6 beste hostgebaseerde inbraakdetectiesystemen (HIDS) in 2021

6 beste hostgebaseerde inbraakdetectiesystemen (HIDS) in 2021

Ik zou niet te paranoïde willen klinken, hoewel ik dat waarschijnlijk wel doe, maar cybercriminaliteit is overal. Elke organisatie kan het doelwit worden van hackers die toegang proberen te krijgen tot hun gegevens. Het is daarom primordiaal om een ​​oogje in het zeil te houden en ervoor te zorgen dat we niet het slachtoffer worden van deze kwaadwillende individuen. De allereerste verdedigingslinie is een inbraakdetectiesysteem . Hostgebaseerde systemen passen hun detectie toe op hostniveau en zullen de meeste inbraakpogingen doorgaans snel detecteren en u onmiddellijk op de hoogte stellen, zodat u de situatie kunt verhelpen.Met zoveel hostgebaseerde inbraakdetectiesystemen die beschikbaar zijn, kan het een uitdaging lijken om de beste voor uw specifieke situatie te kiezen. Om u te helpen duidelijk te zien, hebben we een lijst samengesteld met enkele van de beste hostgebaseerde inbraakdetectiesystemen.

6 beste hostgebaseerde inbraakdetectiesystemen (HIDS) in 2021

Voordat we de beste tools onthullen, dwalen we even af ​​en bekijken we de verschillende soorten inbraakdetectiesystemen. Sommige zijn hostgebaseerd, terwijl andere netwerkgebaseerd zijn. We leggen de verschillen uit. Vervolgens bespreken we de verschillende methoden voor inbraakdetectie. Sommige tools hebben een op handtekeningen gebaseerde aanpak, terwijl andere op zoek zijn naar verdacht gedrag. De beste gebruiken een combinatie van beide. Voordat we verder gaan, zullen we de verschillen tussen inbraakdetectie- en inbraakpreventiesystemen uitleggen, aangezien het belangrijk is om te begrijpen waar we naar kijken. We zijn dan klaar voor de essentie van dit bericht, de beste hostgebaseerde inbraakdetectiesystemen.

Twee soorten inbraakdetectiesystemen

Er zijn in wezen twee soorten Intrusion Detection-systemen. Hoewel hun doel hetzelfde is: het snel detecteren van elke poging tot inbraak of verdachte activiteit die kan leiden tot een poging tot inbraak, verschillen ze in de locatie waar deze detectie wordt uitgevoerd. Dit is een begrip dat vaak het handhavingspunt wordt genoemd. Elk type heeft voor- en nadelen en over het algemeen is er geen consensus over welke de voorkeur heeft. In feite is de beste oplossing - of de veiligste - waarschijnlijk een oplossing die beide combineert.

Host Intrusion Detection Systems (HIDS)

Het eerste type inbraakdetectiesysteem, waar we vandaag in geïnteresseerd zijn, werkt op hostniveau. Dat had je misschien al geraden aan de naam. HIDS controleert bijvoorbeeld verschillende logbestanden en journaals op tekenen van verdachte activiteit. Een andere manier waarop ze inbraakpogingen detecteren, is door belangrijke configuratiebestanden te controleren op ongeoorloofde wijzigingen. Ze kunnen dezelfde configuratiebestanden ook onderzoeken op specifieke bekende inbraakpatronen. Het kan bijvoorbeeld bekend zijn dat een bepaalde inbraakmethode werkt door een bepaalde parameter toe te voegen aan een specifiek configuratiebestand. Een goed host-gebaseerd inbraakdetectiesysteem zou dat opvangen.

Meestal worden HIDS rechtstreeks geïnstalleerd op de apparaten die ze moeten beschermen. U moet ze op al uw computers installeren. Voor andere hoeft u alleen een lokale agent te installeren. Sommigen doen zelfs al hun werk op afstand. Hoe ze ook werken, goede HIDS hebben een gecentraliseerde console waar je de applicatie kunt besturen en de resultaten kunt bekijken.

Netwerkinbraakdetectiesystemen (NIDS)

Een ander type inbraakdetectiesysteem genaamd Network Intrusion Detection Systems, of NIDS, werkt aan de grens van het netwerk om detectie af te dwingen. Ze gebruiken vergelijkbare methoden als host-inbraakdetectiesystemen, zoals het detecteren van verdachte activiteiten en het zoeken naar bekende inbraakpatronen. Maar in plaats van naar logs en configuratiebestanden te kijken, kijken ze naar het netwerkverkeer en onderzoeken ze alle verbindingsverzoeken. Sommige inbraakmethoden maken misbruik van bekende kwetsbaarheden door opzettelijk misvormde pakketten naar hosts te sturen, waardoor ze op een bepaalde manier reageren waardoor ze kunnen worden doorbroken. Een netwerkinbraakdetectiesysteem zou dit soort pogingen gemakkelijk kunnen detecteren.

