6 Sistem Pengesan Pencerobohan (HIDS) berasaskan Hos Terbaik pada 2021

Saya tidak mahu terdengar terlalu paranoid, walaupun saya mungkin melakukannya, tetapi jenayah siber ada di mana-mana. Setiap organisasi boleh menjadi sasaran penggodam yang cuba mengakses data mereka. Oleh itu, adalah penting untuk memerhatikan sesuatu dan memastikan kita tidak menjadi mangsa individu yang berniat jahat ini. Barisan pertahanan pertama ialah Sistem Pengesanan Pencerobohan . Sistem berasaskan hos menggunakan pengesanan mereka di peringkat hos dan biasanya akan mengesan kebanyakan percubaan pencerobohan dengan cepat dan memberitahu anda dengan segera supaya anda boleh membetulkan keadaan.Dengan begitu banyak sistem pengesanan pencerobohan berasaskan hos yang tersedia, memilih yang terbaik untuk situasi khusus anda mungkin kelihatan sebagai satu cabaran. Untuk membantu anda melihat dengan jelas, kami telah mengumpulkan senarai beberapa sistem pengesanan pencerobohan berasaskan hos terbaik.

Sebelum kami mendedahkan alat terbaik, kami akan mengetepikan secara ringkas dan melihat pelbagai jenis Sistem Pengesanan Pencerobohan. Ada yang berasaskan hos manakala yang lain berasaskan rangkaian. Kami akan menerangkan perbezaannya. Kami kemudiannya akan membincangkan kaedah pengesanan pencerobohan yang berbeza. Sesetengah alatan mempunyai pendekatan berasaskan tandatangan manakala yang lain sedang memerhatikan tingkah laku yang mencurigakan. Yang terbaik menggunakan gabungan kedua-duanya. Sebelum meneruskan, kami akan menerangkan perbezaan antara pengesanan pencerobohan dan sistem pencegahan pencerobohan kerana penting untuk memahami perkara yang sedang kita lihat. Kami kemudiannya akan bersedia untuk intipati siaran ini, sistem pengesanan pencerobohan berasaskan hos terbaik.

Dua Jenis Sistem Pengesan Pencerobohan

Pada asasnya terdapat dua jenis sistem Pengesanan Pencerobohan. Walaupun matlamat mereka adalah sama—untuk mengesan dengan cepat sebarang percubaan pencerobohan atau aktiviti mencurigakan yang boleh membawa kepada percubaan pencerobohan, mereka berbeza di lokasi pengesanan ini dilakukan. Ini adalah konsep yang sering disebut sebagai titik penguatkuasaan. Setiap jenis mempunyai kelebihan dan kekurangan dan, secara amnya, tidak ada konsensus yang mana satu lebih baik. Malah, penyelesaian terbaik—atau paling selamat—mungkin penyelesaian yang menggabungkan kedua-duanya.

Sistem Pengesan Pencerobohan Hos (HIDS)

Jenis sistem pengesanan pencerobohan pertama, yang kami minati hari ini, beroperasi di peringkat hos. Anda mungkin meneka itu dari namanya. Semak HIDS, sebagai contoh, pelbagai fail log dan jurnal untuk tanda-tanda aktiviti yang mencurigakan. Satu lagi cara mereka mengesan percubaan pencerobohan adalah dengan menyemak fail konfigurasi penting untuk perubahan yang tidak dibenarkan. Mereka juga boleh memeriksa fail konfigurasi yang sama untuk corak pencerobohan tertentu yang diketahui. Sebagai contoh, kaedah pencerobohan tertentu mungkin diketahui berfungsi dengan menambahkan parameter tertentu pada fail konfigurasi tertentu. Sistem pengesanan pencerobohan berasaskan hos yang baik akan menangkapnya.

Selalunya HIDS dipasang terus pada peranti yang ingin dilindungi. Anda perlu memasangnya pada semua komputer anda. Yang lain hanya memerlukan pemasangan ejen tempatan. Malah ada yang melakukan semua kerja mereka dari jauh. Tidak kira bagaimana ia beroperasi, HIDS yang baik mempunyai konsol berpusat di mana anda boleh mengawal aplikasi dan melihat hasilnya.

