Nu aș vrea să par prea paranoic, deși probabil că da, dar criminalitatea cibernetică este peste tot. Fiecare organizație poate deveni ținta hackerilor care încearcă să-și acceseze datele. Prin urmare, este primordial să fim cu ochii pe lucruri și să ne asigurăm că nu cădem victimele acestor indivizi rău intenționați. Prima linie de apărare este un sistem de detectare a intruziunilor . Sistemele bazate pe gazdă își aplică detectarea la nivel de gazdă și, de obicei, vor detecta rapid majoritatea încercărilor de intruziune și vă vor notifica imediat, astfel încât să puteți remedia situația.Cu atât de multe sisteme de detectare a intruziunilor bazate pe gazdă disponibile, alegerea celor mai bune pentru situația dvs. specifică poate părea o provocare. Pentru a vă ajuta să vedeți clar, am adunat o listă cu unele dintre cele mai bune sisteme de detectare a intruziunilor bazate pe gazdă.
Înainte de a dezvălui cele mai bune instrumente, ne vom îndepărta pe scurt și vom arunca o privire asupra diferitelor tipuri de sisteme de detectare a intruziunilor. Unele sunt bazate pe gazdă, în timp ce altele sunt bazate pe rețea. Vom explica diferențele. Vom discuta apoi despre diferitele metode de detectare a intruziunilor. Unele instrumente au o abordare bazată pe semnături, în timp ce altele sunt în căutarea unui comportament suspect. Cele mai bune folosesc o combinație a ambelor. Înainte de a continua, vom explica diferențele dintre sistemele de detectare a intruziunilor și sistemele de prevenire a intruziunilor, deoarece este important să înțelegem la ce ne uităm. Vom fi apoi pregătiți pentru esența acestei postări, cele mai bune sisteme de detectare a intruziunilor bazate pe gazdă.
Două tipuri de sisteme de detectare a intruziunilor
Există în esență două tipuri de sisteme de detectare a intruziunilor. Deși scopul lor este identic - detectarea rapidă a oricărei încercări de intruziune sau activitate suspectă cu care ar putea duce la o încercare de intruziune, ele diferă în ceea ce privește locația în care este efectuată această detectare. Acesta este un concept care este adesea denumit punct de aplicare. Fiecare tip are avantaje și dezavantaje și, în general, nu există un consens cu privire la care dintre ele este de preferat. De fapt, cea mai bună soluție – sau cea mai sigură – este probabil cea care le combină pe ambele.
Sisteme de detectare a intruziunilor gazdă (HIDS)
Primul tip de sistem de detectare a intruziunilor, cel care ne interesează astăzi, funcționează la nivel de gazdă. S-ar putea să fi ghicit asta din numele său. HIDS verifică, de exemplu, diferite fișiere jurnal și jurnale pentru semne de activitate suspectă. Un alt mod în care detectează încercările de intruziune este prin verificarea fișierelor de configurare importante pentru modificări neautorizate. De asemenea, ei pot examina aceleași fișiere de configurare pentru anumite modele de intruziune cunoscute. De exemplu, o anumită metodă de intruziune poate fi cunoscută că funcționează prin adăugarea unui anumit parametru la un anumit fișier de configurare. Un sistem bun de detectare a intruziunilor bazat pe gazdă ar înțelege asta.
De cele mai multe ori HIDS-urile sunt instalate direct pe dispozitivele pe care sunt menite să le protejeze. Va trebui să le instalați pe toate computerele dvs. Alții vor necesita doar instalarea unui agent local. Unii chiar își fac toată munca de la distanță. Indiferent de modul în care funcționează, HIDS-urile bune au o consolă centralizată unde poți controla aplicația și poți vedea rezultatele acesteia.
