Deteksi merupakan jantung dari operasi NSM (Network Security Monitoring), tapi bukan merupakan tujuan akhir dari proses NSM. Idealnya, NSM mendeteksi adanya intrusi dan memberikan petunjuk mengenai langkah-langkah untuk merespons terhadap insiden yang terjadi, sebelum insiden tersebut ditemukan oleh pihak luar.
Intruder yang berkomunikasi dengan korban, bisa dideteksi
Penyusupan jaringan bukanlah sebuah ilmu sulap. Meskipun media menggambarkan hacker seolah-olah seperti "pesulap", tapi sebenarnya metode yang mereka gunakan bisa dianalisa dan dipahami. Intruder biasanya menimbulkan traffic yang aneh dan tidak wajar. Sehingga deteksi bisa dilakukan dengan menganalisa traffic pada jaringan. Dari sini bisa disimpulkan, bila aktivitas intrusi terlihat normal, maka intruder tersebut akan semakin sulit dideteksi.Deteksi melalui sampling lebih baik daripada tidak ada deteksi
Perhatikan contoh berikut:Sebuah server web e-commerce menangani ribuan transaksi dalam setiap detiknya. Karena terlalu besar untuk di log, maka transaksi tidak di log sama sekali.
Prinsip di atas merugikan diri sendiri. Apabila berada dalam keadaan dimana memonitor semua yang terjadi dalam jaringan tidak dimungkinkan, maka sampling adalah cara yang lebih tepat.
Deteksi melalui analisa traffic lebih baik daripada tanpa deteksi
Tujuan dari analisa traffic adalah untuk mengetahui pihak-pihak yang melakukan komunikasi, waktu kejadian transaksi, dan meta-data lainnya tanpa perlu memiliki akses ke dalam isi komunikasi. Secara sederhana, analisa traffic untuk mengetahui siapa yang berkomunikasi, berapa lama durasi waktunya dan kapan terjadinya komunikasi.
Analisa traffic sangat diperlukan apabila ada enkripsi dalam komunikasi. Misalnya apabila operator SOC melihat web server yang dia monitor melakukan komunikasi TFTP ke sebuah host di Rusia, maka operator tersebut perlu mencari informasi lebih lanjut untuk mendeteksi apakah web server yang di monitor sudah ter-compromise.
Referensi:
Tweet
Tidak ada komentar:
Posting Komentar