7 Sistem Pencegahan Intrusi (IPS) Terbaik untuk tahun 2021

Semua orang ingin menjauhkan penyusup dari rumah mereka. Demikian juga—dan untuk alasan yang sama, administrator jaringan berusaha keras untuk menjauhkan penyusup dari jaringan yang mereka kelola. Salah satu aset terpenting dari banyak organisasi saat ini adalah data mereka. Sangat penting bahwa banyak individu yang bermaksud buruk akan berusaha keras untuk mencuri data itu. Mereka melakukannya dengan menggunakan beragam teknik untuk mendapatkan akses tidak sah ke jaringan dan sistem. Jumlah serangan tersebut tampaknya telah tumbuh secara eksponensial baru-baru ini dan, sebagai reaksi, sistem sedang ditempatkan untuk mencegahnya. Sistem tersebut disebut Intrusion Prevention System, atau IPS. Hari ini, kita melihat sistem pencegahan intrusi terbaik yang bisa kita temukan.

Kita akan mulai dengan mencoba mendefinisikan dengan lebih baik apa itu Intrusion Prevention. Ini, tentu saja, mensyaratkan bahwa kita juga akan mendefinisikan apa itu intrusi. Kami kemudian akan menjelajahi berbagai metode deteksi yang biasanya digunakan dan tindakan perbaikan apa yang diambil setelah deteksi. Kemudian, kita akan berbicara secara singkat tentang pencegahan intrusi pasif. Mereka adalah langkah-langkah statis yang dapat diterapkan yang secara drastis dapat mengurangi jumlah upaya penyusupan. Anda mungkin terkejut mengetahui bahwa beberapa di antaranya tidak ada hubungannya dengan komputer. Hanya dengan demikian, dengan kita semua pada halaman yang sama, kita akhirnya dapat meninjau beberapa Sistem Pencegahan Intrusi terbaik yang dapat kita temukan.

Pencegahan Intrusi – Tentang Apa Ini?

Bertahun-tahun yang lalu, virus adalah satu-satunya perhatian administrator sistem. Virus sampai pada titik di mana mereka begitu umum sehingga industri bereaksi dengan mengembangkan alat perlindungan virus. Saat ini, tidak ada pengguna yang waras yang akan berpikir untuk menjalankan komputer tanpa perlindungan virus. Meskipun kami tidak lagi mendengar banyak tentang virus, penyusupan—atau akses tidak sah ke data Anda oleh pengguna jahat—adalah ancaman baru. Dengan data yang sering menjadi aset organisasi yang paling penting, jaringan perusahaan telah menjadi target peretas yang berniat jahat yang akan berusaha keras untuk mendapatkan akses ke data. Sama seperti perangkat lunak perlindungan virus yang merupakan jawaban atas perkembangbiakan virus, Sistem Pencegahan Intrusi adalah jawaban atas serangan penyusup.

Sistem Pencegahan Intrusi pada dasarnya melakukan dua hal. Pertama, mereka mendeteksi upaya penyusupan dan ketika mereka mendeteksi aktivitas mencurigakan, mereka menggunakan metode berbeda untuk menghentikan atau memblokirnya. Ada dua cara berbeda agar upaya penyusupan dapat dideteksi. Deteksi berbasis tanda tangan bekerja dengan menganalisis lalu lintas jaringan dan data serta mencari pola spesifik yang terkait dengan upaya penyusupan. Ini mirip dengan sistem perlindungan virus tradisional yang mengandalkan definisi virus. Deteksi intrusi berbasis tanda tangan bergantung pada tanda atau pola intrusi. Kelemahan utama dari metode deteksi ini adalah perlunya tanda tangan yang tepat untuk dimuat ke dalam perangkat lunak. Dan ketika metode serangan baru, biasanya ada penundaan sebelum tanda tangan serangan diperbarui. Beberapa vendor sangat cepat dalam memberikan tanda tangan serangan yang diperbarui sementara yang lain jauh lebih lambat. Seberapa sering dan seberapa cepat tanda tangan diperbarui merupakan faktor penting untuk dipertimbangkan saat memilih vendor.

