Sistem pencegahan intrusi (IPS) memantau lalu lintas jaringan untuk potensi ancaman dan secara otomatis mengambil tindakan untuk memblokirnya dengan memperingatkan tim keamanan, mengakhiri koneksi berbahaya, menghapus konten berbahaya, atau memicu perangkat keamanan lainnya.
Solusi IPS berevolusi dari sistem deteksi intrusi (IDS), yang mendeteksi dan melaporkan ancaman kepada tim keamanan. IPS memiliki fungsi deteksi dan pelaporan ancaman yang sama dengan IDS ditambah kemampuan pencegahan ancaman otomatis, itulah sebabnya IPS terkadang disebut "sistem deteksi dan pencegahan intrusi" (IDPS).
Karena IPS dapat secara langsung memblokir lalu lintas berbahaya, IPS dapat meringankan beban kerja tim keamanan dan pusat operasi keamanan (SOC), sehingga mereka dapat fokus pada ancaman yang lebih kompleks. IPS dapat membantu menegakkan kebijakan keamanan jaringan dengan memblokir tindakan yang tidak sah dari pengguna yang sah, dan dapat mendukung upaya kepatuhan. Sebagai contoh, IPS akan memenuhi persyaratan Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS) untuk tindakan deteksi penyusupan.
IPS menggunakan tiga metode deteksi ancaman utama, secara eksklusif atau kombinasi, untuk menganalisis lalu lintas.
Metode deteksi berbasis tanda tangan menganalisis paket jaringan untuk mencari tanda tangan serangan-karakteristik atau perilaku unik yang terkait dengan ancaman tertentu. Urutan kode yang muncul pada varian malware tertentu adalah contoh tanda tangan serangan.
IPS berbasis tanda tangan memelihara basis data tanda tangan serangan yang digunakan untuk membandingkan paket jaringan. Jika paket memicu kecocokan dengan salah satu tanda tangan, IPS mengambil tindakan. Database tanda tangan harus diperbarui secara berkala dengan intelijen ancaman baru saat serangan siber baru muncul dan serangan yang ada berkembang. Namun, serangan baru yang belum dianalisis untuk tanda tangan dapat menghindari IPS berbasis tanda tangan.
Metode deteksi berbasis anomali menggunakan kecerdasan buatan dan pembelajaran mesin untuk membuat dan terus menyempurnakan model dasar aktivitas jaringan normal. IPS membandingkan aktivitas jaringan yang sedang berlangsung dengan model dan mulai bertindak ketika menemukan penyimpangan, seperti proses yang menggunakan lebih banyak bandwidth daripada tipikal atau perangkat yang membuka port yang biasanya ditutup.
Karena IPS berbasis anomali merespons perilaku abnormal apa pun, IPS ini sering kali dapat memblokir serangan siber baru yang mungkin menghindari deteksi berbasis tanda tangan. Mereka bahkan dapat menangkap eksploitasi zero-day-serangan yang memanfaatkan kerentanan perangkat lunak sebelum pengembang perangkat lunak mengetahuinya atau sempat menambalnya.
Namun, IPS berbasis anomali mungkin lebih rentan terhadap positif palsu. Bahkan aktivitas jinak, seperti pengguna resmi yang mengakses sumber daya jaringan yang sensitif untuk pertama kalinya, dapat memicu IPS berbasis anomali. Akibatnya, pengguna yang berwenang dapat di-boot dari jaringan atau alamat IP mereka diblokir.
Deteksi berbasis kebijakan metode didasarkan pada kebijakan keamanan yang ditetapkan oleh tim keamanan. Kapan pun IPS berbasis kebijakan mendeteksi tindakan yang melanggar kebijakan keamanan, IPS akan memblokir upaya tersebut.
Misalnya, SOC mungkin menetapkan kebijakan kontrol akses yang menentukan pengguna dan perangkat mana yang dapat mengakses host. Jika pengguna yang tidak sah mencoba menghubungkan ke host, IPS berbasis kebijakan akan menghentikan mereka.
Meskipun IPS berbasis kebijakan menawarkan penyesuaian, mereka dapat memerlukan investasi awal yang signifikan. Tim keamanan harus membuat serangkaian kebijakan komprehensif yang menguraikan apa yang diperbolehkan dan tidak diperbolehkan di seluruh jaringan.
