6 أفضل أنظمة كشف التسلل المستندة إلى المضيف (HIDS) في عام 2021

لا أريد أن أبدو مصابًا بجنون العظمة ، على الرغم من أنني ربما أفعل ذلك ، لكن الإجرام الإلكتروني موجود في كل مكان. يمكن أن تصبح كل منظمة هدفًا للمتسللين الذين يحاولون الوصول إلى بياناتهم. لذلك ، من الأساسي مراقبة الأشياء والتأكد من عدم وقوعنا ضحية لهؤلاء الأفراد ذوي النوايا السيئة. أول خط دفاع هو نظام كشف التسلل . تطبق الأنظمة المستندة إلى المضيف اكتشافها على مستوى المضيف وستكتشف عادةً معظم محاولات التطفل بسرعة وتبلغك على الفور حتى تتمكن من معالجة الموقف.مع توفر العديد من أنظمة الكشف عن التسلل المستندة إلى المضيف ، قد يبدو أن اختيار الأفضل لموقفك المحدد يمثل تحديًا. لمساعدتك على الرؤية بوضوح ، قمنا بتجميع قائمة ببعض أفضل أنظمة اكتشاف التسلل المستندة إلى المضيف.

قبل أن نكشف عن أفضل الأدوات ، سوف نتجنب المسار لفترة وجيزة ونلقي نظرة على الأنواع المختلفة لأنظمة اكتشاف التسلل. بعضها يعتمد على المضيف بينما يعتمد البعض الآخر على الشبكة. سنشرح الاختلافات. سنناقش بعد ذلك طرق كشف التسلل المختلفة. تحتوي بعض الأدوات على نهج قائم على التوقيع بينما يبحث البعض الآخر عن السلوك المشبوه. أفضلهم يستخدمون مزيجًا من الاثنين. قبل المتابعة ، سنشرح الاختلافات بين أنظمة كشف التسلل وأنظمة منع التطفل حيث أنه من المهم فهم ما نبحث عنه. سنكون مستعدين بعد ذلك للتعرف على جوهر هذا المنشور ، وهو أفضل أنظمة الكشف عن التسلل المستندة إلى المضيف.

نوعان من أنظمة كشف التسلل

هناك نوعان أساسيان من أنظمة كشف التسلل. في حين أن هدفهم متطابق - الكشف بسرعة عن أي محاولة اقتحام أو نشاط مشبوه يمكن أن يؤدي إلى محاولة اقتحام ، إلا أنهما يختلفان في الموقع الذي يتم فيه إجراء هذا الاكتشاف. هذا هو المفهوم الذي يشار إليه غالبًا باسم نقطة الإنفاذ. كل نوع له مزايا وعيوب ، وبصفة عامة ، لا يوجد إجماع على النوع المفضل. في الواقع ، ربما يكون الحل الأفضل - أو الأكثر أمانًا - هو الحل الذي يجمع بين الاثنين.

أنظمة كشف اختراق المضيف (HIDS)

النوع الأول من نظام كشف التسلل ، الذي نهتم به اليوم ، يعمل على مستوى المضيف. ربما خمنت ذلك من اسمها. يتحقق HIDS ، على سبيل المثال ، من ملفات السجل والمجلات المختلفة بحثًا عن علامات نشاط مشبوه. هناك طريقة أخرى للكشف عن محاولات التطفل عن طريق فحص ملفات التكوين المهمة للتغييرات غير المصرح بها. يمكنهم أيضًا فحص ملفات التكوين نفسها لأنماط اقتحام محددة معروفة. على سبيل المثال ، قد يكون من المعروف أن طريقة تطفل معينة تعمل عن طريق إضافة معلمة معينة إلى ملف تكوين معين. يمكن لنظام كشف التسلل الجيد المستند إلى المضيف أن يمسك بذلك.

في معظم الأوقات ، يتم تثبيت HIDS مباشرة على الأجهزة التي من المفترض حمايتها. سوف تحتاج إلى تثبيتها على جميع أجهزة الكمبيوتر الخاصة بك. سيطلب الآخرون تثبيت وكيل محلي فقط. حتى أن البعض يقومون بكل أعمالهم عن بعد. بغض النظر عن كيفية عملها ، تحتوي HIDS الجيدة على وحدة تحكم مركزية حيث يمكنك التحكم في التطبيق وعرض نتائجه.