Deteksi berbasis anomali menawarkan perlindungan yang lebih baik terhadap serangan zero-day, yang terjadi sebelum tanda tangan deteksi memiliki kesempatan untuk diperbarui. Proses mencari anomali alih-alih mencoba mengenali pola intrusi yang diketahui. Misalnya, itu akan dipicu jika seseorang mencoba mengakses sistem dengan kata sandi yang salah beberapa kali berturut-turut, tanda umum serangan brute force. Ini hanyalah sebuah contoh dan biasanya ada ratusan aktivitas mencurigakan yang dapat memicu sistem ini. Kedua metode deteksi tersebut memiliki kelebihan dan kekurangannya masing-masing. Alat terbaik adalah yang menggunakan kombinasi analisis tanda tangan dan perilaku untuk perlindungan terbaik.

Mendeteksi upaya penyusupan adalah salah satu bagian pertama dari pencegahannya. Setelah terdeteksi, Sistem Pencegahan Intrusi bekerja secara aktif untuk menghentikan aktivitas yang terdeteksi. Beberapa tindakan perbaikan yang berbeda dapat dilakukan oleh sistem ini. Mereka dapat, misalnya, menangguhkan atau menonaktifkan akun pengguna. Tindakan tipikal lainnya adalah memblokir alamat IP sumber serangan atau memodifikasi aturan firewall. Jika aktivitas jahat berasal dari proses tertentu, sistem pencegahan dapat mematikan proses tersebut. Memulai beberapa proses perlindungan adalah reaksi umum lainnya dan, dalam kasus terburuk, seluruh sistem dapat dimatikan untuk membatasi potensi kerusakan. Tugas penting lainnya dari Intrusion Prevention Systems adalah memperingatkan administrator, merekam kejadian, dan melaporkan aktivitas mencurigakan.

Tindakan Pencegahan Intrusi Pasif

Sementara Sistem Pencegahan Intrusi dapat melindungi Anda dari berbagai jenis serangan, tidak ada yang mengalahkan baik, langkah-langkah pencegahan intrusi pasif kuno. Misalnya, mengamanatkan kata sandi yang kuat adalah cara terbaik untuk melindungi dari banyak penyusupan. Tindakan perlindungan mudah lainnya adalah mengubah kata sandi default peralatan. Meskipun lebih jarang di jaringan perusahaan—walaupun tidak pernah terdengar—saya hanya sering melihat gateway Internet yang masih memiliki kata sandi admin default. Sementara pada masalah kata sandi, penuaan kata sandi adalah langkah konkret lain yang dapat dilakukan untuk mengurangi upaya penyusupan. Kata sandi apa pun, bahkan yang terbaik, pada akhirnya dapat dipecahkan, dengan waktu yang cukup. Penuaan kata sandi memastikan bahwa kata sandi akan diubah sebelum mereka diretas.

Hanya ada contoh tentang apa yang dapat dilakukan untuk mencegah penyusupan secara pasif. Kami dapat menulis seluruh posting tentang tindakan pasif apa yang dapat dilakukan tetapi ini bukan tujuan kami hari ini. Tujuan kami adalah untuk menyajikan beberapa Sistem Pencegahan Intrusi aktif terbaik.

Sistem Pencegahan Intrusi Terbaik

Daftar kami berisi campuran berbagai alat yang dapat digunakan untuk melindungi dari upaya penyusupan. Sebagian besar alat yang disertakan adalah Sistem Pencegahan Intrusi yang sebenarnya, tetapi kami juga menyertakan alat yang, meskipun tidak dipasarkan seperti itu, dapat digunakan untuk mencegah penyusupan. Entri pertama kami adalah salah satu contohnya. Ingatlah bahwa, lebih dari segalanya, pilihan Anda tentang alat yang akan digunakan harus dipandu oleh kebutuhan spesifik Anda. Jadi, mari kita lihat apa yang ditawarkan masing-masing alat utama kami.

1. Manajer Acara & Log SolarWinds (UJI COBA GRATIS)

SolarWinds adalah nama terkenal dalam administrasi jaringan. Ia menikmati reputasi yang solid untuk membuat beberapa alat administrasi jaringan dan sistem terbaik. Produk andalannya, Monitor Kinerja Jaringan secara konsisten mendapat skor di antara alat pemantauan bandwidth jaringan teratas yang tersedia. SolarWinds juga terkenal dengan banyak alat gratisnya, masing-masing menangani kebutuhan khusus administrator jaringan. Server Kiwi Syslog atau server TFTP SolarWinds adalah dua contoh yang sangat baik dari alat gratis ini.

