IDS & Log Management

2,030 views

Published on

A short presentation about IDS & Log Management for Indonesia's Ministry of Communication and Informatics

Published in: Technology, Business

IDS & Log Management

  1. 1. teknik & strategipendeteksianancaman keamananinformasi
  2. 2. +intrusion detection system log management
  3. 3. keamanan informasimelindungi informasi dan sistem informasi dari akses,penggunaan, pengungkapan, gangguan, modifikasi atauperusakan
  4. 4. keamanan komputercabang dari teknologi yang dikenal sebagai keamanan informasiyang diterapkan pada komputer, memastikan ketersediaan danoperasi yang benar dari suatu sistem komputer
  5. 5. ancaman keamanan informasisetiap keadaan atau peristiwa dengan potensi untuk merusaksuatu sistem informasi melalui akses tidak sah, kerusakan,pengungkapan, modifikasi data, dan/atau penolakan layanan
  6. 6. sumber ancaman keamanan informasi ???
  7. 7. sumber ancaman keamanan informasi manusiakaryawan, manajemen, kontraktor, konsultan, vendor
  8. 8. sumber ancaman keamanan informasi rendahnya kesadaran
  9. 9. sumber ancaman keamanan informasiterlalu canggihnya infrastruktur
  10. 10. sumber ancaman keamanan informasikompleksitas & efektivitas penyerang hackers & malware
  11. 11. sumber ancaman keamanan informasi bencana banjir, gempa bumi, kebakaran, dll.
  12. 12. intrusion detection system
  13. 13. mengapa butuh ids?rules & signatures ⇢identifikasi & monitor ⇢ belajar
  14. 14. bagaimana mendeteksi sebuahserangan (intrusi)?
  15. 15. deteksi pasif (ids)mendeteksi anomali, log informasi dan membuat peringatanvsdeteksi reaktif (ips)mendeteksi anomali dan melakukan tindakan untuk membatasidampak dari serangan
  16. 16. deteksi penyalahgunaanmendeteksi intrusi dalam hal karakteristik serangan ataukerentanan yang dikenaldeteksi anomalimendeteksi setiap tindakan yang secara signifikan menyimpangdari perilaku normal
  17. 17. data data data data data data datadata data data data data data datadata data data data data data datadata data data data data data datadata data data data data data datadata data data data data data data
  18. 18. data data data data data data datadata data data data data data datadata data data data data data datadata data data data data data hack hack hack datadata data data data data data datadata data data data data data data
  19. 19. penggunaan internet (dalam megabyte)911131517192123
  20. 20. penggunaan internet (dalam megabyte)911131517192123
  21. 21. penggunaan internet (dalam megabyte)9111315 normal17192123
  22. 22. penggunaan internet (dalam megabyte)9111315 normal1719 anomali2123
  23. 23. https://www.google.com/http://www.detik.com/https://webmail.perusahaan.co.id/https://www.facebook.com/https://www.twitter.com/
  24. 24. https://www.google.com/http://www.detik.com/https://webmail.perusahaan.co.id/https://www.facebook.com/https://www.twitter.com/http://www.packetstormsecurity.org/http://host.cn/.secret/backdoor.zip
  25. 25. kelebihan kekurangan bekerja secara tidak dapat deteksi akurat dan mendeteksipenyalahgunaan menghasilkan lebih serangan baru sedikit false-alarm dapat mendeteksi false-alarm yangdeteksi anomali serangan baru tinggi dan terbatas berdasarkan audit pada data training
  26. 26. host-based idsnetwork-based ids
  27. 27. host-based idsnetwork-based ids
  28. 28. Firewall Implementasi HIDS pada Web Server Router Web Server NIDS Hub/Switch Mail Server Implementasi NIDS Implementasi HIDSpada Jaringan Kantor pada Mail Server Jaringan Kantor
  29. 29. Firewallids di jaringan switch Routermenggunakan tap NIDS TAP Switch
  30. 30. Firewallids di jaringan switch Routermenggunakan span NIDS Switch
  31. 31. log management
  32. 32. logcatatan tentang peristiwa yang terjadi dalam sistem organisasidan jaringan
  33. 33. log managementproses menghasilkan, mentransfer, menyimpan, menganalisisdan membuang data log keamanan komputer
  34. 34. macam-macam log catatan audit • log transaksiperingatan intrusi • log koneksi catatan kinerja sistem log aktivitas pengguna
  35. 35. penghasil logfirewall • ips • router • switch • hub ids • server • workstation aplikasi bisnis • database anti-virus • anti spam vpn • proxy
  36. 36. logging monitoring analisis audit deteksi insiden wawasan yang mendalam forensik pencegahan kerugian tanggap terhadap serangankepatuhan kepatuhan prediksi kegagalan
  37. 37. pentingnya log management
  38. 38. pentingnya log managementidentifikasi dan perlindungan terhadap ancaman
  39. 39. pentingnya log managementregulatory compliance
  40. 40. pentingnya log managementinternal policy & procedure compliance
  41. 41. pentingnya log managementdukungan terhadap audit internal dan eksternal
  42. 42. pentingnya log managementmenanggapi insiden dengan cepat dan tepat
  43. 43. pentingnya log managementdukungan litigasi, forensik dan “e-discovery”
  44. 44. pentingnya log managementpemecahan masalah sistem dan jaringan