أنظمة كشف التسلل إلى الشبكة (NIDS)

نوع آخر من أنظمة الكشف عن التسلل يسمى أنظمة الكشف عن التسلل في الشبكة ، أو NIDS ، يعمل على حدود الشبكة لفرض الكشف. يستخدمون طرقًا مماثلة لأنظمة اكتشاف التسلل المضيف مثل اكتشاف الأنشطة المشبوهة والبحث عن أنماط التسلل المعروفة. ولكن بدلاً من النظر في السجلات وملفات التكوين ، فإنهم يراقبون حركة مرور الشبكة ويفحصون كل طلبات الاتصال. تستغل بعض أساليب التطفل نقاط الضعف المعروفة عن طريق إرسال حزم مشوهة عمدًا إلى المضيفين ، مما يجعلها تتفاعل بطريقة معينة تسمح باختراقها. يمكن لنظام الكشف عن اختراق الشبكة اكتشاف هذا النوع من المحاولات بسهولة.

يجادل البعض بأن NIDS أفضل من HIDS لأنها تكتشف الهجمات حتى قبل أن تصل إلى أنظمتك. يفضلها البعض لأنهم لا يحتاجون إلى تثبيت أي شيء على كل مضيف لحمايتهم بشكل فعال. من ناحية أخرى ، فإنها توفر القليل من الحماية ضد الهجمات الداخلية التي للأسف ليست غير شائعة على الإطلاق. ليتم اكتشافه ، يجب على المهاجم استخدام مسار يمر عبر NIDS. لهذه الأسباب ، ربما تأتي أفضل حماية من استخدام مزيج من كلا النوعين من الأدوات.

طرق كشف التسلل

مثلما يوجد نوعان من أدوات كشف التسلل ، هناك طريقتان مختلفتان تستخدمان للكشف عن محاولات التسلل. يمكن أن يكون الاكتشاف قائمًا على التوقيع أو قد يكون مستندًا إلى حالة شاذة. يعمل كشف التسلل المستند إلى التوقيع من خلال تحليل البيانات لأنماط محددة مرتبطة بمحاولات التطفل. هذا مشابه لأنظمة الحماية من الفيروسات التقليدية التي تعتمد على تعريفات الفيروسات. وبالمثل ، يعتمد كشف التسلل المستند إلى التوقيع على توقيعات أو أنماط الاقتحام. يقارن البيانات مع تواقيع الاقتحام لتحديد المحاولات. عيبهم الرئيسي هو أنهم لا يعملون حتى يتم تحميل التوقيعات الصحيحة في البرنامج. لسوء الحظ، يحدث هذا عادةً فقط بعد تعرض عدد معين من الأجهزة للهجوم وتمكين ناشري تواقيع الاقتحام من نشر حزم تحديث جديدة. بعض الموردين سريعون جدًا بينما يمكن للآخرين الرد بعد أيام فقط.

الطريقة الأخرى ، طريقة كشف التسلل المعتمد على الشذوذ ، توفر حماية أفضل ضد هجمات يوم الصفر ، تلك التي تحدث قبل أن تتاح الفرصة لأي برنامج للكشف عن التسلل للحصول على ملف التوقيع المناسب. تبحث هذه الأنظمة عن الحالات الشاذة بدلاً من محاولة التعرف على أنماط التسلل المعروفة. على سبيل المثال ، يمكن تشغيلها إذا حاول شخص ما الوصول إلى نظام باستخدام كلمة مرور خاطئة عدة مرات متتالية ، وهي علامة شائعة على هجوم القوة الغاشمة. يمكن اكتشاف أي سلوك مشبوه بسرعة. كل طريقة كشف لها مزاياها وعيوبها. تمامًا كما هو الحال مع أنواع الأدوات ، فإن أفضل الأدوات هي تلك التي تستخدم مزيجًا من تحليل التوقيع والسلوك للحصول على أفضل حماية.