Jangan biarkan nama SolarWinds Log & Event Manager membodohi Anda. Ada jauh lebih banyak daripada yang terlihat. Beberapa fitur canggih produk ini memenuhi syarat sebagai sistem deteksi dan pencegahan intrusi sementara yang lain memasukkannya ke dalam rangkaian Informasi Keamanan dan Manajemen Peristiwa (SIEM). Alat ini, misalnya, menampilkan korelasi peristiwa waktu nyata dan perbaikan waktu nyata.

• UJI COBA GRATIS: SolarWinds Log & Manajer Acara
• Tautan Unduhan Resmi: https://www.solarwinds.com/log-event-manager-software/registration

The SolarWinds Log & Event Manager menawarkan deteksi sesaat dari aktivitas yang mencurigakan (fungsionalitas deteksi intrusi) dan tanggapan otomatis (fungsionalitas pencegahan intrusi). Alat ini juga dapat digunakan untuk melakukan penyelidikan peristiwa keamanan dan forensik. Ini dapat digunakan untuk tujuan mitigasi dan kepatuhan. Alat ini menampilkan pelaporan yang telah terbukti audit yang juga dapat digunakan untuk menunjukkan kepatuhan terhadap berbagai kerangka peraturan seperti HIPAA, PCI-DSS, dan SOX. Alat ini juga memiliki pemantauan integritas file dan pemantauan perangkat USB. Semua fitur canggih dari perangkat lunak menjadikannya lebih dari platform keamanan terintegrasi daripada hanya sistem manajemen log dan acara yang namanya akan membuat Anda percaya.

Fitur Pencegahan Intrusi dari SolarWinds Log & Event Manager bekerja dengan menerapkan tindakan yang disebut Respons Aktif setiap kali ancaman terdeteksi. Tanggapan yang berbeda dapat dikaitkan dengan peringatan tertentu. Misalnya, sistem dapat menulis ke tabel firewall untuk memblokir akses jaringan dari alamat IP sumber yang telah diidentifikasi melakukan aktivitas mencurigakan. Alat ini juga dapat menangguhkan akun pengguna, menghentikan atau memulai proses, dan mematikan sistem. Anda akan mengingat bagaimana tepatnya tindakan remediasi yang kami identifikasi sebelumnya.

Harga untuk SolarWinds Log & Event Manager bervariasi berdasarkan jumlah node yang dipantau. Harga mulai dari $4.585 untuk hingga 30 node yang dipantau dan lisensi hingga 2500 node dapat dibeli sehingga produk ini sangat skalabel. Jika Anda ingin mengambil produk untuk uji coba dan melihat sendiri apakah itu tepat untuk Anda, tersedia uji coba 30 hari berfitur lengkap gratis .

2. Splunk

Splunk kemungkinan adalah salah satu Sistem Pencegahan Intrusi yang paling populer. Ini tersedia dalam beberapa edisi yang berbeda dengan set fitur yang berbeda. Splunk Enterprise Security –atau Splunk ES , seperti yang sering disebut–adalah yang Anda butuhkan untuk Pencegahan Intrusi yang sebenarnya. Perangkat lunak ini memonitor data sistem Anda secara real time, mencari kerentanan dan tanda-tanda aktivitas abnormal.

Respons keamanan adalah salah satu keunggulan produk dan yang membuatnya menjadi Sistem Pencegahan Intrusi. Ini menggunakan apa yang disebut vendor sebagai Adaptive Response Framework (ARF). Ini terintegrasi dengan peralatan dari lebih dari 55 vendor keamanan dan dapat melakukan respons otomatis, mempercepat tugas manual. Kombinasi ini jika remediasi otomatis dan intervensi manual dapat memberi Anda peluang terbaik untuk menang dengan cepat. Alat ini memiliki antarmuka pengguna yang sederhana dan rapi, menjadikannya solusi yang unggul. Fitur perlindungan menarik lainnya termasuk fungsi "Orang Terkemuka" yang menunjukkan peringatan yang dapat disesuaikan pengguna dan "Penyelidik Aset" untuk menandai aktivitas jahat dan mencegah masalah lebih lanjut.

Informasi harga Splunk Enterprise Security tidak tersedia. Anda harus menghubungi bagian penjualan Splunk untuk mendapatkan penawaran terperinci. Ini adalah produk hebat yang tersedia uji coba gratis.

