Little boy questioned his mother, he asked what he can be in the future..with a sad smile, she tells him he can be anything he wants to be.... Boy said he’d become (an) astronaut and fly out into space crews around the universe he wanted to see the stars and also see other planets in outer space------------- "Why don’t we just keep dreaming, let’s keep our mind with dream and faith, as long as we wish we can make it come true, how old you are never forget your dream and keep dreaming "

Saturday, 11 August 2018

Tools dan Data Network Security Monitoring (NSM)

Pada tahun 2002, Bamm Vischer dan Richard Bejtlich mendefinisikan NSM sebagai "pengumpulan, analisis dan eskalasi indikasi dan peringatan (I & W) untuk mendeteksi dan menanggapi adanya gangguan (intrusi)"

NSM Tools

Beberapa jenis alat pemantauan keamanan jaringan (NSM) dapat mengumpulkan data yang tersedia bagi analis keamanan jaringan untuk ditinjau. Setiap jenis alat memiliki penerapannya sendiri. Data harus dikumpulkan, dikelola, dan disajikan kepada analis, sehingga setiap SOC harus memiliki seperangkat alat untuk menyediakan layanan ini.

Ketika akan memilih alat untuk NSM ada banyak pilihan. Tidak ada standar untuk alat NSM dalam SOC dan setiap SOC memilih perangkatnya sendiri. Ada beberapa kesamaan antara jenis alat yang digunakan, tetapi tidak secara spesifik.

Dari perspektif data, tujuh jenis data NSM akan dibahas, termasuk data sesi (session data), pengambilan paket lengkap (full packet capture), data transaksi, konten yang diekstrak, data peringatan, data statistik, serta metadata.

Analis keamanan jaringan berfokus pada data NSM. Tanpa data NSM, analis SOC tidak bisa melakukan pekerjaan mereka. Tanpa alat NSM, analis SOC tidak akan memiliki data NSM. Alat NSM adalah perangkat lunak yang mengumpulkan, memelihara, memproses, dan menyajikan data pemantauan keamanan jaringan.

Fungsi yang terkait dengan sistem manajemen syslog terpusat, yang merupakan contoh alat pemantauan keamanan jaringan, termasuk yang berikut:
  • Menerima pesan syslog dari klien syslog yang didistribusikan di seluruh jaringan, dan menyimpan pesan-pesan itu dalam file log datar
  • Memindahkan pesan dari file log ke database relasional performa tinggi
  • Memproses data tingkat rendah dalam basis data relasional untuk menghasilkan konstruksi informasi tingkat lebih tinggi
  • Menyajikan data syslog dalam bentuk laporan otomatis, dasbor, dan respons kueri real-time

Alat SOC bisa sulit dikategorikan. Empat fungsi yang disebutkan untuk manajemen syslog terpusat dapat diimplementasikan dengan alat monolitik tunggal atau mereka masing-masing dapat diimplementasikan dengan alat individu. Alat dapat bekerja dengan beberapa jenis data atau beberapa sumber data. Sebagai contoh, satu alat dapat bertanggung jawab untuk menerima syslog, NetFlow, dan pemberitahuan IPS.



Alat SOC bisa bersifat komersial, open source, atau homegrown. Alat komersial cenderung dipoles, berfitur lengkap, dan menawarkan dukungan vendor, tetapi cenderung mahal. Alat sumber terbuka cenderung kurang dipoles, tetapi seringkali sangat mampu dan dapat didistribusikan secara bebas. Bebas didistribusikan bukan berarti gratis. Alat sumber terbuka masih memerlukan sumber daya komputer dan mereka memerlukan sumber daya administrator untuk instalasi, konfigurasi, dan pemeliharaan. Dukungan teknis sering dianggap sebagai keuntungan dari alat komersial, tetapi mungkin juga tersedia untuk alat sumber terbuka. Beberapa vendor menggunakan model open sourcing produk mereka dan mendapatkan keuntungan dengan menawarkan dukungan teknis berbasis kontrak.

Alat-alat Homegrown umum di SOC. Beberapa organisasi memiliki tim programmer yang menyediakan platform alat canggih. Juga, skrip sederhana ditulis untuk menyediakan fungsi-fungsi yang tidak ada dalam set alat yang lebih besar, atau untuk menyediakan fungsi yang ada dengan cara yang lebih efektif. Seorang analis SOC akan menemukan keterampilan scripting dan programming sebagai aset yang berharga.