الكشف مقابل المنع - تمييز مهم

لقد كنا نناقش أنظمة كشف التسلل ولكن ربما سمع الكثير منكم عن أنظمة منع التطفل. هل المفهومان متطابقان؟ الإجابة السهلة هي لا لأن هذين النوعين من الأدوات يخدمان غرضًا مختلفًا. ومع ذلك ، هناك بعض التداخل بينهما. كما يوحي اسمه ، فإن نظام كشف التسلل يكتشف محاولات التسلل والأنشطة المشبوهة. عندما يكتشف شيئًا ما ، فإنه عادةً ما يطلق نوعًا من التنبيه أو الإشعار. يجب على المسؤولين بعد ذلك اتخاذ الخطوات اللازمة لوقف أو منع محاولة التسلل.

تم تصميم أنظمة منع التطفل (IPS) لوقف عمليات الاقتحام من الحدوث تمامًا. تشتمل IPS النشط على مكون الكشف الذي سيطلق تلقائيًا بعض الإجراءات العلاجية كلما تم اكتشاف محاولة اقتحام. يمكن أن يكون منع التطفل سلبيًا أيضًا. يمكن استخدام المصطلح للإشارة إلى أي شيء يتم القيام به أو وضعه كوسيلة لمنع التدخلات. يمكن اعتبار تقوية كلمة المرور ، على سبيل المثال ، بمثابة إجراء لمنع التطفل.

أفضل أدوات الكشف عن اختراق المضيف

لقد بحثنا في السوق عن أفضل أنظمة كشف التسلل المستندة إلى المضيف. ما لدينا من أجلك هو مزيج من HIDS الحقيقي والبرامج الأخرى التي ، على الرغم من أنها لا تطلق على نفسها أنظمة كشف التسلل ، إلا أنها تحتوي على مكون للكشف عن التسلل أو يمكن استخدامها للكشف عن محاولات التسلل. دعنا نراجع أفضل اختياراتنا ونلقي نظرة على أفضل ميزاتها.

1. SolarWinds Log & Event Manager (نسخة تجريبية مجانية)

دخولنا الأول من SolarWinds ، اسم شائع في مجال أدوات إدارة الشبكة. كانت الشركة موجودة منذ حوالي 20 عامًا وقدمت لنا بعضًا من أفضل أدوات إدارة الشبكة والنظام. وهي معروفة أيضًا بالعديد من الأدوات المجانية التي تلبي بعض الاحتياجات المحددة لمسؤولي الشبكة. مثالان رائعين على هذه الأدوات المجانية هما Kiwi Syslog Server و Advanced Subnet Calculator.

لا تدع اسم SolarWinds Log & Event Manager يخدعك. إنه أكثر بكثير من مجرد نظام لإدارة السجل والأحداث. وضعت العديد من الميزات المتقدمة لهذا المنتج في نطاق معلومات الأمان وإدارة الأحداث (SIEM). تعتبره ميزات أخرى بمثابة نظام للكشف عن التسلل وحتى ، إلى حد ما ، كنظام منع التطفل. تتميز هذه الأداة بربط الأحداث في الوقت الفعلي والعلاج في الوقت الفعلي ، على سبيل المثال.

• تجربة مجانية: SolarWinds Log & Event Manager
• رابط التنزيل الرسمي: https://www.solarwinds.com/log-event-manager-software/registration

يتميز برنامج SolarWinds Log & Event Manager بالكشف الفوري عن الأنشطة المشبوهة (وظيفة تشبه IDS) والاستجابات الآلية (وظيفة تشبه وظيفة IPS). يمكنه أيضًا إجراء التحقيق في الأحداث الأمنية والطب الشرعي لأغراض التخفيف والامتثال. بفضل تقارير المراجعة المثبتة ، يمكن أيضًا استخدام الأداة لإثبات الامتثال لـ HIPAA و PCI-DSS و SOX ، من بين أمور أخرى. تحتوي الأداة أيضًا على مراقبة سلامة الملفات ومراقبة جهاز USB ، مما يجعلها نظامًا أساسيًا أمنيًا متكاملًا أكثر من مجرد نظام إدارة السجل والأحداث.

يبدأ سعر برنامج SolarWinds Log & Event Manager من 4585 دولارًا لما يصل إلى 30 عقدة خاضعة للمراقبة. يمكن شراء تراخيص تصل إلى 2500 عقدة مما يجعل المنتج قابلاً للتطوير بدرجة كبيرة. إذا كنت ترغب في إجراء اختبار تجريبي للمنتج ومعرفة ما إذا كان ذلك مناسبًا لك ، يتوفر إصدار تجريبي مجاني كامل الميزات لمدة 30 يومًا .

