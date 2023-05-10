Sistem pencegahan intrusi (IPS) memantau lalu lintas jaringan untuk potensi ancaman dan secara otomatis memblokirnya dengan memperingatkan tim keamanan, mengakhiri koneksi berbahaya, menghapus konten berbahaya, atau memicu perangkat keamanan lainnya.
Solusi IPS berevolusi dari sistem deteksi intrusi (IDS ), yang mendeteksi dan melaporkan ancaman kepada tim keamanan. IPS memiliki fungsi deteksi dan pelaporan ancaman yang sama dengan IDS ditambah kemampuan pencegahan ancaman otomatis, oleh karena itu IPS terkadang disebut "sistem deteksi dan pencegahan intrusi" (IDPS).
Karena IPS dapat secara langsung memblokir lalu lintas berbahaya, IPS dapat meringankan beban kerja tim keamanan dan pusat operasi keamanan (SOC), sehingga mereka dapat fokus pada ancaman yang lebih kompleks. IPS dapat membantu menegakkan kebijakan keamanan jaringan dengan memblokir tindakan yang tidak sah dari pengguna yang sah, dan dapat mendukung upaya kepatuhan. Misalnya, IPS memenuhi persyaratan Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS) untuk tindakan deteksi intrusi.
IPS menggunakan tiga metode deteksi ancaman utama, secara eksklusif atau kombinasi, untuk menganalisis lalu lintas.
Metode deteksi berbasis tanda tangan menganalisis paket jaringan untuk mencari tanda tangan serangan-karakteristik atau perilaku unik yang terkait dengan ancaman tertentu. Urutan kode yang muncul pada varian malware tertentu adalah contoh tanda tangan serangan.
IPS berbasis tanda tangan memelihara basis data tanda tangan serangan yang digunakan untuk membandingkan paket jaringan. Jika paket memicu kecocokan dengan salah satu tanda tangan, IPS merespons. Database tanda tangan harus diperbarui secara berkala dengan intelijen ancaman baru saat serangan siber baru muncul dan serangan yang ada berkembang. Namun, serangan baru yang belum dianalisis untuk tanda tangan dapat menghindari IPS berbasis tanda tangan.
Metode deteksi berbasis anomali menggunakan kecerdasan buatan dan machine learning untuk membuat dan terus menyempurnakan model dasar aktivitas jaringan normal. IPS membandingkan aktivitas jaringan yang sedang berlangsung dengan model dan merespons ketika menemukan penyimpangan, seperti proses yang menggunakan bandwidth lebih besar dari biasanya atau perangkat yang membuka port yang biasanya ditutup.
Karena IPS berbasis anomali merespons perilaku abnormal apa pun, IPS ini sering kali dapat memblokir serangan siber baru yang mungkin menghindari deteksi berbasis tanda tangan. Mereka bahkan dapat mendeteksi eksploitasi zero-day—serangan yang memanfaatkan kerentanan perangkat lunak sebelum pengembang perangkat lunak mengetahuinya atau sempat menambalnya .
Namun, IPS berbasis anomali mungkin lebih rentan terhadap positif palsu. Bahkan aktivitas jinak, seperti pengguna resmi yang mengakses sumber daya jaringan yang sensitif untuk pertama kalinya, dapat memicu IPS berbasis anomali. Akibatnya, pengguna yang berwenang dapat di-boot dari jaringan atau alamat IP mereka diblokir.
Deteksi berbasis kebijakan metode didasarkan pada kebijakan keamanan yang ditetapkan oleh tim keamanan. Kapan pun IPS berbasis kebijakan mendeteksi tindakan yang melanggar kebijakan keamanan, IPS akan memblokir upaya tersebut.
Misalnya, SOC mungkin menetapkan kebijakan kontrol akses yang menentukan pengguna dan perangkat mana yang dapat mengakses host. Jika pengguna yang tidak sah mencoba menghubungkan ke host, IPS berbasis kebijakan menghentikan mereka.
Meskipun IPS berbasis kebijakan menawarkan penyesuaian, mereka dapat memerlukan investasi awal yang signifikan. Tim keamanan harus membuat serangkaian kebijakan komprehensif yang menguraikan apa yang diperbolehkan dan tidak diperbolehkan di seluruh jaringan.
Sementara sebagian besar IPS menggunakan metode deteksi ancaman yang diuraikan di atas, beberapa menggunakan teknik yang kurang umum.
Deteksi berbasis reputasi menandai dan memblokir lalu lintas dari alamat IP dan domain yang terkait dengan aktivitas berbahaya atau mencurigakan. Analisis protokol Stateful berfokus pada perilaku protokol—misalnya, analisis ini dapat mengidentifikasi serangan denial-of-service terdistribusi (DDoS) dengan mendeteksi satu alamat IP yang membuat banyak permintaan koneksi TCP secara simultan dalam waktu singkat.
Ketika IPS mendeteksi ancaman, IPS akan mencatat kejadian tersebut dan melaporkannya ke SOC, biasanya melalui alat bantu informasi keamanan dan manajemen kejadian (SIEM ) (lihat "IPS dan solusi keamanan lainnya").
Namun IPS tidak berhenti sampai di situ. Secara otomatis IPS mengambil tindakan terhadap ancaman, dengan menggunakan teknik-teknik seperti:
IPS dapat mengakhiri sesi pengguna, memblokir alamat IP tertentu, atau bahkan memblokir semua lalu lintas ke suatu target. Beberapa IPS dapat mengarahkan lalu lintas ke honeypot, sebuah aset umpan yang membuat para peretas berpikir bahwa mereka telah berhasil, padahal sebenarnya, SOC sedang mengawasinya.
