Je ne voudrais pas paraître trop paranoïaque, même si je le fais probablement, mais la cybercriminalité est partout. Chaque organisation peut devenir la cible de pirates informatiques qui tentent d'accéder à leurs données. Il est donc primordial de garder un œil sur les choses et de s'assurer de ne pas être victime de ces individus mal intentionnés. La toute première ligne de défense est un système de détection d'intrusion . Les systèmes basés sur l'hôte appliquent leur détection au niveau de l'hôte et détectent généralement la plupart des tentatives d'intrusion rapidement et vous en informent immédiatement afin que vous puissiez remédier à la situation.Avec autant de systèmes de détection d'intrusion basés sur l'hôte disponibles, choisir le meilleur pour votre situation spécifique peut sembler être un défi. Pour vous aider à y voir clair, nous avons rassemblé une liste de certains des meilleurs systèmes de détection d'intrusion basés sur l'hôte.
Avant de révéler les meilleurs outils, nous allons brièvement nous éloigner et examiner les différents types de systèmes de détection d'intrusion. Certains sont basés sur l'hôte tandis que d'autres sont basés sur le réseau. Nous allons expliquer les différences. Nous aborderons ensuite les différentes méthodes de détection d'intrusion. Certains outils ont une approche basée sur les signatures tandis que d'autres sont à l'affût des comportements suspects. Les meilleurs utilisent une combinaison des deux. Avant de continuer, nous expliquerons les différences entre les systèmes de détection d'intrusion et de prévention d'intrusion car il est important de comprendre ce que nous examinons. Nous serons alors prêts pour l'essence de cet article, les meilleurs systèmes de détection d'intrusion basés sur l'hôte.
Deux types de systèmes de détection d'intrusion
Il existe essentiellement deux types de systèmes de détection d'intrusion. Bien que leur objectif soit identique - détecter rapidement toute tentative d'intrusion ou activité suspecte pouvant conduire à une tentative d'intrusion, ils diffèrent par l'emplacement où cette détection est effectuée. Il s'agit d'un concept que l'on appelle souvent le point d'exécution. Chaque type présente des avantages et des inconvénients et, de manière générale, il n'y a pas de consensus quant à savoir lequel est préférable. En fait, la meilleure solution, ou la plus sécurisée, est probablement celle qui combine les deux.
Systèmes de détection d'intrusion sur l'hôte (HIDS)
Le premier type de système de détection d'intrusion, celui qui nous intéresse aujourd'hui, opère au niveau de l'hôte. Vous l'avez peut-être deviné d'après son nom. HIDS vérifie, par exemple, divers fichiers journaux et journaux à la recherche de signes d'activité suspecte. Ils détectent également les tentatives d'intrusion en vérifiant les fichiers de configuration importants pour détecter les modifications non autorisées. Ils peuvent également examiner les mêmes fichiers de configuration pour des modèles d'intrusion connus spécifiques. Par exemple, une méthode d'intrusion particulière peut être connue pour fonctionner en ajoutant un certain paramètre à un fichier de configuration spécifique. Un bon système de détection d'intrusion basé sur l'hôte permettrait de détecter cela.
La plupart du temps, les HIDS sont installés directement sur les appareils qu'ils sont censés protéger. Vous devrez les installer sur tous vos ordinateurs. D'autres ne nécessiteront que l'installation d'un agent local. Certains font même tout leur travail à distance. Peu importe comment ils fonctionnent, les bons HIDS ont une console centralisée où vous pouvez contrôler l'application et afficher ses résultats.
Systèmes de détection d'intrusion dans le réseau (NIDS)
Un autre type de système de détection d'intrusion, appelé système de détection d'intrusion réseau, ou NIDS, fonctionne à la frontière du réseau pour imposer la détection. Ils utilisent des méthodes similaires à celles des systèmes de détection d'intrusion de l'hôte, telles que la détection d'activités suspectes et la recherche de modèles d'intrusion connus. Mais au lieu de consulter les journaux et les fichiers de configuration, ils surveillent le trafic réseau et examinent toutes les demandes de connexion. Certaines méthodes d'intrusion exploitent des vulnérabilités connues en envoyant des paquets volontairement malformés aux hôtes, les faisant réagir d'une manière particulière qui leur permet d'être violés. Un système de détection d'intrusion réseau détecterait facilement ce genre de tentative.
Certains prétendent que les NIDS sont meilleurs que les HIDS car ils détectent les attaques avant même qu'elles n'atteignent vos systèmes. Certains les préfèrent car ils ne nécessitent rien à installer sur chaque hôte pour les protéger efficacement. En revanche, ils offrent peu de protection contre les attaques d'initiés qui ne sont malheureusement pas rares. Pour être détecté, un attaquant doit utiliser un chemin qui passe par le NIDS. Pour ces raisons, la meilleure protection vient probablement de l'utilisation d'une combinaison des deux types d'outils.
