6 Sistem Deteksi Intrusi (HIDS) berbasis Host Terbaik di tahun 2021

Saya tidak ingin terdengar terlalu paranoid, meskipun saya mungkin melakukannya, tetapi kejahatan dunia maya ada di mana-mana. Setiap organisasi dapat menjadi target peretas yang mencoba mengakses data mereka. Oleh karena itu, sangat penting untuk mengawasi hal-hal dan memastikan bahwa kita tidak menjadi korban dari orang-orang yang bermaksud jahat ini. Garis pertahanan pertama adalah Sistem Deteksi Intrusi . Sistem berbasis host menerapkan deteksi mereka di tingkat host dan biasanya akan mendeteksi sebagian besar upaya penyusupan dengan cepat dan segera memberi tahu Anda sehingga Anda dapat memperbaiki situasi.Dengan begitu banyak sistem deteksi intrusi berbasis host yang tersedia, memilih yang terbaik untuk situasi spesifik Anda dapat menjadi tantangan. Untuk membantu Anda melihat dengan jelas, kami telah mengumpulkan daftar beberapa sistem deteksi intrusi berbasis host terbaik.

Sebelum kami mengungkapkan alat terbaik, kami akan mengalihkan secara singkat dan melihat berbagai jenis Sistem Deteksi Intrusi. Beberapa berbasis host sementara yang lain berbasis jaringan. Kami akan menjelaskan perbedaannya. Kami kemudian akan membahas metode deteksi intrusi yang berbeda. Beberapa alat memiliki pendekatan berbasis tanda tangan sementara yang lain mencari perilaku yang mencurigakan. Yang terbaik menggunakan kombinasi keduanya. Sebelum melanjutkan, kami akan menjelaskan perbedaan antara deteksi intrusi dan sistem pencegahan intrusi karena penting untuk memahami apa yang kita lihat. Kami kemudian akan siap untuk inti dari posting ini, sistem deteksi intrusi berbasis host terbaik.

Dua Jenis Sistem Deteksi Intrusi

Pada dasarnya ada dua jenis sistem Intrusion Detection. Meskipun tujuannya identik—untuk mendeteksi upaya penyusupan atau aktivitas mencurigakan dengan cepat yang dapat mengarah pada upaya penyusupan, mereka berbeda dalam lokasi di mana deteksi ini dilakukan. Ini adalah konsep yang sering disebut sebagai titik penegakan. Setiap jenis memiliki kelebihan dan kekurangan dan, secara umum, tidak ada konsensus tentang mana yang lebih disukai. Sebenarnya, solusi terbaik—atau yang paling aman—mungkin adalah solusi yang menggabungkan keduanya.

Sistem Deteksi Intrusi Host (HIDS)

Jenis pertama dari sistem deteksi intrusi, yang kami minati saat ini, beroperasi di tingkat host. Anda mungkin sudah menebaknya dari namanya. HIDS memeriksa, misalnya, berbagai file log dan jurnal untuk tanda-tanda aktivitas yang mencurigakan. Cara lain mereka mendeteksi upaya penyusupan adalah dengan memeriksa file konfigurasi penting untuk perubahan yang tidak sah. Mereka juga dapat memeriksa file konfigurasi yang sama untuk pola intrusi tertentu yang diketahui. Misalnya, metode intrusi tertentu dapat diketahui bekerja dengan menambahkan parameter tertentu ke file konfigurasi tertentu. Sistem deteksi penyusupan berbasis host yang baik akan menangkapnya.

Sebagian besar waktu HIDS dipasang langsung pada perangkat yang seharusnya mereka lindungi. Anda harus menginstalnya di semua komputer Anda. Yang lain hanya perlu menginstal agen lokal. Beberapa bahkan melakukan semua pekerjaan mereka dari jarak jauh. Tidak peduli bagaimana mereka beroperasi, HIDS yang baik memiliki konsol terpusat di mana Anda dapat mengontrol aplikasi dan melihat hasilnya.

Sistem Deteksi Intrusi Jaringan (NIDS)

Jenis lain dari sistem deteksi intrusi yang disebut sistem deteksi intrusi Jaringan, atau NIDS, bekerja di perbatasan jaringan untuk menegakkan deteksi. Mereka menggunakan metode yang sama seperti sistem deteksi intrusi host seperti mendeteksi aktivitas yang mencurigakan dan mencari pola intrusi yang diketahui. Tetapi alih-alih melihat log dan file konfigurasi, mereka menonton lalu lintas jaringan dan memeriksa setiap permintaan koneksi. Beberapa metode penyusupan mengeksploitasi kerentanan yang diketahui dengan mengirimkan paket yang sengaja dibuat salah ke host, membuat mereka bereaksi dengan cara tertentu yang memungkinkan mereka untuk dilanggar. Sistem deteksi intrusi jaringan akan dengan mudah mendeteksi upaya semacam ini.

