No quisiera parecer demasiado paranoico, aunque probablemente lo haga, pero la ciberdelincuencia está en todas partes. Todas las organizaciones pueden convertirse en el objetivo de los piratas informáticos que intentan acceder a sus datos. Por lo tanto, es primordial vigilar las cosas y garantizar que no seamos víctimas de estos individuos malintencionados. La primera línea de defensa es un sistema de detección de intrusiones . Los sistemas basados en host aplican su detección a nivel de host y, por lo general, detectarán la mayoría de los intentos de intrusión rápidamente y le notificarán de inmediato para que pueda remediar la situación.Con tantos sistemas de detección de intrusos basados en host disponibles, elegir el mejor para su situación específica puede parecer un desafío. Para ayudarlo a ver con claridad, hemos reunido una lista de algunos de los mejores sistemas de detección de intrusos basados en host.
Antes de revelar las mejores herramientas, nos desviaremos brevemente y veremos los diferentes tipos de sistemas de detección de intrusiones. Algunos están basados en host, mientras que otros se basan en la red. Explicaremos las diferencias. Luego discutiremos los diferentes métodos de detección de intrusos. Algunas herramientas tienen un enfoque basado en firmas, mientras que otras buscan comportamientos sospechosos. Los mejores usan una combinación de ambos. Antes de continuar, explicaremos las diferencias entre los sistemas de detección de intrusos y de prevención de intrusiones, ya que es importante comprender lo que estamos viendo. Entonces estaremos listos para la esencia de esta publicación, los mejores sistemas de detección de intrusos basados en host.
Dos tipos de sistemas de detección de intrusos
Básicamente, existen dos tipos de sistemas de detección de intrusiones. Si bien su objetivo es idéntico: detectar rápidamente cualquier intento de intrusión o actividad sospechosa que pueda conducir a un intento de intrusión, difieren en la ubicación donde se realiza esta detección. Este es un concepto al que a menudo se hace referencia como punto de ejecución. Cada tipo tiene ventajas y desventajas y, en términos generales, no hay consenso sobre cuál es preferible. De hecho, la mejor solución, o la más segura, es probablemente una que combine ambas.
Sistemas de detección de intrusiones en el host (HIDS)
El primer tipo de sistema de detección de intrusos, el que nos interesa hoy, opera a nivel de host. Es posible que lo hayas adivinado por su nombre. HIDS verifica, por ejemplo, varios archivos de registro y diarios en busca de signos de actividad sospechosa. Otra forma en que detectan los intentos de intrusión es verificando archivos de configuración importantes en busca de cambios no autorizados. También pueden examinar los mismos archivos de configuración en busca de patrones de intrusión conocidos específicos. Por ejemplo, se puede saber que un método de intrusión en particular funciona agregando un determinado parámetro a un archivo de configuración específico. Un buen sistema de detección de intrusiones basado en host lo captaría.
La mayoría de las veces, los HIDS se instalan directamente en los dispositivos que deben proteger. Deberá instalarlos en todas sus computadoras. Otros solo requerirán la instalación de un agente local. Algunos incluso hacen todo su trabajo de forma remota. No importa cómo operen, los buenos HIDS tienen una consola centralizada donde puede controlar la aplicación y ver sus resultados.
Sistemas de detección de intrusiones en la red (NIDS)
Otro tipo de sistema de detección de intrusiones llamado sistemas de detección de intrusiones en la red, o NIDS, trabaja en la frontera de la red para hacer cumplir la detección. Utilizan métodos similares a los sistemas de detección de intrusiones en el host, como la detección de actividades sospechosas y la búsqueda de patrones de intrusión conocidos. Pero en lugar de mirar registros y archivos de configuración, observan el tráfico de la red y examinan todas las solicitudes de conexión. Algunos métodos de intrusión explotan vulnerabilidades conocidas enviando paquetes deliberadamente mal formados a los hosts, haciéndolos reaccionar de una manera particular que les permite ser violados. Un sistema de detección de intrusiones en la red detectaría fácilmente este tipo de intento.
Algunos argumentan que los NIDS son mejores que los HIDS, ya que detectan ataques incluso antes de que lleguen a sus sistemas. Algunos los prefieren porque no requieren que se instale nada en cada host para protegerlos de manera efectiva. Por otro lado, brindan poca protección contra ataques internos que, lamentablemente, no son infrecuentes. Para ser detectado, un atacante debe utilizar una ruta que pase por el NIDS. Por estas razones, la mejor protección probablemente proviene del uso de una combinación de ambos tipos de herramientas.