Sistem Pengesanan Pencerobohan Rangkaian (NIDS)

Satu lagi jenis sistem pengesanan pencerobohan yang dipanggil Sistem pengesanan pencerobohan rangkaian, atau NIDS, berfungsi di sempadan rangkaian untuk menguatkuasakan pengesanan. Mereka menggunakan kaedah yang sama seperti sistem pengesanan pencerobohan hos seperti mengesan aktiviti yang mencurigakan dan mencari corak pencerobohan yang diketahui. Tetapi daripada melihat log dan fail konfigurasi, mereka menonton trafik rangkaian dan memeriksa setiap permintaan sambungan. Sesetengah kaedah pencerobohan mengeksploitasi kelemahan yang diketahui dengan menghantar paket yang sengaja rosak kepada hos, menjadikannya bertindak balas dengan cara tertentu yang membolehkannya dilanggar. Sistem pengesanan pencerobohan rangkaian akan dengan mudah mengesan percubaan seperti ini.

Ada yang berpendapat bahawa NIDS lebih baik daripada HIDS kerana mereka mengesan serangan walaupun sebelum ia sampai ke sistem anda. Sesetengah memilihnya kerana mereka tidak memerlukan apa-apa untuk dipasang pada setiap hos untuk melindunginya dengan berkesan. Sebaliknya, mereka memberikan sedikit perlindungan terhadap serangan orang dalam yang malangnya tidak sama sekali luar biasa. Untuk dikesan, penyerang mesti menggunakan laluan yang melalui NIDS. Atas sebab ini, perlindungan terbaik mungkin datang daripada menggunakan gabungan kedua-dua jenis alatan.

Kaedah Pengesanan Pencerobohan

Sama seperti terdapat dua jenis alat pengesan pencerobohan, terdapat terutamanya dua kaedah berbeza yang digunakan untuk mengesan percubaan pencerobohan. Pengesanan mungkin berasaskan tandatangan atau mungkin berasaskan anomali. Pengesanan pencerobohan berasaskan tandatangan berfungsi dengan menganalisis data untuk corak tertentu yang telah dikaitkan dengan percubaan pencerobohan. Ini serupa dengan sistem perlindungan virus tradisional yang bergantung pada definisi virus. Begitu juga, pengesanan pencerobohan berasaskan tandatangan bergantung pada tandatangan atau corak pencerobohan. Mereka membandingkan data dengan tandatangan pencerobohan untuk mengenal pasti percubaan. Kelemahan utama mereka ialah mereka tidak berfungsi sehingga tandatangan yang betul dimuat naik ke dalam perisian. Malangnya, ini biasanya berlaku hanya selepas beberapa mesin telah diserang dan penerbit tandatangan pencerobohan mempunyai masa untuk menerbitkan pakej kemas kini baharu. Sesetengah pembekal agak pantas manakala yang lain hanya boleh bertindak balas beberapa hari kemudian.

Pengesanan pencerobohan berasaskan anomali, kaedah lain, memberikan perlindungan yang lebih baik terhadap serangan sifar hari, yang berlaku sebelum mana-mana perisian pengesanan pencerobohan mempunyai peluang untuk memperoleh fail tandatangan yang betul. Sistem ini mencari anomali dan bukannya cuba mengenali corak pencerobohan yang diketahui. Contohnya, ia boleh dicetuskan jika seseorang cuba mengakses sistem dengan kata laluan yang salah beberapa kali berturut-turut, tanda biasa serangan kekerasan. Sebarang tingkah laku yang mencurigakan boleh dikesan dengan cepat. Setiap kaedah pengesanan mempunyai kelebihan dan kekurangannya. Sama seperti jenis alat, alat terbaik ialah alat yang menggunakan gabungan analisis tandatangan dan tingkah laku untuk perlindungan terbaik.

