We are not alone – Kita tidak sendirian. Kata ini mungkin terkesan agak menakutkan, tapi inilah yang terjadi di dunia internet. Jika kita membuat sebuah server yang bisa diakses oleh internet tanpa firewall maka akan dapat dipastikan dalam beberapa menit maka ada pencobaan akses yang cukup banyak. Atau paling tidak ada scanning dari IP yang tidak kita ketahui yang mencoba mencari celah keamanan di server kita.
Bagaimana kita mengetahui tamu tidak diundang disebut? Kita bisa mendeteksi dengan menggunakan IDS (Intrusion Detection System) seperti Suricata atau Snort. IDS dapat membantu kita dalam melakukan Traffic Monitoring, Anomaly-based Detection, Alert Generation dan Logging. Fungsi fungsi ini sangat membantu kita dalam memantau network traffic yang datang ke dalam jaringan kita.
Fungsi IDS akan sangat bermanfaat jika di gabungkan dengan sistem SIEM (Security Information and Event Management). Di mana kita dapat melihat output dari IDS di Dasbor SIEM. Output dari IDS dapat diperkaya dengan informasi dari threat intelligence, seperti dari Emerging Threat.
sebagai contoh, saya membuat sebuah website web server yang bisa diakses dari internet. Dan dalam waktu 15 menit saya dapat melihat traffic tempat tempat yang mencurigakan
Terdapat lebih dari 350 pengunjung yang mencurigakan. Informasi ini saya dapatkan dari Emerging Threat Intellegence yang memberikan informasi reputasi dari IP tersebut. Tambahan informasi dapat kita dapatkan dari Virus Total
Hal ini memperkuat bahwa memang benar IP tersebut mempunyai reputasi yang buruk, sehingga jika dia mengunjungi jaringan kita maka kita perlu meningkatkan kewaspadaan. Pertanyaan selanjutnya apa yang harus kita lakukan??
Kita harus melakukan tindakan sebagai respons dari temuan intelejen tesebut. Respon/tindakan umumnya dilakukan menggunakan SOAR (Security Orchestration and Automation Response). Respon yang kita lakukan harus ter “orkestrasi” and menggunakan otomatisasi. Maksud dari “orkestrasi” adalah respon kita berupa workflow, misalnya untuk kasus diatas, maka dimulai mencari informasi tambahan (enrichment), kemudian dilanjutkan dengan notifikasi ke tim security, tim IT infrastuktur, dan melakukan pemblokiran IP atau network dari IP tersebut. Workflow tersebut terdiri dari banyak tindakan yang harus dilakukan dan kemungkinan harus dilakukan berulang-ulang dengan waktu yang sangat pendek atau cepat, sehingga otomatisasi merupakan keharusan. Dibawah ini contoh SOAR dengan menggunakan Shuffler.
Hasil dari pemblokiran dalam untuk IP yang mempunyai reputasi buruk dapat dilihat dibawah ini
Waspada bahwa We are not alone – Kita tidak sendirian. Untuk implementasi bisa menghubungi kami.
No Responses