Apa itu sistem deteksi intrusi (IDS)?

IDS dapat membantu mempercepat dan mengotomatiskan deteksi ancaman jaringan dengan memperingatkan administrator keamanan terhadap ancaman yang diketahui atau potensial, atau dengan mengirimkan peringatan ke alat keamanan terpusat. Alat keamanan terpusat seperti sistem informasi keamanan dan manajemen peristiwa (SIEM) dapat menggabungkan data dari sumber-sumber lain untuk membantu tim keamanan mengidentifikasi dan merespons ancaman siber yang mungkin lolos dari langkah-langkah keamanan lainnya.

IDS juga dapat mendukung upaya kepatuhan. Peraturan tertentu, seperti Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS), mengharuskan organisasi untuk menerapkan langkah-langkah deteksi intrusi.

IDS tidak dapat menghentikan ancaman keamanan dengan sendirinya. Saat ini, kemampuan IDS biasanya diintegrasikan dengan atau dimasukkan ke dalam sistem pencegahan intrusi (IPS) yang dapat mendeteksi ancaman keamanan dan secara otomatis mengambil tindakan untuk mencegahnya.

IDS dapat berupa aplikasi perangkat lunak yang diinstal pada titik akhir atau perangkat keras khusus yang terhubung ke jaringan. Beberapa solusi IDS tersedia sebagai layanan cloud. Apa pun bentuknya, IDS menggunakan satu atau kedua dari dua metode deteksi ancaman utama: deteksi berbasis tanda tangan atau berbasis anomali.

Deteksi berbasis pola khas menganalisis paket jaringan atas pola khas serangan, karakteristik atau perilaku unik yang terkait dengan ancaman tertentu. Urutan kode yang muncul pada varian malware tertentu adalah contoh pola khas serangan.

IDS berbasis pola khas memelihara basis data pola khas serangan yang digunakan untuk membandingkan paket jaringan. Jika sebuah paket memicu kecocokan ke salah satu pola khas, IDS akan menandainya. Agar efektif, basis data pola khas harus diperbarui secara berkala dengan intelijen ancaman baru saat serangan siber baru muncul dan serangan yang ada berkembang. Serangan baru yang belum dianalisis atas pola khas dapat menghindari IDS berbasis pola khas.

Metode deteksi berbasis anomali menggunakan machine learning untuk membuat—dan terus menyempurnakan—model dasar aktivitas jaringan normal. Kemudian metode ini membandingkan aktivitas jaringan dengan model dan menandai penyimpangan, seperti proses yang menggunakan bandwidth lebih banyak dari biasanya, atau perangkat membuka port.

Karena melaporkan setiap perilaku abnormal, IDS berbasis anomali sering kali dapat menangkap serangan siber baru yang mungkin menghindari deteksi berbasis pola khas. Sebagai contoh, IDS berbasis anomali dapat menangkap eksploitasi zero-day—serangan yang memanfaatkan kerentanan perangkat lunak sebelum pengembang perangkat lunak mengetahuinya atau sempat menambalnya.

Namun, IDS berbasis anomali mungkin juga lebih rentan terhadap positif palsu. Bahkan aktivitas tidak berbahaya, seperti pengguna resmi yang mengakses sumber daya jaringan yang sensitif untuk pertama kalinya, dapat memicu IPS berbasis anomali.

Deteksi berbasis reputasi memblokir lalu lintas dari alamat IP dan domain yang terkait dengan aktivitas berbahaya atau mencurigakan. Analisis protokol Stateful berfokus pada perilaku protokol—misalnya, analisis ini dapat mengidentifikasi serangan denial-of-service (DoS) dengan mendeteksi satu alamat IP yang membuat banyak permintaan koneksi TCP secara simultan dalam waktu singkat.

Apa pun metode yang digunakannya, ketika IDS mendeteksi potensi ancaman atau pelanggaran kebijakan, IDS akan memperingatkan tim  tanggap insiden untuk melakukan investigasi. IDS juga menyimpan catatan insiden keamanan, baik dalam log mereka sendiri atau dengan mencatatnya dengan alat  manajemen informasi dan peristiwa keamanan (SIEM) (lihat 'IDS dan solusi keamanan lainnya' di bawah). Log insiden ini dapat digunakan untuk menyempurnakan kriteria IDS, seperti dengan menambahkan pola khas serangan baru atau memperbarui model perilaku jaringan.

IDS dikategorikan berdasarkan di mana mereka ditempatkan dalam sebuah sistem dan jenis aktivitas yang mereka pantau.

Sistem deteksi intrusi jaringan (NIDS) memantau lalu lintas masuk dan keluar ke perangkat di seluruh jaringan. NIDS ditempatkan di titik-titik strategis dalam jaringan, sering kali tepat di belakang firewall di perimeter jaringan sehingga mereka dapat menandai lalu lintas berbahaya yang menerobos.

NIDS juga dapat ditempatkan di dalam jaringan untuk menangkap ancaman orang dalam atau peretas yang telah membajak akun pengguna. Sebagai contoh, NIDS dapat ditempatkan di belakang setiap firewall internal dalam jaringan tersegmentasi untuk memantau lalu lintas yang mengalir di antara subnet.

