أفضل 7 أنظمة لمنع الاختراق (IPS) لعام 2021

الكل يريد إبعاد المتسللين عن منازلهم. وبالمثل - ولأسباب مماثلة ، يسعى مسؤولو الشبكة إلى إبعاد المتسللين عن الشبكات التي يديرونها. من أهم الأصول للعديد من مؤسسات اليوم هي بياناتها. من المهم جدًا أن يبذل العديد من الأفراد ذوي النوايا السيئة جهودًا كبيرة لسرقة تلك البيانات. يفعلون ذلك باستخدام مجموعة واسعة من التقنيات للحصول على وصول غير مصرح به إلى الشبكات والأنظمة. يبدو أن عدد هذه الهجمات قد زاد بشكل كبير مؤخرًا ، وكرد فعل ، يتم وضع أنظمة لمنعها. تسمى هذه الأنظمة أنظمة منع التطفل أو IPS. اليوم ، نلقي نظرة على أفضل أنظمة منع التطفل التي يمكن أن نجدها.

سنبدأ بمحاولة تحديد ماهية منع التطفل بشكل أفضل. هذا ، بالطبع ، يستلزم أن نحدد أيضًا ما هو التطفل. سنستكشف بعد ذلك طرق الكشف المختلفة المستخدمة عادةً وإجراءات العلاج التي يتم اتخاذها عند الاكتشاف. بعد ذلك ، سنتحدث بإيجاز عن منع التطفل السلبي. إنها إجراءات ثابتة يمكن وضعها والتي يمكن أن تقلل بشكل كبير من عدد محاولات التسلل. قد تندهش عندما تكتشف أن بعض هؤلاء لا علاقة لهم بأجهزة الكمبيوتر. عندها فقط ، ومع وجودنا جميعًا في نفس الصفحة ، سنتمكن أخيرًا من مراجعة بعض أفضل أنظمة منع التطفل التي يمكن أن نجدها.

منع التطفل - ما هو كل هذا؟

قبل سنوات ، كانت الفيروسات إلى حد كبير هي الشغل الشاغل لمسؤولي النظام. وصلت الفيروسات إلى نقطة كانت شائعة جدًا لدرجة أن الصناعة استجابت بتطوير أدوات الحماية من الفيروسات. اليوم ، لا يفكر أي مستخدم جاد في عقله الصحيح في تشغيل جهاز كمبيوتر بدون حماية من الفيروسات. بينما لم نعد نسمع الكثير عن الفيروسات ، فإن التطفل - أو الوصول غير المصرح به إلى بياناتك من قبل المستخدمين الضارين - هو التهديد الجديد. نظرًا لأن البيانات غالبًا ما تكون أهم أصول المؤسسة ، فقد أصبحت شبكات الشركات هدفًا للمتسللين ذوي النوايا السيئة الذين سيبذلون جهودًا كبيرة للوصول إلى البيانات. تمامًا مثلما كان برنامج الحماية من الفيروسات هو الحل لانتشار الفيروسات ، فإن أنظمة منع التطفل هي الحل لهجمات المتطفلين.

تقوم أنظمة منع التطفل بشكل أساسي بأمرين. أولاً ، يكتشفون محاولات التسلل وعندما يكتشفون أي أنشطة مشبوهة ، يستخدمون طرقًا مختلفة لإيقافها أو منعها. هناك طريقتان مختلفتان يمكن من خلالهما اكتشاف محاولات التسلل. يعمل الاكتشاف القائم على التوقيع من خلال تحليل حركة مرور الشبكة والبيانات والبحث عن أنماط محددة مرتبطة بمحاولات التطفل. هذا مشابه لأنظمة الحماية من الفيروسات التقليدية التي تعتمد على تعريفات الفيروسات. يعتمد كشف التسلل المستند إلى التوقيع على توقيعات أو أنماط الاقتحام. العيب الرئيسي في طريقة الكشف هذه هو أنها تحتاج إلى التوقيعات الصحيحة ليتم تحميلها في البرنامج. وعند استخدام أسلوب هجوم جديد ، عادة ما يكون هناك تأخير قبل تحديث توقيعات الهجوم. بعض البائعين سريعون جدًا في تقديم توقيعات هجوم محدثة بينما يكون البعض الآخر أبطأ بكثير. عدد المرات ومدى سرعة تحديث التوقيعات هو عامل مهم يجب مراعاته عند اختيار البائع.