Pengesanan Vs Pencegahan – Satu Perbezaan Penting

Kami telah membincangkan Sistem Pengesanan Pencerobohan tetapi ramai di antara anda mungkin pernah mendengar tentang Sistem Pencegahan Pencerobohan. Adakah kedua-dua konsep itu sama? Jawapan mudahnya ialah tidak kerana kedua-dua jenis alat mempunyai tujuan yang berbeza. Walau bagaimanapun, terdapat beberapa pertindihan antara mereka. Seperti namanya, sistem pengesanan pencerobohan mengesan percubaan pencerobohan dan aktiviti yang mencurigakan. Apabila ia mengesan sesuatu, ia biasanya mencetuskan beberapa bentuk amaran atau pemberitahuan. Pentadbir kemudiannya mesti mengambil langkah yang perlu untuk menghentikan atau menyekat percubaan pencerobohan.

Sistem Pencegahan Pencerobohan (IPS) dibuat untuk menghentikan pencerobohan daripada berlaku sama sekali. IPS aktif termasuk komponen pengesanan yang secara automatik akan mencetuskan beberapa tindakan pembetulan apabila percubaan pencerobohan dikesan. Pencegahan Pencerobohan juga boleh menjadi pasif. Istilah ini boleh digunakan untuk merujuk kepada apa sahaja yang dilakukan atau diletakkan sebagai cara untuk mencegah pencerobohan. Pengerasan kata laluan, sebagai contoh, boleh dianggap sebagai langkah Pencegahan Pencerobohan.

Alat Pengesan Pencerobohan Hos Terbaik

Kami telah mencari pasaran untuk sistem pengesanan pencerobohan berasaskan hos terbaik. Apa yang kami ada untuk anda ialah gabungan HIDS sebenar dan perisian lain yang, walaupun mereka tidak menamakan diri mereka sebagai sistem pengesanan pencerobohan, mempunyai komponen pengesanan pencerobohan atau boleh digunakan untuk mengesan percubaan pencerobohan. Mari semak pilihan utama kami dan lihat ciri terbaik mereka.

1. Pengurus Log & Acara SolarWinds (Percubaan Percuma)

Entri pertama kami adalah daripada SolarWinds, nama biasa dalam bidang alat pentadbiran rangkaian. Syarikat itu telah wujud selama kira-kira 20 tahun dan telah membawakan kami beberapa alatan rangkaian dan pentadbiran sistem yang terbaik. Ia juga terkenal dengan banyak alatan percuma yang menangani beberapa keperluan khusus pentadbir rangkaian. Dua contoh hebat alat percuma ini ialah Pelayan Syslog Kiwi dan Kalkulator Subnet Lanjutan.

Jangan biarkan nama SolarWinds Log & Pengurus Acara memperdayakan anda. Ia lebih daripada sekadar log dan sistem pengurusan acara. Banyak ciri lanjutan produk ini meletakkannya dalam julat Maklumat Keselamatan dan Pengurusan Acara (SIEM). Ciri-ciri lain melayakkannya sebagai Sistem Pengesan Pencerobohan dan bahkan, pada tahap tertentu, sebagai Sistem Pencegahan Pencerobohan. Alat ini menampilkan korelasi peristiwa masa nyata dan pemulihan masa nyata, contohnya.

• PERCUBAAN PERCUMA: Pengurus Log & Acara SolarWinds
• Pautan Muat Turun Rasmi: https://www.solarwinds.com/log-event-manager-software/registration

Pengurus Log & Acara SolarWinds menampilkan pengesanan serta-merta aktiviti yang mencurigakan (fungsi seperti IDS) dan respons automatik (fungsi seperti IPS). Ia juga boleh melakukan penyiasatan peristiwa keselamatan dan forensik untuk tujuan mitigasi dan pematuhan. Terima kasih kepada pelaporan terbukti auditnya, alat ini juga boleh digunakan untuk menunjukkan pematuhan dengan HIPAA, PCI-DSS dan SOX, antara lain. Alat ini juga mempunyai pemantauan integriti fail dan pemantauan peranti USB, menjadikannya lebih daripada platform keselamatan bersepadu daripada hanya log dan sistem pengurusan acara.

