6 أفضل أنظمة كشف التسلل (HIDS) المستندة إلى المضيف في عام 2020

لا أريد أن أبدو بجنون العظمة ، على الرغم من أنني ربما أفعل ذلك ، لكن الإجرام السيبراني منتشر في كل مكان. يمكن لكل منظمة أن تصبح هدفًا للمتسللين الذين يحاولون الوصول إلى بياناتهم. لذلك ، من الأساسي مراقبة الأشياء والتأكد من أننا لا نقع ضحية هؤلاء الأفراد ذوي النوايا السيئة. خط الدفاع الأول هو نظام كشف التسلل. القائم على المضيف تقوم الأنظمة بتطبيق اكتشافها على مستوى المضيف ، وعادة ما تكتشف معظم محاولات التسلل بسرعة وتعلمك على الفور حتى تتمكن من معالجة الموقف. مع توفر العديد من أنظمة كشف التسلل المستندة إلى المضيف ، يمكن أن يمثل اختيار الأفضل لحالتك الخاصة تحديًا. لمساعدتك على الرؤية بوضوح ، قمنا بتجميع قائمة ببعض أفضل أنظمة كشف التسلل المستندة إلى المضيف.

قبل أن نكشف عن أفضل الأدوات ، سنقوم بتجاوز المسار لفترة وجيزة ونلقي نظرة على الأنواع المختلفة من أنظمة كشف التسلل. بعضها يعتمد على المضيف بينما البعض الآخر يعتمد على الشبكة. سنشرح الاختلافات. ثم سنناقش طرق الكشف عن الاختراق المختلفة. تحتوي بعض الأدوات على نهج قائم على التوقيع بينما يبحث البعض الآخر عن سلوك مريب. الأفضل استخدام مزيج من كليهما. قبل المتابعة ، سنشرح الاختلافات بين أنظمة كشف التسلل ومنع الاختراق حيث من المهم فهم ما ننظر إليه. سنكون مستعدين لجوهر هذا المنشور ، أفضل أنظمة كشف التسلل المستندة إلى المضيف.

نوعان من أنظمة كشف التسلل

هناك نوعان أساسيان من أنظمة كشف التسلل. بينما يكون هدفهم متطابقًا - للكشف بسرعة عن أي محاولة اختراق أو نشاط مشبوه قد يؤدي إلى محاولة تسلل ، إلا أنهم يختلفون في المكان الذي يتم فيه إجراء هذا الكشف. هذا مفهوم يشار إليه غالبًا باسم نقطة التنفيذ. لكل نوع مزاياه وعيوبه ، وبصفة عامة ، لا يوجد إجماع حول أيهما أفضل. في الواقع ، ربما يكون الحل الأفضل - أو الحل الأكثر أمانًا - هو الحل الذي يجمع بين كليهما.

أنظمة كشف تسلل المضيف (HIDS)

يعمل النوع الأول من نظام كشف التسلل ، الذي يهمنا اليوم ، على مستوى المضيف. ربما كنت قد خمنت ذلك من اسمه. تقوم HIDS بالتحقق ، على سبيل المثال ، من ملفات السجلات والمجلات المختلفة بحثًا عن علامات نشاط مشبوه. الطريقة الأخرى التي يكتشفون بها محاولات التسلل هي عن طريق التحقق من ملفات التكوين المهمة للتغييرات غير المصرح بها. يمكنهم أيضًا فحص ملفات التكوين نفسها بحثًا عن أنماط تدخل محددة معروفة. على سبيل المثال ، قد يُعرف أن طريقة اقتحام معينة تعمل عن طريق إضافة معلمة معينة إلى ملف تكوين محدد. نظام الكشف عن التسلل الجيد القائم على المضيف سيلتقط ذلك.

في معظم الأحيان يتم تثبيت HIDS مباشرة على الأجهزة التي من المفترض أن تحميها. ستحتاج إلى تثبيتها على جميع أجهزة الكمبيوتر الخاصة بك. وسيتطلب البعض الآخر تثبيت وكيل محلي فقط. حتى أن البعض يقومون بكل عملهم عن بعد. بغض النظر عن كيفية عملها ، تحتوي HIDS جيدة على وحدة تحكم مركزية حيث يمكنك التحكم في التطبيق وعرض نتائجه.

