2021de En İyi 6 Ana Bilgisayar Tabanlı Saldırı Tespit Sistemi (HIDS)

Çok paranoyak olmak istemem, muhtemelen öyle olsa da, siber suç her yerde. Her kuruluş, verilerine erişmeye çalışan bilgisayar korsanlarının hedefi olabilir. Bu nedenle, olaylara göz kulak olmak ve bu kötü niyetli kişilerin kurbanı olmamamızı sağlamak esastır. İlk savunma hattı, bir Saldırı Tespit Sistemidir . Ana bilgisayar tabanlı sistemler, algılamalarını ana bilgisayar düzeyinde uygular ve genellikle çoğu izinsiz giriş denemesini hızlı bir şekilde algılar ve durumu düzeltebilmeniz için sizi hemen bilgilendirir.Mevcut pek çok ana bilgisayar tabanlı saldırı tespit sistemiyle, özel durumunuz için en iyisini seçmek zor görünebilir. Açıkça görmenize yardımcı olmak için, en iyi ana bilgisayar tabanlı saldırı tespit sistemlerinden bazılarının bir listesini hazırladık.

En iyi araçları açıklamadan önce, kısaca gözden geçireceğiz ve farklı Saldırı Tespit Sistemleri türlerine bir göz atacağız. Bazıları ana bilgisayar tabanlı iken diğerleri ağ tabanlıdır. Farkları açıklayacağız. Daha sonra farklı izinsiz giriş tespit yöntemlerini tartışacağız. Bazı araçlar imza tabanlı bir yaklaşıma sahipken, diğerleri şüpheli davranış arayışındadır. En iyileri her ikisinin bir kombinasyonunu kullanır. Devam etmeden önce, neye baktığımızı anlamak önemli olduğundan, izinsiz giriş algılama ve izinsiz giriş önleme sistemleri arasındaki farkları açıklayacağız. Daha sonra bu yazının özüne, en iyi ana bilgisayar tabanlı saldırı tespit sistemlerine hazır olacağız.

İki Tip Saldırı Tespit Sistemi

Esasen iki tür Saldırı Tespiti sistemi vardır. Hedefleri aynı olsa da - herhangi bir izinsiz giriş girişimini veya bir izinsiz giriş girişimine yol açabilecek şüpheli etkinliği hızlı bir şekilde tespit etmek, ancak bu tespitin gerçekleştirildiği konumda farklılık gösterirler. Bu, genellikle yaptırım noktası olarak adlandırılan bir kavramdır. Her türün avantajları ve dezavantajları vardır ve genel olarak, hangisinin tercih edildiği konusunda bir fikir birliği yoktur. Aslında, en iyi çözüm - veya en güvenli - muhtemelen her ikisini de birleştiren çözümdür.

Host Saldırı Tespit Sistemleri (HIDS)

Bugün ilgilendiğimiz ilk tür izinsiz giriş tespit sistemi, ana bilgisayar düzeyinde çalışır. Bunu adından da tahmin etmişsinizdir. HIDS, örneğin, çeşitli günlük dosyalarını ve günlükleri şüpheli etkinlik belirtileri için kontrol eder. İzinsiz giriş girişimlerini algılamanın başka bir yolu da önemli yapılandırma dosyalarını yetkisiz değişiklikler için kontrol etmektir. Bilinen belirli izinsiz giriş modelleri için aynı yapılandırma dosyalarını da inceleyebilirler. Örneğin, belirli bir izinsiz giriş yönteminin belirli bir yapılandırma dosyasına belirli bir parametre ekleyerek çalıştığı biliniyor olabilir. İyi bir ana bilgisayar tabanlı saldırı tespit sistemi bunu yakalayacaktır.

HIDS'ler çoğu zaman doğrudan korumaları gereken cihazlara kurulur. Bunları tüm bilgisayarlarınıza yüklemeniz gerekecek. Diğerleri yalnızca yerel bir aracının yüklenmesini gerektirecektir. Hatta bazıları tüm işlerini uzaktan yapıyor. Nasıl çalışırlarsa çalışsınlar iyi HIDS, uygulamayı kontrol edebileceğiniz ve sonuçlarını görüntüleyebileceğiniz merkezi bir konsola sahiptir.