Sisteme de detectare a intruziunilor în rețea (NIDS)
Un alt tip de sistem de detectare a intruziunilor numit Sisteme de detectare a intruziunilor în rețea sau NIDS, funcționează la granița rețelei pentru a impune detectarea. Ei folosesc metode similare ca sistemele gazdă de detectare a intruziunilor, cum ar fi detectarea activităților suspecte și căutarea modelelor de intruziune cunoscute. Dar în loc să se uite la jurnalele și fișierele de configurare, ei urmăresc traficul de rețea și examinează fiecare solicitare de conexiune. Unele metode de intruziune exploatează vulnerabilitățile cunoscute prin trimiterea de pachete intenționate malformate către gazde, făcându-le să reacționeze într-un mod special care le permite să fie încălcate. Un sistem de detectare a intruziunilor în rețea ar detecta cu ușurință acest tip de încercare.
Unii susțin că NIDS sunt mai bune decât HIDS, deoarece detectează atacurile chiar înainte ca acestea să ajungă la sistemele tale. Unii le preferă pentru că nu necesită instalarea de nimic pe fiecare gazdă pentru a le proteja eficient. Pe de altă parte, oferă puțină protecție împotriva atacurilor din interior, care, din păcate, nu sunt deloc neobișnuite. Pentru a fi detectat, un atacator trebuie să folosească o cale care trece prin NIDS. Din aceste motive, cea mai bună protecție vine probabil din utilizarea unei combinații a ambelor tipuri de instrumente.
Metode de detectare a intruziunilor
La fel cum există două tipuri de instrumente de detectare a intruziunilor, există în principal două metode diferite utilizate pentru a detecta încercările de intruziune. Detectarea poate fi bazată pe semnătură sau poate fi bazată pe anomalii. Detectarea intruziunilor pe bază de semnătură funcționează prin analizarea datelor pentru modele specifice care au fost asociate cu încercările de intruziune. Acest lucru este similar cu sistemele tradiționale de protecție împotriva virușilor care se bazează pe definițiile virușilor. De asemenea, detectarea intruziunilor pe bază de semnătură se bazează pe semnături sau modele de intruziune. Ei compară datele cu semnăturile de intruziune pentru a identifica încercările. Principalul lor dezavantaj este că nu funcționează până când semnăturile adecvate nu sunt încărcate în software. Din pacate, acest lucru se întâmplă de obicei numai după ce un anumit număr de mașini au fost atacate și editorii de semnături de intruziune au avut timp să publice noi pachete de actualizare. Unii furnizori sunt destul de rapizi, în timp ce alții ar putea reacționa doar câteva zile mai târziu.
Detectarea intruziunilor bazată pe anomalii, cealaltă metodă, oferă o protecție mai bună împotriva atacurilor zero-day, cele care au loc înainte ca orice software de detectare a intruziunilor să aibă șansa de a obține fișierul de semnătură corespunzător. Aceste sisteme caută anomalii în loc să încerce să recunoască tiparele de intruziune cunoscute. De exemplu, acestea ar putea fi declanșate dacă cineva a încercat să acceseze un sistem cu o parolă greșită de mai multe ori la rând, un semn comun al unui atac cu forță brută. Orice comportament suspect poate fi detectat rapid. Fiecare metodă de detectare are avantajele și dezavantajele sale. La fel ca în cazul tipurilor de instrumente, cele mai bune instrumente sunt cele care utilizează o combinație de analiză a semnăturii și comportamentului pentru cea mai bună protecție.
Detectare vs Prevenire – O distincție importantă
Am discutat despre sistemele de detectare a intruziunilor, dar este posibil ca mulți dintre voi să fi auzit despre sistemele de prevenire a intruziunilor. Sunt cele două concepte identice? Răspunsul ușor este nu, deoarece cele două tipuri de instrumente au un scop diferit. Există, totuși, unele suprapuneri între ele. După cum sugerează și numele, sistemul de detectare a intruziunilor detectează încercările de intruziune și activitățile suspecte. Când detectează ceva, de obicei declanșează o formă de alertă sau notificare. Administratorii trebuie apoi să ia măsurile necesare pentru a opri sau bloca încercarea de intruziune.