يوفر الاكتشاف المستند إلى الشذوذ حماية أفضل ضد هجمات اليوم الصفري ، تلك التي تحدث قبل أن تتاح الفرصة لتحديث تواقيع الكشف. تبحث العملية عن الحالات الشاذة بدلاً من محاولة التعرف على أنماط التطفل المعروفة. على سبيل المثال ، قد يتم تشغيله إذا حاول شخص ما الوصول إلى نظام باستخدام كلمة مرور خاطئة عدة مرات متتالية ، وهي علامة شائعة على هجوم القوة الغاشمة. هذا مجرد مثال وهناك المئات من الأنشطة المشبوهة المختلفة التي يمكن أن تؤدي إلى تشغيل هذه الأنظمة. كلتا طريقتي الكشف لها مزاياها وعيوبها. أفضل الأدوات هي تلك التي تستخدم مزيجًا من تحليل التوقيع والسلوك للحصول على أفضل حماية.

الكشف عن محاولة التسلل هو أول جزء من منعها. بمجرد اكتشافها ، تعمل أنظمة منع التطفل بنشاط على إيقاف الأنشطة المكتشفة. يمكن اتخاذ العديد من الإجراءات العلاجية المختلفة بواسطة هذه الأنظمة. يمكنهم ، على سبيل المثال ، تعليق أو إلغاء تنشيط حسابات المستخدمين. إجراء نموذجي آخر هو حظر عنوان IP المصدر للهجوم أو تعديل قواعد جدار الحماية. إذا كان النشاط الضار ناتجًا عن عملية معينة ، فقد يقتل نظام الوقاية هذه العملية. يعد بدء بعض عمليات الحماية من ردود الفعل الشائعة الأخرى ، وفي أسوأ الحالات ، يمكن إيقاف تشغيل الأنظمة بأكملها للحد من الأضرار المحتملة. مهمة أخرى مهمة لأنظمة منع التطفل هي تنبيه المسؤولين وتسجيل الحدث والإبلاغ عن الأنشطة المشبوهة.

تدابير منع التطفل السلبي

بينما يمكن أن تحميك أنظمة منع التطفل من أنواع عديدة من الهجمات ، فلا شيء يضاهي إجراءات منع التسلل السلبي الجيدة القديمة الطراز. على سبيل المثال ، يعد فرض كلمات مرور قوية طريقة ممتازة للحماية من العديد من عمليات التطفل. إجراء حماية سهل آخر هو تغيير كلمات المرور الافتراضية للمعدات. على الرغم من أنه أقل شيوعًا في شبكات الشركات - على الرغم من أنه لم يسمع به من قبل - فقد رأيت في كثير من الأحيان بوابات الإنترنت التي لا تزال تحتوي على كلمة مرور المسؤول الافتراضية الخاصة بها. أثناء الحديث عن كلمات المرور ، يعد تقادم كلمة المرور خطوة ملموسة أخرى يمكن وضعها لتقليل محاولات التطفل. أي كلمة مرور ، حتى أفضلها ، يمكن اختراقها في النهاية ، مع إعطاء الوقت الكافي. يضمن تقادم كلمات المرور تغيير كلمات المرور قبل اختراقها.

كانت هناك أمثلة فقط لما يمكن فعله لمنع التدخلات بشكل سلبي. يمكننا كتابة منشور كامل حول التدابير السلبية التي يمكن وضعها ولكن هذا ليس هدفنا اليوم. هدفنا بدلاً من ذلك هو تقديم بعض من أفضل أنظمة منع التطفل النشطة.

