All Products
Search

This Product

    Cloud Firewall:Ikhtisar kemampuan IPS

    Document Center

    Cloud Firewall:Ikhtisar kemampuan IPS

    Last Updated:Mar 20, 2026

    Sistem Pencegahan Intrusi (IPS) bawaan Cloud Firewall secara aktif mendeteksi dan memblokir lalu lintas berbahaya secara real-time, termasuk serangan berbahaya, eksploitasi, serangan brute-force, cacing, program penambangan, Trojan backdoor, serta serangan denial-of-service (DoS). IPS melindungi sistem informasi perusahaan dan arsitektur jaringan cloud Anda dari kerusakan, mencegah akses tidak sah, kebocoran data, serta gangguan atau downtime pada sistem dan aplikasi bisnis.

    Serangan jaringan umum di cloud

    Di lingkungan cloud, perusahaan sering kali men-deploy sistem bisnis kritis yang dapat diakses dari jaringan publik maupun internal, seperti lingkungan pengembangan, lingkungan produksi, dan mid-end data. Sistem-sistem tersebut menghadapi berbagai ancaman keamanan jaringan. Penyerang dapat melakukan intrusi atau upaya akses tidak sah melalui jaringan, yang berpotensi menyebabkan kebocoran data, kehabisan sumber daya server, atau gangguan layanan.

    Jenis-jenis umum serangan jaringan meliputi:

    • Serangan malware: Penyerang mengelabui pengguna agar mengunduh program berbahaya seperti virus, cacing, atau Trojan untuk menginfeksi server cloud, sehingga memungkinkan mereka mencapai persistensi atau melakukan lateral movement.

    • Pemindaian port dan serangan brute-force: Penyerang menggunakan alat otomatis untuk memindai port terbuka dan mencoba mendapatkan kredensial logon sistem melalui serangan brute-force. Setelah berhasil melakukan intrusi, mereka biasanya men-deploy backdoor, program penambangan, atau ransomware.

    • Serangan kerentanan aplikasi web: Termasuk Injeksi SQL, skrip lintas situs (XSS), pemalsuan permintaan lintas situs (CSRF), dan eksekusi kode jarak jauh (RCE), di mana penyerang mengeksploitasi bug aplikasi untuk mencuri data, merusak konten, atau mendapatkan izin sistem.

    • Serangan kerentanan protokol Lapisan 4: Serangan ini menargetkan kerentanan pada tumpukan protokol lapisan transport, seperti TCP/UDP, yang dapat menyebabkan denial of service atau peningkatan hak istimewa.

    • Serangan database: Akses tidak sah atau salah konfigurasi pada layanan database seperti Redis dan MySQL dapat mengakibatkan pencurian data atau injeksi instruksi berbahaya.

    • Eksekusi perintah dan reverse shell: Penyerang mengeksploitasi kerentanan sistem atau aplikasi untuk mengeksekusi perintah arbitrer dan dapat membuat reverse shell—yaitu koneksi keluar yang melewati perlindungan batas—untuk mencapai kendali jarak jauh.

    Untuk mengatasi risiko ini secara efektif, perusahaan harus menerapkan strategi defense-in-depth yang mencakup mengaktifkan Cloud Firewall, memperkuat konfigurasi keamanan jaringan, dan segera memperbaiki kerentanan guna memastikan keamanan dan ketersediaan sistem bisnis.

    Kemampuan IPS Cloud Firewall

    Cloud Firewall Alibaba Cloud mengintegrasikan Sistem Pencegahan Intrusi (IPS) untuk memberikan perlindungan keamanan yang efisien dan tepat bagi bisnis berbasis cloud Anda. IPS ini memanfaatkan inspeksi lalu lintas real-time, pembenahan virtual, perlindungan ancaman arah keluar, integrasi intelijen ancaman, serta model analisis cerdas.