Sistemele de prevenire a intruziunilor (IPS) sunt concepute pentru a opri intruziunile să nu se producă. IPS activ include o componentă de detectare care va declanșa automat unele acțiuni de remediere ori de câte ori este detectată o încercare de intruziune. Prevenirea intruziunilor poate fi, de asemenea, pasivă. Termenul poate fi folosit pentru a se referi la orice se face sau se pune în aplicare ca o modalitate de a preveni intruziunile. Întărirea parolei, de exemplu, poate fi considerată o măsură de prevenire a intruziunilor.
Cele mai bune instrumente de detectare a intruziunilor gazdei
Am căutat pe piață cele mai bune sisteme de detectare a intruziunilor bazate pe gazdă. Ceea ce avem pentru dvs. este un amestec de HIDS adevărat și alte programe care, deși nu se numesc sisteme de detectare a intruziunilor, au o componentă de detectare a intruziunilor sau pot fi folosite pentru a detecta încercările de intruziune. Să analizăm alegerile noastre de top și să aruncăm o privire la cele mai bune caracteristici ale acestora.
1. SolarWinds Log & Event Manager (Probă gratuită)
Prima noastră intrare este de la SolarWinds, un nume comun în domeniul instrumentelor de administrare a rețelei. Compania există de aproximativ 20 de ani și ne-a adus unele dintre cele mai bune instrumente de administrare a rețelelor și a sistemului. De asemenea, este binecunoscută numeroasele sale instrumente gratuite care se adresează unor nevoi specifice ale administratorilor de rețea. Două exemple grozave ale acestor instrumente gratuite sunt Kiwi Syslog Server și Advanced Subnet Calculator.
Nu lăsați numele SolarWinds Log & Event Manager să vă păcălească. Este mult mai mult decât un sistem de gestionare a jurnalelor și a evenimentelor. Multe dintre caracteristicile avansate ale acestui produs îl plasează în gama SIEM (Security Information and Event Management). Alte caracteristici îl califică drept sistem de detectare a intruziunilor și chiar, într-o anumită măsură, ca sistem de prevenire a intruziunilor. Acest instrument oferă, de exemplu, corelarea evenimentelor în timp real și remedierea în timp real.
SolarWinds Log & Event Managerul dispune de detectare instantanee a activității suspecte (un IDS-ca funcționalitate) și răspunsurile automate (un IPS-ca funcționalitate). De asemenea, poate efectua investigații privind evenimentele de securitate și criminalistică atât în scopuri de atenuare, cât și de conformare. Datorită raportării sale dovedite de audit, instrumentul poate fi folosit și pentru a demonstra conformitatea cu HIPAA, PCI-DSS și SOX, printre altele. Instrumentul are, de asemenea, monitorizarea integrității fișierelor și monitorizarea dispozitivului USB, ceea ce îl face mult mai mult o platformă de securitate integrată decât un simplu sistem de gestionare a jurnalelor și a evenimentelor.
Prețul pentru SolarWinds Log & Event Manager începe de la 4.585 USD pentru până la 30 de noduri monitorizate. Pot fi achiziționate licențe pentru până la 2500 de noduri, făcând produsul foarte scalabil. Dacă doriți să luați produsul pentru un test de funcționare și să vedeți singur dacă este potrivit pentru dvs., este disponibilă o perioadă de încercare gratuită cu funcții complete de 30 de zile .
2. OSSEC
Open Source Security , sau OSSEC , este de departe principalul sistem open-source de detectare a intruziunilor bazat pe gazdă. Produsul este deținut de Trend Micro, unul dintre cele mai importante nume în domeniul securității IT și producător al uneia dintre cele mai bune suite de protecție împotriva virusurilor. Când este instalat pe sisteme de operare asemănătoare Unix, software-ul se concentrează în primul rând pe fișierele de jurnal și de configurare. Acesta creează sume de control ale fișierelor importante și le validează periodic, avertizându-vă ori de câte ori se întâmplă ceva ciudat. De asemenea, va monitoriza și va alerta cu privire la orice încercare anormală de a obține acces root. Pe gazdele Windows, sistemul ține, de asemenea, un ochi pentru modificările neautorizate ale registrului, care ar putea fi un semn al activității rău intenționate.
În virtutea faptului că este un sistem de detectare a intruziunilor bazat pe gazdă, OSSEC trebuie instalat pe fiecare computer pe care doriți să îl protejați. Cu toate acestea, o consolă centralizată consolidează informațiile de la fiecare computer protejat pentru o gestionare mai ușoară. În timp ce consola OSSEC rulează numai pe sisteme de operare Unix-Like, este disponibil un agent pentru a proteja gazdele Windows. Orice detectare va declanșa o alertă care va fi afișată pe consola centralizată, în timp ce notificările vor fi trimise și prin e-mail.
3. Samhain
Samhain este un alt sistem gratuit de detectare a intruziunilor gazdă. Principalele sale caracteristici, din punct de vedere IDS, sunt verificarea integrității fișierelor și monitorizarea/analiza fișierelor jurnal. Totuși, face mult mai mult decât atât. Produsul va efectua detectarea rootkit-ului, monitorizarea portului, detectarea executabilelor SUID necinstite și a proceselor ascunse. Instrumentul a fost conceput pentru a monitoriza mai multe gazde care rulează diverse sisteme de operare, oferind în același timp înregistrare și întreținere centralizate. Cu toate acestea, Samhain poate fi folosit și ca aplicație autonomă pe un singur computer. Software-ul rulează în principal pe sisteme POSIX precum Unix, Linux sau OS X. Poate rula și pe Windows sub Cygwin, un pachet care permite rularea aplicațiilor POSIX pe Windows, deși doar agentul de monitorizare a fost testat în acea configurație.
Una dintre caracteristicile cele mai unice ale lui Samhain este modul său stealth, care îi permite să ruleze fără a fi detectat de potențialii atacatori. Se știe că intrușii ucid rapid procesele de detectare pe care le recunosc de îndată ce intră într-un sistem înainte de a fi detectați, permițându-le să treacă neobservați. Samhain folosește tehnici steganografice pentru a-și ascunde procesele de alții. De asemenea, își protejează fișierele jurnal centrale și backup-urile de configurare cu o cheie PGP pentru a preveni manipularea.
4. Fail2Ban
Fail2Ban este un sistem de detectare a intruziunilor gazdă gratuit și open-source care oferă, de asemenea, unele capacități de prevenire a intruziunilor. Instrumentul software monitorizează fișierele jurnal pentru activități și evenimente suspecte, cum ar fi încercările eșuate de conectare, căutarea exploatărilor etc. Acțiunea implicită a instrumentului, ori de câte ori detectează ceva suspect, este să actualizeze automat regulile firewall-ului local pentru a bloca adresa IP sursă a comportament rău intenționat. În realitate, aceasta nu este o adevărată prevenire a intruziunilor, ci mai degrabă un sistem de detectare a intruziunilor cu caracteristici de remediere automată. Ceea ce tocmai am descris este acțiunea implicită a instrumentului, dar orice altă acțiune arbitrară, cum ar fi trimiterea de notificări prin e-mail, poate fi, de asemenea, configurată, făcându-l să se comporte ca un sistem de detectare a intruziunilor mai „clasic”.
Fail2Ban este oferit cu diverse filtre pre-construite pentru unele dintre cele mai comune servicii, cum ar fi Apache, SSH, FTP, Postfix și multe altele. Prevenirea, așa cum am explicat, se realizează prin modificarea tabelelor firewall ale gazdei. Instrumentul poate funcționa cu Netfilter, IPtables sau tabelul hosts.deny al TCP Wrapper. Fiecare filtru poate fi asociat cu una sau mai multe acțiuni.
5. AJUTOR
Detectarea avansată de Mediu intruziunii , sau AIDE , este un alt sistem gratuit de detectare a intruziunilor gazdă Acesta se concentrează în principal pe comparații de detectare a rootkit și semnătura fișier. Când îl instalați inițial, instrumentul va compila un fel de bază de date cu date de administrare din fișierele de configurare ale sistemului. Această bază de date poate fi apoi utilizată ca o bază de referință față de care orice modificare poate fi comparată și în cele din urmă anulată dacă este necesar.
