7 Sistem Pencegahan Pencerobohan (IPS) Terbaik untuk 2021

Semua orang mahu menghalang penceroboh keluar dari rumah mereka. Begitu juga—dan atas sebab yang sama, pentadbir rangkaian berusaha untuk menghalang penceroboh daripada rangkaian yang mereka uruskan. Salah satu aset terpenting kebanyakan organisasi hari ini ialah data mereka. Adalah sangat penting bahawa ramai individu yang berniat jahat akan berusaha keras untuk mencuri data tersebut. Mereka melakukannya dengan menggunakan pelbagai teknik untuk mendapatkan akses tanpa kebenaran kepada rangkaian dan sistem. Bilangan serangan sedemikian nampaknya telah berkembang pesat baru-baru ini dan, sebagai tindak balas, sistem sedang dilaksanakan untuk menghalangnya. Sistem tersebut dipanggil Sistem Pencegahan Pencerobohan, atau IPS. Hari ini, kami melihat sistem pencegahan pencerobohan terbaik yang kami temui.

Kami akan mulakan dengan cuba mentakrifkan dengan lebih baik apa itu Pencegahan Pencerobohan. Ini, sudah tentu, memerlukan bahawa kita juga akan menentukan apa itu pencerobohan. Kami kemudian akan meneroka kaedah pengesanan berbeza yang biasanya digunakan dan tindakan pemulihan yang diambil selepas pengesanan. Kemudian, kita akan bercakap secara ringkas tentang pencegahan pencerobohan pasif. Ia adalah langkah statik yang boleh dilaksanakan yang boleh mengurangkan secara drastik bilangan percubaan pencerobohan. Anda mungkin terkejut apabila mengetahui bahawa sesetengah daripada mereka tiada kaitan dengan komputer. Hanya selepas itu, dengan kita semua berada di halaman yang sama, akhirnya kita akan dapat menyemak beberapa Sistem Pencegahan Pencerobohan terbaik yang boleh kami temui.

Pencegahan Pencerobohan – Apa Ini Semuanya?

Beberapa tahun yang lalu, virus adalah satu-satunya kebimbangan pentadbir sistem. Virus sampai ke tahap di mana ia sangat biasa sehingga industri bertindak balas dengan membangunkan alat perlindungan virus. Hari ini, tiada pengguna yang serius dalam fikirannya akan berfikir untuk menjalankan komputer tanpa perlindungan virus. Walaupun kami tidak lagi mendengar banyak virus, pencerobohan—atau akses tanpa kebenaran kepada data anda oleh pengguna berniat jahat—adalah ancaman baharu. Dengan data sering menjadi aset organisasi yang paling penting, rangkaian korporat telah menjadi sasaran penggodam yang berniat jahat yang akan berusaha keras untuk mendapatkan akses kepada data. Sama seperti perisian perlindungan virus adalah jawapan kepada percambahan virus, Sistem Pencegahan Pencerobohan adalah jawapan kepada serangan penceroboh.

Sistem Pencegahan Pencerobohan pada asasnya melakukan dua perkara. Pertama, mereka mengesan percubaan pencerobohan dan apabila mereka mengesan sebarang aktiviti yang mencurigakan, mereka menggunakan kaedah berbeza untuk menghentikan atau menyekatnya. Terdapat dua cara berbeza percubaan pencerobohan boleh dikesan. Pengesanan berasaskan tandatangan berfungsi dengan menganalisis trafik dan data rangkaian dan mencari corak khusus yang dikaitkan dengan percubaan pencerobohan. Ini serupa dengan sistem perlindungan virus tradisional yang bergantung pada definisi virus. Pengesanan pencerobohan berasaskan tandatangan bergantung pada tandatangan atau corak pencerobohan. Kelemahan utama kaedah pengesanan ini ialah ia memerlukan tandatangan yang sesuai untuk dimuatkan ke dalam perisian. Dan apabila kaedah serangan baharu, biasanya terdapat kelewatan sebelum tandatangan serangan dikemas kini. Sesetengah vendor sangat pantas menyediakan tandatangan serangan yang dikemas kini manakala yang lain jauh lebih perlahan. Kekerapan dan kepantasan tandatangan dikemas kini merupakan faktor penting untuk dipertimbangkan semasa memilih vendor.

