2021년 최고의 호스트 기반 침입 탐지 시스템(HIDS) 6가지

너무 편집증적인 소리를 하고 싶지는 않겠지만 사이버 범죄는 어디에나 있습니다. 모든 조직은 데이터에 액세스하려는 해커의 표적이 될 수 있습니다. 따라서 상황을 주시하고 이러한 악의적인 개인의 희생양이 되지 않도록 하는 것이 가장 중요합니다. 첫 번째 방어선은 침입 탐지 시스템 입니다. 호스트 기반 시스템은 호스트 수준에서 탐지를 적용하며 일반적으로 대부분의 침입 시도를 신속하게 탐지하고 즉시 알려 상황을 해결할 수 있습니다.사용할 수 있는 호스트 기반 침입 탐지 시스템이 너무 많기 때문에 특정 상황에 가장 적합한 것을 선택하는 것이 어려울 수 있습니다. 명확하게 볼 수 있도록 최고의 호스트 기반 침입 탐지 시스템 목록을 작성했습니다.

최고의 도구를 공개하기 전에 간단히 살펴보고 다양한 유형의 침입 탐지 시스템을 살펴보겠습니다. 일부는 호스트 기반이고 다른 일부는 네트워크 기반입니다. 차이점을 설명하겠습니다. 그런 다음 다양한 침입 탐지 방법에 대해 설명합니다. 일부 도구는 서명 기반 접근 방식을 사용하는 반면 다른 도구는 의심스러운 동작을 감시합니다. 가장 좋은 것은 두 가지를 조합하여 사용합니다. 계속하기 전에 우리가 보고 있는 것을 이해하는 것이 중요하므로 침입 탐지와 침입 방지 시스템의 차이점을 설명하겠습니다. 그런 다음 이 게시물의 핵심인 최고의 호스트 기반 침입 탐지 시스템을 준비합니다.

두 가지 유형의 침입 탐지 시스템

침입 탐지 시스템에는 기본적으로 두 가지 유형이 있습니다. 그들의 목표는 동일하지만 침입 시도 또는 침입 시도로 이어질 수 있는 의심스러운 활동을 신속하게 감지하는 것이지만 이 감지가 수행되는 위치가 다릅니다. 이것은 종종 시행 지점이라고 하는 개념입니다. 각 유형에는 장단점이 있으며 일반적으로 어느 유형이 더 나은지에 대한 합의가 없습니다. 사실, 최고의 솔루션 또는 가장 안전한 솔루션은 아마도 두 가지를 결합한 솔루션일 것입니다.

HIDS(호스트 침입 감지 시스템)

오늘날 우리가 관심을 갖고 있는 침입 탐지 시스템의 첫 번째 유형은 호스트 수준에서 작동합니다. 이름에서 짐작할 수 있습니다. 예를 들어 HIDS는 의심스러운 활동의 징후가 있는지 다양한 로그 파일과 저널을 확인합니다. 침입 시도를 감지하는 또 다른 방법은 중요한 구성 파일에서 무단 변경을 확인하는 것입니다. 또한 알려진 특정 침입 패턴에 대해 동일한 구성 파일을 검사할 수도 있습니다. 예를 들어, 특정 설정 파일에 특정 매개변수를 추가하여 특정 침입 방법이 작동하는 것으로 알려질 수 있습니다. 좋은 호스트 기반 침입 탐지 시스템은 이를 포착할 것입니다.

대부분의 경우 HIDS는 보호해야 하는 장치에 직접 설치됩니다. 모든 컴퓨터에 설치해야 합니다. 나머지는 로컬 에이전트만 설치하면 됩니다. 일부는 모든 작업을 원격으로 수행합니다. 작동 방식에 관계없이 우수한 HIDS에는 애플리케이션을 제어하고 결과를 볼 수 있는 중앙 집중식 콘솔이 있습니다.

네트워크 침입 탐지 시스템(NIDS)

네트워크 침입 탐지 시스템(NIDS)이라고 하는 다른 유형의 침입 탐지 시스템은 네트워크 경계에서 작동하여 탐지를 시행합니다. 의심스러운 활동을 감지하고 알려진 침입 패턴을 찾는 등 호스트 침입 감지 시스템과 유사한 방법을 사용합니다. 그러나 로그 및 구성 파일을 보는 대신 네트워크 트래픽을 관찰하고 모든 연결 요청을 검사합니다. 일부 침입 방법은 의도적으로 잘못된 패킷을 호스트에 전송하여 알려진 취약점을 악용하여 침입을 허용하는 특정 방식으로 대응합니다. 네트워크 침입 탐지 시스템은 이러한 종류의 시도를 쉽게 탐지합니다.

