Devsecops: membangun kemampuan soc di dalam devsecops pipeline - Dedi Dwianto
Charles Lim, Mario Marcello - “Sistem Pemantauan Ancaman Serangan Siber di Indonesia Generasi Baru”
1. Sistem Pemantauan Ancaman Serangan Siber di
Indonesia Generasi Baru
Charles Lim
Faculty of Engineering and Information Technology
Master of Information Technology
Swiss German University
BSD City, Tangerang 15339, Indonesia
charles.lim [at] sgu.ac.id
Mario Marcello
Faculty of Engineering and Information Technology
Master of Information Technology
Swiss German University
BSD City, Tangerang 15339, Indonesia
mario.marcello [at] student.sgu.ac.id
Abstrak—Serangan siber yang masuk ke Indonesia terus
menunjukkan peningkatan. Pada saat ini Indonesia sudah
memiliki sistem untuk memantau ancaman serangan siber dan
termasuk serangan yang menggunakan malware melalui
pengumpulan serangan lewat honeypot yang sudah terpasang di
seluruh Indonesia. Rancangan system yang dijabarkan dalam
paper ini merupakan peningkatan kemampuan dalam
menganalisa malware, lalu lintas DNS, dan pola dari koneksi
serangan yang ada. Kombinasi dari ketiga kemampuan ini
memungkinkan kemampuan untuk mendeteksi serangan siber
lebih baik dan meningkatkannya kemampuan untuk mengurangi
ancaman bahkan mencegah ancaman serangan siber dapat terus
dilakukan.
Kata Kunci—Honeypot, Threat Monitoring, Incident Response,
DNS
I. PENDAHULUAN
Ancaman siber dapat datang dari keberadaan malware
dalam system komputer ataupun dari celah keamanan yang ada
pada sistem. Berdasarkan statistik dari laporan Microsoft,
Indonesia merupakan negara peringkat kedua di Asia Pasifik
dengan jumlah botnet terbanyak [11]. Serangan botnet dapat
mengancam keamanan siber bagi keseluruhan sistem yang ada
di dunia karena lokasi adalah bukan batasan dalam Internet.
Dengan adanya ancaman-ancaman siber yang ada dan terus
meningkat, sangat diperlukan adanya tim yang menangani
insiden-insiden keamanan yang terjadi pada sistem. Tim
tersebut biasa dinamakan Computer Secuirty Incident
Response Team (CSIRT), yang bertanggung jawab untuk
melakukan tanggap darurat terhadap laporan insiden yang
diterima dalam upaya melakukan remediasi terhadap insiden
tersebut dan akhirnya merekomendasikan langkah-langkah
remediasi yang perlu dilakukan.
Untuk melakukan tugasnya tim CSIRT menbutuhkan
sistem lainnya untuk mendapatkan gambaran yang lengkap
yang memperjelas hubungan insiden keamanan yang ada
dengan hasil pemantauan terhadap berbagai sistem secara
umum. Umumnya, sistem pemantau ini menggunakan
Intrusion Detection System (IDS) yang dapat mendeteksi
menggunakan “rule” yang mengindikasikan adanya serangan
yang sudah dikenal atau berhasil diidentifikasikan sebelumnya.
Namun sistem ini tentunya hanya bisa mendeteksi serangan
yang sudah dikenal sebelumnya, untuk itu penggunaan sistem
honeypot untuk mendeteksi serangan siber yang bersifat baru
dan belum terdefinisi sebelumnya sangat dibutuhkan.
Sistem pemantauan ancaman siber yang terimplementasi
saat ini sudah dapat memantau serangan yang menggunakan
malware dalam penyerangannya pada titik jaringan yang sudah
dipasang honeypot yang tersebar di beberapa kota di Indonesia.
Selain itu sistem tersebut juga sudah dilengkapi dengan
kemampuan menganalisa malware secara statik maupun
dinamik. Dalam tulisan ini, konsep sistem pemantauan
ancaman generasi baru akan dijabarkan dan kemampuan dari
sistem tersebut juga akan dipresentasikan.
