intrusion prevention system (IPS)

Apa itu Intrusion Prevention System?

Intrusion Prevention System (IPS) adalah alat keamanan siber yang memeriksa lalu lintas jaringan untuk mengidentifikasi ancaman potensial dan secara otomatis mengambil tindakan terhadapnya. Misalnya, IPS dapat mengenali dan memblokir perangkat lunak berbahaya atau eksploitasi kerentanan sebelum mereka bergerak lebih jauh ke dalam jaringan dan menyebabkan kerusakan. Alat IPS terus memantau dan mencatat aktivitas jaringan secara real-time.

Intrusion Prevention System memperluas kemampuan dari Intrusion Detection System (IDS), yang merupakan alat serupa tetapi kurang canggih. Berbeda dengan IPS, IDS hanya dapat mendeteksi tetapi tidak dapat merespons aktivitas berbahaya. Saat ini, banyak vendor keamanan yang menggabungkan kemampuan IPS dan IDS dalam satu paket atau platform keamanan yang lebih luas.

Bagaimana Cara Kerja Intrusion Prevention System?

Alat IPS bekerja secara inline (yaitu, langsung dalam jalur lalu lintas jaringan) dan sering kali ditempatkan di belakang firewall, sehingga dapat memindai dan menganalisis data yang masuk setelah melewati perimeter keamanan.

Berikut adalah tiga metode umum yang digunakan oleh IPS untuk mengenali ancaman:

  1. Pendeteksian berbasis tanda tangan (Signature-based detection). Teknik ini memungkinkan IPS memindai tanda tangan serangan dari ancaman jaringan yang telah dikenal.
  2. Pendeteksian berbasis anomali (Anomaly-based detection). Teknik ini mencari perilaku jaringan yang tidak biasa dan mencurigakan.
  3. Pendeteksian berbasis kebijakan (Policy-based detection). Teknik ini melibatkan pemantauan aktivitas yang melanggar kebijakan keamanan perusahaan yang telah ditetapkan sebelumnya.

Ketika IPS mendeteksi ancaman, ia dapat melakukan tindakan berikut:

  • Menjatuhkan paket jaringan yang mencurigakan.
  • Memblokir lalu lintas yang mencurigakan.
  • Mengirim peringatan ke administrator keamanan.
  • Mengonfigurasi ulang firewall.
  • Mereset koneksi jaringan.

IPS dapat membantu menangkal serangan Denial-of-Service (DoS), Distributed Denial-of-Service (DDoS), worm, virus, dan eksploitasi kerentanan seperti zero-day exploit.

Jenis-jenis Intrusion Prevention System

Perusahaan dapat memilih dari beberapa jenis IPS berikut:

  1. Network-based Intrusion Prevention System (NIPS). NIPS memindai semua lalu lintas jaringan untuk aktivitas mencurigakan.
  2. Host-based Intrusion Prevention System (HIPS). HIPS memiliki cakupan yang lebih terbatas dibandingkan NIPS karena hanya berada di satu host dan menganalisis lalu lintas di sana.
  3. Wireless Intrusion Prevention System (WIPS). WIPS memantau lalu lintas jaringan nirkabel untuk tanda-tanda penyusupan yang mungkin terjadi.
  4. Network Behavior Analysis (NBA). NBA menganalisis perilaku jaringan untuk aliran lalu lintas yang tidak normal, yang mungkin mengindikasikan adanya serangan DDoS atau malware.

Manfaat Intrusion Prevention System

Beberapa manfaat utama dari penggunaan IPS meliputi:

  • Mengurangi risiko serangan yang berhasil.
  • Meningkatkan visibilitas jaringan.
  • Menyediakan perlindungan ancaman yang lebih baik.
  • Secara otomatis memberi tahu administrator tentang aktivitas mencurigakan.
  • Otomatisasi pemantauan dan tugas keamanan operasional lainnya, meningkatkan efisiensi.

Kekurangan Intrusion Prevention System

Meskipun bermanfaat, IPS juga memiliki beberapa kelemahan, antara lain:

  • Memerlukan penyetelan yang cermat untuk meminimalkan kesalahan positif dan menghindari melewatkan ancaman.
  • Jika terjadi kesalahan positif, IPS mungkin secara keliru memblokir pengguna yang sah.
  • Jika infrastruktur jaringan tidak memiliki kapasitas yang memadai, IPS dapat memperlambat sistem.
  • Jika terdapat banyak IPS dalam satu jaringan, data harus melewati beberapa sistem sebelum mencapai pengguna akhir, menyebabkan penurunan kinerja jaringan.

IPS vs. IDS

Seperti IPS, IDS adalah alat perangkat lunak yang memantau lalu lintas jaringan untuk aktivitas mencurigakan dan meningkatkan visibilitas jaringan.

Namun, berbeda dengan IPS, jika IDS menemukan tanda-tanda aktivitas berbahaya, ia tidak dapat mengambil tindakan sendiri. Sebaliknya, IDS hanya memberikan peringatan kepada administrator manusia yang kemudian harus menganalisis dan mengambil tindakan secara manual.

Begitu penyerang berhasil mengakses jaringan, mereka dapat segera mengeksploitasi sistem. Karena IPS dapat bertindak secara otomatis untuk menghentikan ancaman, ia memiliki keunggulan dibandingkan IDS, yang masih bergantung pada intervensi manusia.

Fitur Intrusion Detection System (IDS) Intrusion Prevention System (IPS)
Fungsi Utama Menemukan dan memberi peringatan tentang ancaman keamanan Mendeteksi dan secara otomatis mencegah ancaman keamanan
Respons terhadap Ancaman Hanya memberikan notifikasi kepada administrator Mengambil tindakan langsung, seperti memblokir atau menjatuhkan paket berbahaya
Posisi dalam Jaringan Biasanya dipasang dalam jaringan sebagai alat pemantauan pasif Ditempatkan secara inline sehingga dapat menghentikan ancaman sebelum mencapai jaringan
Dampak pada Kinerja Jaringan Tidak mempengaruhi lalu lintas jaringan karena hanya memantau Dapat menimbulkan latensi jika tidak dikonfigurasi dengan baik
Kecepatan Respons Bergantung pada respons administrator setelah menerima peringatan Otomatis merespons ancaman secara real-time
Contoh Penggunaan Monitoring keamanan tanpa mengganggu lalu lintas jaringan Digunakan untuk menghentikan serangan siber secara otomatis
Tagged:

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *