6 лучших хост-систем обнаружения вторжений (HIDS) в 2021 году

Я бы не хотел показаться слишком параноиком, хотя, наверное, и считаю, но киберпреступность есть повсюду. Любая организация может стать целью хакеров, пытающихся получить доступ к их данным. Поэтому изначально важно следить за вещами и следить за тем, чтобы мы не стали жертвами этих злонамеренных людей. Самая первая линия защиты - это система обнаружения вторжений . Хосты система применяет их обнаружения на уровне хоста и, как правило , обнаруживает большинство попыток вторжения и быстро уведомить вас немедленно , так что вы можете исправить ситуацию.При таком количестве доступных систем обнаружения вторжений на основе хоста выбор наилучшего для вашей конкретной ситуации может оказаться сложной задачей. Чтобы помочь вам четко видеть, мы составили список некоторых из лучших систем обнаружения вторжений на основе хоста.

Прежде чем раскрыть лучшие инструменты, мы ненадолго отвлечемся и рассмотрим различные типы систем обнаружения вторжений. Некоторые из них основаны на хосте, а другие - на сети. Мы объясним различия. Затем мы обсудим различные методы обнаружения вторжений. В некоторых инструментах используется подход, основанный на сигнатуре, в то время как другие выявляют подозрительное поведение. Лучшие из них используют комбинацию того и другого. Прежде чем продолжить, мы объясним различия между системами обнаружения и предотвращения вторжений, поскольку важно понимать, на что мы смотрим. Затем мы будем готовы к сути этого поста - о лучших системах обнаружения вторжений на основе хоста.

Два типа систем обнаружения вторжений

По сути, существует два типа систем обнаружения вторжений. Хотя их цель идентична - быстро обнаружить любую попытку вторжения или подозрительную активность, которая может привести к попытке вторжения, они различаются местом, где выполняется это обнаружение. Это понятие часто называют точкой принуждения. У каждого типа есть свои преимущества и недостатки, и, вообще говоря, нет единого мнения относительно того, какой из них предпочтительнее. Фактически, лучшее или самое безопасное решение, вероятно, сочетает в себе и то, и другое.

Хост-системы обнаружения вторжений (HIDS)

Первый тип системы обнаружения вторжений, который нас интересует сегодня, работает на уровне хоста. Вы могли догадаться об этом по названию. HIDS проверяет, например, различные файлы журналов и журналы на наличие признаков подозрительной активности. Еще один способ обнаружения попыток вторжения - проверка важных файлов конфигурации на предмет несанкционированных изменений. Они также могут проверять одни и те же файлы конфигурации на предмет определенных известных шаблонов вторжений. Например, может быть известно, что конкретный метод вторжения работает, если добавить определенный параметр в конкретный файл конфигурации. Хорошая система обнаружения вторжений на основе хоста могла бы это уловить.

В большинстве случаев HIDS устанавливаются непосредственно на устройства, которые они должны защищать. Вам нужно будет установить их на все свои компьютеры. Для других потребуется только установка локального агента. Некоторые даже делают всю свою работу удаленно. Независимо от того, как они работают, у хороших HIDS есть централизованная консоль, на которой вы можете управлять приложением и просматривать его результаты.

Системы обнаружения сетевых вторжений (NIDS)

Другой тип системы обнаружения вторжений, называемый сетевыми системами обнаружения вторжений, или NIDS, работает на границе сети, чтобы обеспечить обнаружение. Они используют те же методы, что и системы обнаружения вторжений на хост, такие как обнаружение подозрительных действий и поиск известных шаблонов вторжений. Но вместо того, чтобы смотреть журналы и файлы конфигурации, они следят за сетевым трафиком и проверяют все запросы на подключение. Некоторые методы вторжения используют известные уязвимости, отправляя хостам намеренно искаженные пакеты, заставляя их реагировать определенным образом, что позволяет им быть взломанными. Система обнаружения сетевых вторжений легко обнаружит подобные попытки.

