7 parasta tunkeutumisen estävää järjestelmää (IPS) vuodelle 2020

Jokainen haluaa pitää tunkeilijat poissa talostaan. Samoin - ja vastaavista syistä verkonvalvojat pyrkivät pitämään tunkeilijat poissa hallinnoimistaan ​​verkoista. Yksi monien nykypäivän organisaatioiden tärkeimmistä hyödyistä on heidän tietonsa. On niin tärkeää, että monet epätoivoiset henkilöt menevät pitkälle varastamaan tietoja. He tekevät sen käyttämällä laajaa joukko tekniikoita saadakseen luvattoman pääsyn verkkoihin ja järjestelmiin. Tällaisten hyökkäysten määrä näyttää lisääntyneen räjähdysmäisesti viime aikoina, ja vastauksena on, että järjestelmiä on otettu käyttöön niiden estämiseksi. Näitä järjestelmiä kutsutaan tunkeutumisen estäviksi järjestelmiksi (IPS). Tänään katsomme parhaimpia mahdollisia tunkeutumisen estäviä järjestelmiä.

Aloitamme yrittämällä paremmin määritellä, mikä on tunkeutumisen estäminen. Tämä tietysti merkitsee, että määrittelemme myös, mikä on tunkeutuminen. Tutkimme sitten erilaisia ​​havaitsemismenetelmiä, joita yleensä käytetään, ja mitä korjaustoimenpiteitä toteutetaan havaitsemisen yhteydessä. Sitten puhumme lyhyesti passiivisesta tunkeutumisen estämisestä. Ne ovat staattisia toimenpiteitä, jotka voidaan ottaa käyttöön ja jotka voisivat vähentää tunkeutumisyritysten määrää huomattavasti. Saatat olla yllättynyt, kun huomaat, että joillakin niistä ei ole mitään tekemistä tietokoneiden kanssa. Vasta sitten, kun me kaikki olemme samalla sivulla, voimme vihdoin arvioida joitain parhaimmista mahdollisista tunkeutumisen estävistä järjestelmistä.

Tunkeutumisen estäminen - mistä tässä on kyse?

Vuosia sitten virukset olivat melko paljon järjestelmänvalvojien ainoita huolenaiheita. Virukset pääsivät pisteeseen, jossa ne olivat niin yleisiä, että teollisuus reagoi kehittämällä virustorjuntavälineitä. Nykyään kukaan oikeassa mielessä oleva vakava käyttäjä ei ajattele tietokoneen käyttämistä ilman virussuojausta. Vaikka emme enää kuule suurta määrää viruksia, uusi uhka on tunkeutuminen - tai haitallisten käyttäjien luvaton pääsy tietoihisi. Tietojen ollessa usein organisaation tärkein voimavara, yritysverkoista on tullut pahalla tarkoituksella toimivien hakkereiden kohde, jotka menevät pitkälle saadakseen tietoja käyttöön. Aivan kuten virussuojaohjelmistot olivat vastaus virusten leviämiseen, Intrusion Prevention Systems on vastaus tunkeilijahyökkäyksiin.

Tunkeutumisen estävät järjestelmät tekevät olennaisesti kaksi asiaa. Ensinnäkin, he havaitsevat tunkeutumisyritykset ja havaitseessaan epäilyttävät toimet käyttävät erilaisia ​​menetelmiä estääkseen tai estääkseen sen. Tunkeutumisyritykset voidaan havaita kahdella eri tavalla. Allekirjoituspohjainen tunnistus toimii analysoimalla verkkoliikennettä ja dataa sekä etsimällä tunkeutumisyrityksiin liittyviä erityisiä malleja. Tämä on samanlainen kuin perinteiset virussuojausjärjestelmät, jotka tukeutuvat virusmääritelmiin. Allekirjoituspohjainen tunkeutumisen havaitseminen riippuu tunkeutumissignaareista tai kuvioista. Tämän ilmaisumenetelmän päähaittapuoli on, että se tarvitsee oikeat allekirjoitukset ladattavaksi ohjelmistoon. Ja kun uusi hyökkäysmenetelmä, hyökkäysten allekirjoitusten päivitys tapahtuu yleensä viiveellä. Jotkut toimittajat toimittavat erittäin nopeasti päivitetyt hyökkäys allekirjoitukset, kun taas toiset ovat paljon hitaampia. Kuinka usein ja kuinka nopeasti allekirjoituksia päivitetään, on tärkeä huomioitava tekijä valittaessa myyjää.

