Tutti vogliono tenere gli intrusi fuori casa. Allo stesso modo, e per ragioni simili, gli amministratori di rete si sforzano di tenere gli intrusi fuori dalle reti che gestiscono. Una delle risorse più importanti di molte delle organizzazioni di oggi sono i loro dati. È così importante che molte persone malintenzionate facciano di tutto per rubare quei dati. Lo fanno utilizzando una vasta gamma di tecniche per ottenere l'accesso non autorizzato a reti e sistemi. Il numero di tali attacchi sembra essere cresciuto esponenzialmente di recente e, per reazione, vengono messi in atto sistemi per prevenirli. Questi sistemi sono chiamati sistemi di prevenzione delle intrusioni o IPS. Oggi diamo uno sguardo ai migliori sistemi di prevenzione delle intrusioni che siamo riusciti a trovare.
Inizieremo cercando di definire meglio cos'è la prevenzione delle intrusioni. Questo, ovviamente, implica che definiremo anche cos'è l'intrusione. Esploreremo quindi i diversi metodi di rilevamento utilizzati in genere e le azioni correttive intraprese al momento del rilevamento. Quindi, parleremo brevemente della prevenzione delle intrusioni passiva. Sono misure statiche che possono essere messe in atto che potrebbero ridurre drasticamente il numero di tentativi di intrusione. Potresti essere sorpreso di scoprire che alcuni di questi non hanno nulla a che fare con i computer. Solo allora, con tutti noi sulla stessa pagina, potremo finalmente rivedere alcuni dei migliori sistemi di prevenzione delle intrusioni che potremmo trovare.
Prevenzione delle intrusioni: di cosa si tratta?
Anni fa, i virus erano praticamente le uniche preoccupazioni degli amministratori di sistema. I virus sono arrivati a un punto in cui erano così comuni che l'industria ha reagito sviluppando strumenti di protezione antivirus. Oggi, nessun utente serio sano di mente penserebbe di far funzionare un computer senza protezione antivirus. Anche se non si sente più parlare di virus, la nuova minaccia è l'intrusione o l'accesso non autorizzato ai dati da parte di utenti malintenzionati. Poiché i dati sono spesso la risorsa più importante di un'organizzazione, le reti aziendali sono diventate il bersaglio di hacker malintenzionati che faranno di tutto per ottenere l'accesso ai dati. Proprio come il software di protezione antivirus è stata la risposta alla proliferazione di virus, Intrusion Prevention Systems è la risposta agli attacchi degli intrusi.
I sistemi di prevenzione delle intrusioni fanno essenzialmente due cose. Innanzitutto, rilevano i tentativi di intrusione e, quando rilevano attività sospette, utilizzano metodi diversi per fermarli o bloccarli. Esistono due modi diversi per rilevare i tentativi di intrusione. Il rilevamento basato sulle firme funziona analizzando il traffico e i dati di rete e cercando modelli specifici associati ai tentativi di intrusione. Questo è simile ai tradizionali sistemi di protezione antivirus che si basano sulle definizioni dei virus. Il rilevamento delle intrusioni basato sulle firme si basa su firme o modelli di intrusione. Lo svantaggio principale di questo metodo di rilevamento è che necessita delle firme corrette per essere caricato nel software. E quando un nuovo metodo di attacco, di solito c'è un ritardo prima che le firme di attacco vengano aggiornate. Alcuni fornitori sono molto veloci nel fornire firme di attacco aggiornate, mentre altri sono molto più lenti. La frequenza e la velocità di aggiornamento delle firme è un fattore importante da considerare quando si sceglie un fornitore.
Il rilevamento basato sulle anomalie offre una migliore protezione contro gli attacchi zero-day, quelli che si verificano prima che le firme di rilevamento abbiano avuto la possibilità di essere aggiornate. Il processo cerca le anomalie invece di cercare di riconoscere i modelli di intrusione noti. Ad esempio, verrebbe attivato se qualcuno tentasse di accedere a un sistema con una password errata più volte di seguito, un segno comune di un attacco di forza bruta. Questo è solo un esempio e in genere ci sono centinaia di diverse attività sospette che possono attivare questi sistemi. Entrambi i metodi di rilevamento hanno i loro vantaggi e svantaggi. Gli strumenti migliori sono quelli che utilizzano una combinazione di analisi delle firme e del comportamento per la migliore protezione.
Rilevare i tentativi di intrusione è una delle prime fasi per prevenirli. Una volta rilevati, i sistemi di prevenzione delle intrusioni lavorano attivamente per fermare le attività rilevate. Questi sistemi possono intraprendere diverse azioni correttive. Potrebbero, ad esempio, sospendere o disattivare in altro modo gli account utente. Un'altra azione tipica è il blocco dell'indirizzo IP di origine dell'attacco o la modifica delle regole del firewall. Se l'attività dannosa proviene da un processo specifico, il sistema di prevenzione potrebbe interrompere il processo. L'avvio di un processo di protezione è un'altra reazione comune e, nei casi peggiori, interi sistemi possono essere arrestati per limitare potenziali danni. Un altro compito importante dei sistemi di prevenzione delle intrusioni è avvisare gli amministratori, registrare l'evento e segnalare attività sospette.