2. OSSEC

Open Source Security ، أو OSSEC ، هو إلى حد بعيد نظام كشف التسلل الرائد مفتوح المصدر القائم على المضيف. المنتج مملوك لشركة Trend Micro ، أحد الأسماء الرائدة في مجال أمن تكنولوجيا المعلومات وصانع أحد أفضل مجموعات الحماية من الفيروسات. عند التثبيت على أنظمة تشغيل شبيهة بـ Unix ، يركز البرنامج بشكل أساسي على ملفات السجل والتكوين. يقوم بإنشاء مجاميع اختبارية للملفات المهمة والتحقق من صحتها بشكل دوري ، وتنبيهك كلما حدث شيء غريب. سيقوم أيضًا بمراقبة أي محاولة غير طبيعية للوصول إلى الجذر وتنبيهها. على مضيفي Windows ، يراقب النظام أيضًا تعديلات التسجيل غير المصرح بها والتي يمكن أن تكون علامة منبهة على نشاط ضار.

بحكم كونه نظام كشف التسلل قائم على المضيف ، يحتاج OSSEC إلى التثبيت على كل جهاز كمبيوتر تريد حمايته. ومع ذلك ، تقوم وحدة التحكم المركزية بدمج المعلومات من كل كمبيوتر محمي لتسهيل الإدارة. بينما تعمل وحدة التحكم OSSEC فقط على أنظمة تشغيل تشبه Unix ، يتوفر وكيل لحماية مضيفي Windows. سيؤدي أي اكتشاف إلى إطلاق تنبيه سيتم عرضه على وحدة التحكم المركزية بينما سيتم أيضًا إرسال الإشعارات عبر البريد الإلكتروني.

3. Samhain

Samhain هو نظام مجاني آخر معروف للكشف عن اختراق المضيف. وتتمثل ميزاته الرئيسية ، من وجهة نظر IDS ، في فحص سلامة الملفات ومراقبة / تحليل ملف السجل. إنها تفعل أكثر من ذلك بكثير ، على الرغم من ذلك. سيقوم المنتج باكتشاف الجذور الخفية ، ومراقبة المنفذ ، والكشف عن الملفات التنفيذية المارقة SUID ، والعمليات المخفية. تم تصميم الأداة لمراقبة عدة مضيفين يقومون بتشغيل أنظمة تشغيل مختلفة مع توفير التسجيل المركزي والصيانة. ومع ذلك، سامهاين يمكن أن تستخدم أيضا كتطبيق مستقل على جهاز كمبيوتر واحد. يعمل البرنامج بشكل أساسي على أنظمة POSIX مثل Unix أو Linux أو OS X. ويمكن أيضًا تشغيله على Windows ضمن Cygwin ، وهي حزمة تسمح بتشغيل تطبيقات POSIX على Windows ، على الرغم من اختبار عامل المراقبة فقط في هذا التكوين.

واحدة من أكثر ميزات Samhain الفريدة هي وضع التخفي الذي يسمح لها بالعمل دون أن يكتشفها المهاجمون المحتملون. من المعروف أن المتسللين يقتلون بسرعة عمليات الكشف التي يتعرفون عليها بمجرد دخولهم إلى النظام قبل أن يتم اكتشافهم ، مما يسمح لهم بالمرور دون أن يلاحظهم أحد. سامهاين يستخدم تقنيات الستيجانوجرافي لإخفاء عملياته من الآخرين. كما أنه يحمي ملفات السجل المركزية ونسخ التكوين الاحتياطية باستخدام مفتاح PGP لمنع العبث.

4. Fail2Ban

Fail2Ban هو نظام مجاني ومفتوح المصدر للكشف عن التسلل للمضيف ويتميز أيضًا ببعض إمكانيات منع التطفل. تراقب أداة البرنامج ملفات السجل للأنشطة والأحداث المشبوهة مثل محاولات تسجيل الدخول الفاشلة ، والبحث عن الاستغلال ، وما إلى ذلك. الإجراء الافتراضي للأداة ، عندما تكتشف شيئًا مريبًا ، هو تحديث قواعد جدار الحماية المحلية تلقائيًا لحظر عنوان IP المصدر الخاص بـ سلوك خبيث. في الواقع ، هذا ليس منعًا حقيقيًا للتطفل ولكنه بالأحرى نظام للكشف عن التسلل مزود بميزات معالجة تلقائية. ما وصفناه للتو هو الإجراء الافتراضي للأداة ولكن يمكن أيضًا تكوين أي إجراء تعسفي آخر - مثل إرسال إشعارات البريد الإلكتروني - ، مما يجعله يتصرف مثل نظام اكتشاف التسلل "الكلاسيكي".

