7 лучших систем предотвращения вторжений (IPS) на 2021 год

Каждый хочет не пускать злоумышленников в свой дом. Точно так же - и по аналогичным причинам сетевые администраторы стремятся не допускать проникновения злоумышленников в сети, которыми они управляют. Одним из важнейших активов многих современных организаций являются их данные. Это настолько важно, что многие злоумышленники пойдут на все, чтобы украсть эти данные. Они делают это, используя широкий спектр методов для получения несанкционированного доступа к сетям и системам. Количество таких атак, похоже, в последнее время экспоненциально выросло, и в качестве реакции создаются системы для их предотвращения. Эти системы называются системами предотвращения вторжений или IPS. Сегодня мы рассмотрим самые лучшие системы предотвращения вторжений, которые только можно найти.

Мы начнем с попытки лучше определить, что такое предотвращение вторжений. Это, конечно, означает, что мы также определим, что такое вторжение. Затем мы рассмотрим различные методы обнаружения, которые обычно используются, и меры по исправлению положения, предпринимаемые при обнаружении. Затем мы кратко поговорим о пассивном предотвращении вторжений. Это статические меры, которые можно ввести, чтобы резко сократить количество попыток вторжения. Вы можете быть удивлены, узнав, что некоторые из них не имеют ничего общего с компьютерами. Только тогда, когда все мы будем на одной странице, мы сможем, наконец, рассмотреть некоторые из лучших систем предотвращения вторжений, которые мы смогли найти.

Предотвращение вторжений - что это такое?

Много лет назад вирусы были почти единственной заботой системных администраторов. Вирусы дошли до того, что стали настолько распространенными, что отрасль отреагировала разработкой средств защиты от вирусов. Сегодня ни один серьезный пользователь в здравом уме не подумает о запуске компьютера без защиты от вирусов. Хотя мы больше не слышим о вирусах, вторжение или несанкционированный доступ к вашим данным со стороны злоумышленников - это новая угроза. Поскольку данные часто являются наиболее важным активом организации, корпоративные сети стали целью злонамеренных хакеров, которые идут на все, чтобы получить доступ к данным. Подобно тому, как программное обеспечение для защиты от вирусов стало ответом на распространение вирусов, системы предотвращения вторжений - это ответ на атаки злоумышленников.

Системы предотвращения вторжений, по сути, делают две вещи. Во-первых, они обнаруживают попытки вторжения и при обнаружении любых подозрительных действий используют различные методы, чтобы остановить или заблокировать их. Есть два разных способа обнаружения попыток вторжения. Обнаружение на основе сигнатур работает путем анализа сетевого трафика и данных и поиска конкретных шаблонов, связанных с попытками вторжения. Это похоже на традиционные системы защиты от вирусов, которые полагаются на определения вирусов. Обнаружение вторжений на основе сигнатур основывается на сигнатурах или шаблонах вторжений. Основным недостатком этого метода обнаружения является то, что для его загрузки в программное обеспечение требуются соответствующие сигнатуры. А при новом методе атаки обычно есть задержка перед обновлением сигнатур атак. Некоторые поставщики очень быстро предоставляют обновленные сигнатуры атак, в то время как другие намного медленнее. Частота и скорость обновления подписей - важный фактор, который следует учитывать при выборе поставщика.

Обнаружение на основе аномалий предлагает лучшую защиту от атак нулевого дня, которые происходят до того, как сигнатуры обнаружения получили возможность обновиться. Процесс ищет аномалии вместо того, чтобы пытаться распознать известные шаблоны вторжений. Например, это сработает, если кто-то несколько раз подряд попытается получить доступ к системе с неправильным паролем, что является обычным признаком атаки методом грубой силы. Это всего лишь пример, и обычно существуют сотни различных подозрительных действий, которые могут вызвать срабатывание этих систем. Оба метода обнаружения имеют свои преимущества и недостатки. Лучшие инструменты - это те, которые используют комбинацию сигнатурного и поведенческого анализа для лучшей защиты.

Обнаружение попыток вторжения - одна из первых частей их предотвращения. После обнаружения системы предотвращения вторжений активно работают над остановкой обнаруженных действий. Эти системы могут предпринять несколько различных корректирующих действий. Они могли, например, приостановить или иным образом деактивировать учетные записи пользователей. Еще одно типичное действие - блокировка IP-адреса источника атаки или изменение правил брандмауэра. Если вредоносная активность исходит от определенного процесса, система предотвращения может убить этот процесс. Еще одна распространенная реакция - запуск некоторого процесса защиты, и в худшем случае можно отключить всю систему, чтобы ограничить потенциальный ущерб. Еще одна важная задача систем предотвращения вторжений - оповещение администраторов, запись события и сообщение о подозрительных действиях.