Некоторые утверждают, что NIDS лучше, чем HIDS, поскольку они обнаруживают атаки еще до того, как они попадут в вашу систему. Некоторые предпочитают их, потому что им не нужно ничего устанавливать на каждом хосте для их эффективной защиты. С другой стороны, они не обеспечивают достаточной защиты от внутренних атак, что, к сожалению, не является редкостью. Чтобы быть обнаруженным, злоумышленник должен использовать путь, проходящий через NIDS. По этим причинам лучшая защита, вероятно, обеспечивается использованием комбинации обоих типов инструментов.

Методы обнаружения вторжений

Так же, как существует два типа средств обнаружения вторжений, в основном используются два разных метода для обнаружения попыток вторжения. Обнаружение может быть основано на сигнатуре или на аномалии. Обнаружение вторжений на основе сигнатур работает путем анализа данных на предмет определенных закономерностей, связанных с попытками вторжения. Это похоже на традиционные системы защиты от вирусов, которые полагаются на определения вирусов. Аналогичным образом, обнаружение вторжений на основе сигнатур основывается на сигнатурах или шаблонах вторжений. Они сравнивают данные с сигнатурами вторжений для выявления попыток. Их главный недостаток в том, что они не работают до тех пор, пока в программное обеспечение не будут загружены соответствующие подписи. К несчастью, обычно это происходит только после того, как определенное количество машин было атаковано и у издателей сигнатур вторжений было время опубликовать новые пакеты обновлений. Некоторые поставщики действуют довольно быстро, в то время как другие могут отреагировать только через несколько дней.

Другой метод - обнаружение вторжений на основе аномалий - обеспечивает лучшую защиту от атак нулевого дня, которые происходят до того, как какое-либо программное обеспечение для обнаружения вторжений получит шанс получить надлежащий файл сигнатуры. Эти системы ищут аномалии, а не пытаются распознать известные схемы вторжений. Например, они могли сработать, если кто-то несколько раз подряд пытался получить доступ к системе с неправильным паролем, что является обычным признаком атаки методом грубой силы. Любое подозрительное поведение можно быстро обнаружить. У каждого метода обнаружения есть свои преимущества и недостатки. Как и в случае с другими типами инструментов, лучшие инструменты - это те, которые используют комбинацию сигнатурного и поведенческого анализа для лучшей защиты.

Обнаружение против предотвращения - важное отличие

Мы обсуждали системы обнаружения вторжений, но многие из вас, возможно, слышали о системах предотвращения вторжений. Идентичны ли эти два понятия? Легкий ответ - нет, поскольку эти два типа инструментов служат разным целям. Однако между ними есть некоторое совпадение. Как следует из названия, система обнаружения вторжений обнаруживает попытки вторжения и подозрительные действия. Когда он что-то обнаруживает, он обычно вызывает некоторую форму предупреждения или уведомления. После этого администраторы должны предпринять необходимые шаги, чтобы остановить или заблокировать попытку вторжения.

Системы предотвращения вторжений (IPS) созданы для полного предотвращения вторжений. Активная IPS включает компонент обнаружения, который автоматически запускает некоторые корректирующие действия при обнаружении попытки вторжения. Предотвращение вторжений также может быть пассивным. Этот термин может использоваться для обозначения всего, что делается или создается для предотвращения вторжений. Например, усиление защиты пароля можно рассматривать как меру предотвращения вторжений.

Лучшие инструменты обнаружения вторжений на хост

Мы провели поиск лучших систем обнаружения вторжений на базе хостов. У нас есть для вас смесь настоящего HIDS и другого программного обеспечения, которое, хотя и не называют себя системами обнаружения вторжений, имеет компонент обнаружения вторжений или может использоваться для обнаружения попыток вторжения. Давайте рассмотрим наши лучшие решения и взглянем на их лучшие функции.

1. Журнал SolarWinds и менеджер событий (бесплатная пробная версия)

Наша первая запись от SolarWinds, распространенного имени в области инструментов сетевого администрирования. Компания существует около 20 лет и предоставила нам одни из лучших инструментов сетевого и системного администрирования. Также хорошо известно множество бесплатных инструментов, которые удовлетворяют некоторые специфические потребности сетевых администраторов. Двумя замечательными примерами этих бесплатных инструментов являются Kiwi Syslog Server и Advanced Subnet Calculator.