3. Sagan

Sagan pada dasarnya adalah sistem deteksi intrusi gratis. Namun, alat yang memiliki kemampuan eksekusi skrip yang dapat menempatkannya dalam kategori Sistem Pencegahan Intrusi. Sagan mendeteksi upaya penyusupan melalui pemantauan file log. Anda juga dapat menggabungkan Sagan dengan Snort yang dapat memberikan outputnya ke Sagan yang memberikan alat ini beberapa kemampuan deteksi intrusi berbasis jaringan. Bahkan, Sagan dapat menerima masukan dari banyak alat lain seperti Bro atau Suricata, menggabungkan kemampuan beberapa alat untuk perlindungan terbaik.

Namun, ada tangkapan pada kemampuan eksekusi skrip Sagan . Anda harus menulis skrip perbaikan. Meskipun alat ini mungkin tidak paling baik digunakan sebagai satu-satunya pertahanan Anda terhadap intrusi, itu bisa menjadi komponen kunci dari sistem yang menggabungkan beberapa alat dengan menghubungkan peristiwa dari sumber yang berbeda, memberi Anda yang terbaik dari banyak produk.

Meskipun Sagan hanya dapat diinstal di Linux, Unix, dan Mac OS, Sagan dapat terhubung ke sistem Windows untuk mendapatkan acara mereka. Fitur menarik lainnya dari Sagan termasuk pelacakan lokasi alamat IP dan pemrosesan terdistribusi.

4. OSSEC

Open Source Security , atau OSSEC , adalah salah satu Sistem Deteksi Intrusi berbasis host open-source terkemuka. Kami memasukkannya ke dalam daftar kami karena dua alasan. Popularitasnya sedemikian rupa sehingga kami harus memasukkannya, terutama mengingat alat ini memungkinkan Anda menentukan tindakan yang dilakukan secara otomatis setiap kali peringatan tertentu dipicu, memberikannya beberapa kemampuan Pencegahan Intrusi. OSSEC dimiliki oleh Trend Micro, salah satu nama terkemuka dalam keamanan TI dan pembuat salah satu rangkaian perlindungan virus terbaik.

Ketika diinstal pada sistem operasi mirip Unix, mesin pendeteksi perangkat lunak terutama berfokus pada file log dan konfigurasi. Ini membuat checksum dari file penting dan memverifikasinya secara berkala, memperingatkan Anda atau memicu tindakan perbaikan setiap kali sesuatu yang aneh terjadi. Ini juga akan memantau dan memperingatkan setiap upaya abnormal untuk mendapatkan akses root. Di Windows, sistem juga mengawasi modifikasi registri yang tidak sah karena dapat menjadi tanda aktivitas jahat. Deteksi apa pun akan memicu peringatan yang akan ditampilkan di konsol terpusat sementara pemberitahuan juga akan dikirim melalui email.

OSSEC adalah sistem perlindungan intrusi berbasis host. Karena itu, itu perlu diinstal pada setiap komputer yang ingin Anda lindungi. Namun, konsol terpusat mengkonsolidasikan informasi dari setiap komputer yang dilindungi untuk manajemen yang lebih mudah. The OSSEC konsol hanya berjalan pada sistem operasi Unix-Like tetapi agen tersedia untuk melindungi host Windows. Atau, alat lain seperti Kibana atau Graylog dapat digunakan sebagai ujung depan alat.

5. Buka WIPS-NG

Kami tidak terlalu yakin apakah kami harus memasukkan Open WIPS NG dalam daftar kami. Lebih lanjut tentang itu sebentar lagi. Itu dibuat terutama karena itu satu-satunya produk yang secara khusus menargetkan jaringan nirkabel. Buka WIPS NG– di mana WIPS adalah singkatan dari Wireless Intrusion Prevention System – adalah alat open source yang terbuat dari tiga komponen utama. Pertama, ada sensornya. Ini adalah proses bodoh yang hanya menangkap lalu lintas nirkabel dan mengirimkannya ke server untuk dianalisis. Seperti yang mungkin sudah Anda duga, komponen berikutnya adalah server. Ini mengumpulkan data dari semua sensor, menganalisis data yang dikumpulkan dan merespons serangan. Komponen ini adalah jantung dari sistem. Last but not least adalah komponen antarmuka yang merupakan GUI yang Anda gunakan untuk mengelola server dan menampilkan informasi tentang ancaman yang ditemukan di jaringan nirkabel Anda.