Méthodes de détection d'intrusion
Tout comme il existe deux types d'outils de détection d'intrusion, il existe principalement deux méthodes différentes utilisées pour détecter les tentatives d'intrusion. La détection peut être basée sur les signatures ou sur les anomalies. La détection d'intrusion basée sur les signatures fonctionne en analysant les données pour des modèles spécifiques qui ont été associés à des tentatives d'intrusion. Ceci est similaire aux systèmes de protection antivirus traditionnels qui reposent sur des définitions de virus. De même, la détection d'intrusion basée sur les signatures repose sur des signatures ou des modèles d'intrusion. Ils comparent les données avec les signatures d'intrusion pour identifier les tentatives. Leur principal inconvénient est qu'ils ne fonctionnent pas tant que les signatures appropriées ne sont pas téléchargées dans le logiciel. Malheureusement, cela ne se produit généralement qu'après qu'un certain nombre de machines ont été attaquées et que les éditeurs de signatures d'intrusion ont eu le temps de publier de nouveaux packages de mise à jour. Certains fournisseurs sont assez rapides tandis que d'autres ne peuvent réagir que quelques jours plus tard.
La détection d'intrusion basée sur les anomalies, l'autre méthode, offre une meilleure protection contre les attaques zero-day, celles qui se produisent avant qu'un logiciel de détection d'intrusion n'ait eu la chance d'acquérir le fichier de signature approprié. Ces systèmes recherchent des anomalies au lieu d'essayer de reconnaître des modèles d'intrusion connus. Par exemple, ils pourraient être déclenchés si quelqu'un tentait d'accéder à un système avec un mauvais mot de passe plusieurs fois de suite, signe courant d'une attaque par force brute. Tout comportement suspect peut être rapidement détecté. Chaque méthode de détection a ses avantages et ses inconvénients. Tout comme avec les types d'outils, les meilleurs outils sont ceux qui utilisent une combinaison d'analyse de signature et de comportement pour la meilleure protection.
Détection Vs Prévention – Une distinction importante
Nous avons discuté des systèmes de détection d'intrusion, mais beaucoup d'entre vous ont peut-être entendu parler des systèmes de prévention d'intrusion. Les deux concepts sont-ils identiques ? La réponse facile est non, car les deux types d'outils ont un objectif différent. Il y a cependant un certain chevauchement entre eux. Comme son nom l'indique, le système de détection d'intrusion détecte les tentatives d'intrusion et les activités suspectes. Lorsqu'il détecte quelque chose, il déclenche généralement une forme d'alerte ou de notification. Les administrateurs doivent alors prendre les mesures nécessaires pour arrêter ou bloquer la tentative d'intrusion.
Les systèmes de prévention des intrusions (IPS) sont conçus pour empêcher complètement les intrusions de se produire. Les IPS actifs incluent un composant de détection qui déclenchera automatiquement une action corrective chaque fois qu'une tentative d'intrusion est détectée. La prévention des intrusions peut également être passive. Le terme peut être utilisé pour désigner tout ce qui est fait ou mis en place pour empêcher les intrusions. Le renforcement des mots de passe, par exemple, peut être considéré comme une mesure de prévention des intrusions.
Les meilleurs outils de détection d'intrusion sur l'hôte
Nous avons recherché sur le marché les meilleurs systèmes de détection d'intrusion basés sur l'hôte. Ce que nous avons pour vous, c'est un mélange de vrais HIDS et d'autres logiciels qui, bien qu'ils ne s'appellent pas eux-mêmes des systèmes de détection d'intrusion, ont un composant de détection d'intrusion ou peuvent être utilisés pour détecter des tentatives d'intrusion. Passons en revue nos meilleurs choix et examinons leurs meilleures fonctionnalités.
1. SolarWinds Log & Event Manager (essai gratuit)
Notre première entrée est de SolarWinds, un nom commun dans le domaine des outils d'administration de réseau. L'entreprise existe depuis environ 20 ans et nous a apporté certains des meilleurs outils d'administration de réseau et de système. Il est également bien connu pour ses nombreux outils gratuits qui répondent à certains besoins spécifiques des administrateurs réseau. Deux excellents exemples de ces outils gratuits sont le serveur Kiwi Syslog et le calculateur de sous-réseau avancé.
Ne laissez pas le nom de SolarWinds Log & Event Manager vous tromper. C'est bien plus qu'un simple système de gestion de journaux et d'événements. De nombreuses fonctionnalités avancées de ce produit le placent dans la gamme SIEM (Security Information and Event Management). D'autres caractéristiques le qualifient de système de détection d'intrusion et même, dans une certaine mesure, de système de prévention d'intrusion. Cet outil propose une corrélation d'événements en temps réel et une correction en temps réel, par exemple.
