Koleksi, analisa, dan eskalasi merupakan istilah umum dalam Network Security Monitoring. Sebelum memahami lebih lanjut mengenai tiga istilah tersebut, sebaiknya kita pahami terlebih dahulu, apa yang akan dikoleksi, dianalisa, dan dieskalasi. Karena itulah, pertama-tama kita akan mempelajari mengenai Indications and Warning.
Berdasarkan kamus istilah militer departemen pertahanan Amerika Serikat, indicator adalah, "sebuah informasi yang mencerminkan keinginan atau kemampuan dari pihak yang berpotensi menjadi musuh untuk menggunakan atau tidak menggunakan sebuah metode aksi." Sedangkan dari manual ketentaraan Amerika Serikat menggambarkan indikator sebagai "tindakan yang dapat diamati atau dilihat, yang dapat mengkonfirmasi atau membantah kemampuan dan niatan lawan." Dokumen tersebut kemudian mendefinisikan indikasi dan peringatan sebagai, "strategi monitoring event dunia militer, ekonomi, dan politik untuk memastikan bahwa mereka tidak mendahului dalam membahayakan atau aktivitas lain yang bertentangan dengan kepentingan Amerika Serikat."
Indication and Warning adalah proses strategi monitoring yang menganalisa indicator dan menghasilkan warning. Sekarang kita beralih dari manual ketentaraan Amerika Serikat dan mendefinisikan digital indications and warning sebagai strategi monitoring traffic network untuk membantu dalam mendeteksi dan memvalidasi adanya penyusupan.
Perhatikan bahwa proses indication and warning berfokus pada threat. Indications and warning tidak memperhatikan vulnerability, meskipun kemampuan seseorang / organisasi untuk merusak sebuah asset berhubungan dengan kelemahan dari asset tersebut. Karena itulah, produk Network Security Monitoring dan IDS berfokus pada threats. Namun sebalikya produk vulnerability assessment memperhatikan vulnerability. Beberapa ahli menganggap vulnerability assessment adalah "sebuah special case dari intrusion detection, " namun logika menunjukan bahwa vulnerability tidak berhubungan dengan threat. Beberapa produk yang berorientasi pada vulnerability dan rangkaian management informasi security menggunakan modul "threat correlation" yang menerapkan vulnerability yang sudah diketahui ke dalam asset. Ada banyak referensi untuk threat namun tidak ada yang menyebutkan adanya pihak yang memiliki kemampuan atau niatan untuk mengeksploitasi vulnerability tersebut.
Indications
Berdasarkan manual intelijen tentara, kita mendefinisikan indications (atau indicator) sebagai aksi yang dapat diamati dan dilihat yang mengkonfirmasi atau membantah kemampuan dan keinginan musuh. Di dunia network security monitoring, indicator adalah output dari produk. Indicator adalah konklusi yang dihasilkan oleh produk, sebagaimana diprogram oleh developer produk tersebut. Indikator yang dihasilkan oleh IDS biasanya disebut alert.
Tujuan utama bagi vendor IDS adalah 100% akurat dalam mendeteksi penyusup. Dengan kata lain, setiap alert yang berhubungan dengan pihak perusak. Tapi sayangnya, keakuratan 100% tidak akan mungkin tercapai. Produk-produk IDS tidak memiliki context . Context adalah kemampuan untuk memahami sifat alami dari sebuah event dengan tetap memperhatikan semua aspek dalam environtment sebuah organisasi. Contoh sederhana misalnya, bayangkan sebuah uji coba penerobosan keamanan yang dilakukan oleh perusahaan konsultan terhadap sebuah client. Jika perusahaan konsultan tersebut berhasil compromise sebuah server, mungkin IDS akan melaporkan event uji coba tersebut sebagai sebuah serangan. Apapun alasan dan tujuannya, event tersebut memang sebuah serangan. Namun bagaimananpun, dipandang dari pihak manager yang memperkerjakan konsultan, event ini bukanlah serangan.
