2021年の6つの最高のホストベースの侵入検知システム(HIDS)

2021年の6つの最高のホストベースの侵入検知システム(HIDS)

おそらく私はそうしますが、私はあまり妄想的に聞こえたくありませんが、サイバー犯罪はいたるところにあります。すべての組織が、データにアクセスしようとするハッカーの標的になる可能性があります。したがって、物事を監視し、これらの悪意のある個人の犠牲にならないようにすることが基本です。防御の最初のラインは侵入検知システムです。ホストベースのシステムは、ホストレベルで検出を適用し、通常、ほとんどの侵入の試みを迅速に検出し、状況を改善できるようにすぐに通知します。非常に多くのホストベースの侵入検知システムが利用可能であるため、特定の状況に最適なものを選択することは困難に思えるかもしれません。わかりやすくするために、ホストベースの侵入検知システムのリストをまとめました。

2021年の6つの最高のホストベースの侵入検知システム(HIDS)

最適なツールを紹介する前に、簡単に説明し、さまざまなタイプの侵入検知システムについて見ていきます。ホストベースのものもあれば、ネットワークベースのものもあります。違いを説明します。次に、さまざまな侵入検知方法について説明します。一部のツールは署名ベースのアプローチを採用していますが、他のツールは疑わしい動作を監視しています。最高のものは両方の組み合わせを使用します。先に進む前に、私たちが見ているものを理解することが重要であるため、侵入検知システムと侵入防止システムの違いについて説明します。これで、この投稿の本質である、最高のホストベースの侵入検知システムの準備が整います。

2種類の侵入検知システム

侵入検知システムには、基本的に2つのタイプがあります。それらの目標は同じですが、侵入の試みや疑わしいアクティビティをすばやく検出して侵入の試みにつながる可能性がありますが、この検出が実行される場所が異なります。これは、施行ポイントと呼ばれることが多い概念です。それぞれのタイプには長所と短所があり、一般的に言って、どちらが好ましいかについてのコンセンサスはありません。実際、最良の解決策、または最も安全な解決策は、おそらく両方を組み合わせたものです。

ホスト侵入検知システム(HIDS)

私たちが今日関心を持っている最初のタイプの侵入検知システムは、ホストレベルで動作します。あなたはその名前からそれを推測したかもしれません。HIDSは、たとえば、疑わしいアクティビティの兆候がないか、さまざまなログファイルやジャーナルをチェックします。侵入の試みを検出するもう1つの方法は、重要な構成ファイルに不正な変更がないかどうかを確認することです。また、特定の既知の侵入パターンについて同じ構成ファイルを調べることもできます。たとえば、特定の侵入方法は、特定の構成ファイルに特定のパラメータを追加することで機能することがわかっている場合があります。優れたホストベースの侵入検知システムがそれをキャッチします。

ほとんどの場合、HIDSは保護対象のデバイスに直接インストールされます。すべてのコンピューターにインストールする必要があります。その他の場合は、ローカルエージェントをインストールするだけで済みます。すべての作業をリモートで行う人もいます。どのように動作するかに関係なく、優れたHIDSには、アプリケーションを制御してその結果を表示できる一元化されたコンソールがあります。

ネットワーク侵入検知システム(NIDS)

ネットワーク侵入検知システム(NIDS)と呼ばれる別のタイプの侵入検知システムは、ネットワークの境界で機能して検出を実施します。彼らは、疑わしい活動の検出や既知の侵入パターンの検索など、ホスト侵入検知システムと同様の方法を使用します。ただし、ログや構成ファイルを確認する代わりに、ネットワークトラフィックを監視し、すべての接続要求を調べます。一部の侵入方法は、意図的に不正な形式のパケットをホストに送信することで既知の脆弱性を悪用し、特定の方法で反応させて、侵害される可能性があります。ネットワーク侵入検知システムは、この種の試みを簡単に検出します。

NIDSは、システムに到達する前でも攻撃を検出するため、HIDSよりも優れていると主張する人もいます。それらを効果的に保護するために各ホストに何もインストールする必要がないため、それらを好む人もいます。一方、それらは、残念ながらまったく珍しいことではないインサイダー攻撃に対する保護をほとんど提供しません。攻撃者が検出されるには、NIDSを通過するパスを使用する必要があります。これらの理由から、最善の保護は、おそらく両方のタイプのツールを組み合わせて使用​​することから得られます。