أنظمة كشف التسلل إلى الشبكة (NIDS)

يعمل نوع آخر من أنظمة كشف التسلل يسمى أنظمة الكشف عن التسلل أو NIDS على حدود الشبكة لفرض الكشف. يستخدمون أساليب مماثلة لأنظمة كشف التسلل المضيف مثل الكشف عن الأنشطة المشبوهة والبحث عن أنماط التسلل المعروفة. ولكن بدلاً من النظر إلى السجلات وملفات التكوين ، فإنهم يشاهدون حركة مرور الشبكة ويفحصون كل طلبات الاتصال. تستغل بعض طرق الاختراق نقاط الضعف المعروفة عن طريق إرسال حزم مشوهة عن قصد إلى المضيفين ، مما يجعلها تتفاعل بطريقة معينة تسمح بخرقها. سيكتشف نظام كشف اختراق الشبكة هذا النوع من المحاولات بسهولة.

يجادل البعض بأن NIDS أفضل من HIDS لأنها تكتشف الهجمات حتى قبل أن تصل إلى أنظمتك. يفضل البعض منهم لأنهم لا يحتاجون إلى تثبيت أي شيء على كل مضيف لحمايتهم بشكل فعال. من ناحية أخرى ، فهي توفر القليل من الحماية ضد الهجمات الداخلية التي للأسف ليست غير شائعة على الإطلاق. ليتم الكشف ، يجب على المهاجم استخدام مسار يمر عبر NIDS. لهذه الأسباب ، ربما تأتي أفضل حماية من استخدام مزيج من كلا النوعين من الأدوات.

طرق كشف التسلل

تمامًا كما يوجد نوعان من أدوات كشف التسلل ، هناك طريقتان مختلفتان تستخدمان للكشف عن محاولات التسلل. يمكن أن يكون الكشف مستندًا إلى التوقيع أو قد يكون مستندًا إلى الشذوذ. يعمل كشف التسلل القائم على التوقيع من خلال تحليل البيانات لأنماط محددة ارتبطت بمحاولات التسلل. هذا مشابه لأنظمة الحماية من الفيروسات التقليدية التي تعتمد على تعريفات الفيروسات. وبالمثل ، يعتمد كشف التسلل المستند إلى التوقيع على توقيعات أو أنماط التطفل. يقارنون البيانات بتوقيعات التطفل لتحديد المحاولات. عيبهم الرئيسي هو أنهم لا يعملون حتى يتم تحميل التوقيعات المناسبة في البرنامج. لسوء الحظ ، يحدث هذا عادةً فقط بعد أن تتم مهاجمة عدد معين من الأجهزة وكان لدى الناشرين من توقيعات التطفل الوقت لنشر حزم التحديث الجديدة. بعض الموردين سريعون جدًا بينما لم يستطع الآخرون الاستجابة إلا بعد أيام.

الطريقة الأخرى ، كشف التسلل القائم على الشذوذ ، يوفر حماية أفضل ضد هجمات اليوم صفر ، تلك التي تحدث قبل أن تتاح لأي برنامج كشف التسلل فرصة الحصول على التوقيع الصحيح ملف. تبحث هذه الأنظمة عن الحالات الشاذة بدلاً من محاولة التعرف على أنماط التسلل المعروفة. على سبيل المثال ، يمكن تشغيلها إذا حاول شخص ما الوصول إلى نظام باستخدام كلمة مرور خاطئة عدة مرات متتالية ، وهي علامة شائعة على هجوم القوة الغاشمة. يمكن اكتشاف أي سلوك مريب بسرعة. كل طريقة كشف لها مزاياها وعيوبها. تمامًا مثل أنواع الأدوات ، فإن أفضل الأدوات هي تلك التي تستخدم مزيجًا من التوقيع وتحليل السلوك للحصول على أفضل حماية.