أفضل أنظمة منع التطفل

تحتوي قائمتنا على مزيج من الأدوات المختلفة التي يمكن استخدامها للحماية من محاولات التسلل. معظم الأدوات المضمنة هي أنظمة حقيقية لمنع التطفل ، لكننا نقوم أيضًا بتضمين الأدوات التي ، رغم عدم تسويقها على هذا النحو ، يمكن استخدامها لمنع عمليات التطفل. دخولنا الأول هو أحد الأمثلة. تذكر أنه ، أكثر من أي شيء آخر ، يجب أن يسترشد اختيارك لأي أداة تستخدمها بماهية احتياجاتك الخاصة. لذا ، دعنا نرى ما يجب أن تقدمه كل أداة من أفضل أدواتنا.

1. SolarWinds Log & Event Manager (إصدار تجريبي مجاني)

SolarWinds هو اسم معروف في إدارة الشبكة. تتمتع بسمعة طيبة في صنع بعض من أفضل أدوات إدارة الشبكة والنظام. منتجها الرئيسي ، مراقب أداء الشبكة يسجل باستمرار بين أفضل أدوات مراقبة النطاق الترددي للشبكة المتاحة. تشتهر SolarWinds أيضًا بالعديد من الأدوات المجانية ، كل منها يلبي حاجة معينة لمسؤولي الشبكة. يعد خادم Kiwi Syslog أو خادم SolarWinds TFTP مثالين ممتازين لهذه الأدوات المجانية.

لا تدع اسم SolarWinds Log & Event Manager يخدعك. هناك ما هو أكثر بكثير مما تراه العين. تؤهله بعض الميزات المتقدمة لهذا المنتج كنظام للكشف عن التسلل والوقاية منه بينما وضعه البعض الآخر في نطاق معلومات الأمان وإدارة الأحداث (SIEM). الأداة ، على سبيل المثال ، تتميز بربط الحدث في الوقت الحقيقي والعلاج في الوقت الحقيقي.

• تجربة مجانية: SolarWinds Log & Event Manager
• رابط التنزيل الرسمي: https://www.solarwinds.com/log-event-manager-software/registration

و سجل والأحداث مدير سولارويندز تفتخر الكشف الفوري عن أي نشاط مشبوه (وهي وظيفة كشف التسلل) والاستجابات الآلي (وهي وظيفة منع الاختراق). يمكن أيضًا استخدام هذه الأداة لإجراء التحقيق في الأحداث الأمنية والطب الشرعي. يمكن استخدامه لأغراض التخفيف والامتثال. تتميز الأداة بتقارير مثبتة في المراجعة والتي يمكن استخدامها أيضًا لإثبات الامتثال لأطر تنظيمية مختلفة مثل HIPAA و PCI-DSS و SOX. تحتوي الأداة أيضًا على مراقبة سلامة الملفات ومراقبة جهاز USB. جميع الميزات المتقدمة للبرنامج تجعله نظامًا أساسيًا أمنيًا متكاملًا أكثر من مجرد نظام إدارة السجل والأحداث الذي قد يقودك اسمه إلى تصديقه.

تعمل ميزات منع التطفل في SolarWinds Log & Event Manager من خلال تنفيذ إجراءات تسمى الردود النشطة كلما تم اكتشاف تهديدات. يمكن ربط الردود المختلفة بتنبيهات محددة. على سبيل المثال ، يمكن للنظام الكتابة إلى جداول جدار الحماية لمنع وصول الشبكة إلى عنوان IP المصدر الذي تم تحديده على أنه يؤدي أنشطة مشبوهة. يمكن للأداة أيضًا تعليق حسابات المستخدمين وإيقاف أو بدء العمليات وإغلاق الأنظمة. ستتذكر كيف أن هذه هي بالضبط إجراءات الإصلاح التي حددناها من قبل.