II. TINJAUAN PUSTAKA
Computer Security Incident Response Team (CSIRT)
adalah sebuah tim yang khusus untuk melakukan tanggap
darurat terhadap insiden keamanan yang terjadi daam
organisasi yang dipantau tim tersebut [10]. Dalam menangani
insiden keamanan, tim tersebut biasanya ditunjang dengan
berbagai sistem pemantauan yang dapat memberikan
informasi yang lebih lengkap tentang tingkat ancaman siber
yang terjadi saat ini. Pemantaun tersebut biasa dimulai
dengan adanya paket yang masuk dalam sistem ke dalam
komputer tersebut, biasanya adanya permintaan koneksi oleh
pihak pengirim. Pemantaun permintaan koneksi ini yang perlu
dipantau karena umumnya bisa berlanjut kepada tahapan
selanjutnya yaitu digunakan untuk menyerang dengan
mengeksploitasi kelemahan sistem yang menjadi sasaran.
Intrusion Detection System (IDS) adalah sistem yang
paling umum digunakan untuk mendeteksi adanya serangan
yang masuk ke dalam sistem. Pada umumnya ada 3 jenis IDS
yang digunakan: signature based (berdasarkan serangan yang
sudah terjadi), anomaly based (berdasarkan kejanggalan), dan
stateful protocol based (berdasarkan kelainan protokol) [4].
Pada IDS yang lebih modern, IDS dapat beradaptasi atau
mengubah rules yang ada sesuai dengan perkembangan jenis
serangan yang terjadi [1]. Selain itu ada juga yang
menggunakan IDS untuk mendeteksi serangan malware [2],
tetapi IDS tersebut hanya dapat mendeteksi malware yang
2. sudah diketahui sebelumnya. Untuk mempersingkat waktu,
CSIRT menggunakan sebuah sistem terintegrasi (SIEM) untuk
mengkonsolidasi data serangan yang didapatkan dari IDS dan
berbagai sensor lainnya pada sebuah antarmuka [3]. Hanya
saja dengan sistem IDS, laporan serangan masih berdasarkan
ciri-ciri serangan yang terdahulu yang pernah terdeteksi
sebelumnya.
Dalam beberapa penelitian sebelumnya [5] [6] [7] [8] [9],
lalu lintas dapat digunakan sebagai salah satu teknik yang
efektif dalam medeteksi adanya botnet dan DDOS. Bilge [8]
menyatakan bahwa ada 4 set kategori yang bisa digunakan
sebagai ciri untuk mendeteksi adanya “malicious domain”
yang diakses lewat DNS. Kelompok fitur lainnya yang juga
bisa dipakai untuk mendeteksi aktifitas yang jahat (malicious
activity) termasuk fitur waktu (rasio akses domain, umur dari
domain, pola pengulangan akses, dan kemiripan per hari),
hasil jawaban DNS (jumlah negara unik, jumlah alamat IP
unik, dan jumlah IP dalam satu domain), nilai TTL (nilai rata-
rata TTL, standard deviasi TTL, dan jumlah nilai TTL yang
unik), dan fitur nama domain (jumlah angka yang ada pada
nama domain) [8].
Paparan lainnya, seperti Alieyan [5] dan Hands [6],
mereka dapat mendeteksi ciri-ciri keberadaan botnet dalam
lalu lintas jaringan lewat DNS. Alieyan menjabarkan berbagai
metode untuk mencegah botnet terhubung dengan C&C
melalui lalu lintas DNS [5]. Sebaliknya Hands memaparkan
bahwa koneksi botnet juga dapat dilihat pada lalu lintas DNS
dengan memantau format nama domain yang dipanggil seperti
adanya string hexadesimal, jumlah angka yang ada pada
domain, pola koneksi ke TLD, dan panggilan nama domain
yang terhubung ke IP lokal [6].
III. ARSITEKTUR SISTEM
Untuk merancang generasi terbaru sistem pemantuan
serangan siber maka perlu dirancang sistem arsitektur yang
dapat mengakomodasikan kemampuan tersebut. Gambar 1
menunjukkan arsitektur sistem dalam mendata serangan
(sensor), pengumpulan data (push server dan repository
database), dan menampilkan informasi statistik (web service
dan website).
Gambar 1. Arsitektur sistem pemantau ancaman serangan
Untuk saat ini, sudah lebih dari 20 sensor honeypot yang
digunakan untuk mencatat serangan yang di jaringan internet
Indonesia. Adapun honeypot yang digunakan adalah Dionaea,
Kippo, Glastopf, dan Honeytrap.
Dionaea – berfungsi untuk mengumpulkan
malware dan mencatat koneksi yang masuk ke
beberapa port terkenal seperti port 21, 42, 69, 80,
135, 445, 1433, 3306 dan 5060 & 5061.