Beberapa berpendapat bahwa NIDS lebih baik daripada HIDS karena mereka mendeteksi serangan bahkan sebelum mereka sampai ke sistem Anda. Beberapa lebih menyukainya karena mereka tidak memerlukan apa pun untuk diinstal pada setiap host untuk melindunginya secara efektif. Di sisi lain, mereka memberikan sedikit perlindungan terhadap serangan orang dalam yang sayangnya sama sekali tidak biasa. Untuk dideteksi, penyerang harus menggunakan jalur yang melewati NIDS. Untuk alasan ini, perlindungan terbaik mungkin berasal dari penggunaan kombinasi kedua jenis alat tersebut.

Metode Deteksi Intrusi

Sama seperti ada dua jenis alat pendeteksi intrusi, ada dua metode berbeda yang digunakan untuk mendeteksi upaya penyusupan. Deteksi bisa berbasis tanda tangan atau bisa juga berbasis anomali. Deteksi intrusi berbasis tanda tangan bekerja dengan menganalisis data untuk pola tertentu yang telah dikaitkan dengan upaya penyusupan. Ini mirip dengan sistem perlindungan virus tradisional yang mengandalkan definisi virus. Demikian juga, deteksi intrusi berbasis tanda tangan bergantung pada tanda tangan atau pola intrusi. Mereka membandingkan data dengan tanda tangan intrusi untuk mengidentifikasi upaya. Kelemahan utama mereka adalah bahwa mereka tidak bekerja sampai tanda tangan yang tepat diunggah ke dalam perangkat lunak. Sayangnya, ini biasanya terjadi hanya setelah sejumlah mesin tertentu telah diserang dan penerbit tanda tangan penyusupan memiliki waktu untuk menerbitkan paket pembaruan baru. Beberapa pemasok cukup cepat sementara yang lain hanya bisa bereaksi beberapa hari kemudian.

Deteksi intrusi berbasis anomali, metode lainnya, memberikan perlindungan yang lebih baik terhadap serangan zero-day, yang terjadi sebelum perangkat lunak pendeteksi intrusi memiliki kesempatan untuk memperoleh file tanda tangan yang tepat. Sistem ini mencari anomali daripada mencoba mengenali pola intrusi yang diketahui. Misalnya, mereka dapat dipicu jika seseorang mencoba mengakses sistem dengan kata sandi yang salah beberapa kali berturut-turut, tanda umum serangan brute force. Setiap perilaku yang mencurigakan dapat dengan cepat dideteksi. Setiap metode pendeteksian memiliki kelebihan dan kekurangan. Sama seperti jenis alat, alat terbaik adalah yang menggunakan kombinasi analisis tanda tangan dan perilaku untuk perlindungan terbaik.

Deteksi Vs Pencegahan – Perbedaan Penting

Kami telah membahas Sistem Deteksi Intrusi tetapi banyak dari Anda mungkin pernah mendengar tentang Sistem Pencegahan Intrusi. Apakah kedua konsep tersebut identik? Jawaban mudahnya adalah tidak karena kedua jenis alat tersebut memiliki tujuan yang berbeda. Namun, ada beberapa tumpang tindih di antara mereka. Sesuai namanya, sistem deteksi intrusi mendeteksi upaya penyusupan dan aktivitas mencurigakan. Ketika mendeteksi sesuatu, biasanya memicu beberapa bentuk peringatan atau pemberitahuan. Administrator kemudian harus mengambil langkah-langkah yang diperlukan untuk menghentikan atau memblokir upaya penyusupan.

Intrusion Prevention Systems (IPS) dibuat untuk menghentikan intrusi agar tidak terjadi sama sekali. IPS aktif menyertakan komponen deteksi yang secara otomatis akan memicu beberapa tindakan perbaikan setiap kali upaya penyusupan terdeteksi. Pencegahan Intrusi juga bisa pasif. Istilah ini dapat digunakan untuk merujuk pada apa pun yang dilakukan atau ditempatkan sebagai cara untuk mencegah penyusupan. Pengerasan kata sandi, misalnya, dapat dianggap sebagai tindakan Pencegahan Intrusi.

Alat Deteksi Intrusi Host Terbaik

Kami telah mencari pasar untuk sistem deteksi intrusi berbasis host terbaik. Apa yang kami miliki untuk Anda adalah campuran HIDS sejati dan perangkat lunak lain yang, meskipun mereka tidak menyebut diri mereka sistem deteksi intrusi, memiliki komponen deteksi intrusi atau dapat digunakan untuk mendeteksi upaya penyusupan. Mari tinjau pilihan teratas kami dan lihat fitur terbaiknya.