Sommigen beweren dat NIDS beter zijn dan HIDS omdat ze aanvallen detecteren nog voordat ze zelfs maar je systemen bereiken. Sommigen geven er de voorkeur aan omdat er niets op elke host hoeft te worden geïnstalleerd om ze effectief te beschermen. Aan de andere kant bieden ze weinig bescherming tegen aanvallen van binnenuit, wat helaas helemaal niet ongewoon is. Om te worden gedetecteerd, moet een aanvaller een pad gebruiken dat door de NIDS gaat. Om deze redenen komt de beste bescherming waarschijnlijk uit het gebruik van een combinatie van beide soorten tools.

Inbraakdetectiemethoden

Net zoals er twee soorten inbraakdetectietools zijn, zijn er hoofdzakelijk twee verschillende methoden die worden gebruikt om inbraakpogingen te detecteren. Detectie kan gebaseerd zijn op handtekeningen of op afwijkingen. Op handtekeningen gebaseerde inbraakdetectie werkt door gegevens te analyseren op specifieke patronen die zijn geassocieerd met inbraakpogingen. Dit is vergelijkbaar met traditionele virusbeschermingssystemen die afhankelijk zijn van virusdefinities. Evenzo is op handtekeningen gebaseerde inbraakdetectie afhankelijk van inbraaksignaturen of -patronen. Ze vergelijken gegevens met inbraaksignaturen om pogingen te identificeren. Hun grootste nadeel is dat ze pas werken als de juiste handtekeningen in de software zijn geüpload. Helaas, dit gebeurt meestal pas nadat een bepaald aantal machines is aangevallen en uitgevers van inbraaksignaturen de tijd hebben gehad om nieuwe updatepakketten te publiceren. Sommige leveranciers zijn vrij snel terwijl anderen pas dagen later konden reageren.

Op anomalie gebaseerde inbraakdetectie, de andere methode, biedt betere bescherming tegen zero-day-aanvallen, aanvallen die plaatsvinden voordat inbraakdetectiesoftware de kans heeft gehad om het juiste handtekeningbestand te verkrijgen. Deze systemen zoeken naar afwijkingen in plaats van te proberen bekende inbraakpatronen te herkennen. Ze kunnen bijvoorbeeld worden geactiveerd als iemand meerdere keren achter elkaar toegang probeert te krijgen tot een systeem met een verkeerd wachtwoord, een veelvoorkomend teken van een brute force-aanval. Elk verdacht gedrag kan snel worden opgespoord. Elke detectiemethode heeft zijn voor- en nadelen. Net als bij de soorten tools, zijn de beste tools die welke een combinatie van handtekening- en gedragsanalyse gebruiken voor de beste bescherming.

Detectie versus preventie - een belangrijk onderscheid

We hebben het gehad over inbraakdetectiesystemen, maar velen van u hebben misschien gehoord over inbraakpreventiesystemen. Zijn de twee concepten identiek? Het gemakkelijke antwoord is nee, aangezien de twee soorten tools een ander doel dienen. Er is echter enige overlap tussen hen. Zoals de naam al aangeeft, detecteert het inbraakdetectiesysteem inbraakpogingen en verdachte activiteiten. Wanneer het iets detecteert, activeert het meestal een vorm van waarschuwing of melding. Beheerders moeten dan de nodige stappen ondernemen om de inbraakpoging te stoppen of te blokkeren.

Intrusion Prevention Systems (IPS) zijn gemaakt om te voorkomen dat inbraken helemaal plaatsvinden. Actieve IPS bevatten een detectiecomponent die automatisch een corrigerende actie activeert wanneer een inbraakpoging wordt gedetecteerd. Inbraakpreventie kan ook passief zijn. De term kan worden gebruikt om te verwijzen naar alles wat wordt gedaan of ingevoerd als een manier om inbreuken te voorkomen. Wachtwoordverharding kan bijvoorbeeld worden gezien als een maatregel voor inbraakpreventie.