Пассивные меры предотвращения вторжений

Хотя системы предотвращения вторжений могут защитить вас от множества типов атак, ничто не может сравниться с хорошими старомодными пассивными мерами предотвращения вторжений. Например, установка надежных паролей - отличный способ защиты от многих вторжений. Еще одна простая мера защиты - изменение паролей оборудования по умолчанию. Хотя это не так часто встречается в корпоративных сетях - хотя это не является чем-то необычным - я слишком часто видел Интернет-шлюзы, у которых все еще был пароль администратора по умолчанию. Что касается паролей, устаревание пароля - еще один конкретный шаг, который можно предпринять для уменьшения попыток вторжения. Любой пароль, даже самый лучший, в конечном итоге может быть взломан, если потребуется время. Устаревание пароля гарантирует, что пароли будут изменены до того, как они будут взломаны.

Были только примеры того, что можно сделать для пассивного предотвращения вторжений. Мы могли бы написать целый пост о том, какие пассивные меры можно принять, но сегодня это не наша цель. Наша цель - вместо этого представить одни из лучших активных систем предотвращения вторжений.

Лучшие системы предотвращения вторжений

В нашем списке представлены различные инструменты, которые можно использовать для защиты от попыток вторжения. Большинство включенных инструментов являются настоящими системами предотвращения вторжений, но мы также включаем инструменты, которые, хотя и не продаются как таковые, могут использоваться для предотвращения вторжений. Наша первая запись - один из таких примеров. Помните, что, прежде всего, при выборе инструмента следует руководствоваться вашими конкретными потребностями. Итак, давайте посмотрим, что может предложить каждый из наших лучших инструментов.

1. Журнал SolarWinds и менеджер событий (БЕСПЛАТНЫЙ ПРОБНЫЙ ПЕРИОД)

SolarWinds - широко известное имя в области сетевого администрирования. Он пользуется солидной репутацией как один из лучших инструментов сетевого и системного администрирования. Его флагманский продукт, Network Performance Monitor, неизменно входит в число лучших доступных инструментов мониторинга пропускной способности сети. SolarWinds также славится своими многочисленными бесплатными инструментами, каждый из которых предназначен для конкретных потребностей сетевых администраторов. Сервер Kiwi Syslog или TFTP-сервер SolarWinds - два отличных примера этих бесплатных инструментов.

Не позволяйте названию SolarWinds Log & Event Manager ввести вас в заблуждение . Это гораздо больше, чем кажется на первый взгляд. Некоторые из расширенных функций этого продукта квалифицируют его как систему обнаружения и предотвращения вторжений, в то время как другие помещают его в диапазон управления информацией и событиями безопасности (SIEM). Инструмент, например, обеспечивает корреляцию событий в реальном времени и исправление ошибок в реальном времени.

• БЕСПЛАТНЫЙ ПРОБНЫЙ ПЕРИОД: журнал SolarWinds и менеджер событий
• Официальная ссылка для скачивания: https://www.solarwinds.com/log-event-manager-software/registration

SolarWinds Log & Event - менеджер имеет мгновенное обнаружение подозрительной активности (функциональность обнаружения вторжений) и автоматизированные ответы (функциональность предотвращения вторжений). Этот инструмент также можно использовать для расследования событий безопасности и криминалистической экспертизы. Его можно использовать для смягчения последствий и соблюдения требований. Инструмент содержит проверенные аудитом отчеты, которые также можно использовать для демонстрации соответствия различным нормативным требованиям, таким как HIPAA, PCI-DSS и SOX. Инструмент также имеет мониторинг целостности файлов и мониторинг USB-устройств. Все расширенные функции программного обеспечения делают его скорее интегрированной платформой безопасности, чем просто системой управления журналами и событиями, о чем вы бы могли подумать.

Функции предотвращения вторжений в SolarWinds Log & Event Manager работают путем реализации действий, называемых активными ответами при обнаружении угроз. Различные ответы могут быть связаны с конкретными предупреждениями. Например, система может записывать данные в таблицы брандмауэра, чтобы заблокировать доступ к сети исходного IP-адреса, который был идентифицирован как выполняющий подозрительные действия. Инструмент также может приостанавливать учетные записи пользователей, останавливать или запускать процессы и выключать системы. Как вы помните, это именно те действия по исправлению, которые мы определили ранее.

