6 melhores sistemas de detecção de intrusão com base em host (HIDS) em 2021

Eu não gostaria de soar muito paranóico, embora provavelmente pareça, mas a cibercriminalidade está em toda parte. Cada organização pode se tornar alvo de hackers que tentam acessar seus dados. É, portanto, primordial ficar de olho nas coisas e garantir que não sejamos vítimas desses mal intencionados. A primeira linha de defesa é um sistema de detecção de intrusão . Os sistemas baseados em host aplicam sua detecção no nível do host e normalmente detectam a maioria das tentativas de intrusão rapidamente e o notificam imediatamente para que você possa remediar a situação.Com tantos sistemas de detecção de intrusão baseados em host disponíveis, escolher o melhor para sua situação específica pode parecer um desafio. Para ajudá-lo a ver claramente, reunimos uma lista de alguns dos melhores sistemas de detecção de intrusão baseados em host.

Antes de revelarmos as melhores ferramentas, faremos um breve desvio e daremos uma olhada nos diferentes tipos de sistemas de detecção de intrusão. Alguns são baseados em host, enquanto outros são baseados em rede. Explicaremos as diferenças. Em seguida, discutiremos os diferentes métodos de detecção de intrusão. Algumas ferramentas têm uma abordagem baseada em assinaturas, enquanto outras procuram comportamento suspeito. Os melhores usam uma combinação de ambos. Antes de continuar, vamos explicar as diferenças entre os sistemas de detecção de intrusão e prevenção de intrusão, pois é importante entender o que estamos olhando. Estaremos então prontos para a essência desta postagem, os melhores sistemas de detecção de intrusão baseados em host.

Dois tipos de sistemas de detecção de intrusão

Existem essencialmente dois tipos de sistemas de detecção de intrusão. Embora seu objetivo seja idêntico - detectar rapidamente qualquer tentativa de intrusão ou atividade suspeita que possa levar a uma tentativa de intrusão, eles diferem no local onde essa detecção é realizada. Este é um conceito frequentemente referido como o ponto de execução. Cada tipo tem vantagens e desvantagens e, de modo geral, não há consenso sobre qual deles é preferível. Na verdade, a melhor solução - ou a mais segura - é provavelmente aquela que combina as duas.

Sistemas de detecção de invasão de host (HIDS)

O primeiro tipo de sistema de detecção de intrusão, aquele em que estamos interessados ​​hoje, opera no nível do host. Você deve ter adivinhado pelo nome. O HIDS verifica, por exemplo, vários arquivos de log e diários em busca de sinais de atividade suspeita. Outra maneira de detectar tentativas de intrusão é verificar se há alterações não autorizadas em arquivos de configuração importantes. Eles também podem examinar os mesmos arquivos de configuração para padrões específicos de intrusão conhecidos. Por exemplo, um determinado método de intrusão pode funcionar ao adicionar um determinado parâmetro a um arquivo de configuração específico. Um bom sistema de detecção de intrusão baseado em host detectaria isso.

Na maioria das vezes, os HIDS são instalados diretamente nos dispositivos que devem proteger. Você precisará instalá-los em todos os seus computadores. Outros exigirão apenas a instalação de um agente local. Alguns até fazem todo o seu trabalho remotamente. Não importa como eles operam, bons HIDS têm um console centralizado onde você pode controlar o aplicativo e visualizar seus resultados.

Sistemas de detecção de intrusão de rede (NIDS)

Outro tipo de sistema de detecção de intrusão, denominado Network Intrusion Detection Systems, ou NIDS, trabalha na fronteira da rede para reforçar a detecção. Eles usam métodos semelhantes aos sistemas de detecção de intrusão do host, como a detecção de atividades suspeitas e a procura de padrões de intrusão conhecidos. Mas, em vez de olhar para os logs e arquivos de configuração, eles observam o tráfego da rede e examinam todas as solicitações de conexão. Alguns métodos de intrusão exploram vulnerabilidades conhecidas, enviando pacotes propositalmente malformados para hosts, fazendo-os reagir de uma maneira particular que permite que sejam violados. Um sistema de detecção de intrusão de rede detectaria facilmente esse tipo de tentativa.