Métodos de detección de intrusiones
Al igual que existen dos tipos de herramientas de detección de intrusos, existen principalmente dos métodos diferentes que se utilizan para detectar intentos de intrusión. La detección puede basarse en firmas o en anomalías. La detección de intrusiones basada en firmas funciona mediante el análisis de datos en busca de patrones específicos que se han asociado con intentos de intrusión. Esto es similar a los sistemas tradicionales de protección contra virus que se basan en definiciones de virus. Asimismo, la detección de intrusiones basada en firmas se basa en firmas o patrones de intrusión. Comparan datos con firmas de intrusión para identificar intentos. Su principal inconveniente es que no funcionan hasta que se cargan las firmas adecuadas en el software. Desafortunadamente, esto suele suceder sólo después de que un determinado número de máquinas hayan sido atacadas y los editores de firmas de intrusión hayan tenido tiempo de publicar nuevos paquetes de actualización. Algunos proveedores son bastante rápidos, mientras que otros solo pudieron reaccionar días después.
La detección de intrusiones basada en anomalías, el otro método, proporciona una mejor protección contra los ataques de día cero, aquellos que ocurren antes de que cualquier software de detección de intrusiones haya tenido la oportunidad de adquirir el archivo de firma adecuado. Estos sistemas buscan anomalías en lugar de intentar reconocer patrones de intrusión conocidos. Por ejemplo, podrían activarse si alguien intenta acceder a un sistema con una contraseña incorrecta varias veces seguidas, un signo común de un ataque de fuerza bruta. Cualquier comportamiento sospechoso puede detectarse rápidamente. Cada método de detección tiene sus ventajas y desventajas. Al igual que con los tipos de herramientas, las mejores herramientas son aquellas que utilizan una combinación de análisis de firma y comportamiento para la mejor protección.
Detección frente a prevención: una distinción importante
Hemos hablado de los sistemas de detección de intrusiones, pero es posible que muchos de ustedes hayan oído hablar de los sistemas de prevención de intrusiones. ¿Son los dos conceptos idénticos? La respuesta fácil es no, ya que los dos tipos de herramientas tienen un propósito diferente. Sin embargo, existe cierta superposición entre ellos. Como su nombre lo indica, el sistema de detección de intrusos detecta intentos de intrusión y actividades sospechosas. Cuando detecta algo, normalmente activa algún tipo de alerta o notificación. Luego, los administradores deben tomar las medidas necesarias para detener o bloquear el intento de intrusión.
Los sistemas de prevención de intrusiones (IPS) están diseñados para evitar que ocurran intrusiones por completo. Los IPS activos incluyen un componente de detección que activará automáticamente alguna acción correctiva cada vez que se detecte un intento de intrusión. La prevención de intrusiones también puede ser pasiva. El término se puede utilizar para referirse a cualquier cosa que se haga o se ponga en marcha como una forma de prevenir intrusiones. El refuerzo de las contraseñas, por ejemplo, puede considerarse una medida de prevención de intrusiones.
Las mejores herramientas de detección de intrusiones en el host
Hemos buscado en el mercado los mejores sistemas de detección de intrusos basados en host. Lo que tenemos para usted es una combinación de verdadero HIDS y otro software que, aunque no se llaman a sí mismos sistemas de detección de intrusos, tienen un componente de detección de intrusos o pueden usarse para detectar intentos de intrusión. Revisemos nuestras mejores opciones y echemos un vistazo a sus mejores características.
1. SolarWinds Log & Event Manager (prueba gratuita)
Nuestra primera entrada es de SolarWinds, un nombre común en el campo de las herramientas de administración de redes. La compañía existe desde hace unos 20 años y nos ha traído algunas de las mejores herramientas de administración de redes y sistemas. También es bien conocido sus muchas herramientas gratuitas que abordan algunas necesidades específicas de los administradores de red. Dos excelentes ejemplos de estas herramientas gratuitas son Kiwi Syslog Server y Advanced Subnet Calculator.
No se deje engañar por el nombre de SolarWinds Log & Event Manager . Es mucho más que un sistema de gestión de registros y eventos. Muchas de las características avanzadas de este producto lo colocan en el rango de Gestión de Eventos e Información de Seguridad (SIEM). Otras características lo califican como un sistema de detección de intrusiones e incluso, en cierta medida, como un sistema de prevención de intrusiones. Esta herramienta presenta correlación de eventos en tiempo real y corrección en tiempo real, por ejemplo.