Цена на SolarWinds Log & Event Manager зависит от количества отслеживаемых узлов. Цены начинаются от 4585 долларов США за до 30 отслеживаемых узлов, и можно приобрести лицензии до 2500 узлов, что делает продукт хорошо масштабируемым. Если вы хотите протестировать продукт и лично убедиться, подходит ли он вам, доступна бесплатная полнофункциональная 30-дневная пробная версия .

2. Splunk

Splunk , вероятно, является одной из самых популярных систем предотвращения вторжений. Он доступен в нескольких различных редакциях с разными наборами функций. Splunk Enterprise Security - или Splunk ES , как его часто называют - это то, что вам нужно для настоящего предотвращения вторжений. Программное обеспечение отслеживает данные вашей системы в режиме реального времени, выявляя уязвимости и признаки аномальной активности.

Ответные меры безопасности - одна из сильных сторон продукта и то, что делает его системой предотвращения вторжений. Он использует то, что производитель называет платформой адаптивного ответа (ARF). Он интегрируется с оборудованием от более чем 55 поставщиков средств обеспечения безопасности и может выполнять автоматическое реагирование, ускоряя выполнение ручных задач. Эта комбинация автоматического исправления и ручного вмешательства может дать вам наилучшие шансы быстро одержать верх. Инструмент имеет простой и лаконичный пользовательский интерфейс, что делает его выигрышным решением. Другие интересные функции защиты включают функцию «Notables», которая показывает настраиваемые пользователем предупреждения, и «Asset Investigator» для выявления вредоносных действий и предотвращения дальнейших проблем.

Информация о ценах Splunk Enterprise Security недоступна. Вам нужно будет связаться с отделом продаж Splunk, чтобы получить подробное предложение. Это отличный продукт, для которого доступна бесплатная пробная версия.

3. Саган

Sagan - это, по сути, бесплатная система обнаружения вторжений. Однако инструмент, имеющий возможности выполнения сценария, может помещать его в категорию систем предотвращения вторжений. Sagan обнаруживает попытки вторжения посредством мониторинга файлов журналов. Вы также можете комбинировать Sagan с Snort, который может передавать свои выходные данные в Sagan, предоставляя инструменту некоторые возможности сетевого обнаружения вторжений. Фактически, Sagan может получать данные от многих других инструментов, таких как Bro или Suricata, объединяя возможности нескольких инструментов для наилучшей защиты.

Однако в возможностях выполнения сценариев Сагана есть одна загвоздка . Вы должны написать сценарии исправления. Хотя этот инструмент не может лучше всего использоваться в качестве единственной защиты от вторжения, он может быть ключевым компонентом системы, которая включает в себя несколько инструментов путем сопоставления событий из разных источников, что дает вам лучшее из многих продуктов.

Хотя Sagan можно установить только в Linux, Unix и Mac OS, он может подключаться к системам Windows для получения их событий. Другие интересные особенности Sagan включают отслеживание местоположения IP-адресов и распределенную обработку.

4. OSSEC

Open Source Security , или OSSEC , является одной из ведущих систем обнаружения вторжений на основе хоста с открытым исходным кодом. Мы включаем его в наш список по двум причинам. Его популярность такова, что нам пришлось включить его, особенно с учетом того, что инструмент позволяет вам указывать действия, которые выполняются автоматически при срабатывании определенных предупреждений, что дает ему некоторые возможности предотвращения вторжений. OSSEC принадлежит компании Trend Micro, одной из ведущих компаний в области ИТ-безопасности и разработчику одного из лучших пакетов защиты от вирусов.

При установке в Unix-подобных операционных системах механизм обнаружения программного обеспечения в первую очередь ориентирован на файлы журнала и конфигурации. Он создает контрольные суммы важных файлов и периодически проверяет их, предупреждая вас или инициируя корректирующие действия всякий раз, когда происходит что-то странное. Он также будет отслеживать и предупреждать о любой ненормальной попытке получить root-доступ. В Windows система также отслеживает несанкционированные изменения реестра, поскольку они могут быть контрольным признаком злонамеренной активности. Любое обнаружение вызовет предупреждение, которое будет отображаться на централизованной консоли, а уведомления также будут отправляться по электронной почте.

OSSEC - это система защиты от вторжений на основе хоста. Таким образом, его необходимо установить на каждый компьютер, который вы хотите защитить. Однако централизованная консоль объединяет информацию с каждого защищенного компьютера для упрощения управления. OSSEC консоль работает только на операционных системах Unix-подобных , но агент доступен для защиты хостов Windows. В качестве альтернативы можно использовать другие инструменты, такие как Kibana или Graylog, в качестве внешнего интерфейса инструмента.