De beste hulpprogramma's voor het detecteren van indringers van hosts

We hebben de markt afgezocht naar de beste hostgebaseerde inbraakdetectiesystemen. Wat we voor u hebben, is een mix van echte HIDS en andere software die, hoewel ze zichzelf geen inbraakdetectiesystemen noemen, een inbraakdetectiecomponent hebben of kunnen worden gebruikt om inbraakpogingen te detecteren. Laten we onze topkeuzes eens bekijken en hun beste eigenschappen bekijken.

1. SolarWinds Log & Event Manager (gratis proefversie)

Onze eerste inzending is van SolarWinds, een veel voorkomende naam op het gebied van netwerkbeheertools. Het bedrijf bestaat al ongeveer 20 jaar en heeft ons enkele van de beste netwerk- en systeembeheertools gebracht. Het staat ook bekend om de vele gratis tools die inspelen op een aantal specifieke behoeften van netwerkbeheerders. Twee geweldige voorbeelden van deze gratis tools zijn de Kiwi Syslog Server en de Advanced Subnet Calculator.

Laat u niet misleiden door de naam van de SolarWinds Log & Event Manager . Het is veel meer dan alleen een log- en gebeurtenisbeheersysteem. Veel van de geavanceerde functies van dit product plaatsen het in de reeks Security Information and Event Management (SIEM). Andere kenmerken kwalificeren het als een inbraakdetectiesysteem en zelfs tot op zekere hoogte als een inbraakpreventiesysteem. Deze tool biedt bijvoorbeeld realtime-gebeurteniscorrelatie en realtime-remediëring.

6 beste hostgebaseerde inbraakdetectiesystemen (HIDS) in 2021

De SolarWinds Log & Event Manager biedt onmiddellijke detectie van verdachte activiteiten (een IDS-achtige functionaliteit) en geautomatiseerde reacties (een IPS-achtige functionaliteit). Het kan ook onderzoek naar beveiligingsgebeurtenissen en forensisch onderzoek uitvoeren voor zowel mitigatie- als nalevingsdoeleinden. Dankzij de door audits bewezen rapportage kan de tool ook worden gebruikt om naleving van onder andere HIPAA, PCI-DSS en SOX aan te tonen. De tool heeft ook bewaking van bestandsintegriteit en bewaking van USB-apparaten, waardoor het veel meer een geïntegreerd beveiligingsplatform is dan alleen een log- en gebeurtenisbeheersysteem.

Prijzen voor de SolarWinds Log & Event Manager beginnen bij $ 4.585 voor maximaal 30 bewaakte nodes. Licenties voor maximaal 2500 nodes kunnen worden gekocht, waardoor het product zeer schaalbaar is. Als u het product wilt uitproberen en zelf wilt zien of het geschikt voor u is, is er een gratis, volledige proefversie van 30 dagen beschikbaar .

2. OSSEC

Open Source Security , of OSSEC , is verreweg het toonaangevende open-source hostgebaseerde inbraakdetectiesysteem. Het product is eigendom van Trend Micro, een van de toonaangevende namen op het gebied van IT-beveiliging en maker van een van de beste virusbeschermingssuites. Wanneer geïnstalleerd op Unix-achtige besturingssystemen, richt de software zich voornamelijk op log- en configuratiebestanden. Het maakt controlesommen van belangrijke bestanden en valideert deze periodiek, zodat u wordt gewaarschuwd wanneer er iets vreemds gebeurt. Het zal ook elke abnormale poging om root-toegang te krijgen controleren en waarschuwen. Op Windows-hosts houdt het systeem ook een oogje in het zeil voor ongeoorloofde registerwijzigingen die een verklikkersignaal kunnen zijn van kwaadaardige activiteit.

6 beste hostgebaseerde inbraakdetectiesystemen (HIDS) in 2021

Omdat het een host-gebaseerd inbraakdetectiesysteem is, moet OSSEC worden geïnstalleerd op elke computer die u wilt beschermen. Een gecentraliseerde console consolideert echter informatie van elke beveiligde computer voor eenvoudiger beheer. Hoewel de OSSEC- console alleen op Unix-achtige besturingssystemen draait, is er een agent beschikbaar om Windows-hosts te beschermen. Elke detectie activeert een waarschuwing die wordt weergegeven op de gecentraliseerde console, terwijl meldingen ook per e-mail worden verzonden.