Ağ Saldırı Tespit Sistemleri (NIDS)

Ağa izinsiz giriş tespit sistemleri veya NIDS adı verilen başka bir izinsiz giriş tespit sistemi türü, tespiti zorlamak için ağın sınırında çalışır. Şüpheli etkinlikleri tespit etme ve bilinen izinsiz giriş modellerini arama gibi ana bilgisayar izinsiz giriş tespit sistemlerine benzer yöntemler kullanırlar. Ancak günlüklere ve yapılandırma dosyalarına bakmak yerine ağ trafiğini izler ve her bağlantı isteğini inceler. Bazı izinsiz giriş yöntemleri, ana bilgisayarlara bilerek hatalı biçimlendirilmiş paketler göndererek bilinen güvenlik açıklarından yararlanır ve bu paketlerin, ihlal edilmelerine izin verecek şekilde belirli bir şekilde tepki vermelerini sağlar. Bir ağ saldırı tespit sistemi bu tür bir girişimi kolaylıkla tespit edebilir.

Bazıları, saldırıları sistemlerinize ulaşmadan önce tespit ettikleri için NIDS'nin HIDS'den daha iyi olduğunu iddia ediyor. Bazıları, onları etkili bir şekilde korumak için her bir ana bilgisayara herhangi bir şey yüklenmesini gerektirmediği için onları tercih eder. Öte yandan, ne yazık ki hiç de nadir olmayan içeriden saldırılara karşı çok az koruma sağlarlar. Saldırganın tespit edilmesi için NIDS'den geçen bir yol kullanması gerekir. Bu nedenlerden dolayı, en iyi koruma muhtemelen her iki tür aletin bir kombinasyonunu kullanmaktan gelir.

Saldırı Tespit Yöntemleri

İki tür izinsiz giriş tespit aracı olduğu gibi, izinsiz giriş denemelerini tespit etmek için kullanılan başlıca iki farklı yöntem vardır. Algılama, imza tabanlı veya anormallik tabanlı olabilir. İmza tabanlı izinsiz giriş algılama, izinsiz giriş denemeleriyle ilişkilendirilmiş belirli kalıplar için verileri analiz ederek çalışır. Bu, virüs tanımlarına dayanan geleneksel virüs koruma sistemlerine benzer. Benzer şekilde, imza tabanlı izinsiz giriş tespiti, izinsiz giriş imzalarına veya modellerine dayanır. Girişimleri belirlemek için verileri izinsiz giriş imzalarıyla karşılaştırırlar. Başlıca dezavantajları, uygun imzalar yazılıma yüklenene kadar çalışmamalarıdır. Ne yazık ki, bu genellikle yalnızca belirli sayıda makineye saldırı yapıldıktan ve izinsiz giriş imzalarının yayıncılarının yeni güncelleme paketleri yayınlamak için zamanları olduğunda gerçekleşir. Bazı tedarikçiler oldukça hızlıyken diğerleri ancak günler sonra tepki verebilir.

Diğer yöntem olan anormallik tabanlı izinsiz giriş tespiti, herhangi bir izinsiz giriş tespit yazılımının uygun imza dosyasını edinme şansına sahip olmadan önce gerçekleşen sıfırıncı gün saldırılarına karşı daha iyi koruma sağlar. Bu sistemler, bilinen izinsiz giriş modellerini tanımaya çalışmak yerine anormallikleri arar. Örneğin, birisi arka arkaya birkaç kez yanlış parolayla bir sisteme erişmeye çalıştığında tetiklenebilirler, bu kaba kuvvet saldırısının yaygın bir işaretidir. Herhangi bir şüpheli davranış hızla tespit edilebilir. Her algılama yönteminin avantajları ve dezavantajları vardır. Tıpkı araç türlerinde olduğu gibi, en iyi araçlar, en iyi koruma için imza ve davranış analizinin bir kombinasyonunu kullananlardır.