Misure passive di prevenzione delle intrusioni
Mentre i sistemi di prevenzione delle intrusioni possono proteggerti da numerosi tipi di attacchi, niente batte le buone misure di prevenzione delle intrusioni passive vecchio stile. Ad esempio, imporre password complesse è un ottimo modo per proteggersi da molte intrusioni. Un'altra semplice misura di protezione è la modifica delle password predefinite dell'apparecchiatura. Sebbene sia meno frequente nelle reti aziendali, sebbene non sia inaudito, ho visto fin troppo spesso gateway Internet che avevano ancora la password di amministratore predefinita. In tema di password, l'invecchiamento delle password è un altro passo concreto che può essere messo in atto per ridurre i tentativi di intrusione. Qualsiasi password, anche la migliore, può essere decifrata, con un tempo sufficiente. L'invecchiamento delle password garantisce che le password vengano modificate prima che vengano violate.
C'erano solo esempi di cosa si potrebbe fare per prevenire passivamente le intrusioni. Potremmo scrivere un intero post su quali misure passive possono essere messe in atto, ma questo non è il nostro obiettivo oggi. Il nostro obiettivo è invece quello di presentare alcuni dei migliori Sistemi di Prevenzione delle Intrusioni attivi.
I migliori sistemi di prevenzione delle intrusioni
Il nostro elenco contiene un mix di vari strumenti che possono essere utilizzati per proteggersi dai tentativi di intrusione. La maggior parte degli strumenti inclusi sono veri e propri sistemi di prevenzione delle intrusioni, ma includiamo anche strumenti che, pur non essendo commercializzati come tali, possono essere utilizzati per prevenire le intrusioni. La nostra prima voce è uno di questi esempi. Ricorda che, più di ogni altra cosa, la tua scelta di quale strumento utilizzare dovrebbe essere guidata da quelle che sono le tue esigenze specifiche. Quindi, vediamo cosa ha da offrire ciascuno dei nostri migliori strumenti.
1. SolarWinds Log & Event Manager (PROVA GRATUITA)
SolarWinds è un nome noto nell'amministrazione di rete. Gode di una solida reputazione per la creazione di alcuni dei migliori strumenti di amministrazione di rete e di sistema. Il suo prodotto di punta, il Network Performance Monitor, si colloca costantemente tra i migliori strumenti di monitoraggio della larghezza di banda di rete disponibili. SolarWinds è anche famoso per i suoi numerosi strumenti gratuiti, ognuno dei quali risponde a un'esigenza specifica degli amministratori di rete. Il server Kiwi Syslog o il server TFTP SolarWinds sono due ottimi esempi di questi strumenti gratuiti.
Non lasciarti ingannare dal nome di SolarWinds Log & Event Manager . C'è molto di più di quanto sembri. Alcune delle funzionalità avanzate di questo prodotto lo qualificano come sistema di rilevamento e prevenzione delle intrusioni, mentre altre lo inseriscono nella gamma SIEM (Security Information and Event Management). Lo strumento, ad esempio, offre la correlazione degli eventi in tempo reale e la correzione in tempo reale.
Il SolarWinds Log & Event Manager vanta il rilevamento istantaneo di attività sospette (una funzionalità di rilevamento delle intrusioni) e risposte automatiche (una funzionalità di prevenzione delle intrusioni). Questo strumento può essere utilizzato anche per eseguire indagini sugli eventi di sicurezza e analisi forensi. Può essere utilizzato per scopi di mitigazione e conformità. Lo strumento dispone di report verificati da audit che possono essere utilizzati anche per dimostrare la conformità con vari quadri normativi come HIPAA, PCI-DSS e SOX. Lo strumento ha anche il monitoraggio dell'integrità dei file e il monitoraggio del dispositivo USB. Tutte le funzionalità avanzate del software lo rendono più una piattaforma di sicurezza integrata che il semplice sistema di gestione di registri ed eventi che il suo nome farebbe credere.
Le funzionalità di prevenzione delle intrusioni di SolarWinds Log & Event Manager funzionano implementando azioni chiamate Risposte attive ogni volta che vengono rilevate minacce. Risposte diverse possono essere collegate ad avvisi specifici. Ad esempio, il sistema può scrivere nelle tabelle del firewall per bloccare l'accesso alla rete di un indirizzo IP di origine identificato come responsabile di attività sospette. Lo strumento può anche sospendere gli account utente, arrestare o avviare processi e spegnere i sistemi. Ricorderete come queste siano proprio le azioni correttive che abbiamo identificato prima.