    Kemampuan inti meliputi:

    • Pemblokiran eksploitasi kerentanan: Kebijakan perlindungan dasar dan patch virtual bawaan—berjumlah lebih dari 5.000—dapat dengan cepat memblokir eksploitasi yang dikenal dan secara signifikan memperpendek jendela serangan.

    • Mekanisme pembenahan virtual: Untuk sistem bisnis yang memiliki kerentanan namun belum dipatch, Cloud Firewall dapat menyediakan kebijakan mitigasi dalam waktu tiga jam. Pendekatan ini tidak memerlukan instalasi patch sistem atau restart layanan, sehingga secara efektif mengurangi risiko dari kerentanan berisiko tinggi dan kerentanan 0-day.

    • Perlindungan terhadap lalu lintas berbahaya arah keluar: Mendeteksi dan memblokir perilaku seperti komunikasi antara host yang telah dikompromikan dengan server Command and Control (C&C) berbahaya, koneksi keluar untuk penambangan, dan eksfiltrasi data abnormal, sehingga mencegah penyebaran ancaman internal dan kebocoran informasi sensitif.

    • Integrasi intelijen ancaman: Berdasarkan sistem kesadaran keamanan global Alibaba Cloud, intelijen ancaman berkepercayaan tinggi disinkronkan secara real-time, mencakup alamat IP berbahaya, nama domain jahat, alamat C&C, sumber pemindaian, dan sumber serangan brute-force untuk memberikan perlindungan dinamis dan tepat.

    • Identifikasi ancaman cerdas: Memanfaatkan model pembelajaran mesin yang dibangun dari volume besar sampel serangan dan data perilaku yang dikumpulkan oleh Alibaba Cloud untuk meningkatkan kemampuan mengidentifikasi dan merespons ancaman yang tidak dikenal serta pola serangan baru.

    Dengan kemampuan-kemampuan ini, IPS Cloud Firewall memberikan perlindungan keamanan proaktif, berkelanjutan, dan otomatis di lapisan jaringan dan aplikasi tanpa mengganggu operasi bisnis.image.png

    Catatan

    Cloud Firewall mendukung TLS inspection untuk mendekripsi dan menginspeksi lalu lintas keluar terenkripsi di batas Internet. Untuk lalu lintas masuk, gunakan Web Application Firewall sebagai perlindungan.

    Kemampuan intelijen ancaman

    Intelijen ancaman Alibaba Cloud dihasilkan melalui fusi data multidimensi dan analisis cerdas untuk memastikan informasi intelijen berkepercayaan tinggi.

    Sumber data

    • Peristiwa serangan di seluruh cloud: Sensor yang ditempatkan di cloud publik dan jaringan mitra menangkap lalu lintas dan sampel serangan secara real-time.

    • Log lalu lintas keamanan anonim dalam jumlah besar: Pola serangan dan koneksi berbahaya diekstraksi dengan menganalisis lalu lintas jaringan yang telah dianonimkan.

    • Intelijen ancaman open source global: Intelijen Sumber Terbuka (OSINT) dari organisasi industri otoritatif dan komunitas keamanan diintegrasikan dan diverifikasi.

    • Berbagi intelijen dengan mitra: Data tepercaya dipertukarkan dengan penyedia layanan, vendor cloud computing, dan organisasi keamanan lainnya.

    Metode produksi dan standar identifikasi

    • Analisis asosiasi multidimensi: Informasi seperti alamat IP, nama domain, URL, nilai hash file, dan teknik serangan dianalisis secara komprehensif untuk membangun graf ancaman lengkap dan mengurangi tingkat positif palsu.

    • Mesin analisis cerdas

      • Model big data dan pembelajaran mesin: Model analisis perilaku dan deteksi anomali digunakan untuk secara otomatis mengidentifikasi pola berbahaya mencurigakan dan keluarga ancaman baru dari data dalam jumlah besar.

      • Sistem aturan pakar: Menggunakan aturan deteksi tepat yang disempurnakan oleh pakar keamanan untuk mencapai pencocokan cepat dan akurat terhadap jenis ancaman yang dikenal.