AIDE folosește atât scheme de detectare bazate pe semnătură, cât și bazate pe anomalii. Acesta este un instrument care este rulat la cerere și nu este programat sau rulează continuu. De fapt, acesta este principalul dezavantaj al produsului. Cu toate acestea, deoarece este un instrument de linie de comandă, mai degrabă decât să fie bazat pe GUI, poate fi creat un job cron pentru al rula la intervale regulate. Dacă alegeți să rulați instrumentul în mod frecvent, cum ar fi o dată pe minut, veți primi date aproape în timp real și veți avea timp să reacționați înainte ca orice încercare de intruziune să meargă prea departe și să provoace multe daune.
În esență, AIDE este doar un instrument de comparare a datelor, dar cu ajutorul câtorva scripturi externe programate, poate fi transformat într-un adevărat HIDS. Totuși, rețineți că acesta este în esență un instrument local. Nu are management centralizat și nicio interfață grafică elegantă.
6. Sagan
Ultimul pe lista noastră este Sagan , care este de fapt mai mult un sistem de analiză a jurnalelor decât un IDS adevărat. Are, totuși, câteva caracteristici asemănătoare IDS, motiv pentru care merită un loc pe lista noastră. Instrumentul urmărește local fișierele jurnal ale sistemului în care este instalat, dar poate interacționa și cu alte instrumente. Ar putea, de exemplu, să analizeze jurnalele lui Snort, adăugând efectiv funcționalitatea NIDS a lui Snort la ceea ce este în esență un HIDS. Nu va interacționa doar cu Snort. Sagan poate interacționa și cu Suricata și este compatibil cu mai multe instrumente de construire a regulilor, cum ar fi Oinkmaster sau Pulled Pork.
Sagan are, de asemenea, capacități de execuție a scripturilor, ceea ce îl poate face un sistem brut de prevenire a intruziunilor, cu condiția să dezvolți niște scripturi de remediere. Deși este posibil ca acest instrument să nu fie folosit ca unică apărare împotriva intruziunii, poate fi o componentă excelentă a unui sistem care poate încorpora multe instrumente prin corelarea evenimentelor din diferite surse.
Piața software-ului de management al rețelei este foarte aglomerată. Scurtă-ți căutarea urmând recomandările noastre cu privire la cele mai bune instrumente de gestionare a rețelei.
Măsurile de ping pot fi folosite în beneficiul dumneavoastră în multe moduri. Citiți mai departe în timp ce discutăm despre cum și vă prezentăm cele mai bune 10 instrumente de scanare Ping pe care le puteți găsi.
Site-urile web sunt importante și trebuie monitorizate îndeaproape în mod constant pentru performanță adecvată. Iată câteva dintre cele mai bune instrumente pentru monitorizarea site-urilor web.
Iată o privire la unele dintre cele mai bune instrumente de implementare a software-ului pentru a ușura durerea de a gestiona orice număr de mașini
sFlow este un protocol de analiză a fluxului care este încorporat în numeroase dispozitive de rețea. Analizăm primii cinci cei mai buni colectori și analizoare sFlow gratuite.
Pentru a vă ajuta să alegeți cel potrivit, am introdus cele mai bune instrumente de monitorizare a infrastructurii fără agent și vă oferim o revizuire rapidă a fiecăruia.
Cu Linux devenind din ce în ce mai popular în centrele de date, am analizat monitorizarea lățimii de bandă pe Linux și, de asemenea, revizuim cele mai bune instrumente.
Securitatea e-mailului este o sarcină importantă a furnizorilor de servicii gestionate. Am analizat SolarWinds Mail Assure, unul dintre cele mai bune instrumente în acest scop.
Dacă sunteți un utilizator avansat de Windows, probabil că știți și înțelegeți cum efectuarea diferitelor operațiuni pe computerul dvs. poate avea mai mult decât o singură abordare și
Latența pare să fie inamicul numărul unu al rețelei. Aceste instrumente de măsurare a latenței vă vor învăța cum să testați latența pentru a detecta, localiza și remedia probleme.