Tidak ada perangkat standar yang secara universal digunakan di semua SOC. Setiap SOC akan menerapkan seperangkat alat yang unik untuk memenuhi seperangkat persyaratannya yang unik. Bahkan, analis individu dalam SOC mungkin lebih memilih alat yang berbeda untuk analisis dan penyajian data NSM. Selain itu, perangkat suite yang digunakan dalam SOC diharapkan akan terus berkembang seiring waktu.


NSM Data

Data NSM dapat diklasifikasikan dalam berbagai cara. Enam tipe data NSM yang umum dikenal adalah sebagai berikut:
  • Data sesi: Data sesi adalah data ringkasan yang terkait dengan percakapan jaringan. Detail data sesi yang berbicara dengan siapa dan kapan. Seorang analis SOC yang memeriksa data sesi mirip dengan detektif yang memeriksa tagihan telepon. Data sesi didasarkan pada IP 5-tupel: alamat IP sumber, port sumber, alamat IP tujuan, port tujuan, dan protokol lapisan transport.
  • Pengambilan paket penuh (full packet capture): Pengambilan paket penuh mencatat semua lalu lintas jaringan, paket dengan paket, di lokasi jaringan tertentu. Data ditulis ke disk, umumnya dalam format PCAP. Seorang analis SOC yang memeriksa paket menangkap penuh mirip dengan informasi penyadapan detektif meninjau. Di luar siapa yang berbicara kepada siapa dan kapan, rincian pengambilan paket lengkap persis apa yang dikomunikasikan. Pengambilan paket penuh juga biasa dikenal sebagai data konten lengkap.
  • Data transaksi: Data transaksi biasanya berada di antara data sesi dan pengambilan paket lengkap. Data transaksi menangkap detail yang terkait dengan permintaan dan tanggapan. Misalnya, server web dapat mencatat permintaan GET yang dibuat oleh klien, bersama dengan respons server terhadap permintaan. Server email dapat mencatat koneksi SMTP dan merangkum pesan email yang diproses dalam koneksi. Sistem operasi host dapat mencatat permintaan akses masuk dan respons sistem operasi terhadap permintaan.
  • Data peringatan: Data ini biasanya dihasilkan oleh sistem IPS. Peringatan dihasilkan ketika lalu lintas jaringan sesuai dengan kondisi tertentu yang dikonfigurasi untuk merespons IPS. Ketepatan data peringatan sangat tergantung pada seberapa baik IPS disetel. Tetapi bahkan IPS yang disetel dengan baik dapat menghasilkan kondisi positif atau salah palsu yang salah. Analis harus berhati-hati untuk memperlakukan data peringatan apa adanya. Lansiran adalah panggilan penilaian otomatis yang dibuat oleh alat yang direkayasa.
  • Data statistik: Ketika data NSM dikumpulkan dari waktu ke waktu, data dapat diproses untuk menghasilkan data statistik. Banyak jenis pertanyaan dapat dijawab dengan data statistik:
    • Berapa banyak permintaan per detik yang diterima server web ini?
    • Berapa banyak permintaan DNS per detik yang dibuat dari dalam?
    • Seberapa sering pengguna ini masuk ke sistem itu?
    • Apakah ada siklus dalam pola data berdasarkan waktu hari, hari dalam seminggu, atau hari dalam sebulan?
    • Data statistik yang dikumpulkan dari waktu ke waktu menghasilkan baseline. Garis dasar menentukan apa yang normal. Baseline harus mencakup interval yang cukup panjang untuk menyertakan penyimpangan periodik yang diharapkan, seperti peningkatan lalu lintas karena backup mingguan terjadwal. Baseline tidak boleh mencakup interval yang lama sehingga data historis tertua mendistorsi norma saat ini. Penyimpangan dari apa yang normal sering menarik dari perspektif NSM. Penyimpangan dari normal disebut anomali. Deteksi anomali dapat dilakukan secara otomatis dengan dimasukkan ke dalam sistem IPS. Analis juga dapat secara manual membandingkan kondisi yang diamati dengan garis dasar selama proses analisis.
  • Metadata: Metadata adalah data tentang data. Metadata dapat digunakan untuk menambah data NSM yang dikumpulkan langsung oleh SOC. Data geolokasi, skor reputasi, dan kepemilikan yang terkait dengan alamat IP adalah contoh metadata yang terkait dengan alamat IP.
Setiap jenis data NSM memberikan nilai unik kepada analis. Tidak ada tipe data tunggal yang dapat memenuhi semua persyaratan analisis. Ada pro dan kontra untuk masing-masing. Misalnya, pengambilan paket lengkap menyediakan catatan komunikasi jaringan yang paling akurat dan terperinci, tetapi memerlukan sumber daya jaringan yang signifikan untuk menangkap, menyimpan sumber daya untuk dipelihara, dan menghitung sumber daya untuk diproses. Ini juga bisa menjadi data yang paling membosankan bagi analis untuk diajak bekerja sama. Dibandingkan dengan paket capture penuh, data sesi membutuhkan lebih sedikit dari setiap sumber daya namun tetap memberikan nilai yang signifikan.