      • Skor reputasi dinamis: Skor reputasi dinamis dihitung untuk setiap indikator ancaman berdasarkan faktor-faktor seperti riwayat aktivitas, jangkauan distribusi, jenis ancaman, dan tingkat kepercayaan.

    • Tinjauan dan verifikasi manual: Untuk situasi ancaman bernilai tinggi atau kompleks, tim analisis keamanan profesional melakukan tinjauan akhir dan kualifikasi untuk memastikan akurasi dan keandalan intelijen.

    Kategori inti intelijen ancaman

    Intelijen ancaman Alibaba Cloud dibangun berdasarkan elemen kunci interaksi jaringan dan dibagi menjadi tiga kategori: intelijen ancaman IP, intelijen ancaman nama domain, dan intelijen ancaman URL. Intelijen ancaman IP selanjutnya dibagi menjadi intelijen ancaman arah keluar dan arah masuk berdasarkan arah lalu lintas.

    Intelijen ancaman IP arah keluar

    • Obyek pencocokan: Mencocokkan alamat IP tujuan yang diakses secara aktif oleh jaringan internal.

    • Nilai inti: Digunakan untuk mendeteksi apakah host internal telah dikompromikan (misalnya, terinfeksi Trojan atau menjadi bagian jaringan bot) atau terdapat perilaku keluar yang tidak sesuai atau berbahaya (seperti mengakses pool penambang atau server C&C).

    • Jenis spesifik dan deskripsi fitur:

      Jenis

      Fitur pencocokan dan deskripsi ancaman

      Node Tor

      Mencocokkan alamat IP node exit, entry, atau relay jaringan Tor yang dikenal. Akses dari host internal dapat mengindikasikan upaya komunikasi anonim untuk menyembunyikan aktivitas berbahaya seperti pencurian data atau command and control.

      Penambangan

      Mencocokkan alamat IP yang dikomunikasikan oleh Trojan penambangan mata uang kripto atau alamat IP pool penambang publik atau tersembunyi. Mengakses alamat IP semacam ini mengindikasikan bahwa sistem mungkin telah ditanami program penambangan yang mengonsumsi daya komputasi.

      C&C

      Mencocokkan alamat IP server C&C untuk malware seperti jaringan bot, Trojan akses jarak jauh, dan ransomware. Host yang dikompromikan mengakses alamat IP ini untuk menerima instruksi serangan atau mengirim kembali data.

      APT

      Mencocokkan alamat IP infrastruktur yang dimiliki atau digunakan oleh kelompok ancaman persisten canggih (APT). Mengakses alamat IP semacam ini kemungkinan besar berarti sistem telah menjadi sasaran serangan canggih yang terorganisir dan bertarget.

      Reverse shell

      Mencocokkan alamat IP yang sebelumnya teramati menerima koneksi reverse shell. Akses dari host internal dapat mengindikasikan upaya membuat saluran kendali balik arah keluar yang melewati firewall.

      Phishing

      Mencocokkan alamat IP server backend yang digunakan untuk meng-host website phishing. Mengakses alamat IP semacam ini mungkin berarti pengguna telah mengklik tautan phishing dan membuat koneksi dengan server penipuan.

      Sumber unduhan berbahaya

      Mencocokkan alamat IP server yang digunakan untuk mendistribusikan malware seperti virus, Trojan, dan spyware. Mengakses alamat IP semacam ini mungkin mengindikasikan bahwa muatan berbahaya sedang diunduh atau diperbarui.

    Intelijen ancaman IP arah masuk

    • Obyek pencocokan: Mencocokkan alamat IP sumber dari jaringan eksternal yang secara aktif mengakses aset internal.

    • Nilai inti: Digunakan untuk deteksi dan peringatan real-time terhadap serangan eksternal yang menargetkan batas jaringan, server, dan sistem aplikasi.

