7 melhores sistemas de prevenção de intrusão (IPS) para 2021

Todo mundo quer manter os intrusos fora de casa. Da mesma forma - e por motivos semelhantes, os administradores de rede se esforçam para manter os invasores fora das redes que gerenciam. Um dos ativos mais importantes de muitas organizações de hoje são seus dados. É tão importante que muitos indivíduos mal-intencionados farão o possível para roubar esses dados. Eles fazem isso usando uma vasta gama de técnicas para obter acesso não autorizado a redes e sistemas. O número de tais ataques parece ter aumentado exponencialmente recentemente e, em reação, sistemas estão sendo colocados em prática para evitá-los. Esses sistemas são chamados de Intrusion Prevention Systems, ou IPS. Hoje, estamos dando uma olhada nos melhores sistemas de prevenção de intrusão que podemos encontrar.

Começaremos tentando definir melhor o que é prevenção de intrusões. Isso, é claro, implica que também definiremos o que é intrusão. Em seguida, exploraremos os diferentes métodos de detecção que são normalmente usados ​​e quais ações de correção são tomadas após a detecção. Em seguida, falaremos brevemente sobre prevenção de intrusão passiva. São medidas estáticas que podem ser implementadas, o que pode reduzir drasticamente o número de tentativas de intrusão. Você pode se surpreender ao descobrir que alguns deles não têm nada a ver com computadores. Só então, com todos nós na mesma página, seremos capazes de finalmente revisar alguns dos melhores Sistemas de Prevenção de Intrusões que pudemos encontrar.

Prevenção de intrusões - do que se trata?

Anos atrás, os vírus eram praticamente as únicas preocupações dos administradores de sistema. Os vírus chegaram a um ponto em que eram tão comuns que a indústria reagiu desenvolvendo ferramentas de proteção contra vírus. Hoje, nenhum usuário sério em sã consciência pensaria em rodar um computador sem proteção antivírus. Embora não tenhamos mais ouvido falar de vírus, a invasão - ou o acesso não autorizado aos seus dados por usuários mal-intencionados - é a nova ameaça. Como os dados costumam ser o ativo mais importante de uma organização, as redes corporativas se tornaram o alvo de hackers mal-intencionados, que farão todo o possível para obter acesso aos dados. Assim como o software de proteção contra vírus foi a resposta para a proliferação de vírus, Intrusion Prevention Systems é a resposta para ataques de intrusão.

Os sistemas de prevenção de intrusões fazem basicamente duas coisas. Primeiro, eles detectam tentativas de intrusão e, quando detectam atividades suspeitas, usam métodos diferentes para interrompê-las ou bloqueá-las. Existem duas maneiras diferentes de detectar tentativas de intrusão. A detecção baseada em assinatura funciona analisando o tráfego e os dados da rede e procurando padrões específicos associados às tentativas de intrusão. Isso é semelhante aos sistemas de proteção contra vírus tradicionais que dependem de definições de vírus. A detecção de intrusão baseada em assinatura depende de assinaturas ou padrões de intrusão. A principal desvantagem desse método de detecção é que ele precisa das assinaturas adequadas para ser carregado no software. E quando se trata de um novo método de ataque, geralmente há um atraso antes que as assinaturas de ataque sejam atualizadas. Alguns fornecedores são muito rápidos no fornecimento de assinaturas de ataque atualizadas, enquanto outros são muito mais lentos. A frequência e a rapidez com que as assinaturas são atualizadas é um fator importante a ser considerado ao escolher um fornecedor.

A detecção baseada em anomalias oferece melhor proteção contra ataques de dia zero, aqueles que acontecem antes de as assinaturas de detecção terem a chance de ser atualizadas. O processo procura anomalias em vez de tentar reconhecer padrões de intrusão conhecidos. Por exemplo, ele seria acionado se alguém tentasse acessar um sistema com uma senha errada várias vezes consecutivas, um sinal comum de um ataque de força bruta. Este é apenas um exemplo e normalmente existem centenas de atividades suspeitas diferentes que podem acionar esses sistemas. Ambos os métodos de detecção têm suas vantagens e desvantagens. As melhores ferramentas são aquelas que usam uma combinação de análise de assinatura e comportamento para a melhor proteção.

Detectar tentativa de intrusão é a primeira parte de sua prevenção. Uma vez detectados, os Sistemas de Prevenção de Intrusão trabalham ativamente para interromper as atividades detectadas. Diversas ações corretivas diferentes podem ser realizadas por esses sistemas. Eles podem, por exemplo, suspender ou desativar contas de usuários. Outra ação típica é bloquear o endereço IP de origem do ataque ou modificar as regras do firewall. Se a atividade maliciosa vier de um processo específico, o sistema de prevenção pode interromper o processo. Iniciar algum processo de proteção é outra reação comum e, nos piores casos, sistemas inteiros podem ser desligados para limitar danos potenciais. Outra tarefa importante dos Intrusion Prevention Systems é alertar os administradores, registrar o evento e relatar atividades suspeitas.

