Pengetahuan mengenai postur security akan membantu dalam proses respon dan deteksi, yang kemudian dapat memverifikasi seberapa efektifkah strategy pencegahan yang digunakan. Tim deteksi harus membantu tim respon untuk melakukan analisa host-based yang lebih mendalam terhadap komputer yang menjadi korban, dan sekaligus memberitahukan kepada tim pencegahan metode mana yang gagal. Tim respon harus memberitahu tim deteksi mengenai exploit baru atau backdoor yang tidak terdeteksi oleh operasi network security monitoring. tim respon juga dapat membantu strategy pencegahan untuk mengurangi resiko insiden di masa yang akan datang. Apabila dan kebijakan atau review baru, seluruh tim harus dilibatkan.
Perlu diperhatikan, yang dimaksud intrusi / penyusupan adalah adanya pelanggaran kebijakan. Outsider maupun insider bisa melakukan intrusi. Meskipun data dari network security monitoring mampu mengidentifikasi miskonfigurasi network, mengetahui penggunaan sumber daya, dan mencari tahu kebiasaan berinternet karyawan, tapi tetap tujuan utama dari network security monitoring adalah untuk mengidentifikasi apabila ada intrusi.
Sumber:
The Tao of Network Security Monitoring: Beyond Intrusion Detection
Tweet
Tidak ada komentar:
Posting Komentar