يتم تقديم Fail2Ban مع العديد من المرشحات المعدة مسبقًا لبعض الخدمات الأكثر شيوعًا مثل Apache و SSH و FTP و Postfix وغيرها الكثير. يتم تنفيذ المنع ، كما أوضحنا ، عن طريق تعديل جداول جدار الحماية للمضيف. يمكن أن تعمل الأداة مع Netfilter أو IPtables أو جدول hosts.deny الخاص بـ TCP Wrapper. يمكن ربط كل مرشح بإجراء واحد أو أكثر.

5. مساعد

على المتقدم كشف التسلل البيئة ، أو AIDE ، هو حر نظام لكشف التسلل مضيف آخر يركز هذا واحد أساسا على الكشف عن الجذور الخفية والتوقيع ملف المقارنات. عند تثبيته في البداية ، ستقوم الأداة بتجميع نوع من قاعدة بيانات بيانات المسؤول من ملفات تكوين النظام. يمكن بعد ذلك استخدام قاعدة البيانات هذه كخط أساس يمكن مقارنة أي تغيير به والتراجع عنه في النهاية إذا لزم الأمر.

يستخدم AIDE كلاً من مخططات الكشف القائمة على التوقيع والقائمة على الشذوذ. هذه أداة يتم تشغيلها عند الطلب وليست مجدولة أو تعمل بشكل مستمر. في الواقع ، هذا هو العيب الرئيسي للمنتج. ومع ذلك ، نظرًا لأنها أداة سطر أوامر بدلاً من كونها قائمة على واجهة المستخدم الرسومية ، يمكن إنشاء وظيفة cron لتشغيلها على فترات منتظمة. إذا اخترت تشغيل الأداة بشكل متكرر - مثل مرة واحدة كل دقيقة - فستحصل على بيانات في الوقت الفعلي تقريبًا وسيكون لديك الوقت للرد قبل أن تذهب أي محاولة تطفل بعيدًا وتتسبب في الكثير من الضرر.

يعد AIDE في جوهره مجرد أداة لمقارنة البيانات ولكن بمساعدة بعض البرامج النصية الخارجية المجدولة ، يمكن تحويله إلى HIDS حقيقي. ضع في اعتبارك أن هذه أداة محلية في الأساس. ليس لديها إدارة مركزية ولا واجهة المستخدم الرسومية الفاخرة.

6. ساجان

آخر قائمتنا هو Sagan ، وهو في الواقع نظام تحليل سجل أكثر من نظام IDS حقيقي. ومع ذلك ، فإنه يحتوي على بعض الميزات المشابهة لـ IDS وهذا هو السبب في أنه يستحق مكانًا في قائمتنا. تراقب الأداة محليًا ملفات سجل النظام حيث تم تثبيته ولكن يمكنها أيضًا التفاعل مع الأدوات الأخرى. يمكنه ، على سبيل المثال ، تحليل سجلات Snort ، وإضافة وظيفة NIDS الخاصة بـ Snort إلى ما هو أساسًا HIDS. لن يتفاعل فقط مع Snort. يمكن لـ Sagan التفاعل مع Suricata أيضًا وهو متوافق مع العديد من أدوات بناء القواعد مثل Oinkmaster أو Pulled Pork.

يتمتع Sagan أيضًا بإمكانيات تنفيذ البرنامج النصي والتي يمكن أن تجعله نظامًا بسيطًا لمنع التطفل ، بشرط أن تقوم بتطوير بعض البرامج النصية للمعالجة. على الرغم من أنه من غير المحتمل استخدام هذه الأداة كوسيلة للدفاع الوحيد ضد التطفل ، إلا أنها يمكن أن تكون مكونًا رائعًا لنظام يمكنه دمج العديد من الأدوات من خلال ربط الأحداث من مصادر مختلفة.