الكشف مقابل الوقاية - تمييز هام

لقد ناقشنا أنظمة كشف التسلل ولكن ربما سمع الكثير منكم عن أنظمة منع التطفل. هل المفهومين متطابقين؟ الجواب السهل هو لا لأن نوعي الأدوات يخدمان غرضًا مختلفًا. ومع ذلك ، هناك بعض التداخل بينهما. كما يوحي اسمه ، يكشف نظام كشف التسلل عن محاولات التطفل والأنشطة المشبوهة. عندما يكتشف شيئًا ما ، فإنه عادة ما يطلق بعض أشكال التنبيه أو الإخطار. يجب على المسؤولين بعد ذلك اتخاذ الخطوات اللازمة لإيقاف أو منع محاولة التسلل.

تم تصميم أنظمة منع التطفل (IPS) لإيقاف التطفل من الحدوث تمامًا. يتضمن IPS النشط مكون الكشف الذي سيقوم تلقائيًا بتشغيل بعض الإجراءات التصحيحية كلما تم اكتشاف محاولة اختراق. يمكن أن يكون منع التطفل سلبيًا أيضًا. يمكن استخدام المصطلح للإشارة إلى أي شيء يتم أو يتم وضعه كوسيلة لمنع التطفل. على سبيل المثال ، يمكن اعتبار تشديد كلمة المرور كإجراء لمنع التطفل.

أفضل أدوات كشف التسلل المضيف

لقد بحثنا في السوق عن أفضل أنظمة اكتشاف الاختراق القائمة على المضيف. ما نقدمه لك هو مزيج من HIDS حقيقي وبرامج أخرى ، على الرغم من أنهم لا يطلقون على أنفسهم أنظمة كشف التسلل ، لديها مكون كشف التسلل أو يمكن استخدامها لكشف التسلل محاولات. دعنا نراجع أفضل اختياراتنا ونلقي نظرة على أفضل ميزاتها.

دخولنا الأول من SolarWinds ، وهو اسم شائع في مجال أدوات إدارة الشبكة. تتواجد الشركة منذ حوالي 20 عامًا وقد أتاحت لنا بعضًا من أفضل أدوات إدارة الشبكة والنظام. ومن المعروف أيضًا أدواته المجانية العديدة التي تلبي بعض الاحتياجات المحددة لمسؤولي الشبكات. مثالان رائعان على هذه الأدوات المجانية هما Kiwi Syslog Server و Advanced Subnet Calculator.

لا تدع مدير سجل الأحداث الشمسية و SolarWindsاسم يخدعك. إنه أكثر بكثير من مجرد نظام لإدارة السجلات والأحداث. تضعه العديد من الميزات المتقدمة لهذا المنتج في نطاق معلومات الأمان وإدارة الأحداث (SIEM). ميزات أخرى تؤهلها كنظام لكشف التسلل وحتى ، إلى حد ما ، كنظام منع التسلل. تحتوي هذه الأداة على ارتباط الحدث في الوقت الفعلي ومعالجة الوقت الحقيقي ، على سبيل المثال.

• تجربة مجانية: مدير سجل الأحداث الشمسية و SolarWinds
• رابط التنزيل الرسمي:https://www.solarwinds.com/log-event-manager-software/registration

ال مدير سجل الأحداث الشمسية و SolarWinds يتميز بالكشف الفوري عن نشاط مريب (وظيفة تشبه IDS) واستجابات تلقائية (وظيفة تشبه IPS). ويمكنها أيضًا إجراء تحقيق في الأحداث الأمنية والطب الشرعي لأغراض التخفيف والامتثال. بفضل التقارير التي أثبتت فعاليتها في مجال المراجعة ، يمكن أيضًا استخدام الأداة لإثبات الامتثال لـ HIPAA و PCI-DSS و SOX وغيرها. تحتوي الأداة أيضًا على مراقبة تكامل الملفات ومراقبة جهاز USB ، مما يجعلها أكثر من نظام أمان متكامل أكثر من مجرد نظام لإدارة السجلات والأحداث.

التسعير لل مدير سجل الأحداث الشمسية و SolarWinds يبدأ من 4585 دولارًا لما يصل إلى 30 عُقدة مراقبة. يمكن شراء تراخيص تصل إلى 2500 عقدة مما يجعل المنتج قابلاً للتطوير بدرجة كبيرة. إذا كنت ترغب في أخذ المنتج لإجراء اختبار وتحقق بنفسك إذا كان ذلك مناسبًا لك ، يتوفر إصدار تجريبي مجاني كامل الميزات لمدة 30 يومًا.

