Berdasarkan yang saya baca, ternyata penggunaan IDS lebih sering gagal daripada berhasil. Ini karena adanya pemikiran yang salah dari pihak manager teknis dalam mengoperasikan IDS. Para manager sering menganggap pengoperasian IDS tidak jauh berbeda dengan pengoperasian firewall.
Firewall yang telah dikonfigurasi dengan baik, dapat memberikan perlindungan, tetapi hanya dalam level minimal. Jika firewall sudah dikonfigurasi untuk memblok port 111 TCP, maka port tersebut pasti di blok, dan tidak dibutuhkan pemeriksaan lagi setelah dijalankan. Tentu saja pengecualian apabila ada pihak tidak bertanggung jawab yang merubah rule akses di firewall. Hal semacam ini merupakan impian bagi seorang manager teknis, yaitu: cukup membeli perangkat, konfigurasi secukupnya, dan mulai mengoperasikannya. Harapan dari manager adalah perangkat dapat melakukan pekerjaan dengan baik, tanpa perlu banyak pengawasan.
Manager menganggap pengoperasian IDS sama dengan pengoperasian firewall, yaitu, beli, konfigurasi, dan pasang. Cara kerja seperti ini tidak dapat diterapkan ke IDS. Tujuan dari firewall adalah pencegahan, sedangkan tujuan dari IDS adalah pendeteksian. Firewall memberikan perlindungan terhadap beberapa serangan tanpa supervisi dari luar. IDS akan mendeteksi serangan, tetapi warning yang dihasilkan harus diinterpretasikan, dieskalasikan, dan direspon oleh tenaga manusia. JIka kita memasang sistem IDS namun tidak menganalisa log yang dihasilkan, maka sistem IDS tersebut tidak berguna.
Sumber:
The Tao of Network Security Monitoring: Beyond Intrusion Detection
Tweet
"Tujuan dari firewall adalah pencegahan, sedangkan tujuan dari IDS adalah pendeteksian."
BalasHapusO begitu? Terima kasih, Kang.