    • Jenis spesifik dan deskripsi fitur:

      Jenis

      Fitur pencocokan dan deskripsi ancaman

      Pemindaian

      Mencocokkan alamat IP yang menunjukkan perilaku pengintaian seperti pemindaian port, probing layanan, dan pemetaan jaringan. Ini merupakan aktivitas persiapan khas sebelum serangan diluncurkan.

      Serangan brute-force

      Mencocokkan alamat IP yang melancarkan banyak percobaan logon terhadap layanan seperti SSH, RDP, FTP, database, dan portal logon web.

      Exploit

      Mencocokkan alamat IP yang melancarkan serangan dengan mengeksploitasi kerentanan yang dikenal, seperti Apache Log4j2 dan EternalBlue. Fiturnya mencakup pengiriman muatan serangan spesifik atau traffic rantai eksploitasi.

      Injeksi SQL

      Mencocokkan alamat IP yang menyuntikkan kode SQL berbahaya ke parameter aplikasi web dalam upaya memanipulasi database.

      Eksekusi kode

      Mencocokkan alamat IP yang mencoba mengeksekusi perintah atau kode sistem jarak jauh dengan mengeksploitasi kerentanan aplikasi web atau layanan.

      Webshell

      Mencocokkan alamat IP yang mencoba mengunggah file webshell atau berkomunikasi dengan backdoor webshell yang dikenal.

      Serangan XSS

      Mencocokkan alamat IP yang melancarkan serangan skrip lintas situs untuk menyuntikkan skrip berbahaya ke halaman web.

    Intelijen ancaman nama domain

    • Obyek pencocokan: Mencocokkan nama domain yang di-resolve atau diakses oleh host internal.

    • Nilai inti: Penyerang sering menggunakan nama domain dinamis untuk mengganti alamat IP dan menghindari pemblokiran. Intelijen nama domain memberikan deteksi yang lebih persisten dan efektif terhadap akses ke infrastruktur berbahaya yang dibangun berdasarkan nama domain.

    • Jenis spesifik dan deskripsi fitur:

      Jenis

      Fitur pencocokan dan deskripsi ancaman

      Nama domain Dnslog

      Mencocokkan nama domain platform log DNS yang sering digunakan untuk deteksi serangan atau eksfiltrasi data. Akses abnormal yang tidak dilakukan manusia mungkin berarti sistem memiliki kerentanan (seperti blind injection atau RCE) yang telah berhasil dieksploitasi, menyebabkan kebocoran resolusi DNS yang tidak disengaja.

      Proxy dark web

      Mencocokkan nama domain proxy web (seperti jenis Tor2web) yang menyediakan akses ke dark web (seperti jaringan Tor). Mengakses nama domain semacam ini sering kali merupakan titik awal untuk mengakses layanan dark web.

      Nama domain blackhole

      Mencocokkan nama domain yang rekaman DNS-nya telah di-resolve ke "blackhole" (alamat tidak valid) oleh vendor keamanan atau penyedia layanan karena aktivitas berbahaya atau penyalahgunaan. Upaya akses mengindikasikan bahwa mungkin terdapat malware atau kesalahan konfigurasi di jaringan internal.

      Penambangan

      Mencocokkan nama domain pool penambang atau server pembaruan yang dihubungi oleh skrip atau Trojan penambangan.

      C&C

      Mencocokkan nama domain yang terkait dengan keluarga malware yang menggunakan nama domain alih-alih alamat IP statis untuk server C&C mereka.

      APT

      Mencocokkan nama domain eksklusif yang didaftarkan dan digunakan oleh kelompok APT untuk aktivitas jangka panjang.

      Phishing

      Mencocokkan nama domain website phishing yang menyamar sebagai organisasi sah, seperti bank atau platform sosial.

      Sumber unduhan berbahaya

      Mencocokkan nama domain yang digunakan untuk mendistribusikan malware, sering kali disembunyikan oleh layanan pemendek URL atau CDN.