2. OSSEC

أمان المصدر المفتوحأو OSSEC، إلى حد بعيد هو النظام الرائد للكشف عن الاختراق القائم على المضيف المفتوح المصدر. المنتج مملوك لشركة Trend Micro ، أحد الأسماء الرائدة في مجال أمن تكنولوجيا المعلومات وصانع واحد من أفضل أجنحة الحماية من الفيروسات. عند التثبيت على أنظمة تشغيل تشبه Unix ، يركز البرنامج بشكل أساسي على ملفات التسجيل والتكوين. يخلق المجموع الاختباري للملفات المهمة ويصادق عليها بشكل دوري ، وينبهك كلما حدث شيء غريب. سيراقب أيضًا وينبه في أي محاولة غير طبيعية للوصول إلى الجذر. في أنظمة Windows المضيفة ، يراقب النظام أيضًا تعديلات التسجيل غير المصرح بها والتي يمكن أن تكون علامة على قصة نشاط ضار.

بحكم كونها نظام كشف التسلل القائم على المضيف ، OSSEC يجب تثبيته على كل كمبيوتر تريد حمايته. ومع ذلك ، تقوم وحدة التحكم المركزية بدمج المعلومات من كل كمبيوتر محمي لتسهيل إدارتها. بينما ال OSSEC تعمل وحدة التحكم فقط على أنظمة التشغيل التي تشبه Unix ، يتوفر وكيل لحماية مضيفي Windows. سيؤدي أي اكتشاف إلى تشغيل تنبيه سيتم عرضه على وحدة التحكم المركزية بينما سيتم أيضًا إرسال الإشعارات عبر البريد الإلكتروني.

3. Samhain

Samhain هو نظام آخر معروف لكشف تسلل المضيف المجاني. وتتمثل ميزاته الرئيسية ، من وجهة نظر IDS ، في فحص تكامل الملف ومراقبة / تحليل ملف السجل. ومع ذلك ، فإنه يفعل أكثر من ذلك. سيقوم المنتج بإجراء الكشف عن الجذور الخفية ومراقبة المنفذ والكشف عن الملفات التنفيذية SUID المارقة والعمليات المخفية. تم تصميم الأداة لمراقبة عدة مضيفين يشغلون أنظمة تشغيل مختلفة مع توفير تسجيل وصيانة مركزية. ومع ذلك، Samhain يمكن استخدامه كتطبيق مستقل على جهاز كمبيوتر واحد. يعمل البرنامج بشكل أساسي على أنظمة POSIX مثل Unix أو Linux أو OS X. يمكن أيضًا تشغيله على Windows ضمن Cygwin ، وهي حزمة تسمح بتشغيل تطبيقات POSIX على Windows ، على الرغم من أنه تم اختبار عامل المراقبة فقط في هذا التكوين.

واحد من Samhainالميزة الأكثر تميزًا هي وضع التخفي الذي يسمح لها بالعمل دون أن يكتشفها المهاجمون المحتملون. من المعروف أن المتسللين يقتلون بسرعة عمليات الكشف التي يتعرفون عليها بمجرد دخولهم إلى النظام قبل اكتشافهم ، مما يسمح لهم بالمرور دون أن يلاحظهم أحد. Samhain يستخدم تقنيات إخفاء المعلومات لإخفاء عملياته عن الآخرين. كما أنه يحمي ملفات السجل المركزية والنسخ الاحتياطي للتكوين باستخدام مفتاح PGP لمنع التلاعب.

4. Fail2Ban

Fail2Ban هو نظام مجاني ومفتوح المصدر لكشف تسلل المضيف يتميز أيضًا ببعض قدرات منع التطفل. تراقب أداة البرنامج ملفات السجل للأنشطة والأحداث المشبوهة مثل محاولات تسجيل الدخول الفاشلة والبحث عن الاستغلال وما إلى ذلك. الإجراء الافتراضي للأداة ، عندما تكتشف شيئًا مريبًا ، هو تحديث قواعد جدار الحماية المحلية تلقائيًا لحظر عنوان IP المصدر للسلوك الضار. في الواقع ، هذا ليس منعًا حقيقيًا للتسلل بل بالأحرى نظام كشف التسلل مع ميزات الإصلاح التلقائي. ما وصفناه للتو هو الإجراء الافتراضي للأداة ولكن أي إجراء تعسفي آخر - مثل الإرسال إشعارات البريد الإلكتروني - يمكن تكوينها أيضًا ، مما يجعلها تتصرف مثل كشف التسلل "الكلاسيكي" النظام.