Alguns argumentam que os NIDS são melhores do que os HIDS, pois detectam ataques antes mesmo de eles chegarem aos seus sistemas. Alguns os preferem porque não exigem que nada seja instalado em cada host para protegê-los com eficácia. Por outro lado, eles fornecem pouca proteção contra ataques internos que, infelizmente, não são incomuns. Para ser detectado, um invasor deve usar um caminho que passe pelo NIDS. Por esses motivos, a melhor proteção provavelmente vem do uso de uma combinação dos dois tipos de ferramentas.

Métodos de detecção de intrusão

Assim como existem dois tipos de ferramentas de detecção de intrusão, existem principalmente dois métodos diferentes usados ​​para detectar tentativas de intrusão. A detecção pode ser baseada em assinaturas ou em anomalias. A detecção de intrusão baseada em assinatura funciona analisando os dados em busca de padrões específicos que foram associados a tentativas de intrusão. Isso é semelhante aos sistemas de proteção contra vírus tradicionais que dependem de definições de vírus. Da mesma forma, a detecção de intrusão baseada em assinatura depende de assinaturas ou padrões de intrusão. Eles comparam dados com assinaturas de intrusão para identificar tentativas. Sua principal desvantagem é que eles não funcionam até que as assinaturas adequadas sejam carregadas no software. Infelizmente, isso normalmente acontece apenas depois que um determinado número de máquinas foi atacado e os editores de assinaturas de intrusão tiveram tempo de publicar novos pacotes de atualização. Alguns fornecedores são bastante rápidos, enquanto outros só reagiram dias depois.

A detecção de intrusão baseada em anomalia, o outro método, oferece melhor proteção contra ataques de dia zero, aqueles que acontecem antes que qualquer software de detecção de intrusão tenha a chance de adquirir o arquivo de assinatura adequado. Esses sistemas procuram anomalias em vez de tentar reconhecer padrões de intrusão conhecidos. Por exemplo, eles podem ser acionados se alguém tentar acessar um sistema com uma senha errada várias vezes consecutivas, um sinal comum de um ataque de força bruta. Qualquer comportamento suspeito pode ser detectado rapidamente. Cada método de detecção tem suas vantagens e desvantagens. Tal como acontece com os tipos de ferramentas, as melhores ferramentas são aquelas que utilizam uma combinação de análise de assinatura e comportamento para a melhor proteção.

Detecção Vs Prevenção - Uma Distinção Importante

Discutimos sistemas de detecção de intrusão, mas muitos de vocês devem ter ouvido falar sobre sistemas de prevenção de intrusão. Os dois conceitos são idênticos? A resposta fácil é não, pois os dois tipos de ferramenta têm uma finalidade diferente. Há, no entanto, alguma sobreposição entre eles. Como o próprio nome indica, o sistema de detecção de intrusão detecta tentativas de intrusão e atividades suspeitas. Quando detecta algo, normalmente dispara alguma forma de alerta ou notificação. Os administradores devem então tomar as medidas necessárias para interromper ou bloquear a tentativa de intrusão.

Os Sistemas de Prevenção de Intrusão (IPS) são feitos para impedir que as intrusões aconteçam completamente. O IPS ativo inclui um componente de detecção que acionará automaticamente alguma ação corretiva sempre que uma tentativa de intrusão for detectada. A prevenção de intrusões também pode ser passiva. O termo pode ser usado para se referir a qualquer coisa que seja feita ou posta em prática como forma de prevenir intrusões. A proteção de senha, por exemplo, pode ser considerada uma medida de prevenção de intrusões.

As melhores ferramentas de detecção de intrusão de host

Pesquisamos no mercado os melhores sistemas de detecção de intrusão com base em host. O que temos para você é uma mistura de verdadeiros HIDS e outros softwares que, embora não se chamem sistemas de detecção de intrusão, possuem um componente de detecção de intrusão ou podem ser usados ​​para detectar tentativas de intrusão. Vamos revisar nossas escolhas principais e dar uma olhada em seus melhores recursos.