Korelasi adalah kunci kemampuan analis untuk menggunakan semua tipe data NSM. Analis harus dapat menghubungkan kejadian dalam satu set data dengan kejadian di set data lainnya. IP 5-tupel sangat penting untuk korelasi peristiwa. Misalnya, peringatan IPS mungkin berisi 5-tupel penuh yang dikaitkan dengan percakapan jaringan yang mencurigakan. Menggunakan hanya sumber dan alamat IP target sebagai filter tampilan pada data sesi dapat mengungkapkan jika ada percakapan lain antara kedua sistem ini. Hanya menggunakan alamat sumber tersangka sebagai filter tampilan pada data sesi dapat mengungkapkan apakah host tersangka telah berkomunikasi dengan sistem internal lainnya. Menggunakan 5-tupel penuh dari entri data sesi dapat digunakan untuk mengekstrak percakapan tunggal tersebut dari pengambilan paket lengkap. Selama proses analisis, analis harus menentukan informasi penting apa yang saat ini tidak mereka ketahui, dan kemudian menggunakan korelasi antara kumpulan data NSM yang berbeda untuk dapat memahami gambaran lengkap.


Security Onion (https://securityonion.net/)


Security Onion adalah distribusi Linux open source yang berfokus pada NSM. Distribusi ini dikelola oleh Solusi Security Onion. Banyak alat yang dipilih untuk Security Onion memiliki dukungan masyarakat luas, sehingga Solusi Security Onion menyediakan paket langsung untuk menginstal ruang pemantauan keamanan jaringan. Security Onion Solutions juga menawarkan layanan pelatihan dan dukungan untuk distribusi. Security Onion dapat digunakan sebagai sistem mandiri (stand alone) sederhana di mana satu NIC digunakan untuk manajemen dan satu atau lebih NIC tambahan digunakan untuk pemantauan. Security Onion juga dapat menskala menggunakan penyebaran terdistribusi di mana satu sistem bertindak sebagai server master dan tugas pemantauan tersebar di beberapa sistem sensor.

Ketika alat NSM, tidak memiliki standar. Untuk setiap fungsi, ada banyak pilihan. Sebagai contoh, Security Onion menawarkan pilihan antara Snort dan Suricata untuk fungsi NIDS berbasis aturan, yang merupakan komponen inti dari Security Onion. Untuk memahami berbagai jenis alat dan jenis data yang berbeda yang akan digunakan oleh seorang analis keamanan jaringan, Security Onion dapat memberikan serangkaian contoh yang kohesif. Angka ini menunjukkan diagram arsitektur sederhana dari Security Onion.

Ada banyak lagi arsitektur Security Onion daripada yang disampaikan dalam gambar. Angka ini berfungsi untuk memperkenalkan kompleksitas dan interaksi antara alat NSM dalam Security Onion. Alat-alat di baris bawah sebagian besar didedikasikan untuk pengumpulan dan produksi data NSM mentah. Alat-alat di baris tengah terkait dengan pengoptimalan dan pemeliharaan data. Misalnya, Bro, OSSEC dan syslog-ng semua menghasilkan file datar dengan satu entri log per baris. Sistem ELSA mengambil data mentah ini dan mengaturnya menjadi basis data MySQL relasional, menggunakan pengindeksan Sphinx berkinerja tinggi. Alat-alat yang terdaftar di baris atas bertanggung jawab atas penyajian data kepada analis. Ada banyak hubungan antara kumpulan data dan alat. Misalnya, ELSA dapat menampilkan peristiwa koneksi Bro, menyediakan data sesi. Dari semua log koneksi Bro, ELSA dapat berputar ke CapME! alat, yang dapat mengekstrak konten PCAP yang terkait dengan koneksi dari database Sguil dan menampilkan decode ke analis. CapME! kemudian dapat berputar ke Wireshark untuk analisis yang lebih rinci dari data PCAP terkait. Sementara orang mungkin menggambarkan Sguil dan Squert sebagai manajer peringatan Snort, keduanya menawarkan lebih banyak, termasuk penyajian data PCAP, penggabungan metadata seperti geolokasi, dan kemampuan untuk beralih ke alat NSM lainnya.

No comments:

Post a Comment