Algılama ve Önleme – Önemli Bir Ayrım

İzinsiz Giriş Tespit Sistemlerini tartışıyorduk ancak birçoğunuz İzinsiz Giriş Önleme Sistemlerini duymuş olabilirsiniz. İki kavram aynı mı? İki tür araç farklı bir amaca hizmet ettiğinden kolay cevap hayır. Ancak aralarında bir miktar örtüşme vardır. Adından da anlaşılacağı gibi, saldırı tespit sistemi, izinsiz giriş denemelerini ve şüpheli faaliyetleri tespit eder. Bir şey algıladığında, genellikle bir tür uyarı veya bildirimi tetikler. Yöneticiler daha sonra izinsiz giriş girişimini durdurmak veya engellemek için gerekli adımları atmalıdır.

İzinsiz Giriş Önleme Sistemleri (IPS), izinsiz girişlerin tamamen olmasını önlemek için yapılmıştır. Aktif IPS, bir izinsiz giriş girişimi algılandığında otomatik olarak bazı düzeltici eylemleri tetikleyecek bir algılama bileşeni içerir. İzinsiz Girişi Önleme pasif de olabilir. Terim, izinsiz girişleri önlemenin bir yolu olarak yapılan veya uygulamaya konulan herhangi bir şeye atıfta bulunmak için kullanılabilir. Örneğin parola sertleştirme, İzinsiz Girişi Önleme önlemi olarak düşünülebilir.

En İyi Host Saldırı Tespit Araçları

En iyi ana bilgisayar tabanlı saldırı tespit sistemleri için piyasayı araştırdık. Sizin için sahip olduğumuz şey, kendilerine izinsiz giriş tespit sistemleri olarak adlandırmasalar da, izinsiz giriş tespit bileşenine sahip olan veya izinsiz giriş girişimlerini tespit etmek için kullanılabilen gerçek HIDS ve diğer yazılımların bir karışımıdır. En iyi seçimlerimizi gözden geçirelim ve en iyi özelliklerine bir göz atalım.

1. SolarWinds Günlük ve Etkinlik Yöneticisi (Ücretsiz Deneme)

İlk girişimiz, ağ yönetim araçları alanında yaygın bir isim olan SolarWinds'den. Şirket yaklaşık 20 yıldır var ve bize en iyi ağ ve sistem yönetim araçlarından bazılarını getirdi. Ayrıca, ağ yöneticilerinin bazı özel ihtiyaçlarını karşılayan birçok ücretsiz aracıyla da bilinir. Bu ücretsiz araçların iki harika örneği, Kiwi Syslog Sunucusu ve Gelişmiş Alt Ağ Hesaplayıcısıdır.

SolarWinds Log & Event Manager'ın adının sizi aldatmasına izin vermeyin . Sadece bir günlük ve olay yönetim sisteminden çok daha fazlasıdır. Bu ürünün gelişmiş özelliklerinin çoğu, onu Güvenlik Bilgileri ve Olay Yönetimi (SIEM) aralığına yerleştirir. Diğer özellikler onu bir İzinsiz Giriş Tespit Sistemi ve hatta bir dereceye kadar İzinsiz Giriş Önleme Sistemi olarak nitelendirir. Bu araç, örneğin, gerçek zamanlı olay korelasyonu ve gerçek zamanlı iyileştirme özelliklerine sahiptir.

• ÜCRETSİZ DENEME: SolarWinds Günlük ve Etkinlik Yöneticisi
• Resmi İndirme Bağlantısı: https://www.solarwinds.com/log-event-manager-software/registration

SolarWinds Giriş ve Etkinlik Yöneticisi şüpheli etkinlik anlık algılama (IDS gibi işlevlere) ve otomatik tepkileri (IPS gibi işlevlere) sahiptir. Ayrıca, hem azaltma hem de uyumluluk amaçları için güvenlik olayı incelemesi ve adli tıp gerçekleştirebilir. Denetimle kanıtlanmış raporlaması sayesinde araç, diğerleri arasında HIPAA, PCI-DSS ve SOX ile uyumluluğu göstermek için de kullanılabilir. Araç ayrıca dosya bütünlüğü izleme ve USB cihaz izleme özelliklerine sahiptir, bu da onu yalnızca bir günlük ve olay yönetim sisteminden çok daha fazla entegre bir güvenlik platformu haline getirir.