Sementara sebagian besar IPS menggunakan metode deteksi ancaman yang diuraikan di atas, beberapa menggunakan teknik yang kurang umum.
Deteksi berbasis reputasi menandai dan memblokir lalu lintas dari alamat IP dan domain yang terkait dengan aktivitas berbahaya atau mencurigakan. Analisis protokol Stateful berfokus pada perilaku protokol-misalnya, analisis ini dapat mengidentifikasi serangan penolakan layanan terdistribusi (DDoS) dengan mendeteksi satu alamat IP yang membuat banyak permintaan koneksi TCP secara simultan dalam waktu singkat.
Ketika IPS mendeteksi ancaman, IPS akan mencatat kejadian tersebut dan melaporkannya ke SOC, biasanya melalui alat bantu informasi keamanan dan manajemen kejadian (SIEM ) (lihat "IPS dan solusi keamanan lainnya" di bawah ini).
Namun IPS tidak berhenti sampai di situ. Secara otomatis mengambil tindakan terhadap ancaman, dengan menggunakan teknik-teknik seperti:
IPS dapat mengakhiri sesi pengguna, memblokir alamat IP tertentu, atau bahkan memblokir semua lalu lintas ke suatu target. Beberapa IPS dapat mengarahkan lalu lintas ke honeypot, sebuah aset umpan yang membuat para peretas berpikir bahwa mereka telah berhasil, padahal sebenarnya, SOC sedang mengawasinya.
IPS mungkin mengizinkan lalu lintas untuk terus berjalan tetapi membersihkan bagian yang berbahaya, seperti dengan menjatuhkan paket berbahaya dari aliran atau menghapus lampiran berbahaya dari email.
IPS dapat meminta perangkat keamanan lain untuk bertindak, misalnya dengan memperbarui aturan firewall untuk memblokir ancaman atau mengubah pengaturan router untuk mencegah peretas mencapai target mereka.
Beberapa IPS dapat mencegah penyerang dan pengguna yang tidak sah melakukan apa pun yang melanggar kebijakan keamanan perusahaan. Sebagai contoh, jika pengguna mencoba mentransfer informasi sensitif keluar dari database yang tidak seharusnya, IPS akan memblokirnya.
Solusi IPS dapat berupa aplikasi perangkat lunak yang diinstal pada titik akhir, perangkat keras khusus yang terhubung ke jaringan, atau dikirimkan sebagai layanan cloud. Karena IPS harus dapat memblokir aktivitas berbahaya secara real time, mereka selalu ditempatkan "sebaris" di jaringan, yang berarti lalu lintas melewati IPS secara langsung sebelum mencapai tujuannya.
IPS dikategorikan berdasarkan tempat mereka berada dalam jaringan dan jenis aktivitas yang mereka pantau. Banyak organisasi menggunakan beberapa jenis IPS di jaringan mereka.
Sistem pencegahan intrusi berbasis jaringan (NIPS) memantau lalu lintas masuk dan keluar ke perangkat di seluruh jaringan, memeriksa setiap paket untuk aktivitas yang mencurigakan. NIPS ditempatkan di titik-titik strategis dalam jaringan. Mereka sering kali berada tepat di belakang firewall di perimeter jaringan sehingga bisa menghentikan lalu lintas berbahaya yang menerobos. NIPS juga dapat ditempatkan di dalam jaringan untuk memantau lalu lintas dari dan ke aset-aset penting, seperti pusat data atau perangkat penting.
Sistem pencegahan intrusi berbasis host (HIPS) dipasang pada titik akhir tertentu, seperti laptop atau server, dan hanya memantau lalu lintas dari dan ke perangkat tersebut. HIPS biasanya digunakan bersama dengan NIPS untuk menambah keamanan ekstra pada aset vital. HIPS juga dapat memblokir aktivitas berbahaya dari simpul jaringan yang disusupi, seperti ransomware yang menyebar dari perangkat yang terinfeksi.
Solusi Analisis Perilaku Jaringan (NBA) memantau arus lalu lintas jaringan. Meskipun NBA dapat memeriksa paket seperti IPS lainnya, banyak NBA yang fokus pada detail tingkat yang lebih tinggi dari sesi komunikasi, seperti alamat IP sumber dan tujuan, port yang digunakan, dan jumlah paket yang dikirimkan.
NBA menggunakan metode deteksi berbasis anomali, menandai dan memblokir aliran apa pun yang menyimpang dari norma, seperti lalu lintas serangan DDoS atau perangkat yang terinfeksi malware yang berkomunikasi dengan server perintah dan kontrol yang tidak dikenal.