3. Samhain

Samhain is een ander bekend gratis host-intrusion-detectiesysteem. De belangrijkste kenmerken, vanuit een IDS-standpunt, zijn controle van de bestandsintegriteit en bewaking/analyse van logbestanden. Het doet echter veel meer dan dat. Het product zal rootkit-detectie, poortbewaking, detectie van frauduleuze SUID-uitvoerbare bestanden en verborgen processen uitvoeren. De tool is ontworpen om meerdere hosts met verschillende besturingssystemen te monitoren en tegelijkertijd gecentraliseerde logboekregistratie en onderhoud te bieden. Echter, Samhain kan ook worden gebruikt als een stand-alone applicatie op een enkele computer. De software draait voornamelijk op POSIX-systemen zoals Unix, Linux of OS X. Het kan ook op Windows draaien onder Cygwin, een pakket waarmee POSIX-applicaties op Windows kunnen worden uitgevoerd, hoewel alleen de bewakingsagent in die configuratie is getest.

6 beste hostgebaseerde inbraakdetectiesystemen (HIDS) in 2021

Een van de meest unieke kenmerken van Samhain is de stealth-modus waarmee het kan worden uitgevoerd zonder te worden gedetecteerd door potentiële aanvallers. Van indringers is bekend dat ze snel detectieprocessen uitschakelen die ze herkennen zodra ze een systeem binnenkomen voordat ze worden gedetecteerd, waardoor ze onopgemerkt blijven. Samhain gebruikt steganografische technieken om zijn processen voor anderen te verbergen. Het beschermt ook de centrale logbestanden en configuratieback-ups met een PGP-sleutel om manipulatie te voorkomen.

4. Fail2Ban

Fail2Ban is een gratis en open source host-inbraakdetectiesysteem dat ook enkele inbraakpreventiemogelijkheden biedt. De softwaretool controleert logbestanden op verdachte activiteiten en gebeurtenissen, zoals mislukte inlogpogingen, het zoeken naar exploits, enz. De standaardactie van de tool, wanneer er iets verdachts wordt gedetecteerd, is om automatisch de lokale firewallregels bij te werken om het bron-IP-adres van de kwaadaardig gedrag. In werkelijkheid is dit geen echte inbraakpreventie, maar eerder een inbraakdetectiesysteem met automatische herstelfuncties. Wat we zojuist hebben beschreven, is de standaardactie van het hulpprogramma, maar elke andere willekeurige actie, zoals het verzenden van e-mailmeldingen, kan ook worden geconfigureerd, waardoor het zich gedraagt ​​als een meer "klassiek" inbraakdetectiesysteem.

6 beste hostgebaseerde inbraakdetectiesystemen (HIDS) in 2021

Fail2Ban wordt aangeboden met verschillende vooraf gebouwde filters voor enkele van de meest voorkomende services zoals Apache, SSH, FTP, Postfix en nog veel meer. Preventie, zoals we hebben uitgelegd, wordt uitgevoerd door de firewalltabellen van de host te wijzigen. De tool kan werken met Netfilter, IPtables of de hosts.deny-tabel van TCP Wrapper. Elk filter kan aan één of meerdere acties worden gekoppeld.

5. AIDE

De Advanced Intrusion Detection Environment , of AIDE , is een ander gratis host-intrusion-detectiesysteem. Dit systeem richt zich voornamelijk op rootkit-detectie en het vergelijken van bestandshandtekeningen. Wanneer u het voor het eerst installeert, zal het hulpprogramma een soort database met beheerdersgegevens samenstellen uit de configuratiebestanden van het systeem. Deze database kan vervolgens worden gebruikt als een basislijn waarmee elke wijziging kan worden vergeleken en eventueel kan worden teruggedraaid.

6 beste hostgebaseerde inbraakdetectiesystemen (HIDS) in 2021

AIDE maakt gebruik van zowel op handtekeningen gebaseerde als op anomalie gebaseerde detectieschema's. Dit is een tool die on-demand wordt uitgevoerd en niet gepland of continu wordt uitgevoerd. In feite is dit het belangrijkste nadeel van het product. Omdat het echter een opdrachtregelprogramma is in plaats van GUI-gebaseerd, kan er een cron-taak worden gemaakt om het met regelmatige tussenpozen uit te voeren. Als u ervoor kiest om de tool regelmatig uit te voeren, zoals eens per minuut, krijgt u bijna realtime gegevens en heeft u de tijd om te reageren voordat een inbraakpoging te ver is gegaan en veel schade heeft aangericht.

In de kern is AIDE slechts een hulpmiddel voor het vergelijken van gegevens, maar met behulp van een paar externe geplande scripts kan het worden omgezet in een echte HIDS. Houd er echter rekening mee dat dit in wezen een lokale tool is. Het heeft geen gecentraliseerd beheer en geen fraaie GUI.