Pengesanan berasaskan anomali menawarkan perlindungan yang lebih baik terhadap serangan sifar hari, yang berlaku sebelum tandatangan pengesanan mempunyai peluang untuk dikemas kini. Proses ini mencari anomali dan bukannya cuba mengenali corak pencerobohan yang diketahui. Sebagai contoh, ia akan dicetuskan jika seseorang cuba mengakses sistem dengan kata laluan yang salah beberapa kali berturut-turut, tanda biasa serangan kekerasan. Ini hanyalah satu contoh dan biasanya terdapat ratusan aktiviti mencurigakan berbeza yang boleh mencetuskan sistem ini. Kedua-dua kaedah pengesanan mempunyai kelebihan dan kekurangannya. Alat terbaik ialah alat yang menggunakan gabungan analisis tandatangan dan tingkah laku untuk perlindungan terbaik.

Mengesan percubaan pencerobohan adalah salah satu bahagian pertama untuk menghalangnya. Setelah dikesan, Sistem Pencegahan Pencerobohan berfungsi secara aktif untuk menghentikan aktiviti yang dikesan. Beberapa tindakan pembaikan yang berbeza boleh dilakukan oleh sistem ini. Mereka boleh, sebagai contoh, menggantung atau sebaliknya menyahaktifkan akaun pengguna. Satu lagi tindakan biasa ialah menyekat alamat IP sumber serangan atau mengubah suai peraturan tembok api. Jika aktiviti berniat jahat itu datang daripada proses tertentu, sistem pencegahan boleh membunuh proses tersebut. Memulakan beberapa proses perlindungan ialah satu lagi tindak balas biasa dan, dalam kes yang paling teruk, keseluruhan sistem boleh ditutup untuk mengehadkan kemungkinan kerosakan. Satu lagi tugas penting Sistem Pencegahan Pencerobohan ialah memberi amaran kepada pentadbir, merekod acara dan melaporkan aktiviti yang mencurigakan.

Langkah-langkah Pencegahan Pencerobohan Pasif

Walaupun Sistem Pencegahan Pencerobohan boleh melindungi anda daripada pelbagai jenis serangan, tiada apa yang mengatasi langkah pencegahan pencerobohan pasif yang baik dan lama. Sebagai contoh, mewajibkan kata laluan yang kuat ialah cara terbaik untuk melindungi daripada banyak pencerobohan. Satu lagi langkah perlindungan mudah ialah menukar kata laluan lalai peralatan. Walaupun ia kurang kerap dalam rangkaian korporat—walaupun ia tidak pernah didengari—saya terlalu kerap melihat get laluan Internet yang masih mempunyai kata laluan pentadbir lalainya. Sementara mengenai subjek kata laluan, penuaan kata laluan adalah satu lagi langkah konkrit yang boleh dilaksanakan untuk mengurangkan percubaan pencerobohan. Sebarang kata laluan, walaupun yang terbaik, akhirnya boleh dipecahkan, diberi masa yang mencukupi. Penuaan kata laluan memastikan kata laluan akan ditukar sebelum ia dipecahkan.

Terdapat hanya contoh perkara yang boleh dilakukan untuk mencegah pencerobohan secara pasif. Kami boleh menulis keseluruhan siaran tentang langkah pasif yang boleh dilaksanakan tetapi ini bukan objektif kami hari ini. Matlamat kami adalah untuk membentangkan beberapa Sistem Pencegahan Pencerobohan aktif terbaik.

Sistem Pencegahan Pencerobohan Terbaik

Senarai kami mengandungi gabungan pelbagai alat yang boleh digunakan untuk melindungi daripada percubaan pencerobohan. Kebanyakan alatan yang disertakan ialah Sistem Pencegahan Pencerobohan yang benar tetapi kami juga menyertakan alatan yang, walaupun tidak dipasarkan sedemikian, boleh digunakan untuk mencegah pencerobohan. Entri pertama kami adalah satu contoh sedemikian. Ingat bahawa, lebih daripada segala-galanya, pilihan anda tentang alat yang hendak digunakan harus dipandu oleh keperluan khusus anda. Jadi, mari kita lihat apa yang ditawarkan oleh setiap alatan teratas kami.

1. Pengurus Log & Acara SolarWinds (PERCUBAAN PERCUMA)

SolarWinds ialah nama yang terkenal dalam pentadbiran rangkaian. Ia menikmati reputasi yang kukuh untuk membuat beberapa alat pentadbiran rangkaian dan sistem terbaik. Produk utamanya, Pemantau Prestasi Rangkaian secara konsisten mendapat markah antara alat pemantauan lebar jalur rangkaian teratas yang tersedia. SolarWinds juga terkenal dengan banyak alatan percumanya, setiap satu memenuhi keperluan khusus pentadbir rangkaian. Pelayan Syslog Kiwi atau pelayan TFTP SolarWinds ialah dua contoh terbaik alat percuma ini.