Fail2Ban يتم تقديمه مع العديد من الفلاتر المعدة مسبقًا لبعض الخدمات الأكثر شيوعًا مثل Apache و SSH و FTP و Postfix وغيرها الكثير. تتم الوقاية ، كما أوضحنا ، عن طريق تعديل جداول جدار الحماية للمضيف. يمكن أن تعمل الأداة مع Netfilter أو IPtables أو جدول hosts.deny لـ TCP Wrapper. يمكن إقران كل مرشح بواحد أو أكثر من الإجراءات.

5. مساعد

ال بيئة كشف التسلل المتقدمةأو مساعد، هو نظام مجاني آخر لكشف تسلل المضيف يركز هذا النظام بشكل أساسي على الكشف عن الجذور الخفية ومقارنات توقيع الملفات. عندما تقوم بتثبيته في البداية ، ستقوم الأداة بتجميع نوع من قاعدة بيانات بيانات المسؤول من ملفات تكوين النظام. يمكن بعد ذلك استخدام قاعدة البيانات هذه كخط أساس يمكن مقارنة أي تغيير مقابله والتراجع عنه في نهاية المطاف إذا لزم الأمر.

مساعد يستخدم كلا من أنظمة الكشف القائمة على التوقيع والشذوذ. هذه أداة يتم تشغيلها عند الطلب وليست مجدولة أو تعمل بشكل مستمر. في الواقع ، هذا هو العيب الرئيسي للمنتج. ومع ذلك ، نظرًا لأنها أداة سطر أوامر بدلاً من كونها قائمة على واجهة المستخدم الرسومية ، يمكن إنشاء مهمة cron لتشغيلها على فترات منتظمة. إذا اخترت تشغيل الأداة بشكل متكرر - مثل مرة واحدة كل دقيقة - فستحصل تقريبًا على بيانات في الوقت الفعلي وسيكون لديك وقت للرد قبل أن تتخطى أي محاولة اقتحام أكثر مما تسبب في ضرر كبير.

في الصميم، مساعد هي مجرد أداة لمقارنة البيانات ولكن بمساعدة بعض البرامج النصية الخارجية المجدولة ، يمكن تحويلها إلى HIDS حقيقية. ضع في اعتبارك أن هذه أداة محلية بشكل أساسي. ليس لديها إدارة مركزية ولا واجهة مستخدم رسومية فاخرة.

6. ساجان

آخر قائمة لدينا هي ساجان، وهو في الواقع أكثر من نظام تحليل سجل من IDS حقيقي. ومع ذلك ، يحتوي على بعض الميزات الشبيهة بـ IDS ، ولهذا السبب يستحق مكانًا في قائمتنا. تراقب الأداة محليًا ملفات السجل للنظام حيث تم تثبيته ولكن يمكنها أيضًا التفاعل مع الأدوات الأخرى. يمكن ، على سبيل المثال ، تحليل سجلات Snort ، وإضافة وظائف NIDS لـ Snort بشكل فعال إلى ما هو في الأساس HIDS. لن يتفاعل مع Snort فقط. ساجان يمكن أن تتفاعل مع Suricata أيضًا وهو متوافق مع العديد من أدوات بناء القواعد مثل Oinkmaster أو Pulled Pork.

ساجان لديها أيضًا إمكانيات تنفيذ البرنامج النصي التي يمكن أن تجعله نظامًا لمنع الاختراق ، شريطة أن تقوم بتطوير بعض البرامج النصية للعلاج. على الرغم من أن هذه الأداة قد لا تستخدم على الأرجح كدفاع وحيد ضد التدخل ، فقد تكون عنصر عظيم في النظام الذي يمكن أن يدمج العديد من الأدوات من خلال ربط الأحداث من مختلف مصادر.