일부에서는 NIDS가 시스템에 도달하기도 전에 공격을 감지하기 때문에 HIDS보다 낫다고 주장합니다. 일부는 효과적으로 보호하기 위해 각 호스트에 아무것도 설치할 필요가 없기 때문에 선호합니다. 반면에 불행히도 드물지 않은 내부 공격에 대한 보호 기능은 거의 제공하지 않습니다. 탐지되기 위해 공격자는 NIDS를 통과하는 경로를 사용해야 합니다. 이러한 이유로 최상의 보호는 두 가지 유형의 도구를 함께 사용하는 것입니다.

침입 탐지 방법

두 가지 유형의 침입 탐지 도구가 있는 것처럼 침입 시도를 탐지하는 데 주로 두 가지 다른 방법이 사용됩니다. 탐지는 시그니처 기반일 수도 있고 이상 기반일 수도 있습니다. 서명 기반 침입 탐지는 침입 시도와 관련된 특정 패턴에 대한 데이터를 분석하여 작동합니다. 이것은 바이러스 정의에 의존하는 기존의 바이러스 보호 시스템과 유사합니다. 마찬가지로 시그니처 기반 침입 탐지는 침입 시그니처 또는 패턴에 의존합니다. 그들은 데이터를 침입 서명과 비교하여 시도를 식별합니다. 주요 단점은 적절한 서명이 소프트웨어에 업로드될 때까지 작동하지 않는다는 것입니다. 안타깝게도, 이것은 일반적으로 특정 수의 시스템이 공격을 받고 침입 서명 게시자가 새 업데이트 패키지를 게시할 시간이 있는 후에만 발생합니다. 일부 공급업체는 매우 빠르지만 다른 공급업체는 며칠 후에만 반응할 수 있습니다.

다른 방법인 변칙 기반 침입 탐지는 침입 탐지 소프트웨어가 적절한 서명 파일을 획득하기 전에 발생하는 제로 데이 공격에 대해 더 나은 보호를 제공합니다. 이러한 시스템은 알려진 침입 패턴을 인식하는 대신 이상 징후를 찾습니다. 예를 들어, 누군가가 연속적으로 잘못된 암호를 사용하여 시스템에 액세스하려고 하면 무차별 대입 공격의 일반적인 징후가 트리거될 수 있습니다. 모든 의심스러운 동작을 빠르게 감지할 수 있습니다. 각 탐지 방법에는 장점과 단점이 있습니다. 도구 유형과 마찬가지로 최상의 도구는 최상의 보호를 위해 서명과 행동 분석의 조합을 사용하는 도구입니다.

탐지 대 예방 – 중요한 차이점

우리는 침입 탐지 시스템에 대해 논의했지만 많은 분들이 침입 방지 시스템에 대해 들어보셨을 것입니다. 두 개념이 동일한가요? 두 가지 유형의 도구가 다른 목적을 수행하므로 쉬운 대답은 아니오입니다. 그러나 그들 사이에는 약간의 겹침이 있습니다. 이름에서 알 수 있듯이 침입 감지 시스템은 침입 시도와 의심스러운 활동을 감지합니다. 무언가를 감지하면 일반적으로 일종의 경고 또는 알림을 트리거합니다. 그런 다음 관리자는 침입 시도를 중지하거나 차단하는 데 필요한 조치를 취해야 합니다.

침입 방지 시스템(IPS)은 침입이 발생하지 않도록 방지하기 위해 만들어졌습니다. Active IPS에는 침입 시도가 감지될 때마다 일부 교정 조치를 자동으로 트리거하는 감지 구성 요소가 포함되어 있습니다. 침입 방지는 수동적일 수도 있습니다. 이 용어는 침입을 방지하는 방법으로 수행되거나 배치되는 모든 것을 나타내는 데 사용할 수 있습니다. 예를 들어 암호 강화는 침입 방지 조치로 생각할 수 있습니다.

최고의 호스트 침입 탐지 도구

우리는 최고의 호스트 기반 침입 탐지 시스템에 대한 시장을 검색했습니다. 우리가 제공하는 것은 진정한 HIDS와 침입 감지 시스템이라고 하지 않지만 침입 감지 구성요소가 있거나 침입 시도를 감지하는 데 사용할 수 있는 기타 소프트웨어가 혼합된 것입니다. 최고의 선택을 검토하고 최고의 기능을 살펴보겠습니다.

1. SolarWinds 로그 및 이벤트 관리자(무료 평가판)

첫 번째 항목은 네트워크 관리 도구 분야의 일반적인 이름인 SolarWinds입니다. 이 회사는 약 20년 동안 우리에게 최고의 네트워크 및 시스템 관리 도구를 제공했습니다. 또한 네트워크 관리자의 특정 요구 사항을 해결하는 많은 무료 도구로 잘 알려져 있습니다. 이러한 무료 도구의 두 가지 좋은 예는 Kiwi Syslog Server와 Advanced Subnet Calculator입니다.