El Log & Event Manager SolarWinds ofrece detección instantánea de actividades sospechosas (un IDS-como funcionalidad) y respuestas automatizadas (a IPS-como la funcionalidad). También puede realizar investigación de eventos de seguridad y análisis forense con fines de mitigación y cumplimiento. Gracias a sus informes comprobados por auditorías, la herramienta también se puede utilizar para demostrar el cumplimiento de HIPAA, PCI-DSS y SOX, entre otros. La herramienta también tiene monitoreo de integridad de archivos y monitoreo de dispositivos USB, lo que la convierte en una plataforma de seguridad integrada mucho más que un simple sistema de administración de registros y eventos.
El precio de SolarWinds Log & Event Manager comienza en $ 4,585 para hasta 30 nodos monitoreados. Se pueden comprar licencias para hasta 2500 nodos, lo que hace que el producto sea altamente escalable. Si desea probar el producto y comprobar por sí mismo si es adecuado para usted, hay disponible una prueba gratuita de 30 días con todas las funciones .
2. OSSEC
Open Source Security , o OSSEC , es, con mucho, el principal sistema de detección de intrusos basado en host de código abierto. El producto es propiedad de Trend Micro, uno de los nombres líderes en seguridad de TI y fabricante de una de las mejores suites de protección antivirus. Cuando se instala en sistemas operativos similares a Unix, el software se centra principalmente en los archivos de registro y configuración. Crea sumas de verificación de archivos importantes y los valida periódicamente, alertándote cada vez que sucede algo extraño. También monitoreará y alertará sobre cualquier intento anormal de obtener acceso de root. En los hosts de Windows, el sistema también está atento a las modificaciones de registro no autorizadas que podrían ser un signo revelador de actividad maliciosa.
Debido a que es un sistema de detección de intrusos basado en host, OSSEC debe instalarse en cada computadora que desee proteger. Sin embargo, una consola centralizada consolida la información de cada computadora protegida para facilitar la administración. Si bien la consola OSSEC solo se ejecuta en sistemas operativos similares a Unix, hay un agente disponible para proteger los hosts de Windows. Cualquier detección activará una alerta que se mostrará en la consola centralizada, mientras que las notificaciones también se enviarán por correo electrónico.
3. Samhain
Samhain es otro conocido sistema de detección de intrusiones de host gratuito. Sus principales características, desde el punto de vista de IDS, son la verificación de la integridad de los archivos y la supervisión / análisis de los archivos de registro. Sin embargo, hace mucho más que eso. El producto realizará la detección de rootkits, monitoreo de puertos, detección de ejecutables SUID no autorizados y de procesos ocultos. La herramienta fue diseñada para monitorear múltiples hosts que ejecutan varios sistemas operativos mientras proporciona registro y mantenimiento centralizados. Sin embargo, Samhain también se puede utilizar como una aplicación independiente en una sola computadora. El software se ejecuta principalmente en sistemas POSIX como Unix, Linux u OS X. También se puede ejecutar en Windows bajo Cygwin, un paquete que permite ejecutar aplicaciones POSIX en Windows, aunque solo se ha probado el agente de monitoreo en esa configuración.
Una de las características más exclusivas de Samhain es su modo sigiloso, que le permite funcionar sin ser detectado por posibles atacantes. Se sabe que los intrusos eliminan rápidamente los procesos de detección que reconocen tan pronto como ingresan a un sistema antes de ser detectados, lo que les permite pasar desapercibidos. Samhain utiliza técnicas esteganográficas para ocultar sus procesos a los demás. También protege sus archivos de registro central y las copias de seguridad de la configuración con una clave PGP para evitar alteraciones.
4. Fail2Ban
Fail2Ban es un sistema de detección de intrusiones de host de código abierto y gratuito que también presenta algunas capacidades de prevención de intrusiones. La herramienta de software monitorea los archivos de registro en busca de actividades y eventos sospechosos, como intentos de inicio de sesión fallidos, búsqueda de exploits, etc.La acción predeterminada de la herramienta, siempre que detecta algo sospechoso, es actualizar automáticamente las reglas del firewall local para bloquear la dirección IP de origen del comportamiento malicioso. En realidad, esto no es una verdadera prevención de intrusiones, sino más bien un sistema de detección de intrusiones con funciones de reparación automática. Lo que acabamos de describir es la acción predeterminada de la herramienta, pero también se puede configurar cualquier otra acción arbitraria, como enviar notificaciones por correo electrónico, para que se comporte como un sistema de detección de intrusos más "clásico".