侵入検知方法

侵入検知ツールには2つのタイプがあるのと同様に、侵入の試みを検出するために使用される方法は主に2つあります。検出は、シグネチャベースまたは異常ベースの場合があります。署名ベースの侵入検知は、侵入の試みに関連付けられている特定のパターンのデータを分析することによって機能します。これは、ウイルス定義に依存する従来のウイルス保護システムに似ています。同様に、シグネチャベースの侵入検知は、侵入シグネチャまたはパターンに依存しています。データを侵入シグネチャと比較して、試行を識別します。それらの主な欠点は、適切な署名がソフトウェアにアップロードされるまで機能しないことです。不運にも、これは通常、特定の数のマシンが攻撃され、侵入シグニチャの発行者が新しい更新パッケージを発行する時間があった後にのみ発生します。一部のサプライヤは非常に高速ですが、他のサプライヤは数日後にしか反応できませんでした。

もう1つの方法である異常ベースの侵入検知は、侵入検知ソフトウェアが適切なシグニチャファイルを取得する前に発生するゼロデイ攻撃に対する保護を強化します。これらのシステムは、既知の侵入パターンを認識しようとするのではなく、異常を探します。たとえば、誰かが間違ったパスワードを使用してシステムに連続して数回アクセスしようとした場合にトリガーされる可能性があります。これは、ブルートフォース攻撃の一般的な兆候です。疑わしい動作はすぐに検出できます。それぞれの検出方法には長所と短所があります。ツールの種類と同様に、最高のツールは、最高の保護のために署名と動作分析の組み合わせを使用するツールです。

検出と予防–重要な違い

私たちは侵入検知システムについて議論してきましたが、多くの人が侵入防止システムについて聞いたことがあるかもしれません。2つの概念は同じですか?2種類のツールは異なる目的を果たすため、簡単な答えはノーです。ただし、それらの間にはいくつかの重複があります。その名前が示すように、侵入検知システムは侵入の試みと疑わしい活動を検出します。何かを検出すると、通常、何らかの形式のアラートまたは通知をトリガーします。次に、管理者は、侵入の試みを停止またはブロックするために必要な手順を実行する必要があります。

侵入防止システム(IPS)は、侵入の発生を完全に防ぐために作られています。アクティブIPSには、侵入の試みが検出されるたびに何らかの修復アクションを自動的にトリガーする検出コンポーネントが含まれています。侵入防止も受動的である可能性があります。この用語は、侵入を防ぐ方法として行われた、または配置されたものすべてを指すために使用できます。たとえば、パスワードの強化は、侵入防止対策と考えることができます。

最高のホスト侵入検知ツール

市場で最高のホストベースの侵入検知システムを検索しました。私たちがあなたのために持っているのは、真のHIDSと他のソフトウェアの組み合わせです。これらのソフトウェアは、侵入検知システムとは呼ばれていませんが、侵入検知コンポーネントを備えているか、侵入の試みを検出するために使用できます。私たちのトップピックを確認し、それらの最高の機能を見てみましょう。

1. SolarWinds Log&Event Manager(無料トライアル)

最初のエントリは、ネットワーク管理ツールの分野で一般的な名前であるSolarWindsからのものです。同社は約20年の歴史があり、最高のネットワークおよびシステム管理ツールをいくつか提供してくれました。また、ネットワーク管理者の特定のニーズに対応する多くの無料ツールもよく知られています。これらの無料ツールの2つの優れた例は、Kiwi SyslogServerとAdvancedSubnetCalculatorです。

聞かせてはいけないSolarWindsのログ&イベントマネージャーの名前はあなたをだまします。これは、単なるログおよびイベント管理システムではありません。この製品の高度な機能の多くは、セキュリティ情報およびイベント管理(SIEM)の範囲に含まれています。他の機能は、侵入検知システムとして、さらにはある程度侵入防止システムとしても認定します。このツールは、たとえば、リアルタイムのイベント相関とリアルタイムの修復を備えています。

2021年の6つの最高のホストベースの侵入検知システム(HIDS)

SolarWindsのログ&イベントマネージャは、疑わしい活動(IDSのような機能)を瞬時に検出し、自動化された応答(IPSのような機能)を備えてい。また、軽減とコンプライアンスの両方の目的で、セキュリティイベントの調査とフォレンジックを実行できます。監査で証明されたレポートのおかげで、このツールは、HIPAA、PCI-DSS、SOXなどへの準拠を実証するためにも使用できます。このツールには、ファイルの整合性の監視とUSBデバイスの監視も含まれているため、単なるログおよびイベント管理システムではなく、統合されたセキュリティプラットフォームになります。

