Sistem deteksi intrusi (IDS) adalah alat keamanan jaringan yang memantau lalu lintas jaringan dan perangkat untuk aktivitas berbahaya yang diketahui, aktivitas mencurigakan, atau pelanggaran kebijakan keamanan .
IDS dapat membantu mempercepat dan mengotomatiskan deteksi ancaman jaringan dengan memperingatkan administrator keamanan terhadap ancaman yang diketahui atau potensial, atau dengan mengirimkan peringatan ke alat keamanan terpusat, seperti sistem informasi keamanan dan manajemen peristiwa (SIEM), di mana mereka dapat digabungkan dengan data dari sumber lain untuk membantu tim keamanan mengidentifikasi dan merespons ancaman siber yang mungkin lolos dari tindakan keamanan lainnya.
IDS juga dapat mendukung upaya kepatuhan. Peraturan tertentu, seperti Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS), mengharuskan organisasi untuk menerapkan langkah-langkah deteksi intrusi.
IDS tidak dapat menghentikan ancaman keamanan dengan sendirinya. Saat ini, kemampuan IDS biasanya diintegrasikan dengan-atau dimasukkan ke dalam-sistem pencegahan penyusupan (IPS), yang dapat mendeteksi ancaman keamanan dan secara otomatis mengambil tindakan untuk mencegahnya.
IDS dapat berupa aplikasi perangkat lunak yang diinstal pada titik akhir atau perangkat keras khusus yang terhubung ke jaringan. Beberapa solusi IDS tersedia sebagai layanan cloud. Apa pun bentuknya, IDS akan menggunakan salah satu atau kedua dari dua metode deteksi ancaman utama: deteksi berbasis tanda tangan atau berbasis anomali.
Deteksi berbasis tanda tangan menganalisis paket jaringan untuk mencari tanda tangan serangan-karakteristik atau perilaku unik yang terkait dengan ancaman tertentu. Urutan kode yang muncul pada varian malware tertentu adalah contoh tanda tangan serangan.
IDS berbasis tanda tangan memelihara basis data tanda tangan serangan yang digunakan untuk membandingkan paket jaringan. Jika sebuah paket memicu kecocokan ke salah satu tanda tangan, IDS akan menandainya. Agar efektif, basis data tanda tangan harus diperbarui secara berkala dengan intelijen ancaman baru saat serangan siber baru muncul dan serangan yang ada berkembang. Serangan baru yang belum dianalisis tanda tangannya dapat menghindari IDS berbasis tanda tangan.
Metode deteksi berbasis anomali menggunakan pembelajaran mesin untuk membuat—dan terus menyempurnakan—model dasar aktivitas jaringan normal. Kemudian membandingkan aktivitas jaringan dengan model dan menandai penyimpangan-seperti proses yang menggunakan bandwidth lebih banyak daripada yang biasanya digunakan, atau perangkat yang membuka port yang biasanya ditutup.
Karena melaporkan setiap perilaku abnormal, IDS berbasis anomali sering kali dapat menangkap serangan siber baru yang mungkin menghindari deteksi berbasis tanda tangan. Sebagai contoh, IDS berbasis anomali dapat menangkap eksploitasi zero-day-serangan yang memanfaatkan kerentanan perangkat lunak sebelum pengembang perangkat lunak mengetahuinya atau sempat menambalnya.
Tetapi IDS berbasis anomali mungkin juga lebih rentan terhadap positif palsu. Bahkan aktivitas jinak, seperti pengguna yang berwenang mengakses sumber daya jaringan sensitif untuk pertama kalinya—dapat memicu IDS berbasis anomali.
Deteksi berbasis reputasi memblokir lalu lintas dari alamat IP dan domain yang terkait dengan aktivitas berbahaya atau mencurigakan. Analisis protokol Stateful berfokus pada perilaku protokol-misalnya, analisis ini dapat mengidentifikasi serangan denial-of-service (DoS) dengan mendeteksi satu alamat IP yang membuat banyak permintaan koneksi TCP secara simultan dalam waktu singkat.