1. SolarWinds Log & Event Manager (avaliação gratuita)

Nossa primeira entrada é de SolarWinds, um nome comum no campo de ferramentas de administração de rede. A empresa existe há cerca de 20 anos e trouxe-nos algumas das melhores ferramentas de administração de rede e sistema. Também são conhecidas suas muitas ferramentas gratuitas que atendem a algumas necessidades específicas dos administradores de rede. Dois grandes exemplos dessas ferramentas gratuitas são o Kiwi Syslog Server e a Advanced Subnet Calculator.

Não se deixe enganar pelo nome do SolarWinds Log & Event Manager . É muito mais do que um sistema de gerenciamento de log e eventos. Muitos dos recursos avançados deste produto o incluem na linha de Gerenciamento de Informações e Eventos de Segurança (SIEM). Outros recursos o qualificam como um Sistema de Detecção de Intrusão e até, até certo ponto, como um Sistema de Prevenção de Intrusão. Essa ferramenta apresenta correlação de eventos em tempo real e correção em tempo real, por exemplo.

• AVALIAÇÃO GRATUITA: SolarWinds Log & Event Manager
• Link oficial para download: https://www.solarwinds.com/log-event-manager-software/registration

O SolarWinds Log & Event Manager oferece detecção instantânea de atividades suspeitas (uma funcionalidade semelhante ao IDS) e respostas automatizadas (uma funcionalidade semelhante ao IPS). Ele também pode realizar investigação forense de eventos de segurança para fins de mitigação e conformidade. Graças a seus relatórios comprovados por auditoria, a ferramenta também pode ser usada para demonstrar conformidade com HIPAA, PCI-DSS e SOX, entre outros. A ferramenta também possui monitoramento de integridade de arquivo e monitoramento de dispositivo USB, tornando-se muito mais uma plataforma de segurança integrada do que apenas um sistema de gerenciamento de log e eventos.

Os preços do SolarWinds Log & Event Manager começam em US $ 4.585 para até 30 nós monitorados. Licenças para até 2500 nós podem ser adquiridas tornando o produto altamente escalável. Se você quiser fazer um teste com o produto e ver por si mesmo se é adequado para você, está disponível uma versão de avaliação gratuita de 30 dias com todos os recursos .

2. OSSEC

Open Source Security , ou OSSEC , é de longe o sistema de detecção de intrusão baseado em host de código aberto líder. O produto é propriedade da Trend Micro, um dos principais nomes em segurança de TI e criador de um dos melhores pacotes de proteção contra vírus. Quando instalado em sistemas operacionais do tipo Unix, o software se concentra principalmente em arquivos de log e de configuração. Ele cria checksums de arquivos importantes e os valida periodicamente, alertando você sempre que algo estranho acontece. Ele também monitorará e alertará sobre qualquer tentativa anormal de obter acesso root. Em hosts Windows, o sistema também fica de olho em modificações de registro não autorizadas, que podem ser um sinal revelador de atividade maliciosa.

Por ser um sistema de detecção de intrusão baseado em host, o OSSEC precisa ser instalado em cada computador que você deseja proteger. No entanto, um console centralizado consolida as informações de cada computador protegido para facilitar o gerenciamento. Embora o console OSSEC seja executado apenas em sistemas operacionais semelhantes ao Unix, um agente está disponível para proteger os hosts Windows. Qualquer detecção acionará um alerta que será exibido no console centralizado enquanto as notificações também serão enviadas por e-mail.

3. Samhain

Samhain é outro conhecido sistema gratuito de detecção de intrusão de host. Suas principais características, do ponto de vista do IDS, são a verificação da integridade dos arquivos e o monitoramento / análise dos arquivos de log. Mas faz muito mais do que isso. O produto realizará detecção de rootkit, monitoramento de porta, detecção de executáveis ​​SUID desonestos e de processos ocultos. A ferramenta foi projetada para monitorar vários hosts executando vários sistemas operacionais, enquanto fornece registro e manutenção centralizados. No entanto, o Samhain também pode ser usado como um aplicativo independente em um único computador. O software roda principalmente em sistemas POSIX como Unix, Linux ou OS X. Também pode rodar em Windows sob Cygwin, um pacote que permite rodar aplicações POSIX em Windows, embora apenas o agente de monitoramento tenha sido testado nessa configuração.