1. Log & Manajer Acara SolarWinds (Uji Coba Gratis)

Entri pertama kami adalah dari SolarWinds, nama umum di bidang alat administrasi jaringan. Perusahaan telah ada selama sekitar 20 tahun dan telah membawakan kami beberapa alat administrasi jaringan dan sistem terbaik. Ini juga terkenal dengan banyak alat gratisnya yang menangani beberapa kebutuhan khusus administrator jaringan. Dua contoh hebat dari alat gratis ini adalah Server Kiwi Syslog dan Kalkulator Subnet Lanjutan.

Jangan biarkan nama SolarWinds Log & Event Manager membodohi Anda. Ini lebih dari sekadar sistem manajemen log dan acara. Banyak fitur canggih produk ini memasukkannya ke dalam rangkaian Informasi Keamanan dan Manajemen Peristiwa (SIEM). Fitur lain memenuhi syarat sebagai Intrusion Detection System dan bahkan, sampai batas tertentu, sebagai Intrusion Prevention System. Alat ini menampilkan korelasi peristiwa waktu nyata dan perbaikan waktu nyata, misalnya.

• UJI COBA GRATIS: SolarWinds Log & Manajer Acara
• Tautan Unduhan Resmi: https://www.solarwinds.com/log-event-manager-software/registration

The SolarWinds Log & Event Manager fitur deteksi sesaat dari aktivitas yang mencurigakan (IDS-seperti fungsi) dan tanggapan otomatis (IPS-seperti fungsi). Itu juga dapat melakukan penyelidikan peristiwa keamanan dan forensik untuk tujuan mitigasi dan kepatuhan. Berkat pelaporannya yang terbukti audit, alat ini juga dapat digunakan untuk menunjukkan kepatuhan dengan HIPAA, PCI-DSS, dan SOX, antara lain. Alat ini juga memiliki pemantauan integritas file dan pemantauan perangkat USB, menjadikannya lebih dari sekadar platform keamanan terintegrasi daripada sekadar sistem manajemen log dan peristiwa.

Harga untuk SolarWinds Log & Event Manager mulai dari $4.585 untuk hingga 30 node yang dipantau. Lisensi hingga 2500 node dapat dibeli sehingga produk ini sangat skalabel. Jika Anda ingin mengambil produk untuk uji coba dan melihat sendiri apakah itu tepat untuk Anda, tersedia uji coba 30 hari berfitur lengkap gratis .

2. OSSEC

Open Source Security , atau OSSEC , sejauh ini merupakan sistem deteksi intrusi berbasis host open-source terkemuka. Produk ini dimiliki oleh Trend Micro, salah satu nama terkemuka dalam keamanan TI dan pembuat salah satu rangkaian perlindungan virus terbaik. Ketika diinstal pada sistem operasi mirip Unix, perangkat lunak ini terutama berfokus pada file log dan konfigurasi. Ini membuat checksum dari file penting dan secara berkala memvalidasinya, mengingatkan Anda setiap kali sesuatu yang aneh terjadi. Ini juga akan memantau dan memperingatkan setiap upaya abnormal untuk mendapatkan akses root. Pada host Windows, sistem juga mengawasi modifikasi registri yang tidak sah yang bisa menjadi tanda aktivitas jahat.

Berdasarkan sistem deteksi intrusi berbasis host, OSSEC perlu diinstal pada setiap komputer yang ingin Anda lindungi. Namun, konsol terpusat mengkonsolidasikan informasi dari setiap komputer yang dilindungi untuk manajemen yang lebih mudah. Sementara konsol OSSEC hanya berjalan pada sistem operasi Unix-Like, agen tersedia untuk melindungi host Windows. Deteksi apa pun akan memicu peringatan yang akan ditampilkan di konsol terpusat sementara pemberitahuan juga akan dikirim melalui email.

3. Samhain

Samhain adalah sistem deteksi intrusi host gratis terkenal lainnya. Fitur utamanya, dari sudut pandang IDS, adalah pemeriksaan integritas file dan pemantauan/analisis file log. Itu jauh lebih dari itu. Produk akan melakukan deteksi rootkit, pemantauan port, deteksi executable SUID nakal, dan proses tersembunyi. Alat ini dirancang untuk memantau beberapa host yang menjalankan berbagai sistem operasi sambil menyediakan pencatatan dan pemeliharaan terpusat. Namun, Samhain juga dapat digunakan sebagai aplikasi yang berdiri sendiri di satu komputer. Perangkat lunak ini terutama berjalan pada sistem POSIX seperti Unix, Linux atau OS X. Perangkat lunak ini juga dapat berjalan pada Windows di bawah Cygwin, sebuah paket yang memungkinkan menjalankan aplikasi POSIX pada Windows, meskipun hanya agen pemantauan yang telah diuji dalam konfigurasi tersebut.