Harga untuk Pengurus Log & Acara SolarWinds bermula pada $4,585 untuk sehingga 30 nod yang dipantau. Lesen sehingga 2500 nod boleh dibeli menjadikan produk sangat berskala. Jika anda ingin mengambil produk untuk ujian dan lihat sendiri sama ada ia sesuai untuk anda, percubaan 30 hari berciri penuh percuma tersedia .

2. OSSEC

Keselamatan Sumber Terbuka , atau OSSEC , merupakan sistem pengesanan pencerobohan berasaskan hos sumber terbuka yang terkemuka. Produk ini dimiliki oleh Trend Micro, salah satu nama terkemuka dalam keselamatan IT dan pembuat salah satu suite perlindungan virus terbaik. Apabila dipasang pada sistem pengendalian seperti Unix, perisian ini tertumpu terutamanya pada fail log dan konfigurasi. Ia mencipta jumlah semak fail penting dan mengesahkannya secara berkala, memberi amaran kepada anda apabila sesuatu yang ganjil berlaku. Ia juga akan memantau dan memaklumkan sebarang percubaan yang tidak normal untuk mendapatkan akses root. Pada hos Windows, sistem juga memerhatikan pengubahsuaian pendaftaran tanpa kebenaran yang boleh menjadi petanda aktiviti berniat jahat.

Oleh kerana sistem pengesanan pencerobohan berasaskan hos, OSSEC perlu dipasang pada setiap komputer yang ingin anda lindungi. Walau bagaimanapun, konsol berpusat menyatukan maklumat daripada setiap komputer yang dilindungi untuk pengurusan yang lebih mudah. Walaupun konsol OSSEC hanya berjalan pada sistem pengendalian Unix-Like, ejen tersedia untuk melindungi hos Windows. Sebarang pengesanan akan mencetuskan amaran yang akan dipaparkan pada konsol berpusat manakala pemberitahuan juga akan dihantar melalui e-mel.

3. Samhain

Samhain ialah satu lagi sistem pengesanan pencerobohan hos percuma yang terkenal. Ciri utamanya, dari sudut pandangan IDS, ialah pemeriksaan integriti fail dan pemantauan/analisis fail log. Ia lebih daripada itu, walaupun. Produk akan melakukan pengesanan rootkit, pemantauan port, pengesanan penyangak boleh laku SUID dan proses tersembunyi. Alat ini direka untuk memantau berbilang hos yang menjalankan pelbagai sistem pengendalian sambil menyediakan pembalakan dan penyelenggaraan berpusat. Walau bagaimanapun, Samhain juga boleh digunakan sebagai aplikasi yang berdiri sendiri pada satu komputer. Perisian ini dijalankan terutamanya pada sistem POSIX seperti Unix, Linux atau OS X. Ia juga boleh dijalankan pada Windows di bawah Cygwin, pakej yang membenarkan menjalankan aplikasi POSIX pada Windows, walaupun hanya ejen pemantauan telah diuji dalam konfigurasi tersebut.

Salah satu ciri Samhain yang paling unik ialah mod siluman yang membolehkannya berjalan tanpa dikesan oleh bakal penyerang. Penceroboh telah diketahui dengan cepat membunuh proses pengesanan yang mereka kenali sebaik sahaja mereka memasuki sistem sebelum dikesan, membolehkan mereka pergi tanpa disedari. Samhain menggunakan teknik steganografi untuk menyembunyikan prosesnya daripada orang lain. Ia juga melindungi fail log pusat dan sandaran konfigurasi dengan kunci PGP untuk mengelakkan gangguan.

4. Fail2Ban

Fail2Ban ialah sistem pengesanan pencerobohan hos percuma dan sumber terbuka yang turut menampilkan beberapa keupayaan pencegahan pencerobohan. Alat perisian memantau fail log untuk aktiviti dan peristiwa yang mencurigakan seperti percubaan log masuk yang gagal, pencarian mengeksploitasi, dsb. Tindakan lalai alat, apabila ia mengesan sesuatu yang mencurigakan, adalah untuk mengemas kini peraturan tembok api setempat secara automatik untuk menyekat alamat IP sumber tingkah laku jahat. Pada hakikatnya, ini bukanlah pencegahan pencerobohan yang benar tetapi sebaliknya sistem pengesanan pencerobohan dengan ciri pemulihan automatik. Apa yang baru kami terangkan ialah tindakan lalai alat tetapi sebarang tindakan sewenang-wenang lain—seperti menghantar pemberitahuan e-mel—juga boleh dikonfigurasikan, menjadikannya berkelakuan seperti sistem pengesanan pencerobohan yang lebih "klasik".