Um dos recursos mais exclusivos do Samhain é o modo furtivo, que permite que ele seja executado sem ser detectado por invasores em potencial. Os invasores são conhecidos por eliminar rapidamente os processos de detecção que reconhecem assim que entram em um sistema antes de serem detectados, permitindo que passem despercebidos. Samhain usa técnicas esteganográficas para ocultar seus processos de outras pessoas. Ele também protege seus arquivos de log centrais e backups de configuração com uma chave PGP para evitar adulteração.

4. Fail2Ban

Fail2Ban é um sistema de detecção de intrusão de host gratuito e de código aberto que também apresenta alguns recursos de prevenção de intrusão. A ferramenta de software monitora arquivos de log em busca de atividades e eventos suspeitos, como tentativas de login malsucedidas, busca de exploits, etc. A ação padrão da ferramenta, sempre que detecta algo suspeito, é atualizar automaticamente as regras de firewall local para bloquear o endereço IP de origem do comportamento malicioso. Na realidade, isso não é uma verdadeira prevenção de intrusão, mas sim um sistema de detecção de intrusão com recursos de correção automática. O que acabamos de descrever é a ação padrão da ferramenta, mas qualquer outra ação arbitrária - como enviar notificações por email - também pode ser configurada, fazendo com que se comporte como um sistema de detecção de intrusão mais “clássico”.

Fail2Ban é oferecido com vários filtros pré-construídos para alguns dos serviços mais comuns, como Apache, SSH, FTP, Postfix e muitos mais. A prevenção, como explicamos, é realizada modificando as tabelas de firewall do host. A ferramenta pode funcionar com Netfilter, IPtables ou a tabela hosts.deny do TCP Wrapper. Cada filtro pode ser associado a uma ou várias ações.

5. AIDE

O Ambiente de Detecção de Intrusão Avançada , ou AIDE , é outro sistema de detecção de intrusão de host gratuito. Este se concentra principalmente na detecção de rootkit e comparações de assinatura de arquivo. Quando você instala inicialmente, a ferramenta irá compilar uma espécie de banco de dados de dados de administração dos arquivos de configuração do sistema. Esse banco de dados pode então ser usado como uma linha de base contra a qual qualquer mudança pode ser comparada e eventualmente revertida, se necessário.

AIDE faz uso de esquemas de detecção baseados em assinatura e em anomalia. Esta é uma ferramenta executada sob demanda e não programada ou em execução contínua. Na verdade, essa é a principal desvantagem do produto. No entanto, como é uma ferramenta de linha de comando em vez de ser baseada em GUI, um cron job pode ser criado para executá-lo em intervalos regulares. Se você optar por executar a ferramenta com frequência, como uma vez a cada minuto, você quase obterá dados em tempo real e terá tempo para reagir antes que qualquer tentativa de intrusão tenha ido longe demais e causado muitos danos.

Basicamente , AIDE é apenas uma ferramenta de comparação de dados, mas com a ajuda de alguns scripts externos programados, pode ser transformado em um verdadeiro HIDS. Porém, lembre-se de que essa é uma ferramenta essencialmente local. Não tem gerenciamento centralizado e nenhuma GUI sofisticada.

6. Sagan

O último de nossa lista é o Sagan , que na verdade é mais um sistema de análise de log do que um verdadeiro IDS. Ele tem, no entanto, alguns recursos semelhantes aos do IDS, por isso merece um lugar em nossa lista. A ferramenta monitora localmente os arquivos de log do sistema onde está instalada, mas também pode interagir com outras ferramentas. Ele poderia, por exemplo, analisar os logs do Snort, adicionando efetivamente a funcionalidade NIDS do Snort ao que é essencialmente um HIDS. Não vai interagir apenas com o Snort. Sagan pode interagir com Suricata também e é compatível com várias ferramentas de construção de regras como Oinkmaster ou Carne de Porco Empurrada.

Sagan também possui recursos de execução de script que podem torná-lo um sistema de prevenção de intrusão bruto, desde que você desenvolva alguns scripts de correção. Embora essa ferramenta provavelmente não seja usada como sua única defesa contra intrusões, ela pode ser um ótimo componente de um sistema que pode incorporar muitas ferramentas, correlacionando eventos de diferentes fontes.