Sistem pencegahan intrusi nirkabel (WIPS) memonitor protokol jaringan nirkabel untuk aktivitas yang mencurigakan, seperti pengguna yang tidak sah dan perangkat yang mengakses wifi perusahaan. Jika WIPS mendeteksi entitas yang tidak dikenal pada jaringan nirkabel, itu dapat menghentikan koneksi. WIP juga dapat membantu mendeteksi perangkat yang salah konfigurasi atau tidak aman di jaringan wifi dan mencegat serangan man-in-the-middle, di mana peretas diam-diam memata-matai komunikasi pengguna.
Meskipun IPS tersedia sebagai alat yang berdiri sendiri, IPS dirancang untuk diintegrasikan secara erat dengan solusi keamanan lainnya sebagai bagian dari sistem keamanan siber yang menyeluruh.
Peringatan IPS sering kali disalurkan ke SIEM organisasi, di mana peringatan tersebut dapat digabungkan dengan peringatan dan informasi dari alat keamanan lainnya dalam satu dasbor terpusat. Mengintegrasikan IPS dengan SIEM memungkinkan tim keamanan memperkaya peringatan IPS dengan intelijen ancaman tambahan, menyaring alarm palsu, dan menindaklanjuti aktivitas IPS untuk memastikan ancaman berhasil diblokir. SIEMS juga dapat membantu SOC mengoordinasikan data dari berbagai jenis IPS, karena banyak organisasi yang menggunakan lebih dari satu jenis.
Seperti disebutkan sebelumnya, IPS berevolusi dari ID dan memiliki banyak fitur yang sama. Meskipun beberapa organisasi mungkin menggunakan solusi IPS dan IDS yang terpisah, sebagian besar tim keamanan menggunakan satu solusi terintegrasi yang menawarkan deteksi, pencatatan, pelaporan, dan pencegahan ancaman otomatis yang kuat. Banyak IPS yang memungkinkan tim keamanan untuk mematikan fungsi pencegahan, sehingga memungkinkan mereka untuk bertindak sebagai IDS murni jika organisasi menginginkannya.
IPS berfungsi sebagai garis pertahanan kedua di belakang firewall. Firewall memblokir lalu lintas berbahaya di perimeter, dan IPS mencegat apa pun yang berhasil menembus firewall dan masuk ke dalam jaringan. Beberapa firewall, terutama firewall generasi berikutnya, memiliki fungsi IPS bawaan.
Tangkap ancaman tersembunyi yang mengintai di jaringan Anda, sebelum terlambat. IBM Security QRadar Network Detection and Response (NDR) membantu tim keamanan Anda dengan menganalisis aktivitas jaringan secara real time. Sistem ini menggabungkan kedalaman dan keluasan visibilitas dengan data dan analisis berkualitas tinggi untuk mendorong wawasan dan respons yang dapat ditindaklanjuti.
Dapatkan perlindungan keamanan yang dibutuhkan organisasi Anda untuk meningkatkan kesiapan menghadapi pelanggaran dengan langganan retainer respons insiden dari IBM Security. Saat Anda bekerja sama dengan tim elit konsultan IR kami, Anda memiliki mitra tepercaya yang siap siaga untuk membantu mengurangi waktu yang diperlukan untuk merespons insiden, meminimalkan dampaknya, dan membantu Anda pulih lebih cepat sebelum insiden keamanan siber dicurigai.
Hentikan ransomware agar tidak mengganggu kelangsungan bisnis, dan pulihkan dengan cepat saat serangan terjadi—dengan pendekatan zero trust yang membantu Anda mendeteksi dan merespons ransomware lebih cepat dan meminimalkan dampak serangan ransomware.
Seiring dengan pertumbuhan jaringan perusahaan, begitu pula dengan risiko serangan siber. Pelajari bagaimana solusi keamanan jaringan melindungi sistem komputer dari ancaman keamanan internal dan eksternal.
SIEM memantau dan menganalisis peristiwa terkait keamanan secara real-time, serta mencatat dan melacak data keamanan untuk tujuan kepatuhan atau audit.
NDR menggunakan kecerdasan buatan, pembelajaran mesin, dan analisis perilaku untuk mendeteksi dan merespons aktivitas jaringan yang mencurigakan.