يختلف تسعير SolarWinds Log & Event Manager بناءً على عدد العقد المراقبة. تبدأ الأسعار من 4585 دولارًا لما يصل إلى 30 عقدة خاضعة للمراقبة ويمكن شراء التراخيص لما يصل إلى 2500 عقدة ، مما يجعل المنتج قابلاً للتطوير بدرجة كبيرة. إذا كنت ترغب في إجراء اختبار تجريبي للمنتج ومعرفة ما إذا كان ذلك مناسبًا لك ، يتوفر إصدار تجريبي مجاني كامل الميزات لمدة 30 يومًا .

2. سبلنك

من المحتمل أن يكون Splunk أحد أكثر أنظمة منع التطفل شيوعًا. وهي متوفرة في العديد من الإصدارات المختلفة التي تحتوي على مجموعات ميزات مختلفة. Splunk Enterprise Security - أو Splunk ES ، كما يطلق عليه غالبًا - هو ما تحتاجه لمنع التطفل الحقيقي. يراقب البرنامج بيانات نظامك في الوقت الفعلي ، ويبحث عن نقاط الضعف وعلامات النشاط غير الطبيعي.

تعتبر الاستجابة الأمنية إحدى الدعائم القوية للمنتج وما يجعلها نظام منع التطفل. يستخدم ما يسميه البائع إطار الاستجابة التكيفية (ARF). إنه يتكامل مع معدات من أكثر من 55 بائعي أمن ويمكنه أداء استجابة آلية ، وتسريع المهام اليدوية. هذا المزيج إذا كان العلاج الآلي والتدخل اليدوي يمكن أن يمنحك أفضل الفرص لاكتساب اليد العليا بسرعة. تحتوي الأداة على واجهة مستخدم بسيطة ومرتبة ، مما يجعلها حلاً ناجحًا. تشمل ميزات الحماية الأخرى المثيرة للاهتمام وظيفة "Notables" التي تعرض تنبيهات قابلة للتخصيص بواسطة المستخدم و "Asset Investigator" للإبلاغ عن الأنشطة الضارة ومنع المزيد من المشاكل.

معلومات التسعير الخاصة بـ Splunk Enterprise Security ليست متاحة بسهولة. ستحتاج إلى الاتصال بمبيعات Splunk للحصول على عرض أسعار مفصل. هذا منتج رائع تتوفر له نسخة تجريبية مجانية.

3. ساجان

ساجان هو في الأساس نظام كشف التسلل المجاني. ومع ذلك ، فإن الأداة التي تحتوي على إمكانات تنفيذ البرنامج النصي والتي يمكن أن تضعها في فئة أنظمة منع التطفل. يكتشف ساجان محاولات التسلل من خلال مراقبة ملفات السجل. يمكنك أيضًا الجمع بين Sagan و Snort والذي يمكنه تغذية مخرجاته إلى Sagan مما يمنح الأداة بعض إمكانات اكتشاف التسلل المستند إلى الشبكة. في الواقع ، يمكن لـ Sagan تلقي مدخلات من العديد من الأدوات الأخرى مثل Bro أو Suricata ، حيث تجمع بين إمكانات العديد من الأدوات للحصول على أفضل حماية ممكنة.

ومع ذلك ، هناك ميزة في قدرات تنفيذ البرنامج النصي لـ Sagan . عليك أن تكتب نصوص الإصلاح. على الرغم من أنه قد لا يكون من الأفضل استخدام هذه الأداة كوسيلة للدفاع الوحيد ضد التطفل ، إلا أنها قد تكون مكونًا رئيسيًا لنظام يتضمن العديد من الأدوات من خلال ربط الأحداث من مصادر مختلفة ، مما يمنحك أفضل المنتجات العديدة.

بينما لا يمكن تثبيت Sagan إلا على Linux و Unix و Mac OS ، إلا أنه يمكنه الاتصال بأنظمة Windows للحصول على الأحداث الخاصة بهم. تشمل الميزات الأخرى المثيرة للاهتمام لـ Sagan تتبع موقع عنوان IP والمعالجة الموزعة.

