Network Security Monitoring

Network Security Monitoring (NSM) adalah upaya untuk melakukan pengumpulan, analisa, dan dan eskalasi terhadap berbagai indikasi dan bahaya untuk kemudian melakukan pendeteksian dan respon terhadap adanya Insiden Keamanan Informasi.

Fungsi dan tugas untuk melakukan NSM ini biasanya dilakukan oleh sebuah organisasi yang bernama Computer Incident Response Teams (CIRTs). Dalam lingkup yang lebih kecil pada beberapa organisasi, fungsi dan peran CIRTs ini digantikan oleh suatu departemen atau unit tersendiri yang biasa disebut Security Operation Center (SOC). Beberapa tugas yang biasa dilakukan oleh CIRTs terkait NSM adalah seperti:

  • Mengumpulkan sejumlah data dari jaringan, biasanya dari perangkat security dan jaringan (firewall, ids, ips, switch, router, dll)
  • Melakukan analisa terhadap data yang dikumpulkan dari jaringan untuk mencari adanya indikasi Insiden Keamanan Informasi untuk kemudian memberitahukannya kepada pemilik jaringan/aset yang terdeteksi
  • Melakukan remediasi bersama dengan pemilik aset terhadap Insiden Keamanan Informasi
  • Melakukan analisa dampak dari setiap Insiden Keamanan Informasi yang terjadi

Apakah NSM dapat mencegah terjadinya Insiden Keamanan Informasi?

Jawabannya adalah tidak, karena NSM tidak terkait secara langsung dengan pencegahan Insiden. Pencegahan insiden keamanan informasi ini biasanya melibatkan perangkat security perimeter seperti Firewall, IPS, Antivirus, WAF, dll.

Mengacu pada pernyataan bahwa “pencegahan pada akhirnya akan gagal” dan “hanya masalah waktu sampai insiden keamanan informasi akan terjadi” maka peran NSM selanjutnya akan menjadi sangat penting untuk melakukan pengamatan, deteksi, dan eskalasi terhadap suatu insiden keamanan informasi.

Pertanyaan yang sering muncul kemudian adalah “Jika kita bisa mendeteksi adanya sebuah intrusi atau ancaman terhadap suatu keamanan informasi, kenapa kita tidak bisa melakukan pencegahannya juga?”

Jawaban sederhananya adalah karena tidak ada sistem yang sempurna. Mekanisme pencegahan dapat dipakai untuk melakukan pemblokiran terhadap berbagai aktifitas ataupun tindakan berbahaya, akan tetapi teknik, taktik dan perangkat yang dipakai oleh pelaku kejatahan (hackers) semakin hari semakin meningkat dan jumlah ataupun kompleksitas sistem yang harus kita lindungi juga ikut bertambah.

Fungsi dan tugas dari NSM kemudian menjadi vital ketika sebuah mekanisme pencegahan gagal melakukan tugasnya dengan baik dan benar.

Pendekatan baru yang kemudian biasa dipakai pada NSM adalah bagaimana kita melihat sebuah proses insiden keaman terjadi. NSM memang tidak bisa melakukan pencegahan terhadap insiden akan tetapi NSM dapat dipakai untuk mencegah pelaku kejatahan (hackers) mendapatkan apa yang diinginkan dari percobaan intrusi yang dilakukannya

Waktu menjadi faktor kunci dari suksesnya sebuah NSM. Hacker jarang melakukan aksinya dan berhasil mendapatkan apa yang diinginkannya dalam hitungan menit ataupun jam, bahkan tidak jarang mereka membutuhkan waktu beberapa hari, minggu atau mungkin bulan untuk mencapai hal tersebut.

Poin pentingnya adalah pada jeda waktu interval ini, dimulai saat hacker berhasil melakukan compromise terhadap target awal (target awal biasanya hanya dipakai untuk batu loncatan/jumpbox untuk menuju ke target yang sebenarnya) kemudian melakukan pergerakan internal (lateral movement) untuk mencari target sebenarnya sampai pada akhirnya melakukan serangan tersebut ke target akhirnya. Pada compromise awal ini NSM dapat berperan menjadi sebuah mekanisme deteksi yang efektif karena disini telah terbukti bahwa pencegahan telah gagal sehingga membuat seseorang/perangkat berhasil di-compromise atau diambil alih oleh hacker.

Respon yang cepat dari NSM juga akan berperan untuk menentukan seberapa jauh compromise ini telah terjadi dan dampak yang telah ditimbulkannya untuk kemudian melakukan pemberitahuan kepada pemilik perangkat bahwa perangkatnya telah ter-compromise sehingga dapat menghindari hacker untuk melancarkan aksi yang lebih jauh lagi. Pada poin ini NSM dapat dikatakan berhasil karena telah mencegah tujuan utama dari sang hacker untuk mencapai target utamanya dan membuat hacker tidak berhasil mendapatkan apa yang mereka inginkan dari awal.

Mekanisme pencegahan pada dasarnya juga menjadi salah satu komponen yang penting jika perencanaan dan implementasinya dilapangan dapat dilakukan dengan baik dan benar, termasuk juga perawatan, pengaturan, dan pembaruan secara berkala untuk membuat mekanisme pencegahan ini dapat berfungsi secara maksimal

Disini kemudian jelas bahwa fungsi dan peran dari NSM adalah sebagai pelengkap yang tidak dapat menggantikan sepenuhnya peran dari mekanisme pencegahan tersebut karena jika pencegahan gagal maka setidaknya masih ada NSM yang berperan untuk dapat melakukan analisa dan deteksi terhadap ancaman intrusi yang mungkin akan atau telah terjadi.

Semoga bermanfaat

Referensi: The Practice of Network Security Monitoring oleh Richard Bejtlich

Iklan

Penulis: Wahyu Nuryanto

Amateur blogger, passionate writer

2 tanggapan untuk “Network Security Monitoring”

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout /  Ubah )

Foto Google

You are commenting using your Google account. Logout /  Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout /  Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout /  Ubah )

Connecting to %s