Väärinkäytöksiin perustuva havaitseminen tarjoaa paremman suojan nollapäivän hyökkäyksiltä, ​​sellaisilta, jotka tapahtuvat ennen havaitsemisen allekirjoituksia, on ollut mahdollisuus päivittää. Prosessi etsii poikkeavuuksia sen sijaan, että yritetään tunnistaa tunnetut tunkeutumismallit. Esimerkiksi se laukaistaan, jos joku yrittää käyttää järjestelmää väärin salasanalla useita kertoja peräkkäin, mikä on yleinen merkki raa'asta voimasta. Tämä on vain esimerkki ja on yleensä satoja erilaisia ​​epäilyttäviä toimia, jotka voivat laukaista nämä järjestelmät. Molemmilla havaitsemismenetelmillä on edut ja haitat. Parhaita työkaluja ovat ne, jotka käyttävät allekirjoituksen ja käyttäytymisanalyysin yhdistelmää parhaan suojan saavuttamiseksi.

Tunkeutumisyrityksen havaitseminen on yksi ensimmäinen osa niiden estämisessä. Löytymisen jälkeen tunkeutumisen estävät järjestelmät toimivat aktiivisesti pysäyttääkseen havaitut toiminnot. Nämä järjestelmät voivat toteuttaa useita erilaisia ​​korjaavia toimia. Ne voivat esimerkiksi keskeyttää tai deaktivoida käyttäjätilit. Toinen tyypillinen toimenpide on hyökkäyksen lähde-IP-osoitteen estäminen tai palomuurisääntöjen muuttaminen. Jos haitalliset toimet johtuvat tietystä prosessista, ehkäisyjärjestelmä voi tappaa prosessin. Suojausprosessin käynnistäminen on toinen yleinen reaktio, ja pahimmissa tapauksissa kokonaiset järjestelmät voidaan sammuttaa mahdollisten vaurioiden rajoittamiseksi. Toinen tunkeutumisen estävien järjestelmien tärkeä tehtävä on hälyttää järjestelmänvalvojia, tallentaa tapahtuma ja ilmoittaa epäilyttävistä toimista.

Passiivisen tunkeutumisen estävät toimenpiteet

Vaikka tunkeutumisen estävät järjestelmät voivat suojata sinua lukuisilta hyökkäyksiltä, ​​mikään ei ole hyvää, vanhanaikaista passiivista tunkeutumisen estämistä. Esimerkiksi vahvojen salasanojen antaminen on erinomainen tapa suojautua monilta tunkeilmilta. Toinen helppo suojatoimenpide on laitteen oletussalasanojen vaihtaminen. Vaikka yritysverkoissa se on harvempaa - vaikka se ei olekaan ennenkuulumatonta -, olen nähnyt vain liian usein Internet-yhdyskäytäviä, joilla oli edelleen oletusarvoinen järjestelmänvalvojan salasana. Salasanoissa vanhentaminen on toinen konkreettinen vaihe, joka voidaan ottaa käyttöön tunkeutumisyritysten vähentämiseksi. Mikä tahansa salasana, jopa paras, voidaan lopulta murtaa, jos siihen annetaan tarpeeksi aikaa. Salasanan vanhentaminen varmistaa, että salasanat vaihdetaan ennen niiden murskaamista.