Fail2Ban ditawarkan dengan pelbagai penapis pra-bina untuk beberapa perkhidmatan yang paling biasa seperti Apache, SSH, FTP, Postfix dan banyak lagi. Pencegahan, seperti yang kami jelaskan, dilakukan dengan mengubah suai jadual tembok api hos. Alat ini boleh berfungsi dengan Netfilter, IPtables atau jadual hosts.deny bagi TCP Wrapper. Setiap penapis boleh dikaitkan dengan satu atau banyak tindakan.

5. PEMBANTU

The Advanced Intrusion Detection Alam Sekitar , atau AIDE , adalah satu lagi sistem pengesanan pencerobohan host percuma Yang ini terutamanya memberi tumpuan kepada pengesanan rootkit dan fail tandatangan perbandingan. Apabila anda mula-mula memasangnya, alat ini akan menyusun jenis pangkalan data data pentadbir daripada fail konfigurasi sistem. Pangkalan data ini kemudiannya boleh digunakan sebagai garis dasar yang mana sebarang perubahan boleh dibandingkan dan akhirnya digulung semula jika diperlukan.

AIDE menggunakan kedua-dua skim pengesanan berasaskan tandatangan dan berasaskan anomali. Ini ialah alat yang dijalankan atas permintaan dan tidak dijadualkan atau berjalan secara berterusan. Malah, ini adalah kelemahan utama produk. Walau bagaimanapun, oleh kerana ia adalah alat baris arahan dan bukannya berasaskan GUI, tugas cron boleh dibuat untuk menjalankannya pada selang masa yang tetap. Jika anda memilih untuk menjalankan alat dengan kerap—seperti sekali setiap minit—anda akan hampir mendapat data masa nyata dan anda akan mempunyai masa untuk bertindak balas sebelum sebarang percubaan pencerobohan melampaui batas dan menyebabkan banyak kerosakan.

Pada terasnya, AIDE hanyalah alat perbandingan data tetapi dengan bantuan beberapa skrip berjadual luaran, ia boleh ditukar menjadi HIDS sebenar. Perlu diingat bahawa ini pada dasarnya adalah alat tempatan, walaupun. Ia tidak mempunyai pengurusan berpusat dan tiada GUI mewah.

6. Sagan

Terakhir dalam senarai kami ialah Sagan , yang sebenarnya lebih kepada sistem analisis log daripada IDS sebenar. Walau bagaimanapun, ia mempunyai beberapa ciri seperti IDS, itulah sebabnya ia layak mendapat tempat dalam senarai kami. Alat ini secara tempatan menonton fail log sistem tempat ia dipasang tetapi ia juga boleh berinteraksi dengan alat lain. Ia boleh, sebagai contoh, menganalisis log Snort, dengan berkesan menambahkan fungsi NIDS Snort kepada apa yang pada asasnya HIDS. Ia bukan sahaja berinteraksi dengan Snort. Sagan juga boleh berinteraksi dengan Suricata dan ia serasi dengan beberapa alatan pembinaan peraturan seperti Oinkmaster atau Pulled Pork.

Sagan juga mempunyai keupayaan pelaksanaan skrip yang boleh menjadikannya sistem pencegahan pencerobohan kasar, dengan syarat anda membangunkan beberapa skrip pemulihan. Walaupun alat ini mungkin tidak digunakan sebagai pertahanan tunggal anda terhadap pencerobohan, alat ini boleh menjadi komponen sistem yang hebat yang boleh menggabungkan banyak alat dengan mengaitkan peristiwa daripada sumber yang berbeza.