Untuk menghindari menghambat arus lalu lintas yang sah, NIDS sering ditempatkan "out-of-band," yang berarti lalu lintas tidak melewatinya secara langsung. NIDS menganalisis salinan paket jaringan daripada paket itu sendiri. Dengan begitu, trafik yang sah tidak perlu menunggu analisis, tetapi NIDS masih bisa menangkap dan menandai trafik yang berbahaya.

Sistem deteksi intrusi host (HIDS ) dipasang pada titik akhir tertentu, seperti laptop, router, atau server. HIDS hanya memantau aktivitas pada perangkat itu, termasuk lalu lintas ke dan dari itu. HIDS biasanya bekerja dengan mengambil snapshot secara berkala dari file sistem operasi yang penting dan membandingkan snapshot ini dari waktu ke waktu. Jika HIDS mengetahui adanya perubahan, seperti file log yang diedit atau konfigurasi yang diubah, HIDS akan memperingatkan tim keamanan.

Tim keamanan sering kali menggabungkan sistem deteksi intrusi berbasis jaringan dan sistem deteksi intrusi berbasis host. NIDS melihat lalu lintas secara keseluruhan, sedangkan HIDS dapat menambahkan perlindungan ekstra di sekitar aset bernilai tinggi. HIDS juga dapat membantu menangkap aktivitas berbahaya dari node jaringan yang disusupi, seperti ransomware yang menyebar dari perangkat yang terinfeksi.

Meskipun NIDS dan HIDS adalah yang paling umum, tim keamanan dapat menggunakan IDS lain untuk tujuan khusus. IDS berbasis protokol (PIDS ) memonitor protokol koneksi antara server dan perangkat. PIDS sering ditempatkan pada server web untuk memantau koneksi HTTP atau HTTPS.

IDS berbasis protokol aplikasi (APIDS ) bekerja pada lapisan aplikasi, memantau protokol khusus aplikasi. APIDS sering kali digunakan di antara server web dan basis data SQL untuk mendeteksi injeksi SQL.

Sementara solusi IDS dapat mendeteksi banyak ancaman, peretas dapat menyiasatinya. Vendor IDS merespons dengan memperbarui solusi mereka untuk memperhitungkan taktik ini. Namun, pembaruan solusi ini menciptakan semacam perlombaan, dengan peretas dan IDS mencoba untuk tetap selangkah lebih maju satu sama lain. 

Beberapa taktik penghindaran IDS yang umum meliputi:

• Serangan denial-of-service terdistribusi (DDoS): membuat IDS offline dengan membanjiri mereka dengan lalu lintas yang jelas berbahaya dari berbagai sumber. Ketika sumber daya IDS kewalahan oleh ancaman umpan, para peretas menyelinap masuk.

• Spoofing: memalsukan alamat IP dan catatan DNS agar terlihat seperti lalu lintas mereka berasal dari sumber yang dapat dipercaya.

• Fragmentasi: memisahkan malware atau muatan berbahaya lainnya menjadi berbagai paket kecil, mengaburkan pola khas dan menghindari deteksi. Dengan menunda paket secara strategis atau merusaknya, peretas dapat mencegah IDS merakitnya kembali dan memperhatikan serangan itu.

• Enkripsi: menggunakan protokol terenkripsi untuk mengelak dari IDS jika IDS tidak memiliki kunci dekripsi yang sesuai.

• Kelelahan operator: menghasilkan peringatan IDS dalam jumlah besar dengan sengaja untuk mengalihkan perhatian tim tanggap insiden dari aktivitas mereka yang sebenarnya.

IDS bukanlah alat yang berdiri sendiri. Mereka dirancang untuk menjadi bagian dari sistem keamanan siber yang menyeluruh, dan sering kali terintegrasi erat dengan satu atau beberapa solusi keamanan berikut ini.

Peringatan IDS sering kali disalurkan ke SIEM organisasi, di mana peringatan tersebut dapat digabungkan dengan peringatan dan informasi dari alat keamanan lain ke dalam satu dasbor terpusat. Mengintegrasikan IDS dengan SIEM memungkinkan tim keamanan untuk memperkaya peringatan IDS dengan intelijen ancaman dan data dari alat lain, menyaring alarm palsu, dan memprioritaskan insiden untuk perbaikan.

Seperti disebutkan di atas, IPS memonitor lalu lintas jaringan untuk aktivitas yang mencurigakan, seperti IDS, dan mencegat ancaman secara real time dengan secara otomatis mengakhiri koneksi atau memicu alat keamanan lainnya. Karena IPS dimaksudkan untuk menghentikan serangan siber, IPS biasanya ditempatkan sejajar, yang berarti semua lalu lintas harus melewati IPS sebelum dapat mencapai seluruh jaringan.

Beberapa organisasi mengimplementasikan IDS dan IPS sebagai solusi terpisah. Yang lebih sering terjadi adalah IDS dan IPS digabungkan dalam satu sistem deteksi dan pencegahan penyusupan (IDPS) yang mendeteksi penyusupan, mencatatnya, memberi tahu tim keamanan, dan merespons secara otomatis.

IDS dan firewall saling melengkapi. Firewall menghadap ke luar jaringan dan bertindak sebagai penghalang, menggunakan kumpulan aturan yang telah ditetapkan untuk mengizinkan atau melarang lalu lintas. IDS sering kali berada di dekat firewall dan membantu menangkap apa pun yang lolos dari mereka. Beberapa firewall, terutama firewall generasi berikutnya, memiliki fungsi IDS dan IPS bawaan.