5. Откройте WIPS-NG.

Мы не были уверены, стоит ли включать Open WIPS NG в наш список. Подробнее об этом чуть позже. Это произошло главным образом потому, что это один из немногих продуктов, специально предназначенных для беспроводных сетей. Открыть WIPS NG- где WIPS означает Wireless Intrusion Prevention System - это инструмент с открытым исходным кодом, состоящий из трех основных компонентов. Во-первых, датчик. Это глупый процесс, который просто захватывает беспроводной трафик и отправляет его на сервер для анализа. Как вы, наверное, догадались, следующий компонент - это сервер. Он собирает данные со всех датчиков, анализирует собранные данные и реагирует на атаки. Этот компонент является сердцем системы. И последнее, но не менее важное, это компонент интерфейса, который представляет собой графический интерфейс, который вы используете для управления сервером и отображения информации об угрозах, обнаруженных в вашей беспроводной сети.

Основная причина, по которой мы колебались перед включением Open WIPS NG в наш список, заключалась в том, что, как бы хорошо он ни был, не всем нравится разработчик продукта. Это от того же разработчика, что и Aircrack NG, сниффер беспроводных пакетов и взломщик паролей, который является частью набора инструментов каждого хакера WiFi. Это открывает дискуссию об этике разработчиков и заставляет некоторых пользователей насторожиться. С другой стороны, опыт разработчика можно рассматривать как свидетельство его глубоких знаний в области безопасности Wi-Fi.

6. Fail2Ban

Fail2Ban - относительно популярная бесплатная система обнаружения вторжений на хост с функциями предотвращения вторжений. Программное обеспечение работает, отслеживая файлы системного журнала на предмет подозрительных событий, таких как неудачные попытки входа в систему или поиск эксплойтов. Когда система обнаруживает что-то подозрительное, она реагирует, автоматически обновляя правила локального брандмауэра, чтобы заблокировать исходный IP-адрес злонамеренного поведения. Это, конечно, означает, что на локальном компьютере запущен какой-то процесс брандмауэра. Это основной недостаток инструмента. Однако любые другие произвольные действия, такие как выполнение некоторого исправляющего сценария или отправка уведомлений по электронной почте, могут быть настроены.

Fail2Ban поставляется с несколькими встроенными триггерами обнаружения, называемыми фильтрами, которые охватывают некоторые из наиболее распространенных служб, таких как Apache, Courrier, SSH, FTP, Postfix и многие другие. Как мы уже говорили, исправительные действия выполняются путем изменения таблиц брандмауэра хоста. Fail2Ban поддерживает Netfilter, IPtables или таблицу hosts.deny TCP Wrapper. Каждый фильтр может быть связан с одним или несколькими действиями. Вместе фильтры и действия называются тюрьмой.

7. Монитор сетевой безопасности Bro

Security Monitor Bro Network еще одна бесплатная сетевая система обнаружения вторжений с IPS-как функциональность. Он работает в два этапа: сначала он регистрирует трафик, а затем анализирует его. Этот инструмент работает на нескольких уровнях, вплоть до уровня приложения, что обеспечивает лучшее обнаружение попыток раздельного вторжения. Модуль анализа продукта состоит из двух элементов. Первый элемент называется обработчиком событий, и его цель - отслеживать запускающие события, такие как TCP-соединения или HTTP-запросы. Затем события анализируются вторым элементом сценариев политики. Задача сценариев политики - решить, активировать ли тревогу, запустить действие или игнорировать событие. Это возможность запуска действия, которое дает Bro Network Security Monitor его функциональность IPS.

Security Monitor Bro Network имеет некоторые ограничения. Он будет отслеживать только активность HTTP, DNS и FTP, а также отслеживать трафик SNMP. Тем не менее, это хорошо, потому что SNMP часто используется для мониторинга сети, несмотря на серьезные недостатки безопасности. SNMP практически не имеет встроенной защиты и использует незашифрованный трафик. А поскольку протокол можно использовать для изменения конфигураций, злоумышленники могут легко использовать его. Продукт также будет следить за изменениями конфигурации устройства и ловушками SNMP. Его можно установить в Unix, Linux и OS X, но он недоступен для Windows, что, возможно, является его основным недостатком. В остальном это очень интересный инструмент, который стоит попробовать.