SolarWinds Log&Event Managerの価格は、最大30の監視対象ノードで4,585ドルからです。最大2500ノードのライセンスを購入できるため、製品の拡張性が高くなります。製品を試運転して、自分に合っているかどうかを自分で確認したい場合は、フル機能の30日間の無料トライアルを利用できます

2. OSSEC

オープンソースセキュリティOSSEC)は、圧倒的に優れたオープンソースのホストベースの侵入検知システムです。この製品は、ITセキュリティの大手企業の1つであり、最高のウイルス保護スイートの1つを製造しているトレンドマイクロが所有しています。Unixライクなオペレーティングシステムにインストールすると、ソフトウェアは主にログファイルと構成ファイルに焦点を合わせます。重要なファイルのチェックサムを作成し、定期的に検証して、何か奇妙なことが起こったときに警告します。また、rootアクセスを取得しようとする異常な試みを監視して警告します。Windowsホストでは、システムは、悪意のあるアクティビティの兆候である可能性のある不正なレジストリの変更にも注意を払います。

2021年の6つの最高のホストベースの侵入検知システム(HIDS)

ホストベースの侵入検知システムであるため、保護する各コンピューターにOSSECをインストールする必要があります。ただし、集中型コンソールは、保護された各コンピューターからの情報を統合して、管理を容易にします。一方でOSSECのコンソールのみUnixライクなオペレーティングシステム上で動作する、エージェントは、Windowsホストを保護するために利用可能です。検出されるとアラートがトリガーされ、集中コンソールに表示されますが、通知も電子メールで送信されます。

3.サムハイン

Samhainは、もう1つの有名な無料のホスト侵入検知システムです。IDSの観点から見たその主な機能は、ファイルの整合性チェックとログファイルの監視/分析です。しかし、それ以上のことをします。この製品は、ルートキットの検出、ポートの監視、不正なSUID実行可能ファイルの検出、および非表示のプロセスを実行します。このツールは、集中ログとメンテナンスを提供しながら、さまざまなオペレーティングシステムを実行している複数のホストを監視するように設計されています。ただし、Samhainは、1台のコンピューターでスタンドアロンアプリケーションとして使用することもできます。このソフトウェアは、主にUnix、Linux、OS XなどのPOSIXシステムで実行されます。また、WindowsでPOSIXアプリケーションを実行できるパッケージである、Cygwinの下でWindowsでも実行できますが、その構成では監視エージェントのみがテストされています。

2021年の6つの最高のホストベースの侵入検知システム(HIDS)

Samhainの最もユニークな機能の1つは、潜在的な攻撃者に検出されることなく実行できるステルスモードです。侵入者は、検出される前にシステムに入るとすぐに認識した検出プロセスをすばやく強制終了し、気付かれなくなることが知られています。サムハインはステガノグラフィ技術を使用して、そのプロセスを他の人から隠しています。また、改ざんを防ぐために、中央のログファイルと構成のバックアップをPGPキーで保護します。

4. Fail2Ban

Fail2Banは、無料のオープンソースのホスト侵入検知システムであり、いくつかの侵入防止機能も備えています。ソフトウェアツールは、ログイン試行の失敗、エクスプロイトシークなどの疑わしいアクティビティやイベントについてログファイルを監視します。ツールのデフォルトのアクションは、疑わしいものを検出すると、ローカルファイアウォールルールを自動的に更新して、悪意のある動作。実際には、これは真の侵入防止ではなく、自動修復機能を備えた侵入検知システムです。ここで説明したのはツールのデフォルトのアクションですが、電子メール通知の送信など、その他の任意のアクションも構成できるため、より「古典的な」侵入検知システムのように動作します。

2021年の6つの最高のホストベースの侵入検知システム(HIDS)

Fail2Banには、Apache、SSH、FTP、Postfixなどの最も一般的なサービス用のさまざまなビルド済みフィルターが用意されています。説明したように、防止はホストのファイアウォールテーブルを変更することによって実行されます。このツールは、Netfilter、IPtables、またはTCPWrapperのhosts.denyテーブルで動作します。各フィルターは、1つまたは複数のアクションに関連付けることができます。

5.補佐官

高度な侵入検知環境、またはAIDEは、この1つは主にルートキットの検出とファイルの署名の比較に焦点を当て、他の無料のホスト侵入検知システムです。最初にインストールすると、ツールはシステムの構成ファイルから管理データのデータベースのようなものをコンパイルします。このデータベースは、変更を比較し、必要に応じて最終的にロールバックできるベースラインとして使用できます。

2021年の6つの最高のホストベースの侵入検知システム(HIDS)