Не позволяйте названию SolarWinds Log & Event Manager ввести вас в заблуждение . Это гораздо больше, чем просто система управления журналами и событиями. Многие из расширенных функций этого продукта помещают его в диапазон управления информацией и событиями безопасности (SIEM). Другие функции позволяют квалифицировать его как систему обнаружения вторжений и даже, в определенной степени, как систему предотвращения вторжений. Этот инструмент обеспечивает, например, корреляцию событий в реальном времени и исправление ошибок в реальном времени.

• БЕСПЛАТНЫЙ ПРОБНЫЙ ПЕРИОД: журнал SolarWinds и менеджер событий
• Официальная ссылка для скачивания: https://www.solarwinds.com/log-event-manager-software/registration

SolarWinds Log & Event - менеджер особенности мгновенного обнаружения подозрительной активности (СОВ-подобные функциональные возможности ) и автоматизированные ответы (AN IPS-как функциональные возможности ). Он также может выполнять расследование событий безопасности и криминалистическую экспертизу как для смягчения последствий, так и для целей соответствия. Благодаря проверенной аудитом отчетности этот инструмент также можно использовать для демонстрации, среди прочего, соответствия HIPAA, PCI-DSS и SOX. Инструмент также имеет мониторинг целостности файлов и мониторинг USB-устройств, что делает его в большей степени интегрированной платформой безопасности, чем просто системой управления журналами и событиями.

Цена на SolarWinds Log & Event Manager начинается с 4585 долларов США за 30 отслеживаемых узлов. Можно приобрести лицензии на 2500 узлов, что обеспечивает высокую масштабируемость продукта. Если вы хотите протестировать продукт и лично убедиться, подходит ли он вам, доступна бесплатная полнофункциональная 30-дневная пробная версия .

2. OSSEC

Open Source Security , или OSSEC , на сегодняшний день является ведущей системой обнаружения вторжений на основе хоста с открытым исходным кодом. Продукт принадлежит компании Trend Micro, одной из ведущих компаний в области ИТ-безопасности и разработчику одного из лучших пакетов для защиты от вирусов. При установке в Unix-подобных операционных системах, программное обеспечение в первую очередь ориентировано на файлы журнала и конфигурации. Он создает контрольные суммы важных файлов и периодически проверяет их, предупреждая вас, когда происходит что-то странное. Он также будет отслеживать и предупреждать о любой ненормальной попытке получить root-доступ. На хостах Windows система также отслеживает несанкционированные изменения реестра, которые могут быть контрольным признаком злонамеренной активности.

Поскольку OSSEC является системой обнаружения вторжений на основе хоста, его необходимо устанавливать на каждый компьютер, который вы хотите защитить. Однако централизованная консоль объединяет информацию с каждого защищенного компьютера для упрощения управления. Хотя консоль OSSEC работает только в Unix-подобных операционных системах, доступен агент для защиты хостов Windows. Любое обнаружение вызовет предупреждение, которое будет отображаться на централизованной консоли, а уведомления также будут отправляться по электронной почте.

3. Самайн

Samhain - еще одна хорошо известная бесплатная система обнаружения вторжений на хост. Его основные функции, с точки зрения IDS, - это проверка целостности файлов и мониторинг / анализ файлов журналов. Однако это намного больше. Продукт будет выполнять обнаружение руткитов, мониторинг портов, обнаружение ложных исполняемых файлов SUID и скрытых процессов. Инструмент был разработан для мониторинга нескольких хостов, работающих под управлением различных операционных систем, с одновременным централизованным ведением журналов и обслуживанием. Однако Samhain также можно использовать как отдельное приложение на одном компьютере. Программное обеспечение в основном работает в системах POSIX, таких как Unix, Linux или OS X. Оно также может работать в Windows под Cygwin, пакетом, который позволяет запускать приложения POSIX в Windows, хотя в этой конфигурации был протестирован только агент мониторинга.