Fail2Ban se ofrece con varios filtros prediseñados para algunos de los servicios más comunes, como Apache, SSH, FTP, Postfix y muchos más. La prevención, como explicamos, se lleva a cabo modificando las tablas de firewall del host. La herramienta puede funcionar con Netfilter, IPtables o la tabla hosts.deny de TCP Wrapper. Cada filtro se puede asociar con una o varias acciones.
5. AYUDA
El Entorno de detección avanzada de intrusiones , o AIDE , es otro sistema gratuito de detección de intrusiones en el host. Este se centra principalmente en la detección de rootkits y las comparaciones de firmas de archivos. Cuando lo instale inicialmente, la herramienta compilará una especie de base de datos de datos de administración a partir de los archivos de configuración del sistema. Esta base de datos se puede utilizar como una línea de base con la que se puede comparar cualquier cambio y eventualmente revertir si es necesario.
AIDE utiliza esquemas de detección basados en firmas y en anomalías. Esta es una herramienta que se ejecuta bajo demanda y no está programada ni se ejecuta continuamente. De hecho, este es el principal inconveniente del producto. Sin embargo, dado que es una herramienta de línea de comandos en lugar de estar basada en GUI, se puede crear un trabajo cron para ejecutarlo a intervalos regulares. Si elige ejecutar la herramienta con frecuencia, por ejemplo, una vez por minuto, casi obtendrá datos en tiempo real y tendrá tiempo para reaccionar antes de que cualquier intento de intrusión haya ido demasiado lejos y haya causado mucho daño.
En esencia, AIDE es solo una herramienta de comparación de datos, pero con la ayuda de algunos scripts programados externos, se puede convertir en un verdadero HIDS. Sin embargo, tenga en cuenta que esta es esencialmente una herramienta local. No tiene una gestión centralizada ni una interfaz gráfica de usuario sofisticada.
6. Sagan
El último en nuestra lista es Sagan , que en realidad es más un sistema de análisis de registros que un verdadero IDS. Sin embargo, tiene algunas características similares a las de IDS, por lo que merece un lugar en nuestra lista. La herramienta observa localmente los archivos de registro del sistema donde está instalada, pero también puede interactuar con otras herramientas. Podría, por ejemplo, analizar los registros de Snort, agregando efectivamente la funcionalidad NIDS de Snort a lo que es esencialmente un HIDS. No solo interactuará con Snort. Sagan también puede interactuar con Suricata y es compatible con varias herramientas de creación de reglas como Oinkmaster o Pulled Pork.
Sagan también tiene capacidades de ejecución de scripts que pueden convertirlo en un tosco sistema de prevención de intrusiones, siempre que desarrolle algunos scripts de corrección. Aunque es probable que esta herramienta no se utilice como su única defensa contra la intrusión, puede ser un gran componente de un sistema que puede incorporar muchas herramientas al correlacionar eventos de diferentes fuentes.
El mercado de software de gestión de red está muy concurrido. Acceda a su búsqueda siguiendo nuestras recomendaciones de las mejores herramientas de administración de red.
Los barridos de ping se pueden utilizar para su beneficio de muchas maneras. Siga leyendo mientras discutimos cómo y presentamos las 10 mejores herramientas de barrido de Ping que puede encontrar.
Los sitios web son importantes y deben ser monitoreados de cerca constantemente para un rendimiento adecuado. Estas son algunas de las mejores herramientas para monitorear sitios web.
Aquí hay un vistazo a algunas de las mejores herramientas de implementación de software para aliviar el dolor de administrar cualquier cantidad de máquinas.
Si está en la industria de la salud o de alguna manera está involucrado con TI en esa industria, es probable que haya oído hablar de HIPAA. La portabilidad del seguro médico
sFlow es un protocolo de análisis de flujo integrado en numerosos dispositivos de red. Repasamos los cinco mejores analizadores y recolectores de flujo gratuitos.
Dado que Linux se está volviendo cada vez más popular en los centros de datos, estamos analizando la supervisión del ancho de banda en Linux y también estamos revisando las mejores herramientas.
La seguridad del correo electrónico es una tarea importante de los proveedores de servicios gestionados. Estamos revisando SolarWinds Mail Assure, una de las mejores herramientas para ese propósito.
Si es un usuario avanzado de Windows, probablemente sepa y comprenda cómo realizar varias operaciones en su PC puede tener más de un enfoque y
El monitor de red de Windows requiere herramientas con requisitos limitados. Hoy, estamos echando un vistazo a las mejores herramientas de monitoreo de red para Windows 10.