  45. 45. pentingnya log managementmanajemen kinerja TI
  46. 46. mengapa butuh standar log?
  47. 47. standar logtransfer • format • konten • regulasi
  48. 48. contoh kebijakan log management untuk sistem yang berisiko rendah lama penyimpanan 1 - 2 minggu rotasi opsional setidaknya 1 kali seminggu atau setiap 25 MB frekuensi transfer 3 - 4 jam dari sistem ke infrastruktur log management frekuensi analisis 1 - 7 hari pemeriksaan integritas opsional enkripsi opsional
  49. 49. contoh kebijakan log management untuk sistem yang berisiko medium lama penyimpanan 1 - 3 bulan rotasi setiap 6 - 24 jam atau setiap 2 - 5 MB frekuensi transfer 15 - 60 menit dari sistem ke infrastruktur log management frekuensi analisis 12 - 24 jam pemeriksaan integritas ya enkripsi opsional
  50. 50. contoh kebijakan log management untuk sistem yang berisiko tinggi lama penyimpanan 3 - 12 bulan rotasi setiap 15 - 60 jam atau setiap 0.5 - 1 MB frekuensi transfer 5 menit dari sistem ke infrastruktur log management frekuensi analisis 4 jam pemeriksaan integritas ya enkripsi ya
  51. 51. operasional log managementkonfigurasi sumber log ⇢ analisis log ⇢ reaksi terhadap events ⇢ menyimpan log
  52. 52. Pengumpulan Log SentralisasiPeringatan Analisis Berbagi Penyimpanan Pelaporan
  53. 53. mengamankan log
  54. 54. mengamankan logmembatasi akses terhadap log file
  55. 55. mengamankan loghindari pencatatan data sensitif yang tidak dibutuhkan
  56. 56. mengamankan logmelindungi file log yang diarsipkan
  57. 57. mengamankan logmengamankan proses yang menghasilkan entri log
  58. 58. mengamankan logmengkonfigurasi setiap sumber log untuk berperilaku tepat saatkesalahan pencatatan terjadi
  59. 59. mengamankan logmenerapkan mekanisme yang aman untuk transfer data log darisistem ke server pusat manajemen log
  60. 60. sentralisasi logaksesibilitas • kategorisasi & korelasipengurangan volume • pengurangan waktu responpeningkatan efisiensi solusi keamanan
  61. 61. tantangan implementasi
  62. 62. log management sebagaidukungan terhadap compliance
  63. 63. contoh log dari perangkatfirewall koneksi yang diblokir, DoS, koneksi outboundnids/nips intrusi, probes, abusehost kegagalan perangkat, crash, akses tidak sahanti-virus status pembersihan, kegagalan pemutakhiranaplikasi metrik penggunaan, pelanggaran penggunaan
  64. 64. contoh log dari sistem operasiperubahan pada akun/gruplogin akun, elevated privilegesperubahan pada file/directory permissionshutdownpatch & hotfixes
  65. 65. contoh log dari nids/nipspercobaan intrusinetwork scanningpenyalahgunaan hak istimewa administratoranomali jaringanpelanggaran acceptable use policy (aup)
  66. 66. siemsecurity information and event management
  67. 67. komponen siem1. pengumpulan log & context data2. normalisasi3. korelasi (sem)4. notifikasi/peringatan (sem)5. prioritasi (sem)6. pelaporan (sim)7. alur kerja tugas
  68. 68. penggunaan siem
  69. 69. penggunaan siemsecurity operation centre (soc)
  70. 70. penggunaan siemmini-soc (morning after response)
  71. 71. penggunaan siemautomated-soc (alert + investigate)
  72. 72. penggunaan siemcompliance status reporting
  73. 73. pengadaan siemmembangun sendiri / beli / outsource
  74. 74. pengadaan siem: membangun sendirikelebihan kekuranganbisa mendapatkan seperti yang kita pemeliharaan yang sulitinginkanbisa melakukan hal-hal yang tidak dapat self-supportdilakukan oleh vendorkebebasan memilih platform, kurangnya pengujian terhadap platform,perlengkapan dan metode perlengkapan dan metodetidak ada biaya dimuka ketidakmampuan menangani volume log yang besarmenyenangkan skalabilitas
  75. 75. pengadaan siem: belikelebihan kekurangancepat mendapatkan solusi yang diinginkan perlunya keterlibatan kita untuk menggunakannyadukungan terhadap sumber log staf yang berpengalaman dan terampil sangat dibutuhkandukungan pengembangan yang terus tidak diperolehnya solusi yang diharapkanberlangsungada pihak lain yang dapat usia vendorbertanggungjawab
  76. 76. pengadaan siem: outsourcekelebihan kekuranganadanya pihak lain yang bertanggungjawab adanya pihak lain yang bertanggungjawabterhadap masalah keamanan kita terhadap masalah keamanan kitaumumnya tidak diperlukan pembelian tidak diperolehnya solusi yang diharapkanperangkatlebih sedikit staf yang dibutuhkan risiko SLA dan kehilangan kontrol terhadap datalebih disukai manajemen volume dan akses log
  77. 77. kriteria pemilihan siemkebutuhan • besarnya organisasi • ketersediaansumber daya • budaya dan dukungan manajemen
  78. 78. perangkat opensource pengumpulan logsyslog-ng, kiwi, snare, lasso, apache2syslog, logger, dll sentralisasi & transfer stunnel, ssh, openssl pra-pengolahan logpp penyimpanan database (mysql, postgres, dll), file system storage analisis ossec, ossim, swatch, logwatch, logsentry, dll.
  79. 79. q&a
  80. 80. jim geovedi twitter: @geovedihttp://www.slideshare.net/geovedi

×