    Intelijen ancaman URL

    • Obyek pencocokan: Mencocokkan alamat halaman web lengkap (URL) yang diakses oleh host internal.

    • Nilai inti: Memberikan identifikasi tepat terhadap target akses dan mengidentifikasi halaman berbahaya spesifik yang di-host di layanan cloud sah atau alamat IP bersama.

    • Jenis spesifik dan deskripsi fitur:

      Jenis

      Fitur pencocokan dan deskripsi ancaman

      Penambangan

      Mencocokkan URL halaman spesifik yang memiliki skrip penambangan web tertanam (seperti skrip mirip Coinhive) atau halaman manajemen pool penambang.

      C&C

      Mencocokkan path URL spesifik yang berfungsi sebagai panel kendali atau antarmuka pertukaran data untuk Trojan dan jaringan bot.

      APT

      Mencocokkan URL spesifik yang digunakan dalam aktivitas serangan APT, seperti tautan unduh dokumen senjata dan halaman eksploitasi.

      Phishing

      Mencocokkan URL halaman phishing spesifik yang sangat realistis yang digunakan untuk mencuri kredensial akun dan informasi pembayaran.

      Sumber unduhan berbahaya

      Mencocokkan tautan unduh yang langsung mengarah ke file executable berbahaya (.exe, .dll), skrip, atau dokumen.

    Cara kerja perlindungan IPS Cloud Firewall

    Cloud Firewall ditempatkan secara inline pada tautan jaringan cloud, mencakup lalu lintas Internet masuk dan keluar, batas NAT, lalu lintas cross-VPC, serta koneksi antara cloud dan pusat data lokal. Gambar berikut menunjukkan arsitektur jaringan.

    image

    Seluruh lalu lintas jaringan yang melewati Cloud Firewall difilter oleh mesin IPS dan mesin Access Control List (ACL) sebelum diteruskan.

    Cloud Firewall menggunakan mesin Pemeriksaan Paket Mendalam (DPI) untuk mendeteksi dan mengidentifikasi lalu lintas jaringan. Mesin DPI dapat mengenali protokol dalam lalu lintas dan mengurai paket-paket tersebut. Untuk menangani serangan IPS dan intelijen ancaman, Cloud Firewall melakukan penyaringan aliran dan paket. Jika lalu lintas cocok dengan mode mesin ancaman (Monitor Mode, Block Mode - Loose, Block Mode - Medium, atau Block Mode - Strict) dan aksi aturan IPS, paket serangan akan di-drop atau diizinkan, sehingga memberikan peringatan dan pemblokiran serangan secara real-time.

    image.png

    Jenis serangan yang didukung Cloud Firewall

    Catatan

    Untuk informasi lebih lanjut tentang cara mengonfigurasi mode mesin ancaman IPS, lihat Konfigurasi IPS.

    Jenis Serangan

    Dampak Serangan

    Rekomendasi Perlindungan

    Koneksi abnormal

    Penyerang dapat menggunakan pemindai untuk mengidentifikasi port terbuka pada server. Jika server mengekspos port database yang tidak sah atau layanan lain dengan kredensial lemah, penyerang dapat menyebabkan kehilangan atau kebocoran data. Misalnya, akses tidak sah ke Redis merupakan risiko umum. Jika database Redis tidak diamankan dengan benar, penyerang dapat mengakses data sensitif atau merusak database.

    Jika bisnis Anda menjalankan banyak aplikasi non-web—seperti MySQL atau SQL Server—dan mengekspos port selain 80, 443, dan 8080, fokuslah pada apakah aturan untuk serangan terhadap aplikasi non-web—seperti Shellcode dan eksekusi perintah sensitif—terpicu.

    Jika bisnis Anda tidak menjalankan aplikasi non-web yang disebutkan, aktifkan mode Block Mode - Strict untuk mesin ancaman IPS.