Le SolarWinds Log & Event Manager propose une détection instantanée des activités suspectes (une fonctionnalité de type IDS) et des réponses automatisées (une fonctionnalité de type IPS). Il peut également effectuer une enquête sur les événements de sécurité et des analyses judiciaires à des fins d'atténuation et de conformité. Grâce à ses rapports éprouvés par les audits, l'outil peut également être utilisé pour démontrer la conformité aux normes HIPAA, PCI-DSS et SOX, entre autres. L'outil dispose également d'une surveillance de l'intégrité des fichiers et d'une surveillance des périphériques USB, ce qui en fait bien plus une plate-forme de sécurité intégrée qu'un simple système de gestion des journaux et des événements.
Le prix du SolarWinds Log & Event Manager commence à 4 585 $ pour un maximum de 30 nœuds surveillés. Des licences pour jusqu'à 2500 nœuds peuvent être achetées, ce qui rend le produit hautement évolutif. Si vous souhaitez tester le produit et voir par vous-même s'il vous convient, un essai gratuit complet de 30 jours est disponible .
2. OSSEC
Open Source Security , ou OSSEC , est de loin le principal système de détection d'intrusion open source basé sur l'hôte. Le produit appartient à Trend Micro, l'un des principaux noms de la sécurité informatique et fabricant de l'une des meilleures suites de protection antivirus. Lorsqu'il est installé sur des systèmes d'exploitation de type Unix, le logiciel se concentre principalement sur les fichiers journaux et de configuration. Il crée des sommes de contrôle des fichiers importants et les valide périodiquement, vous alertant chaque fois que quelque chose d'étrange se produit. Il surveillera et alertera également en cas de tentative anormale d'accès root. Sur les hôtes Windows, le système surveille également les modifications de registre non autorisées qui pourraient être un signe révélateur d'activité malveillante.
En tant que système de détection d'intrusion basé sur l'hôte, OSSEC doit être installé sur chaque ordinateur que vous souhaitez protéger. Cependant, une console centralisée consolide les informations de chaque ordinateur protégé pour une gestion plus facile. Alors que la console OSSEC ne fonctionne que sur les systèmes d'exploitation de type Unix, un agent est disponible pour protéger les hôtes Windows. Toute détection déclenchera une alerte qui s'affichera sur la console centralisée tandis que des notifications seront également envoyées par email.
3. Samhain
Samhain est un autre système de détection d'intrusion d'hôte gratuit bien connu. Ses principales caractéristiques, du point de vue de l'IDS, sont la vérification de l'intégrité des fichiers et la surveillance/l'analyse des fichiers journaux. Il fait bien plus que cela, cependant. Le produit effectuera la détection des rootkits, la surveillance des ports, la détection des exécutables SUID malveillants et des processus cachés. L'outil a été conçu pour surveiller plusieurs hôtes exécutant divers systèmes d'exploitation tout en fournissant une journalisation et une maintenance centralisées. Cependant, Samhain peut également être utilisé comme une application autonome sur un seul ordinateur. Le logiciel fonctionne principalement sur des systèmes POSIX comme Unix, Linux ou OS X. Il peut également fonctionner sous Windows sous Cygwin, un package qui permet d'exécuter des applications POSIX sous Windows, bien que seul l'agent de surveillance ait été testé dans cette configuration.
L'une des fonctionnalités les plus uniques de Samhain est son mode furtif qui lui permet de fonctionner sans être détecté par des attaquants potentiels. Les intrus sont connus pour tuer rapidement les processus de détection qu'ils reconnaissent dès qu'ils pénètrent dans un système avant d'être détectés, leur permettant de passer inaperçus. Samhain utilise des techniques stéganographiques pour cacher ses processus aux autres. Il protège également ses fichiers journaux centraux et ses sauvegardes de configuration avec une clé PGP pour empêcher toute falsification.
4. Fail2Ban
Fail2Ban est un système de détection d'intrusion hôte gratuit et open source qui propose également des fonctionnalités de prévention des intrusions. L'outil logiciel surveille les fichiers journaux à la recherche d'activités et d'événements suspects tels que les tentatives de connexion infructueuses, la recherche d'exploits, etc. L'action par défaut de l'outil, chaque fois qu'il détecte quelque chose de suspect, est de mettre automatiquement à jour les règles de pare-feu local pour bloquer l'adresse IP source du comportement malveillant. En réalité, il ne s'agit pas d'une véritable prévention des intrusions, mais plutôt d'un système de détection d'intrusions avec des fonctionnalités de correction automatique. Ce que nous venons de décrire est l'action par défaut de l'outil mais toute autre action arbitraire, comme l'envoi de notifications par e-mail, peut également être configurée, le faisant se comporter comme un système de détection d'intrusion plus « classique ».