SolarWinds Log & Event Manager'ın fiyatlandırması 30 adede kadar izlenen düğüm için 4,585 dolardan başlar. Ürünü son derece ölçeklenebilir hale getirmek için 2500 düğüme kadar lisans satın alınabilir. Ürünü bir deneme çalışmasına götürmek ve sizin için uygun olup olmadığını kendiniz görmek istiyorsanız, ücretsiz, tam özellikli 30 günlük deneme sürümü mevcuttur .

2. OSSEC

Açık Kaynak Güvenliği veya OSSEC , açık ara önde gelen açık kaynaklı ana bilgisayar tabanlı saldırı tespit sistemidir. Ürün, BT güvenliğinin önde gelen isimlerinden biri olan ve en iyi virüs koruma paketlerinden birinin üreticisi olan Trend Micro'ya aittir. Unix benzeri işletim sistemlerine kurulduğunda, yazılım öncelikle günlük ve yapılandırma dosyalarına odaklanır. Önemli dosyaların sağlama toplamlarını oluşturur ve bunları düzenli aralıklarla doğrulayarak garip bir şey olduğunda sizi uyarır. Ayrıca, kök erişimi elde etmek için herhangi bir anormal girişimi izleyecek ve uyaracaktır. Windows ana bilgisayarlarında sistem, kötü niyetli etkinliğin açık bir işareti olabilecek yetkisiz kayıt defteri değişikliklerine de dikkat eder.

Ana bilgisayar tabanlı bir saldırı tespit sistemi olması nedeniyle, korumak istediğiniz her bilgisayara OSSEC'in yüklenmesi gerekir. Ancak, merkezi bir konsol, daha kolay yönetim için korunan her bilgisayardan gelen bilgileri birleştirir. İken OSSEC konsolu yalnızca Unix gibi işletim sistemleri üzerinde çalışan bir ajan Windows hosts korumak için kullanılabilir. Herhangi bir algılama, merkezi konsolda görüntülenecek bir uyarıyı tetiklerken, bildirimler de e-posta ile gönderilir.

3. Samhain

Samhain , iyi bilinen bir başka ücretsiz ana bilgisayar saldırı tespit sistemidir. IDS açısından ana özellikleri, dosya bütünlüğü kontrolü ve günlük dosyası izleme/analizidir. Yine de bundan çok daha fazlasını yapıyor. Ürün, rootkit algılama, bağlantı noktası izleme, sahte SUID yürütülebilir dosyalarının ve gizli işlemlerin algılanmasını gerçekleştirecektir. Araç, çeşitli işletim sistemlerini çalıştıran birden çok ana bilgisayarı izlemek için tasarlanmıştır ve aynı zamanda merkezi günlük kaydı ve bakım sağlar. Ancak Samhain , tek bir bilgisayarda bağımsız bir uygulama olarak da kullanılabilir. Yazılım öncelikle Unix, Linux veya OS X gibi POSIX sistemlerinde çalışır. Ayrıca, bu konfigürasyonda yalnızca izleme aracısı test edilmiş olmasına rağmen, Windows'ta POSIX uygulamalarının çalıştırılmasına izin veren bir paket olan Cygwin altında Windows'ta da çalışabilir.

Biri Samhain ‘nın en benzersiz özelliği potansiyel saldırganlar tarafından tespit edilmeden çalışmasını sağlar onun gizli modudur. Saldırganların, algılanmadan önce bir sisteme girer girmez fark ettikleri algılama süreçlerini hızla öldürdüğü ve fark edilmeden gitmelerine izin verdiği bilinmektedir. Samhain , süreçlerini diğerlerinden gizlemek için steganografik teknikleri kullanır. Ayrıca, kurcalamayı önlemek için merkezi günlük dosyalarını ve yapılandırma yedeklerini bir PGP anahtarıyla korur.