    Eksekusi perintah

    Penyerang yang mengeksekusi perintah berbahaya dapat menguasai mesin, mencuri data sensitif, atau menyerang sistem lain. Misalnya, mengeksploitasi kerentanan Log4j memungkinkan eksekusi perintah jarak jauh, yang menimbulkan ancaman keamanan serius bagi sistem.

    Mode Loose mengurangi sebagian besar serangan eksekusi perintah jarak jauh umum dan tidak umum pada aplikasi web serta memenuhi kebutuhan perlindungan harian. Namun, karena serangan eksekusi perintah jarak jauh termasuk yang paling berbahaya, pantau hit aturan di berbagai komponen dalam mode Medium.

    Jika bisnis Anda kompleks dan mengekspos banyak aplikasi non-web, aktifkan mode Block Mode - Strict untuk mesin ancaman IPS.

    Pemindaian

    Pemindaian jaringan dapat membebani mesin atau perangkat jaringan, menyebabkan gangguan atau ketidakstabilan layanan, bahkan crash sistem atau ketidaktersediaan.

    Tentukan apakah named pipe SMB diaktifkan untuk bisnis Anda. Protokol ini mendukung fungsi seperti berbagi file. Jika bisnis Anda tidak memerlukan named pipe SMB, nonaktifkan fitur ini untuk mengurangi potensi risiko keamanan.

    Jika Anda harus menggunakan named pipe SMB, aktifkan mode Block Mode - Medium atau Block Mode - Strict untuk mesin ancaman IPS.

    Kebocoran informasi

    Kebocoran informasi dapat melanggar privasi pribadi. Informasi identifikasi pribadi sensitif, detail kontak, dan informasi keuangan dapat dieksploitasi secara berbahaya.

    Karena definisi kebocoran informasi berbeda-beda antar bisnis, fokuslah pada hit aturan dalam mode Block Mode - Medium dan Block Mode - Strict.

    Pertama, aktifkan Monitor Mode dan pantau positif palsu selama satu siklus bisnis—seperti 24 jam atau satu minggu. Jika tidak ada lalu lintas sah yang salah ditandai sebagai berbahaya dalam Monitor Mode, aktifkan mode Block Mode - Medium atau Block Mode - Strict untuk mesin ancaman IPS.

    Serangan DoS

    Serangan denial-of-service (DoS) dapat membebani server dan perangkat jaringan, menyebabkan gangguan atau ketidakstabilan layanan, bahkan crash sistem atau ketidaktersediaan.

    Jenis serangan ini memiliki dampak langsung yang relatif rendah. Pantau bisnis Anda terhadap gangguan layanan atau penolakan layanan yang tidak dapat dijelaskan. Jika tidak terjadi, Anda dapat mempertahankan mode Block Mode - Loose.

    Jika bisnis Anda memiliki persyaratan Service-Level Agreement (SLA) yang tinggi, pilih mode Block Mode - Medium atau Block Mode - Strict untuk mesin ancaman IPS.

    Serangan overflow

    Serangan overflow dapat membebani server dan perangkat jaringan, menyebabkan gangguan atau ketidakstabilan layanan, bahkan crash sistem atau ketidaktersediaan.

    Serangan overflow terutama disebabkan oleh validasi input yang tidak memadai pada binary, yang menyebabkan error out-of-bounds memori saat passing parameter dan memungkinkan serangan lebih lanjut—seperti eksekusi perintah atau kebocoran informasi. Saat melindungi dari serangan overflow, fokuslah pada hit aturan yang terkait dengan serangan aplikasi non-web.

    Jika bisnis Anda terutama berbasis web, Anda dapat memilih mode Block Mode - Loose. Jika bisnis Anda mencakup banyak aplikasi non-web, pilih mode Block Mode - Medium atau Block Mode - Strict untuk mesin ancaman IPS.

    Serangan web

    Serangan web merupakan ancaman keamanan serius. Penyerang dapat menguasai mesin target, mencuri data sensitif, dan menyebabkan gangguan bisnis.