Jangan biarkan nama SolarWinds Log & Pengurus Acara memperdayakan anda. Terdapat lebih banyak lagi daripada yang dapat dilihat. Beberapa ciri lanjutan produk ini melayakkannya sebagai sistem pengesanan dan pencegahan pencerobohan manakala yang lain meletakkannya dalam julat Maklumat Keselamatan dan Pengurusan Acara (SIEM). Alat ini, sebagai contoh, menampilkan korelasi peristiwa masa nyata dan pemulihan masa nyata.

• PERCUBAAN PERCUMA: Pengurus Log & Acara SolarWinds
• Pautan Muat Turun Rasmi: https://www.solarwinds.com/log-event-manager-software/registration

Pengurus Log & Acara SolarWinds menawarkan pengesanan serta-merta aktiviti yang mencurigakan (fungsi pengesanan pencerobohan) dan respons automatik (fungsi pencegahan pencerobohan). Alat ini juga boleh digunakan untuk melakukan penyiasatan peristiwa keselamatan dan forensik. Ia boleh digunakan untuk tujuan mitigasi dan pematuhan. Alat ini menampilkan pelaporan terbukti audit yang juga boleh digunakan untuk menunjukkan pematuhan dengan pelbagai rangka kerja kawal selia seperti HIPAA, PCI-DSS dan SOX. Alat ini juga mempunyai pemantauan integriti fail dan pemantauan peranti USB. Semua ciri lanjutan perisian menjadikannya lebih sebagai platform keselamatan bersepadu daripada hanya log dan sistem pengurusan acara yang namanya akan membawa anda percaya.

Ciri Pencegahan Pencerobohan Pengurus Log & Acara SolarWinds berfungsi dengan melaksanakan tindakan yang dipanggil Respons Aktif apabila ancaman dikesan. Respons yang berbeza boleh dikaitkan dengan makluman tertentu. Sebagai contoh, sistem boleh menulis ke jadual tembok api untuk menyekat akses rangkaian alamat IP sumber yang telah dikenal pasti sebagai melakukan aktiviti yang mencurigakan. Alat ini juga boleh menggantung akaun pengguna, menghentikan atau memulakan proses, dan menutup sistem. Anda akan ingat bagaimana ini adalah tepat tindakan pemulihan yang kami kenal pasti sebelum ini.

Harga untuk Pengurus Log & Acara SolarWinds berbeza-beza berdasarkan bilangan nod yang dipantau. Harga bermula pada $4,585 untuk sehingga 30 nod yang dipantau dan lesen sehingga 2500 nod boleh dibeli menjadikan produk sangat berskala. Jika anda ingin mengambil produk untuk ujian dan lihat sendiri sama ada ia sesuai untuk anda, percubaan 30 hari berciri penuh percuma tersedia .

2. Splunk

Splunk berkemungkinan salah satu Sistem Pencegahan Pencerobohan yang paling popular. Ia boleh didapati dalam beberapa edisi berbeza dengan set ciri yang berbeza. Keselamatan Perusahaan Splunk –atau Splunk ES , seperti yang sering dipanggil–ialah yang anda perlukan untuk Pencegahan Pencerobohan yang sebenar. Perisian ini memantau data sistem anda dalam masa nyata, mencari kelemahan dan tanda-tanda aktiviti tidak normal.

Tindak balas keselamatan adalah salah satu saman kukuh produk dan perkara yang menjadikannya Sistem Pencegahan Pencerobohan. Ia menggunakan apa yang vendor panggil Rangka Kerja Respons Adaptif (ARF). Ia disepadukan dengan peralatan daripada lebih 55 vendor keselamatan dan boleh melakukan tindak balas automatik, mempercepatkan tugas manual. Gabungan ini jika pemulihan automatik dan campur tangan manual boleh memberi anda peluang terbaik untuk cepat mendapat kelebihan. Alat ini mempunyai antara muka pengguna yang ringkas dan rapi, menjadikannya penyelesaian yang menang. Ciri perlindungan menarik lain termasuk fungsi "Notables" yang menunjukkan makluman yang boleh disesuaikan pengguna dan "Asset Investigator" untuk membenderakan aktiviti berniat jahat dan mencegah masalah selanjutnya.

Maklumat harga Splunk Enterprise Security tidak tersedia. Anda perlu menghubungi jualan Splunk untuk mendapatkan sebut harga terperinci. Ini adalah produk hebat yang menyediakan percubaan percuma.