Apa pun metode yang digunakannya, ketika IDS mendeteksi potensi ancaman atau pelanggaran kebijakan, IDS akan memperingatkan tim tanggap insiden untuk melakukan investigasi. IDS juga menyimpan catatan insiden keamanan, baik dalam log mereka sendiri atau dengan mencatatnya dengan alat bantu manajemen informasi dan peristiwa keamanan (SIEM ) (lihat 'IDS dan solusi keamanan lainnya' di bawah). Log insiden ini dapat digunakan untuk menyempurnakan kriteria IDS, seperti dengan menambahkan tanda tangan serangan baru atau memperbarui model perilaku jaringan.
IDS dikategorikan berdasarkan di mana mereka ditempatkan dalam sebuah sistem dan jenis aktivitas yang mereka pantau.
Sistem deteksi intrusi jaringan (NIDS ) memantau lalu lintas masuk dan keluar ke perangkat di seluruh jaringan. NIDS ditempatkan pada titik-titik strategis dalam jaringan. Mereka sering diposisikan tepat di belakang firewall di perimeter jaringan sehingga mereka bisa menandai lalu lintas berbahaya yang menerobos. NIDS juga dapat ditempatkan di dalam jaringan untuk menangkap ancaman orang dalam atau peretas yang telah membajak akun pengguna. Sebagai contoh, NIDS dapat ditempatkan di belakang setiap firewall internal dalam jaringan tersegmentasi untuk memantau lalu lintas yang mengalir di antara subnet.
Untuk menghindari menghambat arus lalu lintas yang sah, NIDS sering ditempatkan "out-of-band," yang berarti lalu lintas tidak melewatinya secara langsung. NIDS menganalisis salinan paket jaringan daripada paket itu sendiri. Dengan begitu, trafik yang sah tidak perlu menunggu analisis, tetapi NIDS masih bisa menangkap dan menandai trafik yang berbahaya.
Sistem deteksi intrusi host (HIDS ) dipasang pada titik akhir tertentu, seperti laptop, router, atau server. HIDS hanya memantau aktivitas pada perangkat itu, termasuk lalu lintas ke dan dari itu. HIDS biasanya bekerja dengan mengambil snapshot secara berkala dari file sistem operasi yang penting dan membandingkan snapshot ini dari waktu ke waktu. Jika HIDS mengetahui adanya perubahan, seperti file log yang diedit atau konfigurasi yang diubah, HIDS akan memperingatkan tim keamanan.
Tim keamanan sering kali menggabungkan sistem deteksi intrusi berbasis jaringan dan sistem deteksi intrusi berbasis host. NIDS melihat lalu lintas secara keseluruhan, sedangkan HIDS dapat menambahkan perlindungan ekstra di sekitar aset bernilai tinggi. HIDS juga dapat membantu menangkap aktivitas berbahaya dari node jaringan yang disusupi, seperti ransomware yang menyebar dari perangkat yang terinfeksi.
Meskipun NIDS dan HIDS adalah yang paling umum, tim keamanan dapat menggunakan IDS lain untuk tujuan khusus. IDS berbasis protokol (PIDS ) memonitor protokol koneksi antara server dan perangkat. PIDS sering ditempatkan pada server web untuk memantau koneksi HTTP atau HTTPS. IDS berbasis protokol aplikasi (APIDS ) bekerja pada lapisan aplikasi, memantau protokol khusus aplikasi. APIDS sering kali digunakan di antara server web dan basis data SQL untuk mendeteksi injeksi SQL.
Meskipun solusi IDS dapat mendeteksi banyak ancaman, para peretas telah mengembangkan cara untuk menyiasatinya. Vendor IDS merespons dengan memperbarui solusi mereka untuk memperhitungkan taktik ini. Namun, ini telah menciptakan sesuatu dari perlombaan lengan, dengan peretas dan IDS mencoba untuk tetap selangkah lebih maju satu sama lain.
Beberapa taktik penghindaran IDS yang umum meliputi:
Serangan penolakan layanan terdistribusi (DDoS) —membuat IDS offline dengan membanjiri mereka dengan lalu lintas yang jelas berbahaya dari berbagai sumber. Ketika sumber daya IDS kewalahan oleh ancaman umpan, para peretas menyelinap masuk.
Spoofing— memalsukan alamat IP dan catatan DNS agar terlihat seperti lalu lintas mereka berasal dari sumber yang dapat dipercaya.