Medidas de prevenção de intrusão passiva

Embora os sistemas de prevenção de intrusões possam protegê-lo contra vários tipos de ataques, nada supera as boas e antiquadas medidas passivas de prevenção de intrusões. Por exemplo, exigir senhas fortes é uma excelente forma de proteção contra muitas intrusões. Outra medida de proteção fácil é alterar as senhas padrão do equipamento. Embora seja menos frequente em redes corporativas - embora não seja inédito -, tenho visto com muita frequência gateways da Internet que ainda têm sua senha de administrador padrão. Já no assunto de senhas, o envelhecimento da senha é outra etapa concreta que pode ser implementada para reduzir as tentativas de intrusão. Qualquer senha, mesmo a melhor, pode eventualmente ser quebrada, com tempo suficiente. O envelhecimento da senha garante que as senhas sejam alteradas antes de serem quebradas.

Havia apenas exemplos do que poderia ser feito para evitar intrusões passivamente. Poderíamos escrever um post inteiro sobre quais medidas passivas podem ser implementadas, mas esse não é nosso objetivo hoje. Em vez disso, nosso objetivo é apresentar alguns dos melhores sistemas ativos de prevenção de intrusões.

Os melhores sistemas de prevenção de intrusões

Nossa lista contém uma combinação de várias ferramentas que podem ser usadas para proteger contra tentativas de intrusão. A maioria das ferramentas incluídas são verdadeiros sistemas de prevenção de intrusões, mas também incluímos ferramentas que, embora não sejam comercializadas como tal, podem ser usadas para prevenir intrusões. Nossa primeira entrada é um exemplo. Lembre-se de que, mais do que tudo, a escolha de qual ferramenta usar deve ser orientada por quais são suas necessidades específicas. Então, vamos ver o que cada uma de nossas principais ferramentas tem a oferecer.

1. SolarWinds Log & Event Manager (AVALIAÇÃO GRATUITA)

SolarWinds é um nome bem conhecido em administração de rede. Ele goza de uma sólida reputação por fazer algumas das melhores ferramentas de administração de rede e sistema. Seu principal produto, o Monitor de Desempenho de Rede, pontua consistentemente entre as principais ferramentas de monitoramento de largura de banda de rede disponíveis. A SolarWinds também é famosa por suas muitas ferramentas gratuitas, cada uma atendendo a uma necessidade específica dos administradores de rede. O servidor Kiwi Syslog ou o servidor TFTP SolarWinds são dois exemplos excelentes dessas ferramentas gratuitas.

Não se deixe enganar pelo nome do SolarWinds Log & Event Manager . Há muito mais do que aparenta. Alguns dos recursos avançados deste produto qualificam-no como um sistema de detecção e prevenção de intrusão, enquanto outros o colocam na linha de Gerenciamento de Informações e Eventos de Segurança (SIEM). A ferramenta, por exemplo, apresenta correlação de eventos em tempo real e correção em tempo real.

• AVALIAÇÃO GRATUITA: SolarWinds Log & Event Manager
• Link oficial para download: https://www.solarwinds.com/log-event-manager-software/registration

O SolarWinds Log & Event Manager oferece detecção instantânea de atividades suspeitas (uma funcionalidade de detecção de intrusão) e respostas automatizadas (uma funcionalidade de prevenção de intrusão). Essa ferramenta também pode ser usada para realizar investigação forense e de eventos de segurança. Ele pode ser usado para fins de mitigação e conformidade. A ferramenta apresenta relatórios comprovados por auditoria que também podem ser usados ​​para demonstrar conformidade com várias estruturas regulatórias, como HIPAA, PCI-DSS e SOX. A ferramenta também possui monitoramento de integridade de arquivo e monitoramento de dispositivo USB. Todos os recursos avançados do software o tornam mais uma plataforma de segurança integrada do que apenas o sistema de gerenciamento de log e eventos que seu nome faria você acreditar.

Os recursos de prevenção de intrusões do SolarWinds Log & Event Manager funcionam implementando ações chamadas Respostas ativas sempre que ameaças são detectadas. Respostas diferentes podem ser vinculadas a alertas específicos. Por exemplo, o sistema pode gravar em tabelas de firewall para bloquear o acesso à rede de um endereço IP de origem que foi identificado como realizando atividades suspeitas. A ferramenta também pode suspender contas de usuário, interromper ou iniciar processos e desligar sistemas. Você se lembrará de como essas são precisamente as ações de remediação que identificamos antes.