4. OSSEC

Open Source Security ، أو OSSEC ، هو أحد أنظمة الكشف عن التسلل الرائدة والمفتوحة المصدر القائمة على المضيف. نحن ندرجه في قائمتنا لسببين. كانت شعبيتها كبيرة لدرجة أننا اضطررنا إلى تضمينها ، لا سيما بالنظر إلى أن الأداة تتيح لك تحديد الإجراءات التي يتم تنفيذها تلقائيًا كلما تم تشغيل تنبيهات معينة ، مما يمنحها بعض إمكانيات منع التطفل. OSSEC مملوكة لشركة Trend Micro ، أحد الأسماء الرائدة في مجال أمن تكنولوجيا المعلومات وصانع أحد أفضل مجموعات الحماية من الفيروسات.

عند التثبيت على أنظمة تشغيل شبيهة بـ Unix ، يركز محرك اكتشاف البرنامج بشكل أساسي على ملفات السجل والتكوين. يقوم بإنشاء مجاميع اختبارية للملفات المهمة والتحقق منها بشكل دوري ، وتنبيهك أو إطلاق إجراء علاجي كلما حدث شيء غريب. سيقوم أيضًا بمراقبة أي محاولة غير طبيعية للوصول إلى الجذر وتنبيهها. في نظام Windows ، يراقب النظام أيضًا تعديلات التسجيل غير المصرح بها حيث يمكن أن تكون علامة منبهة على نشاط ضار. سيؤدي أي اكتشاف إلى إطلاق تنبيه سيتم عرضه على وحدة التحكم المركزية بينما سيتم أيضًا إرسال الإشعارات عبر البريد الإلكتروني.

OSSEC هو نظام حماية ضد التطفل يعتمد على المضيف. على هذا النحو ، يجب تثبيته على كل جهاز كمبيوتر تريد حمايته. ومع ذلك ، تقوم وحدة التحكم المركزية بدمج المعلومات من كل كمبيوتر محمي لتسهيل الإدارة. و OSSEC حدة يعمل فقط على أنظمة التشغيل يونكس مثل ولكن وكيل متاح لحماية المضيفين ويندوز. بدلاً من ذلك ، يمكن استخدام أدوات أخرى مثل Kibana أو Graylog كواجهة أمامية للأداة.

5. افتح WIPS-NG

لم نكن متأكدين مما إذا كان ينبغي لنا تضمين Open WIPS NG في قائمتنا. المزيد عنها في لحظة. لقد صنعته بشكل أساسي لأنه المنتج الوحيد الذي يستهدف الشبكات اللاسلكية على وجه التحديد. افتح WIPS NG–حيث يرمز WIPS إلى نظام منع التطفل اللاسلكي - هو أداة مفتوحة المصدر مكونة من ثلاثة مكونات رئيسية. أولا ، هناك جهاز الاستشعار. هذه عملية غبية تلتقط ببساطة حركة البيانات اللاسلكية وترسلها إلى الخادم لتحليلها. كما خمنت على الأرجح ، فإن المكون التالي هو الخادم. يقوم بتجميع البيانات من جميع أجهزة الاستشعار ، ويحلل البيانات المجمعة ويستجيب للهجمات. هذا المكون هو قلب النظام. أخيرًا وليس آخرًا ، مكون الواجهة وهو واجهة المستخدم الرسومية التي تستخدمها لإدارة الخادم وعرض معلومات حول التهديدات الموجودة على شبكتك اللاسلكية.

السبب الرئيسي وراء ترددنا قبل تضمين Open WIPS NG في قائمتنا هو أنه ، على الرغم من كونه جيدً�� ، لا يحب الجميع مطور المنتج. إنه من نفس مطور Aircrack NG وهو حزمة لاسلكية متلصصة وكلمة مرور تكسير وهي جزء من مجموعة أدوات كل متسلل WiFi. هذا يفتح النقاش حول أخلاقيات المطور ويجعل بعض المستخدمين حذرين. من ناحية أخرى ، يمكن اعتبار خلفية المطور دليلاً على معرفته العميقة بأمن Wi-Fi.