SolarWinds Log & Event Manager 의 이름에 속지 마십시오 . 이는 단순한 로그 및 이벤트 관리 시스템 그 이상입니다. 이 제품의 많은 고급 기능은 SIEM(보안 정보 및 이벤트 관리) 범위에 포함됩니다. 다른 기능은 침입 탐지 시스템으로, 심지어 어느 정도까지는 침입 방지 시스템으로 분류됩니다. 이 도구는 예를 들어 실시간 이벤트 상관 관계 및 실시간 수정 기능을 제공합니다.

• 무료 평가판: SolarWinds 로그 및 이벤트 관리자
• 공식 다운로드 링크: https://www.solarwinds.com/log-event-manager-software/registration

솔라 윈즈 로그 및 이벤트 관리자는 의심스러운 활동의 순간 탐지 (IDS는 같은 기능) 및 자동 응답 (IPS와 같은 기능)을 제공합니다. 또한 완화 및 규정 준수 목적으로 보안 이벤트 조사 및 포렌식을 수행할 수 있습니다. 감사로 입증된 보고 덕분에 이 도구는 특히 HIPAA, PCI-DSS 및 SOX 준수를 입증하는 데 사용할 수 있습니다. 이 도구에는 파일 무결성 모니터링 및 USB 장치 모니터링도 포함되어 있어 단순한 로그 및 이벤트 관리 시스템보다 훨씬 더 많은 통합 보안 플랫폼입니다.

SolarWinds Log & Event Manager 의 가격은 최대 30개의 모니터링되는 노드에 대해 $4,585부터 시작합니다. 최대 2500개의 노드에 대한 라이선스를 구매하여 제품을 확장할 수 있습니다. 제품을 테스트 실행하고 자신에게 적합한지 직접 확인하려면 모든 기능을 갖춘 무료 30일 평가판을 사용할 수 있습니다 .

2. OSSEC

오픈 소스 보안 , 또는 OSSEC은 , 지금까지 최고의 오픈 소스 호스트 기반 침입 탐지 시스템입니다. 이 제품은 IT 보안 분야의 선두주자이자 최고의 바이러스 보호 제품군 중 하나인 Trend Micro가 소유하고 있습니다. Unix 계열 운영 체제에 설치된 경우 소프트웨어는 주로 로그 및 구성 파일에 중점을 둡니다. 중요한 파일의 체크섬을 생성하고 주기적으로 유효성을 검사하여 이상한 일이 발생할 때마다 알려줍니다. 또한 루트 액세스 권한을 얻으려는 비정상적인 시도를 모니터링하고 경고합니다. Windows 호스트에서 시스템은 악의적인 활동의 징후가 될 수 있는 무단 레지스트리 수정도 감시합니다.

호스트 기반 침입 탐지 시스템이기 때문에 OSSEC 는 보호하려는 각 컴퓨터에 설치해야 합니다. 그러나 중앙 콘솔은 보다 쉬운 관리를 위해 보호된 각 컴퓨터의 정보를 통합합니다. OSSEC 콘솔은 Unix 계열 운영 체제에서만 실행 되지만 에이전트는 Windows 호스트를 보호하는 데 사용할 수 있습니다. 모든 탐지는 알림이 이메일로도 전송되는 동안 중앙 콘솔에 표시되는 경고를 트리거합니다.

3. 삼하인

Samhain 은 잘 알려진 또 다른 무료 호스트 침입 탐지 시스템입니다. IDS 관점에서 주요 기능은 파일 무결성 검사 및 로그 파일 모니터링/분석입니다. 하지만 그 이상을 수행합니다. 이 제품은 루트킷 탐지, 포트 모니터링, 악성 SUID 실행 파일 탐지 및 숨겨진 프로세스를 수행합니다. 이 도구는 중앙 집중식 로깅 및 유지 관리를 제공하면서 다양한 운영 체제를 실행하는 여러 호스트를 모니터링하도록 설계되었습니다. 그러나 Samhain 은 단일 컴퓨터에서 독립 실행형 응용 프로그램으로 사용할 수도 있습니다. 소프트웨어는 주로 Unix, Linux 또는 OS X와 ​​같은 POSIX 시스템에서 실행됩니다. 또한 모니터링 에이전트만 해당 구성에서 테스트되었지만 Windows에서 POSIX 애플리케이션을 실행할 수 있는 패키지인 Cygwin을 사용하여 Windows에서 실행할 수도 있습니다.