Os preços do SolarWinds Log & Event Manager variam com base no número de nós monitorados. Os preços começam em US $ 4.585 para até 30 nós monitorados e licenças para até 2.500 nós podem ser adquiridas tornando o produto altamente escalável. Se você quiser fazer um teste com o produto e ver por si mesmo se é adequado para você, está disponível uma versão de avaliação gratuita de 30 dias com todos os recursos .

2. Splunk

Splunk é provavelmente um dos sistemas de prevenção de intrusões mais populares. Ele está disponível em várias edições diferentes, com diferentes conjuntos de recursos. Splunk Enterprise Security - ou Splunk ES , como é freqüentemente chamado - é o que você precisa para uma verdadeira prevenção de intrusões. O software monitora os dados do seu sistema em tempo real, procurando vulnerabilidades e sinais de atividade anormal.

A resposta de segurança é um dos pontos fortes do produto e o que o torna um sistema de prevenção de intrusões. Ele usa o que o fornecedor chama de Adaptive Response Framework (ARF). Ele se integra a equipamentos de mais de 55 fornecedores de segurança e pode realizar respostas automatizadas, agilizando as tarefas manuais. Essa combinação de correção automatizada e intervenção manual pode dar a você as melhores chances de obter vantagem rapidamente. A ferramenta possui uma interface de usuário simples e organizada, tornando-se uma solução vencedora. Outros recursos de proteção interessantes incluem a função “Notables” que mostra alertas personalizáveis ​​pelo usuário e o “Asset Investigator” para sinalizar atividades maliciosas e prevenir problemas futuros.

As informações de preços do Splunk Enterprise Security não estão prontamente disponíveis. Você precisará entrar em contato com o departamento de vendas do Splunk para obter uma cotação detalhada. Este é um ótimo produto para o qual uma avaliação gratuita está disponível.

3. Sagan

Sagan é basicamente um sistema de detecção de intrusão gratuito. No entanto, a ferramenta que possui recursos de execução de script pode colocá-la na categoria Intrusion Prevention Systems. Sagan detecta tentativas de intrusão por meio do monitoramento de arquivos de log. Você também pode combinar Sagan com Snort, que pode alimentar sua saída para Sagan, dando à ferramenta alguns recursos de detecção de intrusão baseada em rede. Na verdade, Sagan pode receber informações de muitas outras ferramentas, como Bro ou Suricata, combinando as capacidades de várias ferramentas para a melhor proteção possível.

No entanto, há um problema com os recursos de execução de script de Sagan . Você tem que escrever os scripts de correção. Embora essa ferramenta possa não ser usada da melhor maneira como sua única defesa contra intrusões, ela pode ser um componente-chave de um sistema que incorpora várias ferramentas, correlacionando eventos de diferentes fontes, oferecendo a você o melhor de muitos produtos.

Embora Sagan só possa ser instalado em Linux, Unix e Mac OS, ele pode se conectar a sistemas Windows para obter seus eventos. Outros recursos interessantes do Sagan incluem rastreamento de localização de endereço IP e processamento distribuído.

4. OSSEC

O Open Source Security , ou OSSEC , é um dos principais sistemas de detecção de intrusão com base em host de código aberto. Estamos incluindo em nossa lista por dois motivos. Sua popularidade é tanta que tivemos que incluí-la, especialmente considerando que a ferramenta permite especificar ações que são executadas automaticamente sempre que alertas específicos são acionados, dando a ela alguns recursos de prevenção de intrusões. OSSEC é propriedade da Trend Micro, um dos principais nomes em segurança de TI e criador de um dos melhores pacotes de proteção contra vírus.

Quando instalado em sistemas operacionais semelhantes ao Unix, o mecanismo de detecção do software concentra-se principalmente nos arquivos de log e de configuração. Ele cria somas de verificação de arquivos importantes e os verifica periodicamente, alertando você ou acionando uma ação corretiva sempre que algo estranho acontece. Ele também monitorará e alertará sobre qualquer tentativa anormal de obter acesso root. No Windows, o sistema também fica de olho em modificações de registro não autorizadas, pois podem ser o sinal revelador de atividade mal-intencionada. Qualquer detecção acionará um alerta que será exibido no console centralizado enquanto as notificações também serão enviadas por e-mail.