Kippo – berfungsi untuk mencatat serangan yang
masuk ke port SSH.
Glastopf – berfungsi untuk mencatat serangan
yang masuk ke port HTTP dan HTTPS.
Honeytrap – berfungsi untuk mencatat serangan
yang pada berbagai port yang didukung
(honeytrap mendukung semua port TCP/UDP
untuk diserang).
Sensor yang dipasang saat ini adalah sensor honeypot,
sensor yang akan dipasang akan mencakup sensor DNS pasif
dan sensor pengumpul log server sehingga analisa yang
dilakukan bisa lebih lengkap dan detil.
Data hasil pemantauan dari sensor lalu diteruskan ke server
penyimpanan, juga disebut repository server, dengan teknologi
“push” menggunakan XMPP untuk memastikan semua data
terekam dengan baik dan konsisten. Web Service juga
digunakan yang berfungsi sebagai middleware untuk melayani
permintaan data dari pihak-pihak yang diotorisasi.
Repository server berisi data serangan dari sensor berikut
dengan sampel malware yang didapatkan dari Honeypot. Data-
data ini selanjutnya diolah oleh mesin analisis malware, mesin
analisis DNS, dan mesin analisis pola lalu lintas secara
otomatis. Hasil olahan dari data-data tersebut diharapkan dapat
menjadi informasi untuk mencegah dan mengurangi risiko
akibat serangan yang diterima.
A. Mesin Analisis Malware
Sampel Malware yang didapatkan dari sistem pemantauan
ancaman serangan akan dianalisa lebih lanjut oleh mesin
analisis malware. Gambar 2 menunjukkan komponen
penyusun mesin analisis malware analysis. Adapun komponen
dari mesin analisis malware adalah sebagai berikut:
Analisa statis – sistem akan melakukan proses
reverse engineering sampel malware apabila sampel
malware berhasil dilakukan unpacking oleh sistem.
Analisa dinamis – mempelajari perilaku malware
pada saat dieksekusi dalam sistem terisolasi,
menggunakan virtual machine dan sandbox.
Penilaian risiko (Risk Scoring) – menentukan nilai
risiko dari hasil laporan yang didapatkan dari analisa
statis dan dinamis malware tersebut.
3. Gambar 2. Komponen mesin analisis malware
B. Mesin analisis lalu lintas DNS
Pada mesin analisis lalu lintas DNS terdapat 3 jenis
analisa:
Analisa Domain – berfungsi untuk menganalisa
nama domain yang terdapat pada data DNS.
Sesuai dengan studi Bilge [8], nama domain dapat
dijadikan suatu tanda serangan siber.
Analisa Botnet – berfungsi untuk menganalisa
domain-domain yang dipakai oleh botnet untuk
terhubung dengan C&C. Sesuai dengan studi
Alieyan [5] dan Hands [6] bahwa ada fitur yang
dapat dipakai sebagai tanda bahwa ada aktivitas
botnet.
Analisa Anomali – untuk menganalisa adanya
kejanggalan yang terdapat pada data DNS yang
dikumpulkan. Data anomali ini selanjutnya bisa
dijadikan sebagai tanda untuk mencegah
terjadinya serangan berikutnya.
Gambar 4 menunjukkan bagaimana sistem analisa DNS
bekerja. Data lalu lintas DNS yang dihasilkan dari
pemantauan pasif dan tersimpan dalam repository berasal dari
lalu lintas DNS dan data IP penyerang yang masuk ke
honeypot. Input sistem ini merupakan data domain yang
berasal dari laporan tim insiden response. Data yang disimpan
pada repository akan dianalisis oleh mesin penganalisis lalu
lintas DNS dan disimpan hasilnya pada satu database yang
bisa digunakan sebagai acuan tim insiden response untuk
mencegah terjadinya serangan.
Gambar 3. Komponen DNS traffic analysis engine
Gambar 4. Sistem analisis lalu lintas DNS
4. C. Mesin analisis koneksi serangan
Dalam penelitian Bilge [8] dan Alieyan [5], salah satu ciri
adanya aktivitas serangan siber adalah melihat seberapa banyak
IP address yang dimiliki oleh 1 domain dan juga kebalikannya,
seberapa banyak domain yang dimiliki oleh 1 IP address.