AIDEは、署名ベースと異常ベースの両方の検出スキームを利用します。これは、オンデマンドで実行され、スケジュールされていない、または継続的に実行されていないツールです。実際、これが製品の主な欠点です。ただし、GUIベースではなくコマンドラインツールであるため、cronジョブを作成して定期的に実行することができます。1分に1回など、ツールを頻繁に実行することを選択した場合、ほぼリアルタイムのデータが取得され、侵入の試みが行き過ぎて大きな被害をもたらす前に対応する時間があります。

中核となるAIDEは単なるデータ比較ツールですが、いくつかの外部のスケジュールされたスクリプトの助けを借りて、真のHIDSに変えることができます。ただし、これは基本的にローカルツールであることに注意してください。一元管理や派手なGUIはありません。

6.セーガン

私たちのリストの最後はSaganです。これは、実際には真のIDSというよりもログ分析システムです。ただし、IDSに似た機能がいくつかあるため、リストに掲載する価値があります。このツールは、インストールされているシステムのログファイルをローカルで監視しますが、他のツールと対話することもできます。たとえば、Snortのログを分析して、SnortのNIDS機能を本質的にHIDSであるものに効果的に追加することができます。Snortと対話するだけではありません。SaganはSuricataとも対話でき、OinkmasterやPulledPorkなどのいくつかのルール構築ツールと互換性があります。

2021年の6つの最高のホストベースの侵入検知システム(HIDS)

Saganには、いくつかの修復スクリプトを開発すれば、大まかな侵入防止システムにすることができるスクリプト実行機能もあります。このツールは、侵入に対する唯一の防御策として使用される可能性は低いかもしれませんが、さまざまなソースからのイベントを相互に関連付けることにより、多くのツールを組み込むことができるシステムの優れたコンポーネントになる可能性があります。


ネットワークについて詳しく知るための 10 のベスト Ping スイープ ツール

ネットワークについて詳しく知るための 10 のベスト Ping スイープ ツール

Ping スイープはさまざまな方法で活用できます。ベスト 10 の Ping スイープ ツールの方法と紹介について説明しますので、読み続けてください。

Web サイトを監視するための 6 つの最適なツール

Web サイトを監視するための 6 つの最適なツール

Web サイトは重要であり、適切なパフォーマンスを得るために常に注意深く監視する必要があります。ここでは、Web サイトを監視するための最適なツールをいくつか紹介します。

パフォーマンスを追跡する 6 つの最適なネットワーク管理ツール

パフォーマンスを追跡する 6 つの最適なネットワーク管理ツール

ネットワーク管理ソフトウェア市場は非常に混雑しています。最適なネットワーク管理ツールの推奨事項に従って、検索を短縮します。

2022 年の開発チーム向けのベスト ソフトウェア導入ツール

2022 年の開発チーム向けのベスト ソフトウェア導入ツール

ここでは、任意の数のマシンを管理する煩わしさを軽減するための最高のソフトウェア展開ツールをいくつか紹介します。

HIPAAコンプライアンスチェックリストと使用するツール

HIPAAコンプライアンスチェックリストと使用するツール

医療業界にいる場合、またはその業界のITに何らかの形で関わっている場合は、HIPAAについて聞いたことがあるでしょう。健康保険の相互運用性

2021年にレビューされた最高の無料のsFlowコレクターとアナライザー

2021年にレビューされた最高の無料のsFlowコレクターとアナライザー

sFlowは、多数のネットワークデバイスに組み込まれているフロー分析プロトコルです。上位5つの無料のsFlowコレクターとアナライザーを確認します。

2021年に最高のエージェントレスインフラストラクチャ監視ツールとソフトウェア

2021年に最高のエージェントレスインフラストラクチャ監視ツールとソフトウェア

適切なツールを選択できるように、最高のエージェントレスインフラストラクチャ監視ツールを導入し、それぞれを簡単に確認できるようにしました。

Linuxでの帯域幅の監視:2021年の上位5つのツール

Linuxでの帯域幅の監視:2021年の上位5つのツール

Linuxがデータセンターでますます普及するにつれ、Linuxでの帯域幅の監視を検討し、最高のツールも検討しています。

SolarWinds Mail Assure –レビュー2021

SolarWinds Mail Assure –レビュー2021

電子メールのセキュリティは、マネージドサービスプロバイダーの重要なタスクです。その目的に最適なツールの1つであるSolarWindsMailAssureをレビューしていました。

Windows PowerShellコマンドのチートシート–必要な究極のガイド

Windows PowerShellコマンドのチートシート–必要な究極のガイド

Windowsのパワーユーザーの場合、PCでさまざまな操作を実行する方法が、複数のアプローチを持ち、