6. Sagan

De laatste op onze lijst is Sagan , dat eigenlijk meer een loganalysesysteem is dan een echte IDS. Het heeft echter enkele IDS-achtige functies en daarom verdient het een plaats op onze lijst. De tool bekijkt lokaal de logbestanden van het systeem waarop het is geïnstalleerd, maar het kan ook communiceren met andere tools. Het zou bijvoorbeeld de logs van Snort kunnen analyseren, waardoor de NIDS-functionaliteit van Snort effectief wordt toegevoegd aan wat in wezen een HIDS is. Het zal niet alleen communiceren met Snort. Sagan kan ook communiceren met Suricata en het is compatibel met verschillende hulpprogramma's voor het maken van regels, zoals Oinkmaster of Pulled Pork.

6 beste hostgebaseerde inbraakdetectiesystemen (HIDS) in 2021

Sagan heeft ook mogelijkheden om scripts uit te voeren, waardoor het een primitief inbraakpreventiesysteem kan worden, op voorwaarde dat u enkele herstelscripts ontwikkelt. Hoewel deze tool waarschijnlijk niet wordt gebruikt als uw enige verdediging tegen inbraak, kan het een geweldig onderdeel zijn van een systeem dat veel tools kan bevatten door gebeurtenissen uit verschillende bronnen te correleren.


6 beste netwerkbeheertools die prestaties bijhouden

6 beste netwerkbeheertools die prestaties bijhouden

De markt voor netwerkbeheersoftware is erg druk. Verkort uw zoekopdracht door onze aanbevelingen van de beste netwerkbeheertools te volgen.

10 beste Ping Sweep-tools om u meer over uw netwerk te vertellen

10 beste Ping Sweep-tools om u meer over uw netwerk te vertellen

Ping-sweeps kunnen op veel manieren in uw voordeel worden gebruikt. Lees verder terwijl we bespreken hoe en introduceer de 10 beste Ping-sweep-tools die u kunt vinden.

6 beste tools voor het monitoren van websites

6 beste tools voor het monitoren van websites

Websites zijn belangrijk en moeten voortdurend nauwlettend worden gecontroleerd op adequate prestaties. Hier zijn enkele van de beste tools voor het monitoren van websites.

Beste software-implementatietools voor ontwikkelteams in 2022

Beste software-implementatietools voor ontwikkelteams in 2022

Hier is een blik op enkele van de allerbeste software-implementatietools om de pijn van het beheer van een willekeurig aantal machines te verlichten

Beste gratis sFlow-verzamelaars en -analysers beoordeeld in 2021

Beste gratis sFlow-verzamelaars en -analysers beoordeeld in 2021

sFlow is een stroomanalyseprotocol dat in tal van netwerkapparaten is ingebouwd. We bekijken de top vijf van beste gratis sFlow-verzamelaars en -analysers.

Bandbreedte bewaken op Linux: top 5 tools in 2021

Bandbreedte bewaken op Linux: top 5 tools in 2021

Nu Linux steeds populairder wordt in datacenters, hebben we gekeken naar het monitoren van bandbreedte op Linux en zijn ook de beste tools aan het beoordelen.

SolarWinds Mail Assure - REVIEW 2021

SolarWinds Mail Assure - REVIEW 2021

E-mailbeveiliging is een belangrijke taak van managed service providers. We waren bezig met het beoordelen van SolarWinds Mail Assure, een van de beste tools voor dat doel.

Cheatsheet voor Windows PowerShell-opdrachten - De ultieme gids die u nodig hebt

Cheatsheet voor Windows PowerShell-opdrachten - De ultieme gids die u nodig hebt

Als u een krachtige Windows-gebruiker bent, weet en begrijpt u waarschijnlijk hoe het uitvoeren van verschillende bewerkingen op uw pc meer dan één benadering en

Beste netwerklatentietest- en monitoringtools in 2021

Beste netwerklatentietest- en monitoringtools in 2021

Latency lijkt de grootste vijand van netwerken te zijn. Deze latency-meettools leren hoe latency te testen om problemen op te sporen, te lokaliseren en op te lossen.

Beste hulpprogrammas voor netwerkbewaking voor Windows 10 in 2021

Beste hulpprogrammas voor netwerkbewaking voor Windows 10 in 2021

Windows-netwerkmonitor vereist tools met beperkte vereisten. Vandaag keken we naar de beste hulpprogramma's voor netwerkbewaking voor Windows 10.