Maka mesin penganalisis lalu lintas jaringan ini akan
melakukan hal tersebut dan keseluruhan domain pada data
DNS akan dicatat mempunyai berapa banyak IP address dan 1
IP address memiliki berapa domain.
Gambar 5. Komponen Analisis Lalu Lintas Jaringan
Selain itu, mesin ini juga melakukan analisis terhadap pola
serangan yang masuk pada sistem honeypot. Pada database
repository honeypot sudah terkumpul data dengan periode
lebih dari 4 tahun. Sebuah algoritma untuk mencari pola
serangan selama 4 tahun akan dijalankan agar sistem pemantau
ini dapat menghasilkan sebuah prediksi serangan yang akan
datang di masa yang akan datang.
Kemampuan lainnya selain kemampuan yang telah
dijelaskan diatas:
Sistem yang dapat menghitung besar risiko
ancaman per malware.
Sistem yang dapat menganalisis ancaman dan
serangan melalui data DNS.
Sistem yang dapat menganalisis pola lalu lintas
jaringan.
IV. KESIMPULAN
Dengan kemampuan sistem pemantau ancaman siber
generasi baru ini, maka tim CSIRT mendapatkan kemampuan
baru yaitu:
Tingkat risiko secara nasional atau regional
terhadap malware yang menyerang.
Tingkat serangan yang menggunakan
menggunakan lalu lintas DNS sebagai basis
analisa.
Mengantisipasi potensi serangan siber yang lebih
baik.
Rancangan berikutnya adalah kemampuan mengkoleksi
malware secara aktif, dengan mengunjungi domain-domain
yang malicious yang berhasil dikumpulkan maupun dari
malicious domain yang dibagikan di publik. Malware yang
terkumpul dengan metoda ini akan memberikan gambaran
tentang peta dan pola serangan siber menggunakan malware
yang lebih lengkap.
DAFTAR PUSTAKA
[1] Suarez-Tangil, G., Palomar, E., Ribagorda, A., & Sanz, I. (2015).
Providing SIEM systems with self-adaptation. Information Fusion, 21,
145-158.
[2] Kim, S., Kim, T., & Im, E. G. (2013, October). Real-time malware
detection framework in intrusion detection systems. In Proceedings of
the 2013 Research in Adaptive and Convergent Systems (pp. 351-352).
ACM.
[3] Montesino, R., Fenz, S., & Baluja, W. (2012). SIEM-based framework
for security controls automation. Information Management & Computer
Security, 20(4), 248-263.
[4] Liao, H. J., Lin, C. H. R., Lin, Y. C., & Tung, K. Y. (2013). Intrusion
detection system: A comprehensive review. Journal of Network and
Computer Applications, 36(1), 16-24.
[5] Alieyan, Kamal, et al. "A survey of botnet detection based on DNS."
Neural Computing and Applications (2015): 1-18.
[6] Hands, N. M., Yang, B., & Hansen, R. A. (2015, September). A Study
on Botnets Utilizing DNS. In Proceedings of the 4th Annual ACM
Conference on Research in Information Technology (pp. 23-28). ACM.
[7] Fachkha, C., Bou-Harb, E., & Debbabi, M. (2014, March).
Fingerprinting internet DNS amplification DDoS activities. In 2014 6th
International Conference on New Technologies, Mobility and Security
(NTMS) (pp. 1-5). IEEE.
[8] Bilge, L., Sen, S., Balzarotti, D., Kirda, E., & Kruegel, C. (2014).
EXPOSURE: a passive DNS analysis service to detect and report
malicious domains. ACM Transactions on Information and System
Security (TISSEC), 16(4), 14.
[9] Edmonds, R. (2012). ISC passive DNS architecture. Internet Systems
Consortium, Inc., Tech. Rep.
[10] Bejtlich, R. (2008). Incident Detection, Response, and Forensics: The
Basics. Retrieved June 29, 2016, from
http://www.csoonline.com/article/2119886/investigations-
forensics/incident-detection--response--and-forensics--the-basics.html
[11] Malware Infection Index 2016 highlights key threats undermining
cybersecurity in Asia Pacific: Microsoft Report. (2016). Retrieved June
29, 2016, from https://news.microsoft.com/apac/2016/06/07/malware-
infection-index-2016-highlights-key-threats-undermining-cybersecurity-
in-asia-pacific-microsoft-report/#sm.000b239jx1b3efj6uej2h8ne58o6q