IPS mungkin mengizinkan lalu lintas untuk terus berjalan tetapi membersihkan bagian yang berbahaya, seperti dengan menjatuhkan paket berbahaya dari aliran atau menghapus lampiran berbahaya dari email.
IPS dapat meminta perangkat keamanan lain untuk bertindak, misalnya dengan memperbarui aturan firewall untuk memblokir ancaman atau mengubah pengaturan router untuk mencegah peretas mencapai target mereka.
Beberapa IPS dapat mencegah penyerang dan pengguna yang tidak sah melakukan apa pun yang melanggar kebijakan keamanan perusahaan. Sebagai contoh, jika pengguna mencoba mentransfer informasi sensitif keluar dari database yang tidak seharusnya, IPS akan memblokirnya.
Solusi IPS dapat berupa aplikasi perangkat lunak yang diinstal pada titik akhir, perangkat keras khusus yang terhubung ke jaringan, atau dikirimkan sebagai layanan cloud. Karena IPS harus dapat memblokir aktivitas berbahaya secara real time, mereka selalu ditempatkan "sebaris" di jaringan, yang berarti lalu lintas melewati IPS secara langsung sebelum mencapai tujuannya.
IPS dikategorikan berdasarkan tempat mereka berada dalam jaringan dan jenis aktivitas yang mereka pantau. Banyak organisasi menggunakan beberapa jenis IPS di jaringan mereka.
Sistem pencegahan intrusi berbasis jaringan (NIPS) memantau lalu lintas masuk dan keluar ke perangkat di seluruh jaringan, memeriksa setiap paket untuk aktivitas yang mencurigakan. Monitor NIPS ditempatkan pada titik-titik strategis dalam jaringan. Mereka sering kali berada tepat di belakang firewall di perimeter jaringan sehingga bisa menghentikan lalu lintas berbahaya yang menerobos. NIPS juga dapat ditempatkan di dalam jaringan untuk memantau lalu lintas dari dan ke aset-aset penting, seperti pusat data atau perangkat penting.
Sistem pencegahan intrusi berbasis host (HIPS) dipasang pada titik akhir tertentu, seperti laptop atau server, dan hanya memantau lalu lintas dari dan ke perangkat tersebut. HIPS biasanya digunakan bersama dengan NIPS untuk menambah keamanan ekstra pada aset vital. HIPS juga dapat memblokir aktivitas berbahaya dari simpul jaringan yang disusupi, seperti ransomware yang menyebar dari perangkat yang terinfeksi.
Solusi Analisis Perilaku Jaringan (NBA) memantau arus lalu lintas jaringan. NBA mungkin memeriksa paket seperti IPS lainnya, tetapi banyak NBA fokus pada detail sesi komunikasi tingkat tinggi, seperti alamat IP sumber dan tujuan, port yang digunakan, dan jumlah paket yang dikirimkan.
NBA menggunakan metode deteksi berbasis anomali, menandai dan memblokir aliran apa pun yang menyimpang dari norma, seperti lalu lintas serangan DDoS atau perangkat yang terinfeksi malware yang berkomunikasi dengan server perintah dan kontrol yang tidak dikenal.
Sistem pencegahan intrusi nirkabel (WIPS) memonitor protokol jaringan nirkabel untuk aktivitas yang mencurigakan, seperti pengguna yang tidak sah dan perangkat yang mengakses wifi perusahaan. Jika WIPS mendeteksi entitas yang tidak dikenal pada jaringan nirkabel, itu dapat menghentikan koneksi. WIP juga dapat membantu mendeteksi perangkat yang salah konfigurasi atau tidak aman di jaringan wifi dan mencegat serangan man-in-the-middle, di mana peretas diam-diam memata-matai komunikasi pengguna.
Meskipun IPS tersedia sebagai alat yang berdiri sendiri, IPS dirancang untuk diintegrasikan secara erat dengan solusi keamanan lainnya sebagai bagian dari sistem keamanan siber yang menyeluruh.
Peringatan IPS sering kali disalurkan ke SIEM organisasi, yang mana peringatan tersebut dapat digabungkan dengan peringatan dan informasi dari alat keamanan lainnya dalam satu dasbor terpusat. Mengintegrasikan IPS dengan SIEM memungkinkan tim keamanan memperkaya peringatan IPS dengan intelijen ancaman tambahan, menyaring alarm palsu, dan menindaklanjuti aktivitas IPS untuk memastikan bahwa ancaman telah berhasil diblokir. SIEMS juga dapat membantu SOC mengoordinasikan data dari berbagai jenis IPS, karena banyak organisasi yang menggunakan lebih dari satu jenis.
Seperti disebutkan sebelumnya, IPS berevolusi dari IDS dan memiliki banyak fitur yang sama. Meskipun beberapa organisasi mungkin menggunakan solusi IPS dan IDS yang terpisah, sebagian besar tim keamanan menerapkan satu solusi terintegrasi yang menawarkan deteksi, pencatatan, pelaporan, dan pencegahan ancaman otomatis yang kuat. Banyak IPS yang memungkinkan tim keamanan untuk mematikan fungsi pencegahan, sehingga memungkinkan mereka untuk bertindak sebagai IDS murni jika organisasi menginginkannya.
IPS berfungsi sebagai garis pertahanan kedua di belakang firewall. Firewall memblokir lalu lintas berbahaya di perimeter, dan IPS mencegat apa pun yang berhasil menembus firewall dan masuk ke dalam jaringan. Beberapa firewall, terutama firewall generasi berikutnya, memiliki fungsi IPS bawaan.