6. Fail2Ban

Fail2Ban هو نظام اكتشاف اختراق مضيف مجاني شائع نسبيًا مع ميزات منع التطفل. يعمل البرنامج من خلال مراقبة ملفات سجل النظام بحثًا عن الأحداث المشبوهة مثل محاولات تسجيل الدخول الفاشلة أو محاولات الاستغلال. عندما يكتشف النظام شيئًا مريبًا ، فإنه يتفاعل عن طريق التحديث التلقائي لقواعد جدار الحماية المحلي لحظر عنوان IP المصدر للسلوك الضار. هذا ، بالطبع ، يعني أن بعض عمليات جدار الحماية تعمل على الجهاز المحلي. هذا هو العيب الأساسي للأداة. ومع ذلك ، يمكن تكوين أي إجراء تعسفي آخر - مثل تنفيذ بعض البرامج النصية العلاجية أو إرسال إشعارات البريد الإلكتروني -.

يتم تزويد Fail2Ban بالعديد من مشغلات الكشف المدمجة مسبقًا والتي تسمى المرشحات ، والتي تغطي بعض الخدمات الأكثر شيوعًا مثل Apache و Courrier و SSH و FTP و Postfix وغيرها الكثير. كما قلنا ، يتم إنجاز إجراءات الإصلاح من خلال تعديل جداول جدار الحماية الخاص بالمضيف. يدعم Fail2Ban Netfilter أو IPtables أو جدول hosts.deny الخاص بـ TCP Wrapper. يمكن ربط كل مرشح بإجراء واحد أو أكثر. يُشار إلى الفلاتر والإجراءات معًا باسم السجن.

7. مراقبة أمن شبكة إخوانه

يعد Bro Network Security Monitor نظامًا مجانيًا آخر للكشف عن التسلل في الشبكة مع وظائف تشبه IPS. يعمل على مرحلتين ، أولاً يقوم بتسجيل حركة المرور ثم يقوم بتحليلها. تعمل هذه الأداة في طبقات متعددة حتى طبقة التطبيق والتي تمثل اكتشافًا أفضل لمحاولات التسلل الانقسام. تتكون وحدة تحليل المنتج من عنصرين. يُطلق على العنصر الأول اسم محرك الأحداث والغرض منه هو تتبع الأحداث المشغلة مثل اتصالات TCP أو طلبات HTTP. ثم يتم تحليل الأحداث من خلال نصوص السياسة ، العنصر الثاني. وظيفة نصوص السياسة هي تحديد ما إذا كنت تريد إطلاق إنذار ، أو إطلاق إجراء ، أو تجاهل الحدث. إنها إمكانية إطلاق إجراء يمنح Bro Network Security Monitor وظيفة IPS الخاصة به.

و مراقبة أمان الشبكة وإخوانه لديها بعض القيود. سيقوم فقط بتتبع نشاط HTTP و DNS و FTP وسيقوم أيضًا بمراقبة حركة مرور SNMP. هذا شيء جيد ، لأن SNMP غالبًا ما يستخدم لمراقبة الشبكة على الرغم من عيوبه الأمنية الخطيرة. بالكاد يحتوي SNMP على أي أمان مضمّن ويستخدم حركة مرور غير مشفرة. ونظرًا لإمكانية استخدام البروتوكول لتعديل التكوينات ، يمكن بسهولة استغلاله بواسطة المستخدمين الضارين. سيراقب المنتج أيضًا تغييرات تكوين الجهاز و SNMP Traps. يمكن تثبيته على أنظمة Unix و Linux و OS X ولكنه غير متوفر لنظام التشغيل Windows ، وربما يكون هذا هو عيبه الرئيسي. خلاف ذلك ، فهذه أداة مثيرة للاهتمام تستحق المحاولة.