Alasan utama mengapa kami ragu-ragu sebelum memasukkan Open WIPS NG ke dalam daftar kami adalah bahwa, sebaik apa pun, tidak semua orang menyukai pengembang produk. Ini dari pengembang yang sama dengan Aircrack NG, sebuah paket sniffer nirkabel dan cracker kata sandi yang merupakan bagian dari toolkit setiap peretas WiFi. Ini membuka perdebatan tentang etika pengembang dan membuat beberapa pengguna waspada. Di sisi lain, latar belakang pengembang dapat dilihat sebagai bukti pengetahuannya yang mendalam tentang keamanan Wi-Fi.

6. Fail2Ban

Fail2Ban adalah sistem deteksi intrusi host gratis yang relatif populer dengan fitur pencegahan intrusi. Perangkat lunak ini bekerja dengan memantau file log sistem untuk kejadian mencurigakan seperti upaya login yang gagal atau pencarian eksploitasi. Saat sistem mendeteksi sesuatu yang mencurigakan, sistem akan bereaksi dengan memperbarui aturan firewall lokal secara otomatis untuk memblokir alamat IP sumber dari perilaku berbahaya tersebut. Ini, tentu saja, menyiratkan bahwa beberapa proses firewall sedang berjalan di mesin lokal. Ini adalah kelemahan utama alat ini. Namun, tindakan sewenang-wenang lainnya—seperti menjalankan beberapa skrip perbaikan atau mengirim pemberitahuan email—dapat dikonfigurasi.

Fail2Ban dilengkapi dengan beberapa pemicu deteksi pra-bangun yang disebut filter, yang mencakup beberapa layanan paling umum seperti Apache, Courrier, SSH, FTP, Postfix dan banyak lagi. Seperti yang kami katakan, tindakan remediasi dilakukan dengan memodifikasi tabel firewall host. Fail2Ban mendukung Netfilter, IPtables, atau tabel hosts.deny dari TCP Wrapper. Setiap filter dapat dikaitkan dengan satu atau banyak tindakan. Bersama-sama, filter dan tindakan disebut sebagai penjara.

7. Monitor Keamanan Jaringan Bro

The Bro Jaringan Keamanan Monitor adalah satu lagi jaringan sistem deteksi intrusi gratis dengan IPS-seperti fungsi. Ini bekerja dalam dua fase, pertama-tama mencatat lalu lintas dan kemudian menganalisisnya. Alat ini beroperasi pada beberapa lapisan hingga lapisan aplikasi yang menyumbang deteksi yang lebih baik dari upaya intrusi terpisah. Modul analisis produk terdiri dari dua elemen. Elemen pertama disebut Mesin Peristiwa dan tujuannya adalah melacak peristiwa pemicu seperti koneksi TCP atau permintaan HTTP. Peristiwa tersebut kemudian dianalisis oleh Policy Scripts, elemen kedua. Tugas Policy Scripts adalah memutuskan apakah akan memicu alarm, meluncurkan tindakan, atau mengabaikan acara. Ini adalah kemungkinan meluncurkan tindakan yang memberikan fungsi IPS pada Monitor Keamanan Jaringan Bro .

The Bro Jaringan Keamanan Monitor memiliki beberapa keterbatasan. Ini hanya akan melacak aktivitas HTTP, DNS, dan FTP dan juga akan memantau lalu lintas SNMP. Ini adalah hal yang baik, karena SNMP sering digunakan untuk pemantauan jaringan meskipun ada kelemahan keamanan yang serius. SNMP hampir tidak memiliki keamanan bawaan dan menggunakan lalu lintas yang tidak terenkripsi. Dan karena protokol dapat digunakan untuk mengubah konfigurasi, protokol tersebut dapat dengan mudah dieksploitasi oleh pengguna jahat. Produk juga akan mengawasi perubahan konfigurasi perangkat dan SNMP Traps. Itu dapat diinstal di Unix, Linux, dan OS X tetapi tidak tersedia untuk Windows, yang mungkin merupakan kelemahan utamanya. Jika tidak, ini adalah alat yang sangat menarik yang layak untuk dicoba.