3. Sagan

Sagan pada asasnya adalah sistem pengesanan pencerobohan percuma. Walau bagaimanapun, alat yang mempunyai keupayaan pelaksanaan skrip yang boleh meletakkannya dalam kategori Sistem Pencegahan Pencerobohan. Sagan mengesan percubaan pencerobohan melalui pemantauan fail log. Anda juga boleh menggabungkan Sagan dengan Snort yang boleh menyalurkan outputnya kepada Sagan memberikan alat itu beberapa keupayaan pengesanan pencerobohan berasaskan rangkaian. Malah, Sagan boleh menerima input daripada banyak alatan lain seperti Bro atau Suricata, menggabungkan keupayaan beberapa alatan untuk perlindungan yang terbaik.

Walau bagaimanapun, terdapat tangkapan kepada keupayaan pelaksanaan skrip Sagan . Anda perlu menulis skrip pemulihan. Walaupun alat ini mungkin tidak terbaik digunakan sebagai pertahanan tunggal anda terhadap pencerobohan, alat ini boleh menjadi komponen utama sistem yang menggabungkan beberapa alat dengan mengaitkan acara daripada sumber yang berbeza, memberikan anda yang terbaik daripada banyak produk.

Walaupun Sagan hanya boleh dipasang pada Linux, Unix dan Mac OS, ia boleh menyambung ke sistem Windows untuk mendapatkan acara mereka. Ciri menarik lain Sagan termasuk penjejakan lokasi alamat IP dan pemprosesan yang diedarkan.

4. OSSEC

Keselamatan Sumber Terbuka , atau OSSEC , ialah salah satu Sistem Pengesan Pencerobohan berasaskan hos sumber terbuka terkemuka. Kami memasukkannya ke dalam senarai kami atas dua sebab. Popularitinya adalah sedemikian sehingga kami terpaksa memasukkannya, terutamanya memandangkan alat itu membolehkan anda menentukan tindakan yang dilakukan secara automatik apabila makluman tertentu dicetuskan, memberikannya beberapa keupayaan Pencegahan Pencerobohan. OSSEC dimiliki oleh Trend Micro, salah satu nama terkemuka dalam keselamatan IT dan pembuat salah satu suite perlindungan virus terbaik.

Apabila dipasang pada sistem pengendalian seperti Unix, enjin pengesanan perisian tertumpu terutamanya pada fail log dan konfigurasi. Ia mencipta jumlah semak fail penting dan mengesahkannya secara berkala, memaklumkan anda atau mencetuskan tindakan pembetulan apabila sesuatu yang ganjil berlaku. Ia juga akan memantau dan memaklumkan sebarang percubaan yang tidak normal untuk mendapatkan akses root. Pada Windows, sistem juga memerhatikan pengubahsuaian pendaftaran tanpa kebenaran kerana ia boleh menjadi petanda aktiviti berniat jahat. Sebarang pengesanan akan mencetuskan amaran yang akan dipaparkan pada konsol berpusat manakala pemberitahuan juga akan dihantar melalui e-mel.

OSSEC ialah sistem perlindungan pencerobohan berasaskan hos. Oleh itu, ia perlu dipasang pada setiap komputer yang ingin anda lindungi. Walau bagaimanapun, konsol berpusat menyatukan maklumat daripada setiap komputer yang dilindungi untuk pengurusan yang lebih mudah. The OSSEC konsol hanya berjalan pada sistem operasi Unix-Like tetapi ejen kini tersedia untuk melindungi tuan rumah Windows. Sebagai alternatif, alatan lain seperti Kibana atau Graylog boleh digunakan sebagai bahagian hadapan alat tersebut.

5. Buka WIPS-NG

Kami tidak terlalu pasti sama ada kami harus memasukkan Open WIPS NG pada senarai kami. Lebih lanjut mengenainya sebentar lagi. Ia berjaya terutamanya kerana ia adalah satu-satunya produk yang menyasarkan rangkaian wayarles secara khusus. Buka WIPS NG–di mana WIPS bermaksud Wireless Intrusion Prevention System–ialah alat sumber terbuka yang diperbuat daripada tiga komponen utama. Pertama, terdapat sensor. Ini adalah proses bodoh yang hanya menangkap trafik tanpa wayar dan menghantarnya ke pelayan untuk analisis. Seperti yang anda mungkin telah meneka, komponen seterusnya ialah pelayan. Ia mengagregatkan data daripada semua penderia, menganalisis data yang dikumpul dan bertindak balas kepada serangan. Komponen ini adalah nadi sistem. Akhir sekali ialah komponen antara muka yang merupakan GUI yang anda gunakan untuk mengurus pelayan dan memaparkan maklumat tentang ancaman yang terdapat pada rangkaian wayarles anda.