Fragmentasi—memisahkan malware atau muatan berbahaya lainnya menjadi paket-paket kecil, mengaburkan tanda tangan dan menghindari deteksi. Dengan menunda paket secara strategis atau merusaknya, peretas dapat mencegah IDS merakitnya kembali dan memperhatikan serangan itu.
Enkripsi-menggunakanprotokol terenkripsi untuk mem-bypass IDS jika IDS tidak memiliki kunci dekripsi yang sesuai.
Kelelahan operator yang menghasilkanperingatan IDS dalam jumlah besar dengan sengaja untuk mengalihkan perhatian tim tanggap insiden dari aktivitas mereka yang sebenarnya.
IDS bukanlah alat yang berdiri sendiri. Mereka dirancang untuk menjadi bagian dari sistem keamanan siber yang menyeluruh, dan sering kali terintegrasi erat dengan satu atau beberapa solusi keamanan berikut ini.
Peringatan IDS sering kali disalurkan ke SIEM organisasi, di mana peringatan tersebut dapat digabungkan dengan peringatan dan informasi dari alat keamanan lain ke dalam satu dasbor terpusat. Mengintegrasikan IDS dengan SIEM memungkinkan tim keamanan untuk memperkaya peringatan IDS dengan intelijen ancaman dan data dari alat lain, menyaring alarm palsu, dan memprioritaskan insiden untuk perbaikan.
Seperti disebutkan di atas, IPS memonitor lalu lintas jaringan untuk aktivitas yang mencurigakan, seperti IDS, dan mencegat ancaman secara real time dengan secara otomatis mengakhiri koneksi atau memicu alat keamanan lainnya. Karena IPS dimaksudkan untuk menghentikan serangan siber, IPS biasanya ditempatkan sejajar, yang berarti semua lalu lintas harus melewati IPS sebelum dapat mencapai seluruh jaringan.
Beberapa organisasi mengimplementasikan IDS dan IPS sebagai solusi terpisah. Lebih sering, IDS dan IPS digabungkan dalam satu sistem deteksi dan pencegahan penyusupan (IDPS) yang mendeteksi penyusupan, mencatatnya, memberi tahu tim keamanan, dan merespons secara otomatis.
IDS dan firewall saling melengkapi. Firewall menghadap ke luar jaringan dan bertindak sebagai penghalang, menggunakan kumpulan aturan yang telah ditetapkan untuk mengizinkan atau melarang lalu lintas. IDS sering kali berada di dekat firewall dan membantu menangkap apa pun yang lolos dari mereka. Beberapa firewall, terutama firewall generasi berikutnya, memiliki fungsi IDS dan IPS bawaan.
Tangkap ancaman tersembunyi yang bersembunyi di jaringan Anda, sebelum terlambat. IBM Security QRadar Network Detection and Response (NDR) membantu tim keamanan Anda dengan menganalisis aktivitas jaringan secara real time. Sistem ini menggabungkan kedalaman dan keluasan visibilitas dengan data dan analisis berkualitas tinggi untuk mendorong wawasan dan respons yang dapat ditindaklanjuti.
Dapatkan perlindungan keamanan yang dibutuhkan organisasi Anda untuk meningkatkan kesiapan pelanggaran dengan langganan retainer respons insiden dari IBM Security. Saat Anda bekerja sama dengan tim elit konsultan IR kami, Anda memiliki mitra tepercaya yang siap siaga untuk membantu mengurangi waktu yang diperlukan untuk merespons insiden, meminimalkan dampaknya, dan membantu Anda pulih lebih cepat sebelum insiden keamanan siber dicurigai.
Hentikan ransomware agar tidak mengganggu kelangsungan bisnis, dan pulihkan dengan cepat saat serangan terjadi-dengan pendekatan zero trust yang membantu Anda mendeteksi dan merespons ransomware dengan lebih cepat dan meminimalkan dampak serangan ransomware.
Rencana respons insiden formal memungkinkan tim keamanan siber untuk membatasi atau mencegah kerusakan akibat serangan siber atau pelanggaran keamanan.
NDR menggunakan kecerdasan buatan, pembelajaran mesin, dan analisis perilaku untuk mendeteksi dan merespons aktivitas jaringan yang mencurigakan.
SIEM memantau dan menganalisis peristiwa terkait keamanan secara real time dan mencatat data keamanan untuk tujuan kepatuhan atau audit.