    Selain eksekusi perintah jarak jauh, serangan aplikasi web umum lainnya meliputi Injeksi SQL, skrip lintas situs (XSS), dan unggah file arbitrer—yang tercantum dalam OWASP Top 10. Uji aturan secara ketat selama fase rilis canary dan resmi. Untuk operasi harian, aktifkan mode Block Mode - Medium atau Block Mode - Strict untuk mesin ancaman IPS.

    Trojan backdoor

    Trojan backdoor adalah malware berbahaya yang memberikan akses persisten ke mesin korban. Bahkan setelah memperbaiki kerentanan sistem, penyerang mungkin tetap memiliki akses. Melalui Trojan backdoor, penyerang dapat memantau sistem yang terinfeksi dalam jangka panjang dan mencuri data sensitif. Keberadaannya juga dapat menyebabkan tanggung jawab hukum, tuntutan hukum, denda, dan kerusakan reputasi.

    Komunikasi Trojan sering menggunakan teknik pertahanan adversarial—seperti enkripsi, obfuscation, dan encoding. Dalam mode Strict, deteksi dan pemblokiran bergantung pada fitur yang lebih lemah, sehingga memerlukan perhatian khusus. Untuk operasi harian, kami merekomendasikan mengaktifkan mode Medium mesin ancaman IPS.

    Komunikasi Trojan backdoor sering menggunakan teknik pertahanan adversarial—seperti enkripsi, obfuscation, dan encoding. Dalam mode Strict, pantau secara ketat deteksi dan pemblokiran berdasarkan fitur lemah.

    Untuk operasi harian, aktifkan mode Block Mode - Medium atau Block Mode - Strict untuk mesin ancaman IPS.

    Virus dan worm

    Virus atau cacing adalah malware persisten yang memberikan akses berkelanjutan ke mesin korban. Bahkan setelah memperbaiki kerentanan sistem, penyerang mungkin tetap memiliki akses. Melalui virus atau cacing, penyerang dapat memantau sistem yang terinfeksi dalam jangka panjang dan mencuri datanya. Keberadaannya juga dapat menyebabkan tanggung jawab hukum, tuntutan hukum, denda, dan kerusakan reputasi.

    Peristiwa ini biasanya mengindikasikan kompromi host. Jika aturan terpicu dalam Monitor Mode, lakukan analisis jejak untuk mengidentifikasi sumber serangan dan ambil tindakan balasan yang sesuai. Jika tidak ada aturan yang terpicu, host kemungkinan beroperasi normal tanpa risiko. Aktifkan mode Block Mode - Medium untuk mesin ancaman IPS.

    Perilaku penambangan

    Penambangan adalah perilaku berbahaya yang mengonsumsi bandwidth dan daya komputasi mesin, menyebabkan sistem tersendat dan degradasi kinerja, sehingga mengakibatkan waktu respons aplikasi yang lambat dan berdampak negatif pada produktivitas serta pengalaman pengguna.

    Peristiwa ini biasanya mengindikasikan kompromi host. Jika aturan terpicu dalam Monitor Mode, lakukan analisis jejak untuk mengidentifikasi sumber serangan dan ambil tindakan balasan yang sesuai. Jika tidak ada aturan yang terpicu, host kemungkinan beroperasi normal tanpa risiko. Aktifkan mode Block Mode - Medium untuk mesin ancaman IPS.

    Reverse shell

    Reverse shell adalah tool serangan berbahaya yang memberikan akses persisten ke mesin korban. Bahkan setelah memperbaiki kerentanan sistem, penyerang mungkin tetap memiliki akses. Melalui reverse shell, penyerang dapat memantau sistem yang terinfeksi dalam jangka panjang dan mencuri datanya. Keberadaannya juga dapat menyebabkan tanggung jawab hukum, tuntutan hukum, denda, dan kerusakan reputasi.