Samhain 의 가장 독특한 기능 중 하나는 잠재적인 공격자에게 탐지되지 않고 실행할 수 있는 스텔스 모드입니다. 침입자는 탐지되기 전에 시스템에 들어가는 즉시 인식하는 탐지 프로세스를 신속하게 종료하여 눈에 띄지 않게 하는 것으로 알려져 있습니다. Samhain 은 스테가노그래피 기술을 사용하여 다른 사람에게 프로세스를 숨깁니다. 또한 변조를 방지하기 위해 PGP 키로 중앙 로그 파일 및 구성 백업을 보호합니다.

4. 페일투밴

Fail2Ban 은 일부 침입 방지 기능을 제공하는 무료 오픈 소스 호스트 침입 감지 시스템입니다. 이 소프트웨어 도구는 로그인 시도 실패, 악용 검색 등과 같은 의심스러운 활동 및 이벤트에 대해 로그 파일을 모니터링합니다. 도구의 기본 동작은 의심스러운 것을 감지할 때마다 로컬 방화벽 규칙을 자동으로 업데이트하여 시스템의 소스 IP 주소를 차단하는 것입니다. 악의적인 행동. 실제로 이것은 진정한 침입 방지가 아니라 자동 복구 기능을 갖춘 침입 탐지 시스템입니다. 방금 설명한 것은 도구의 기본 작업이지만 이메일 알림 보내기와 같은 기타 임의 작업도 구성할 수 있으므로 보다 "클래식한" 침입 탐지 시스템처럼 작동합니다.

Fail2Ban 은 Apache, SSH, FTP, Postfix 등과 같은 가장 일반적인 서비스에 대해 사전 구축된 다양한 필터와 함께 제공됩니다. 우리가 설명한 대로 예방은 호스트의 방화벽 테이블을 수정하여 수행됩니다. 이 도구는 Netfilter, IPtables 또는 TCP Wrapper의 hosts.deny 테이블과 함께 작동할 수 있습니다. 각 필터는 하나 이상의 작업과 연관될 수 있습니다.

5. 보좌관

고급 침입 탐지 환경 , 또는 보좌관 , 이것은 주로 루트킷 탐지 및 파일 서명 비교에 초점을 맞추고 다른 무료 호스트 침입 탐지 시스템입니다. 처음 설치할 때 이 도구는 시스템 구성 파일에서 일종의 관리 데이터 데이터베이스를 컴파일합니다. 그런 다음 이 데이터베이스를 기준으로 사용하여 변경 사항을 비교하고 필요한 경우 결국 롤백할 수 있습니다.

AIDE 는 서명 기반 및 이상 기반 탐지 체계를 모두 사용합니다. 이것은 주문형으로 실행되며 예약되거나 지속적으로 실행되지 않는 도구입니다. 사실 이것이 이 제품의 가장 큰 단점이다. 그러나 GUI 기반이 아닌 명령줄 도구이기 때문에 cron 작업을 만들어 정기적으로 실행할 수 있습니다. 1분에 한 번과 같이 도구를 자주 실행하도록 선택하면 거의 실시간 데이터를 얻을 수 있으며 침입 시도가 너무 지나쳐서 많은 피해를 입히기 전에 대응할 시간이 생깁니다.

의 핵심, 조언자는 단지 데이터 비교 도구입니다하지만 몇 가지 외부 일정 스크립트의 도움으로, 그것은 진정한 HIDS로 전환 할 수 있습니다. 그러나 이것은 본질적으로 로컬 도구라는 점을 명심하십시오. 중앙 집중식 관리와 멋진 GUI가 없습니다.

6. 사간

목록의 마지막은 Sagan 입니다 . 이는 실제로 진정한 IDS라기보다 로그 분석 시스템에 가깝습니다. 그러나 일부 IDS와 유사한 기능이 있으므로 목록에 포함될 가치가 있습니다. 이 도구는 설치된 시스템의 로그 파일을 로컬로 감시하지만 다른 도구와 상호 작용할 수도 있습니다. 예를 들어 Snort의 로그를 분석하여 Snort의 NIDS 기능을 본질적으로 HIDS인 것에 효과적으로 추가할 수 있습니다. Snort와만 상호 작용하지 않습니다. Sagan 은 Suricata와도 상호 작용할 수 있으며 Oinkmaster 또는 Pulled Pork와 같은 여러 규칙 구축 도구와 호환됩니다.

Sagan 은 또한 일부 수정 스크립트를 개발하는 경우 조잡한 침입 방지 시스템으로 만들 수 있는 스크립트 실행 기능을 가지고 있습니다. 이 도구는 침입에 대한 유일한 방어 수단으로 사용되지 않을 수 있지만 다양한 소스의 이벤트를 연관시켜 많은 도구를 통합할 수 있는 시스템의 훌륭한 구성 요소가 될 수 있습니다.