Одной из самых уникальных особенностей Samhain является его скрытый режим, который позволяет ему работать, не будучи обнаруженным потенциальными злоумышленниками. Известно, что злоумышленники быстро уничтожают процессы обнаружения, которые они распознают, как только они входят в систему до того, как их обнаруживают, что позволяет им оставаться незамеченными. Samhain использует стеганографические методы, чтобы скрыть свои процессы от других. Он также защищает свои центральные файлы журналов и резервные копии конфигурации с помощью ключа PGP для предотвращения взлома.

4. Fail2Ban

Fail2Ban - это бесплатная система обнаружения вторжений на хост с открытым исходным кодом, которая также имеет некоторые возможности предотвращения вторжений. Программный инструмент отслеживает в файлах журнала подозрительные действия и события, такие как неудачные попытки входа в систему, поиск эксплойтов и т. Д. Действие инструмента по умолчанию, когда он обнаруживает что-то подозрительное, заключается в автоматическом обновлении правил локального брандмауэра для блокировки исходного IP-адреса злонамеренное поведение. На самом деле это не настоящая система предотвращения вторжений, а скорее система обнаружения вторжений с функциями автоматического исправления. То, что мы только что описали, является действием инструмента по умолчанию, но любое другое произвольное действие, такое как отправка уведомлений по электронной почте, также можно настроить, заставив его вести себя как более «классическая» система обнаружения вторжений.

Fail2Ban предлагается с различными встроенными фильтрами для некоторых из наиболее распространенных сервисов, таких как Apache, SSH, FTP, Postfix и многих других. Предотвращение, как мы объяснили, осуществляется путем изменения таблиц брандмауэра хоста. Инструмент может работать с Netfilter, IPtables или таблицей hosts.deny TCP Wrapper. Каждый фильтр может быть связан с одним или несколькими действиями.

5. ПОМОЩНИК

Advanced Intrusion Detection Environment или ПАМЯТНАЯ , еще одна бесплатная система обнаружения вторжений Это одна ориентирована главным образом на обнаружение руткитов и файл подписи сравнения. При первоначальной установке инструмент соберет своего рода базу данных административных данных из файлов конфигурации системы. Затем эту базу данных можно использовать в качестве основы, с которой можно сравнивать любые изменения и, в конечном итоге, откатывать их, если это необходимо.

AIDE использует схемы обнаружения как на основе сигнатур, так и на основе аномалий. Это инструмент, который запускается по запросу, а не выполняется по расписанию или постоянно. Собственно, это главный недостаток продукта. Однако, поскольку это инструмент командной строки, а не графический интерфейс, можно создать задание cron для его запуска через регулярные промежутки времени. Если вы решите запускать инструмент часто - например, раз в минуту - вы будете получать данные почти в реальном времени, и у вас будет время отреагировать до того, как любая попытка вторжения зайдет слишком далеко и не нанесет серьезного ущерба.

По своей сути AIDE - это просто инструмент для сравнения данных, но с помощью нескольких внешних запланированных скриптов его можно превратить в настоящий HIDS. Однако имейте в виду, что это, по сути, локальный инструмент. В нем нет централизованного управления и красивого графического интерфейса.

6. Саган

Последним в нашем списке идет Sagan , который на самом деле больше похож на систему анализа журналов, чем на настоящую IDS. Однако у него есть некоторые функции, похожие на IDS, поэтому он заслуживает места в нашем списке. Инструмент локально отслеживает файлы журнала системы, в которой он установлен, но он также может взаимодействовать с другими инструментами. Например, он может анализировать журналы Snort, эффективно добавляя функциональность NIDS Snort к тому, что по сути является HIDS. Он не будет просто взаимодействовать с Snort. Sagan также может взаимодействовать с Suricata и совместим с несколькими инструментами построения правил, такими как Oinkmaster или Pulled Pork.

Sagan также имеет возможности выполнения сценариев, которые могут сделать его грубой системой предотвращения вторжений, при условии, что вы разработаете некоторые сценарии исправления. Хотя этот инструмент вряд ли может быть вашей единственной защитой от вторжений, он может быть отличным компонентом системы, которая может включать в себя множество инструментов путем сопоставления событий из разных источников.