    Peristiwa ini biasanya mengindikasikan kompromi host. Jika aturan terpicu dalam Monitor Mode, lakukan analisis jejak untuk mengidentifikasi sumber serangan dan ambil tindakan balasan yang sesuai. Jika tidak ada aturan yang terpicu, host kemungkinan beroperasi normal tanpa risiko. Aktifkan mode Block Mode - Medium untuk mesin ancaman IPS.

    Lainnya

    Mencakup koneksi keluar ilegal dan serangan terkait, serta serangan yang tidak masuk dalam kategori lain.

    • Jika bisnis Anda hampir tidak memiliki aktivitas keluar, Anda dapat memilih mode Block Mode - Loose.

    • Jika banyak browser dan aplikasi diinstal pada host dan komunikasi keluar tidak terkendali, penyerang dapat lebih mudah mengeksploitasi unduhan keluar atau komunikasi C2—karena serangan dari luar ke dalam relatif sulit. Jika Anda sangat khawatir terhadap serangan semacam ini, aktifkan mode Block Mode - Strict untuk mesin ancaman IPS.

    Mode perlindungan IPS

    Mesin ancaman beroperasi dalam dua mode: Monitor Mode dan Block Mode. Aksi yang diambil saat aturan dalam kebijakan perlindungan dasar atau pembenahan virtual cocok tergantung pada mode mesin ancaman yang dikonfigurasi. Misalnya, jika Anda mengonfigurasi Block Mode - Strict, sebagian besar aturan perlindungan dasar dan pembenahan virtual yang cocok akan memblokir lalu lintas. Mode mesin ancaman dijelaskan di bawah ini.

    Kategori

    Skenario

    Fitur

    Contoh

    Monitor Mode

    Tidak ada perlindungan.

    Hanya mencatat dan menghasilkan peringatan untuk perilaku serangan. Mode Block memblokir perilaku serangan.

    Apache Tomcat chunk request remote DoS (CVE-2014-0075), Atlassian Jira SSRF attack (CVE-2019-16097), komunikasi software backdoor Godlua.

    Block Mode

    Mode Longgar

    Memberikan perlindungan kasar. Mencakup aturan dengan tingkat positif palsu rendah dan cocok untuk skenario bisnis yang sensitif terhadap positif palsu.

    Kata kunci eksploitasi dan parameter kunci yang jelas, pesan dan perilaku serangan yang jelas, serta risiko positif palsu minimal.

    Eksekusi kode jarak jauh Struts 2 (CVE-2018-11776), akses tidak sah Spark REST API (CVE-2018-11770), eksekusi perintah jarak jauh Jenkins (CVE-2018-1000861).

    Mode Medium

    Memberikan granularitas perlindungan antara Loose dan Strict. Cocok untuk operasi dan pemeliharaan rutin dengan aturan standar.

    Mencakup setiap jenis serangan dan menerapkan secara komprehensif berbagai metode analisis eksploitasi. Aturan standar ini hampir tidak memiliki risiko positif palsu.

    Eksekusi kode jarak jauh Oracle WebLogic Server (CVE-2020-2551), eksekusi kode jarak jauh Microsoft Windows RDP Client (CVE-2020-1374), serangan DoS SMBv1 (CVE-2020-1301).

    Mode Strict

    Memberikan perlindungan dengan granularitas paling halus. Mencakup hampir semua aturan. Dibandingkan dengan kumpulan aturan Medium, mode ini mungkin memiliki tingkat positif palsu yang lebih tinggi dan cocok untuk skenario yang memerlukan tingkat negatif palsu rendah untuk perlindungan keamanan.

    Kerentanan berisiko tinggi seperti stack overflow dan buffer overflow. Sebagian besar merupakan kerentanan Lapisan 4 yang memerlukan konfirmasi melalui analisis protokol, pencocokan kata kunci, lompatan multi-langkah, dan offset kata kunci.

    Buffer overflow Squid Proxy HTTP Request Processing (CVE-2020-8450), Nginx 0-Length Headers Leak DoS (CVE-2019-9516), injeksi perintah Oracle WebLogic rda_tfa_ref_date (CVE-2018-2615).