I prezzi per SolarWinds Log & Event Manager variano in base al numero di nodi monitorati. I prezzi partono da $ 4.585 per un massimo di 30 nodi monitorati e possono essere acquistate licenze per un massimo di 2500 nodi, rendendo il prodotto altamente scalabile. Se desideri provare il prodotto e vedere di persona se è adatto a te, è disponibile una prova gratuita completa di 30 giorni .
2. Splunk
Splunk è probabilmente uno dei sistemi di prevenzione delle intrusioni più popolari. È disponibile in diverse edizioni con diversi set di funzionalità. Splunk Enterprise Security, o Splunk ES , come viene spesso chiamato, è ciò di cui hai bisogno per una vera prevenzione delle intrusioni. Il software monitora i dati del tuo sistema in tempo reale, cercando vulnerabilità e segni di attività anomala.
La risposta alla sicurezza è uno dei punti di forza del prodotto e ciò che lo rende un sistema di prevenzione delle intrusioni. Utilizza ciò che il fornitore chiama Adaptive Response Framework (ARF). Si integra con le apparecchiature di oltre 55 fornitori di sicurezza e può eseguire risposte automatizzate, velocizzando le attività manuali. Questa combinazione, se la riparazione automatizzata e l'intervento manuale possono darti le migliori possibilità di ottenere rapidamente il sopravvento. Lo strumento ha un'interfaccia utente semplice e ordinata, che rappresenta una soluzione vincente. Altre interessanti funzionalità di protezione includono la funzione "Notables" che mostra avvisi personalizzabili dall'utente e "Asset Investigator" per segnalare attività dannose e prevenire ulteriori problemi.
Le informazioni sui prezzi di Splunk Enterprise Security non sono immediatamente disponibili. Dovrai contattare le vendite di Splunk per ottenere un preventivo dettagliato. Questo è un ottimo prodotto per il quale è disponibile una prova gratuita.
3. Sagan
Sagan è fondamentalmente un sistema di rilevamento delle intrusioni gratuito. Tuttavia, lo strumento che ha capacità di esecuzione di script che può collocarlo nella categoria Sistemi di prevenzione delle intrusioni. Sagan rileva i tentativi di intrusione attraverso il monitoraggio dei file di registro. Puoi anche combinare Sagan con Snort che può fornire il suo output a Sagan dando allo strumento alcune capacità di rilevamento delle intrusioni basate sulla rete. In effetti, Sagan può ricevere input da molti altri strumenti come Bro o Suricata, combinando le capacità di diversi strumenti per la migliore protezione possibile.
Tuttavia, c'è un problema nelle capacità di esecuzione degli script di Sagan . Devi scrivere gli script di riparazione. Sebbene questo strumento potrebbe non essere utilizzato al meglio come unica difesa contro le intrusioni, potrebbe essere un componente chiave di un sistema che incorpora diversi strumenti correlando eventi provenienti da fonti diverse, offrendoti il meglio di molti prodotti.
Mentre Sagan può essere installato solo su Linux, Unix e Mac OS, può connettersi ai sistemi Windows per ottenere i loro eventi. Altre caratteristiche interessanti di Sagan includono il monitoraggio della posizione dell'indirizzo IP e l'elaborazione distribuita.
4. OSSEC
Open Source Security , o OSSEC , è uno dei principali sistemi di rilevamento delle intrusioni basati su host open source. Lo includiamo nella nostra lista per due motivi. La sua popolarità è tale che abbiamo dovuto includerlo, soprattutto considerando che lo strumento consente di specificare azioni che vengono eseguite automaticamente ogni volta che vengono attivati avvisi specifici, dandogli alcune funzionalità di prevenzione delle intrusioni. OSSEC è di proprietà di Trend Micro, uno dei nomi leader nella sicurezza IT e produttore di una delle migliori suite di protezione antivirus.
Quando installato su sistemi operativi simili a Unix, il motore di rilevamento del software si concentra principalmente sui file di registro e di configurazione. Crea checksum di file importanti e li verifica periodicamente, avvisandoti o attivando un'azione correttiva ogni volta che accade qualcosa di strano. Inoltre monitorerà e avviserà su qualsiasi tentativo anomalo di ottenere l'accesso come root. Su Windows, il sistema tiene d'occhio anche le modifiche al registro non autorizzate in quanto potrebbero essere il segno rivelatore di attività dannose. Qualsiasi rilevamento attiverà un avviso che verrà visualizzato sulla console centralizzata mentre le notifiche verranno inviate anche via e-mail.