Sekarang perhatikan contoh kedua. Sebuah IDS mungkin dikonfigurasi untuk mendeteksi penggunaan software PsExec dan melaporkanya sebagai sebuah "insiden hacking." PsExec adalah software yang dapat digunakan untuk mengeksekusi command secara remote dalam sistem Windows, sehingga user memiliki perijinan dan akses yang sesuai. Penggunaan software semacam ini oleh pihak tidak berwenang merupakan indikasi adanya serangan. Namun demikian, administrator sistem dapat menggunakan PsExec untuk mengakses server secara remote. Kebijakan yang rinci diperlukan untuk membedakan penggunaan sah dan tidak sah dari tool tersebut. Kemampuan menggunakan kebijakan rinci semacam inilah yang belum dimiliki oleh sebagian besar institusi. Oleh karena itulah, diperlukan keahlian manusia.
Semua indicator memiliki nilai, tapi beberapa indicator nilainya lebih besar dari yang lainnya. Sebuah alert yang menyatakan sebuah mail server sudah menginisiasi session FTP ke host di Rusia, merupakan sebuah indicator. Adanya lonjakan traffic Internet Control Message Protool (ICMP atau Ping) pada pukul 02:00 adalah indicator juga. Secara umum, indicator pertama memiliki nilai lebih tinggi dari indicator kedua, kecuali perusahaan tersebut belum pernah menggunakan ICMP sebelumnya.
Warning
Warning adalah hasil dari interpretasi seorang analyst terhadap indicator. Warning mewakili pengambilan keputusan manusia. Para analyst menyimak indicator yang dihasilkan oleh produk mereka, dan meneruskannya ke bagian pengambilan keputusan. Jika indicator serupa dengan informasi, maka warning sejalan dengan intelijen. Bukti-bukti adanya reconnaissance, exploitation, reinforcement, consolidation, atau pillage adalah indicator. Sebuah report ke management yang menyatakan "mail server kita mungkin sudah compromise" adalah warning.
Sangat penting untuk memahami bahwa proses indication and warning berfokus pada threat dan aksi sebelum compromise, atau dalam kasus militer disebut konflik. Agen Intelijen Pertahanan Amerika Serikat mengajarkan bagaimana melakukan threat assessment dengan melihat indicator, misalnya pergerakan prajurit, transkripsi sinyal intelijen, dan laporan intelijen manusia. Namun proses indicator and Warning tidak melakukan pembuatan laporan apabila ada penyerangan terhadap asset milik pemerintah Amerika Serikat. Begitu kita yakin ada aksi yang valid dari musuh, kita tidak perlu melakukan penilaian terhadap penilaian dan kemampuan dari musuh.
Serupa dengan konsep Indicator dan Warning dalam Network Security Monitoring mengenai warning. Sekarang ini jarang terjadi laporan yang 100% valid bahwa itu adalah benar-benar serangan. Yang lebih sering terjadi adalah para analyst mengumpulkan petunjuk yang hanya bisa dimengerti setelah ada tambahan kumpulan petunjuk yang didapat dari asset yang potensial menjadi korban. Petunjuk tambahan ini bisa berbasis jaringan, misalnya rekaman traffic dari dan ke perangkat yang mungkin di-compromise. Alternatifnya adalah, investigator dapat menggunakan pendekatan berbasis host dengan melakukan forensic respon secara live terhadap server yang dianggap menjadi korban.
Keadaan yang kontrast antara model indicator and warning di dunia militer dan keamanan digital penting untuk dimengerti. Agen intelijen dan militer menggunakan indicator and warning untuk menentukan event yang akan datang. mereka membuat kesimpulan berdasarkan indicator and warning karena informasi tentang kemampuan dan keinginan musuh yang mereka miliki tidak sempurna. Para praktisi network security monitoring menggunakan indicator and warning untuk mendeteksi dan memvalidasi penyusup. mereka membuat kesimpulan berdasarkan indicator and warning digital karena persepsi mereka tentang traffic yang melewati network mereka tidaklah sempurna. Kedua komunitas membuat perkiraan karena pengetahuan yang sempurna tentang domain target mereka hampir tidak mungkin.
Sumber:
The Tao of Network Security Monitoring: Beyond Intrusion Detection
Tweet
Tidak ada komentar:
Posting Komentar