OSSEC é um sistema de proteção contra intrusão baseado em host. Como tal, ele precisa ser instalado em cada computador que você deseja proteger. No entanto, um console centralizado consolida as informações de cada computador protegido para facilitar o gerenciamento. O console OSSEC só funciona em sistemas operacionais semelhantes ao Unix, mas um agente está disponível para proteger os hosts Windows. Como alternativa, outras ferramentas como Kibana ou Graylog podem ser usadas como front-end da ferramenta.

5. Abra WIPS-NG

Não tínhamos certeza se deveríamos incluir o Open WIPS NG em nossa lista. Mais sobre isso em um momento. Isso aconteceu principalmente porque é um dos únicos produtos que visam especificamente as redes sem fio. Abrir WIPS NG–Onde WIPS significa Wireless Intrusion Prevention System – é uma ferramenta de código aberto composta por três componentes principais. Primeiro, existe o sensor. Este é um processo burro que simplesmente captura o tráfego wireless e o envia ao servidor para análise. Como você provavelmente já deve ter adivinhado, o próximo componente é o servidor. Ele agrega dados de todos os sensores, analisa os dados coletados e responde a ataques. Este componente é o coração do sistema. Por último, mas não menos importante, está o componente de interface que é a GUI que você usa para gerenciar o servidor e exibir informações sobre ameaças encontradas em sua rede sem fio.

A principal razão pela qual hesitamos antes de incluir o Open WIPS NG em nossa lista é que, por melhor que seja, nem todo mundo gosta do desenvolvedor do produto. É do mesmo desenvolvedor do Aircrack NG, um farejador de pacotes sem fio e um cracker de senha que faz parte do kit de ferramentas de todos os hackers de WiFi. Isso abre o debate sobre a ética do desenvolvedor e deixa alguns usuários desconfiados. Por outro lado, o histórico do desenvolvedor pode ser visto como uma prova de seu profundo conhecimento de segurança Wi-Fi.

6. Fail2Ban

Fail2Ban é um sistema gratuito de detecção de intrusão de host relativamente popular com recursos de prevenção de intrusão. O software funciona monitorando os arquivos de log do sistema em busca de eventos suspeitos, como tentativas de login malsucedidas ou buscas de exploits. Quando o sistema detecta algo suspeito, ele reage atualizando automaticamente as regras de firewall locais para bloquear o endereço IP de origem do comportamento malicioso. Isso, é claro, implica que algum processo de firewall está sendo executado na máquina local. Esta é a principal desvantagem da ferramenta. No entanto, qualquer outra ação arbitrária - como a execução de algum script corretivo ou o envio de notificações por email - pode ser configurada.

O Fail2Ban é fornecido com vários gatilhos de detecção predefinidos chamados filtros, cobrindo alguns dos serviços mais comuns, como Apache, Courrier, SSH, FTP, Postfix e muitos mais. Como dissemos, as ações de correção são realizadas por meio da modificação das tabelas de firewall do host. Fail2Ban suporta Netfilter, IPtables ou a tabela hosts.deny do TCP Wrapper. Cada filtro pode ser associado a uma ou várias ações. Juntos, filtros e ações são chamados de prisão.

7. Bro Network Security Monitor

O Bro Network Security Monitor é outro sistema gratuito de detecção de intrusão de rede com funcionalidade semelhante a IPS. Ele funciona em duas fases: primeiro ele registra o tráfego e, em seguida, o analisa. Essa ferramenta opera em várias camadas até a camada de aplicativo, o que é responsável por uma melhor detecção de tentativas de intrusão divididas. O módulo de análise do produto é composto por dois elementos. O primeiro elemento é chamado de Event Engine e sua finalidade é rastrear eventos de disparo, como conexões TCP ou solicitações HTTP. Os eventos são então analisados ​​por Scripts de Política, o segundo elemento. O trabalho dos Scripts de política é decidir se deve disparar um alarme, lançar uma ação ou ignorar o evento. É a possibilidade de lançar uma ação que dê ao Bro Network Security Monitor sua funcionalidade IPS.

O Bro Network Security Monitor tem algumas limitações. Ele rastreará apenas a atividade HTTP, DNS e FTP e também monitorará o tráfego SNMP. No entanto, isso é bom, porque o SNMP costuma ser usado para monitoramento de rede, apesar de suas sérias falhas de segurança. O SNMP quase não tem segurança integrada e usa tráfego não criptografado. E como o protocolo pode ser usado para modificar configurações, ele pode ser facilmente explorado por usuários mal-intencionados. O produto também ficará de olho nas alterações de configuração do dispositivo e nas interceptações SNMP. Ele pode ser instalado em Unix, Linux e OS X, mas não está disponível para Windows, o que talvez seja sua principal desvantagem. Caso contrário, esta é uma ferramenta muito interessante que vale a pena experimentar.