Fail2Ban est proposé avec divers filtres prédéfinis pour certains des services les plus courants tels qu'Apache, SSH, FTP, Postfix et bien d'autres. La prévention, comme nous l'avons expliqué, se fait en modifiant les tables de pare-feu de l'hébergeur. L'outil peut fonctionner avec Netfilter, IPtables ou la table hosts.deny de TCP Wrapper. Chaque filtre peut être associé à une ou plusieurs actions.
5. AIDE
L' environnement de détection d'intrusion avancé , ou AIDE , est un autre système gratuit de détection d'intrusion sur l'hôte. Celui-ci se concentre principalement sur la détection de rootkits et les comparaisons de signatures de fichiers. Lorsque vous l'installez initialement, l'outil compile une sorte de base de données de données d'administration à partir des fichiers de configuration du système. Cette base de données peut ensuite être utilisée comme référence par rapport à laquelle tout changement peut être comparé et éventuellement annulé si nécessaire.
AIDE utilise à la fois des schémas de détection basés sur les signatures et sur les anomalies. Il s'agit d'un outil exécuté à la demande et non planifié ou exécuté en continu. En fait, c'est le principal inconvénient du produit. Cependant, comme il s'agit d'un outil en ligne de commande plutôt que basé sur une interface graphique, une tâche cron peut être créée pour l'exécuter à intervalles réguliers. Si vous choisissez d'exécuter l'outil fréquemment, par exemple une fois par minute, vous obtiendrez presque des données en temps réel et vous aurez le temps de réagir avant qu'une tentative d'intrusion n'aille trop loin et ne cause beaucoup de dégâts.
À la base, AIDE n'est qu'un outil de comparaison de données, mais avec l'aide de quelques scripts externes programmés, il peut être transformé en un véritable HIDS. Gardez cependant à l'esprit qu'il s'agit essentiellement d'un outil local. Il n'a pas de gestion centralisée et aucune interface graphique sophistiquée.
6. Sagan
Le dernier sur notre liste est Sagan , qui est en fait plus un système d'analyse de journaux qu'un véritable IDS. Il possède cependant certaines fonctionnalités de type IDS, c'est pourquoi il mérite une place sur notre liste. L'outil surveille localement les fichiers journaux du système sur lequel il est installé, mais il peut également interagir avec d'autres outils. Il pourrait, par exemple, analyser les journaux de Snort, ajoutant efficacement la fonctionnalité NIDS de Snort à ce qui est essentiellement un HIDS. Il n'interagira pas seulement avec Snort. Sagan peut également interagir avec Suricata et il est compatible avec plusieurs outils de création de règles comme Oinkmaster ou Pulled Pork.
Sagan dispose également de capacités d'exécution de scripts qui peuvent en faire un système de prévention des intrusions rudimentaire, à condition que vous développiez des scripts de correction. Bien que cet outil ne soit probablement pas votre seule défense contre les intrusions, il peut être un excellent composant d'un système qui peut incorporer de nombreux outils en corrélant des événements provenant de différentes sources.
Les balayages de ping peuvent être utilisés à votre avantage de nombreuses façons. Continuez à lire pendant que nous discutons de la façon dont nous présentons les 10 meilleurs outils de balayage Ping que vous pouvez trouver.
Les sites Web sont importants et doivent être constamment surveillés de près pour des performances adéquates. Voici quelques-uns des meilleurs outils de surveillance des sites Web.
Le marché des logiciels de gestion de réseau est très encombré. Raccourcissez votre recherche en suivant nos recommandations des meilleurs outils de gestion de réseau.
Voici un aperçu de certains des meilleurs outils de déploiement de logiciels pour faciliter la gestion d'un nombre illimité de machines
Si vous êtes dans l'industrie de la santé ou si vous êtes impliqué d'une manière ou d'une autre dans l'informatique dans cette industrie, il y a de fortes chances que vous ayez entendu parler de la HIPAA. La portabilité de l'assurance maladie
sFlow est un protocole d'analyse de flux intégré à de nombreux périphériques réseau. Nous passons en revue les cinq meilleurs collecteurs et analyseurs sFlow gratuits.
Pour vous aider à choisir le bon, nous avons présenté les meilleurs outils de surveillance d'infrastructure sans agent et vous ont donné un aperçu rapide de chacun.
Si vous êtes un utilisateur expérimenté de Windows, vous savez probablement et comprenez comment effectuer diverses opérations sur votre PC peut avoir plus d'une approche et
La latence semble être l'ennemi numéro un des réseaux. Ces outils de mesure de la latence vous apprendront comment tester la latence pour détecter, localiser et résoudre les problèmes.
Le moniteur de réseau Windows nécessite des outils avec des exigences limitées. Aujourd'hui, nous examinions les meilleurs outils de surveillance réseau pour Windows 10.