Sebab utama mengapa kami teragak-agak sebelum memasukkan Open WIPS NG dalam senarai kami ialah, walaupun begitu, tidak semua orang menyukai pembangun produk. Ia adalah daripada pembangun yang sama seperti Aircrack NG, penghidu paket tanpa wayar dan pemecah kata laluan yang merupakan sebahagian daripada setiap kit alat penggodam WiFi. Ini membuka perdebatan tentang etika pembangun dan ia membuatkan sesetengah pengguna berhati-hati. Sebaliknya, latar belakang pembangun boleh dilihat sebagai bukti pengetahuan mendalamnya tentang keselamatan Wi-Fi.

6. Fail2Ban

Fail2Ban ialah sistem pengesanan pencerobohan hos percuma yang agak popular dengan ciri pencegahan pencerobohan. Perisian ini berfungsi dengan memantau fail log sistem untuk kejadian yang mencurigakan seperti percubaan log masuk yang gagal atau pencarian eksploitasi. Apabila sistem mengesan sesuatu yang mencurigakan, ia bertindak balas dengan mengemas kini peraturan tembok api setempat secara automatik untuk menyekat alamat IP sumber bagi tingkah laku berniat jahat itu. Ini, sudah tentu, membayangkan bahawa beberapa proses firewall sedang berjalan pada mesin tempatan. Ini adalah kelemahan utama alat. Walau bagaimanapun, sebarang tindakan sewenang-wenang lain–seperti melaksanakan beberapa skrip pembetulan atau menghantar pemberitahuan e-mel–boleh dikonfigurasikan.

Fail2Ban dibekalkan dengan beberapa pencetus pengesanan pra-bina yang dipanggil penapis, meliputi beberapa perkhidmatan yang paling biasa seperti Apache, Courrier, SSH, FTP, Postfix dan banyak lagi. Seperti yang kami katakan, tindakan pemulihan dicapai dengan mengubah suai jadual tembok api hos. Fail2Ban menyokong Netfilter, IPtables atau jadual hosts.deny bagi TCP Wrapper. Setiap penapis boleh dikaitkan dengan satu atau banyak tindakan. Bersama-sama, penapis dan tindakan dirujuk sebagai penjara.

7. Bro Pemantau Keselamatan Rangkaian

The Bro Network Security Monitor adalah satu lagi rangkaian sistem pengesanan pencerobohan percuma dengan IPS seperti fungsi. Ia berfungsi dalam dua fasa, ia mula-mula merekodkan trafik dan kemudian menganalisisnya. Alat ini beroperasi pada berbilang lapisan sehingga ke lapisan aplikasi yang menyumbang untuk pengesanan yang lebih baik bagi percubaan pencerobohan berpecah. Modul analisis produk terdiri daripada dua elemen. Elemen pertama dipanggil Enjin Peristiwa dan tujuannya adalah menjejaki peristiwa yang mencetuskan seperti sambungan TCP atau permintaan HTTP. Peristiwa tersebut kemudiannya dianalisis oleh Skrip Dasar, elemen kedua. Tugas Skrip Dasar adalah untuk memutuskan sama ada untuk mencetuskan penggera, melancarkan tindakan atau mengabaikan acara tersebut. Ia adalah kemungkinan untuk melancarkan tindakan yang memberikan Bro Network Security Monitor kefungsian IPSnya.

The Bro Network Security Monitor mempunyai beberapa batasan. Ia hanya akan menjejaki aktiviti HTTP, DNS dan FTP dan ia juga akan memantau trafik SNMP. Ini adalah perkara yang baik, walaupun, kerana SNMP sering digunakan untuk pemantauan rangkaian walaupun terdapat kelemahan keselamatan yang serius. SNMP hampir tidak mempunyai keselamatan terbina dalam dan menggunakan trafik yang tidak disulitkan. Dan oleh kerana protokol boleh digunakan untuk mengubah suai konfigurasi, ia boleh dieksploitasi dengan mudah oleh pengguna yang berniat jahat. Produk ini juga akan memerhatikan perubahan konfigurasi peranti dan Perangkap SNMP. Ia boleh dipasang pada Unix, Linux, dan OS X tetapi ia tidak tersedia untuk Windows, yang mungkin merupakan kelemahan utamanya. Jika tidak, ini adalah alat yang sangat menarik yang patut dicuba.