Salah satu fitur Samhain yang paling unik adalah mode siluman yang memungkinkannya berjalan tanpa terdeteksi oleh penyerang potensial. Penyusup telah diketahui dengan cepat membunuh proses deteksi yang mereka kenali segera setelah mereka memasuki sistem sebelum terdeteksi, memungkinkan mereka untuk tidak diketahui. Samhain menggunakan teknik steganografi untuk menyembunyikan prosesnya dari orang lain. Ini juga melindungi file log pusat dan cadangan konfigurasi dengan kunci PGP untuk mencegah gangguan.

4. Fail2Ban

Fail2Ban adalah sistem deteksi intrusi host sumber terbuka dan gratis yang juga memiliki beberapa kemampuan pencegahan intrusi. Alat perangkat lunak memonitor file log untuk aktivitas dan kejadian yang mencurigakan seperti upaya login yang gagal, pencarian eksploitasi, dll. Tindakan default alat, setiap kali mendeteksi sesuatu yang mencurigakan, adalah secara otomatis memperbarui aturan firewall lokal untuk memblokir alamat IP sumber dari perilaku jahat. Pada kenyataannya, ini bukan pencegahan intrusi yang sebenarnya melainkan sistem deteksi intrusi dengan fitur perbaikan otomatis. Apa yang baru saja kami jelaskan adalah tindakan default alat tetapi tindakan sewenang-wenang lainnya—seperti mengirim pemberitahuan email—juga dapat dikonfigurasi, membuatnya berperilaku seperti sistem deteksi intrusi yang lebih “klasik”.

Fail2Ban ditawarkan dengan berbagai filter bawaan untuk beberapa layanan paling umum seperti Apache, SSH, FTP, Postfix dan banyak lagi. Pencegahan, seperti yang kami jelaskan, dilakukan dengan memodifikasi tabel firewall host. Alat ini dapat bekerja dengan Netfilter, IPtables, atau tabel hosts.deny dari TCP Wrapper. Setiap filter dapat dikaitkan dengan satu atau banyak tindakan.

5. AIDE

The Lanjutan Intrusion Detection Environment , atau AIDE , adalah sistem deteksi lain bebas intrusi host salah satu ini terutama berfokus pada perbandingan deteksi rootkit dan tanda tangan berkas. Saat pertama kali Anda menginstalnya, alat ini akan mengkompilasi semacam database data admin dari file konfigurasi sistem. Basis data ini kemudian dapat digunakan sebagai dasar di mana setiap perubahan dapat dibandingkan dan akhirnya dibatalkan jika diperlukan.

AIDE memanfaatkan skema deteksi berbasis tanda tangan dan berbasis anomali. Ini adalah alat yang dijalankan sesuai permintaan dan tidak dijadwalkan atau terus berjalan. Sebenarnya, ini adalah kelemahan utama produk. Namun, karena ini adalah alat baris perintah daripada berbasis GUI, pekerjaan cron dapat dibuat untuk menjalankannya secara berkala. Jika Anda memilih untuk sering menjalankan alat—seperti sekali setiap menit—Anda hampir akan mendapatkan data waktu nyata dan Anda akan punya waktu untuk bereaksi sebelum upaya penyusupan apa pun menjadi terlalu jauh dan menyebabkan banyak kerusakan.

Pada intinya, AIDE hanyalah alat perbandingan data tetapi dengan bantuan beberapa skrip terjadwal eksternal, itu dapat diubah menjadi HIDS yang sebenarnya. Perlu diingat bahwa ini pada dasarnya adalah alat lokal. Ini tidak memiliki manajemen terpusat dan tidak ada GUI mewah.

6. Sagan

Terakhir dalam daftar kami adalah Sagan , yang sebenarnya lebih merupakan sistem analisis log daripada IDS yang sebenarnya. Namun, ia memiliki beberapa fitur mirip IDS, itulah sebabnya ia layak mendapat tempat di daftar kami. Alat ini secara lokal mengawasi file log dari sistem tempat ia diinstal, tetapi juga dapat berinteraksi dengan alat lain. Itu bisa, misalnya, menganalisis log Snort, secara efektif menambahkan fungsionalitas NIDS dari Snort ke apa yang pada dasarnya adalah HIDS. Itu tidak akan hanya berinteraksi dengan Snort. Sagan juga dapat berinteraksi dengan Suricata dan kompatibel dengan beberapa alat pembuat aturan seperti Oinkmaster atau Pulled Pork.

Sagan juga memiliki kemampuan eksekusi skrip yang dapat menjadikannya sistem pencegahan intrusi yang kasar, asalkan Anda mengembangkan beberapa skrip perbaikan. Meskipun alat ini mungkin tidak digunakan sebagai satu-satunya pertahanan Anda terhadap penyusupan, alat ini dapat menjadi komponen hebat dari sistem yang dapat menggabungkan banyak alat dengan menghubungkan peristiwa dari sumber yang berbeda.