OSSEC è un sistema di protezione dalle intrusioni basato su host. Pertanto, deve essere installato su ogni computer che si desidera proteggere. Tuttavia, una console centralizzata consolida le informazioni da ciascun computer protetto per una gestione più semplice. La console OSSEC funziona solo su sistemi operativi Unix-Like ma è disponibile un agente per proteggere gli host Windows. In alternativa, è possibile utilizzare altri strumenti come Kibana o Graylog come front-end dello strumento.
5. Apri WIPS-NG
Non eravamo troppo sicuri di includere Open WIPS NG nella nostra lista. Maggiori informazioni in un momento. Lo ha realizzato principalmente perché è uno dei pochi prodotti che si rivolge specificamente alle reti wireless. Apri WIPS NG–dove WIPS sta per Wireless Intrusion Prevention System–è uno strumento open source composto da tre componenti principali. Innanzitutto, c'è il sensore. Questo è un processo stupido che cattura semplicemente il traffico wireless e lo invia al server per l'analisi. Come probabilmente avrai intuito, il componente successivo è il server. Aggrega i dati di tutti i sensori, analizza i dati raccolti e risponde agli attacchi. Questo componente è il cuore del sistema. Ultimo ma non meno importante è il componente dell'interfaccia, ovvero la GUI che utilizzi per gestire il server e visualizzare le informazioni sulle minacce rilevate sulla tua rete wireless.
Il motivo principale per cui abbiamo esitato prima di includere Open WIPS NG nella nostra lista è che, per quanto buono, non a tutti piace lo sviluppatore del prodotto. Proviene dallo stesso sviluppatore di Aircrack NG, uno sniffer di pacchetti wireless e un cracker di password che fa parte del toolkit di ogni hacker WiFi. Questo apre il dibattito sull'etica dello sviluppatore e rende diffidenti alcuni utenti. D'altra parte, il background dello sviluppatore può essere visto come una testimonianza della sua profonda conoscenza della sicurezza Wi-Fi.
6. Fail2Ban
Fail2Ban è un sistema di rilevamento delle intrusioni host gratuito relativamente popolare con funzionalità di prevenzione delle intrusioni. Il software funziona monitorando i file di registro del sistema per eventi sospetti come tentativi di accesso non riusciti o ricerche di exploit. Quando il sistema rileva qualcosa di sospetto, reagisce aggiornando automaticamente le regole del firewall locale per bloccare l'indirizzo IP di origine del comportamento dannoso. Questo, ovviamente, implica che sul computer locale sia in esecuzione un processo firewall. Questo è lo svantaggio principale dello strumento. Tuttavia, è possibile configurare qualsiasi altra azione arbitraria, come l'esecuzione di uno script correttivo o l'invio di notifiche e-mail.
Fail2Ban viene fornito con diversi trigger di rilevamento predefiniti chiamati filtri, che coprono alcuni dei servizi più comuni come Apache, Courrier, SSH, FTP, Postfix e molti altri. Come abbiamo detto, le azioni correttive vengono eseguite modificando le tabelle del firewall dell'host. Fail2Ban supporta Netfilter, IPtables o la tabella hosts.deny di TCP Wrapper. Ogni filtro può essere associato a una o più azioni. Insieme, filtri e azioni vengono definiti jail.
7. Bro Network Security Monitor
Il Bro Network Security Monitor è un altro sistema di rilevamento delle intrusioni di rete gratuito con funzionalità simili a IPS. Funziona in due fasi, prima registra il traffico e poi lo analizza. Questo strumento opera su più livelli fino al livello dell'applicazione che rappresenta un migliore rilevamento dei tentativi di intrusione divisi. Il modulo di analisi del prodotto è composto da due elementi. Il primo elemento è chiamato Event Engine e il suo scopo è tenere traccia di eventi di attivazione come connessioni TCP o richieste HTTP. Gli eventi vengono quindi analizzati da Policy Scripts, il secondo elemento. Il compito degli script di policy è decidere se attivare un allarme, avviare un'azione o ignorare l'evento. È la possibilità di avviare un'azione che conferisce al Bro Network Security Monitor la sua funzionalità IPS.
Il Bro Network Security Monitor ha alcune limitazioni. Tiene traccia solo dell'attività HTTP, DNS e FTP e monitorerà anche il traffico SNMP. Questa è una buona cosa, tuttavia, perché SNMP viene spesso utilizzato per il monitoraggio della rete nonostante i suoi gravi difetti di sicurezza. SNMP ha pochissima sicurezza integrata e utilizza traffico non crittografato. E poiché il protocollo può essere utilizzato per modificare le configurazioni, potrebbe essere facilmente sfruttato da utenti malintenzionati. Il prodotto terrà inoltre d'occhio le modifiche alla configurazione del dispositivo e le trap SNMP. Può essere installato su Unix, Linux e OS X ma non è disponibile per Windows, il che è forse il suo principale svantaggio. Altrimenti, questo è uno strumento molto interessante che vale la pena provare.