4. Fail2Ban

Fail2Ban , aynı zamanda bazı izinsiz giriş önleme özelliklerine de sahip, ücretsiz ve açık kaynaklı bir ana bilgisayar saldırı tespit sistemidir. Yazılım aracı, günlük dosyalarını, başarısız oturum açma girişimleri, istismar arama vb. gibi şüpheli etkinlikler ve olaylar için izler. Aracın varsayılan eylemi, şüpheli bir şey algıladığında, kaynak IP adresini engellemek için yerel güvenlik duvarı kurallarını otomatik olarak güncellemektir. kötü niyetli davranış. Gerçekte, bu gerçek izinsiz giriş önleme değil, otomatik düzeltme özelliklerine sahip bir izinsiz giriş tespit sistemidir. Az önce tanımladığımız şey, aracın varsayılan eylemidir, ancak e-posta bildirimleri göndermek gibi diğer herhangi bir isteğe bağlı eylem de yapılandırılabilir, bu da daha "klasik" bir saldırı tespit sistemi gibi davranmasını sağlar.

Fail2Ban , Apache, SSH, FTP, Postfix ve çok daha fazlası gibi en yaygın hizmetlerden bazıları için önceden oluşturulmuş çeşitli filtrelerle birlikte sunulur. Önleme, açıkladığımız gibi, ana bilgisayarın güvenlik duvarı tablolarını değiştirerek gerçekleştirilir. Araç Netfilter, IPtables veya TCP Wrapper'ın hosts.deny tablosuyla çalışabilir. Her filtre bir veya daha fazla eylemle ilişkilendirilebilir.

5. YARDIMCI

Gelişmiş Saldırı Tespit Çevre veya AIDE , Bu seferki ağırlıklı rootkit algılama ve dosya imza karşılaştırmaları odaklanan başka bir ücretsiz ev sahibi saldırı tespit sistemidir. İlk kurduğunuzda, araç, sistemin yapılandırma dosyalarından bir tür yönetici verisi veritabanı derler. Bu veritabanı daha sonra herhangi bir değişikliğin karşılaştırılabileceği ve gerektiğinde geri alınabileceği bir temel olarak kullanılabilir.

AIDE , hem imza tabanlı hem de anormallik tabanlı algılama şemalarını kullanır. Bu, isteğe bağlı olarak çalıştırılan ve programlanmayan veya sürekli çalışan bir araçtır. Aslında, bu ürünün ana dezavantajıdır. Ancak, GUI tabanlı olmaktan ziyade bir komut satırı aracı olduğundan, düzenli aralıklarla çalıştırmak için bir cron işi oluşturulabilir. Aracı sık sık çalıştırmayı seçerseniz - örneğin dakikada bir - neredeyse gerçek zamanlı veriler alırsınız ve herhangi bir izinsiz giriş denemesi çok ileri gitmeden ve çok fazla hasara neden olmadan önce tepki vermek için zamanınız olur.

AIDE özünde sadece bir veri karşılaştırma aracıdır, ancak birkaç harici programlanmış komut dosyasının yardımıyla gerçek bir HIDS'e dönüştürülebilir. Yine de bunun esasen yerel bir araç olduğunu unutmayın. Merkezi bir yönetimi ve süslü bir GUI'si yoktur.

6. Sagan

Listemizde sonuncusu , gerçek bir IDS'den çok bir günlük analiz sistemi olan Sagan . Bununla birlikte, bazı IDS benzeri özelliklere sahiptir, bu yüzden listemizde bir yeri hak ediyor. Araç, kurulu olduğu sistemin günlük dosyalarını yerel olarak izler, ancak diğer araçlarla da etkileşime girebilir. Örneğin, Snort'un günlüklerini analiz ederek, esasen bir HIDS olana Snort'un NIDS işlevselliğini etkin bir şekilde ekleyebilir. Sadece Snort ile etkileşime girmeyecek. Sagan , Suricata ile de etkileşime girebilir ve Oinkmaster veya Pulled Pork gibi çeşitli kural oluşturma araçlarıyla uyumludur.

Sagan ayrıca, bazı düzeltme komut dosyaları geliştirmeniz koşuluyla, onu kaba bir izinsiz giriş önleme sistemi haline getirebilecek komut dosyası yürütme yeteneklerine sahiptir. Bu araç muhtemelen izinsiz girişlere karşı tek savunmanız olarak kullanılmasa da, farklı kaynaklardan gelen olayları ilişkilendirerek birçok aracı birleştirebilen bir sistemin harika bir bileşeni olabilir.