Oli vain esimerkkejä siitä, mitä voitaisiin tehdä tunkeilun passiivisen estämiseksi. Voisimme kirjoittaa kokonaisen viestin siitä, mitkä passiiviset toimenpiteet voidaan ottaa käyttöön, mutta tämä ei ole tänään tavoitteemme. Tavoitteenamme on sen sijaan esitellä joitain parhaimmista aktiivisista tunkeutumisen estävistä järjestelmistä.

Parhaat tunkeutumisen estävät järjestelmät

Luettelomme sisältää joukon erilaisia ​​työkaluja, joita voidaan käyttää suojaamaan tunkeutumisyrityksiltä. Suurin osa mukana olevista työkaluista on todellisia tunkeutumisen estäviä järjestelmiä, mutta mukana on myös työkaluja, joita ei voida markkinoida sellaisenaan, vaikka niitä ei markkinoida sellaisenaan. Ensimmäinen merkintämme on yksi tällainen esimerkki. Muista, että käytettäväsi työkalusi valinnan tulisi ohjata enemmän kuin mitään erityistarpeitasi. Katsotaanpa, mitä jokaisella tärkeimmästä työkalustasi on tarjota.

SolarWinds on tunnettu nimi verkonhallinnassa. Sillä on vankka maine tekeessään joitain parhaista verkko- ja järjestelmänhallintatyökaluista. Lippulaivanaan oleva Network Performance Monitor on jatkuvasti yksi parhaimmista käytettävissä olevista verkon kaistanleveyden seurannan työkaluista. SolarWinds on kuuluisa myös monista ilmaisista työkaluista, joista jokainen vastaa verkonvalvojien erityistarpeisiin. Kiwi Syslog Server tai SolarWinds TFTP-palvelin ovat kaksi erinomaista esimerkkiä näistä ilmaisista työkaluista.

Älä anna SolarWinds Log & Event ManagerNimi huijaa sinua. Siihen kuuluu paljon enemmän kuin silmälle. Jotkut tämän tuotteen edistyneistä ominaisuuksista määrittelevät sen tunkeutumisen havaitsemis- ja estämisjärjestelmäksi, kun taas toiset sisällyttävät sen turvallisuustietojen ja tapahtumien hallintaan (SIEM). Työkalu sisältää esimerkiksi reaaliaikaisen tapahtuman korreloinnin ja reaaliaikaisen korjauksen.

• ILMAINEN KOKEILU: SolarWinds Log & Event Manager
• Virallinen latauslinkki: https://www.solarwinds.com/log-event-manager-software/registration

SolarWinds Log & Event Manager ylpeilee epäilyttävän toiminnan (tunkeutumisen havaitsemistoiminto) hetkellisellä havainnoinnilla ja automatisoiduilla vastauksilla (tunkeutumisen estäminen). Tätä työkalua voidaan käyttää myös tietoturvatapahtumien tutkimiseen ja oikeuslääketieteeseen. Sitä voidaan käyttää lieventämiseen ja noudattamiseen. Työkalussa on auditoitu-todistettu raportointi, jota voidaan käyttää myös osoittamaan noudattaminen erilaisissa sääntelykehyksissä, kuten HIPAA, PCI-DSS ja SOX. Työkalussa on myös tiedostojen eheyden valvonta ja USB-laitteen valvonta. Ohjelmiston kaikki edistyneet ominaisuudet tekevät siitä enemmän integroidun tietoturvaympäristön kuin pelkkä loki- ja tapahtumienhallintajärjestelmä, jonka nimi saa sinut uskomaan.

Sisätautien estämisen ominaisuudet SolarWinds Log & Event Manager toimii toteuttamalla aktiivisten vastausten toimia, kun uhat havaitaan. Erilaiset vastaukset voidaan linkittää tiettyihin hälytyksiin. Esimerkiksi järjestelmä voi kirjoittaa palomuuritaulukoihin estääkseen lähde-IP-osoitteen verkkoyhteyden, jonka on todettu suorittavan epäilyttäviä toimintoja. Työkalu voi myös keskeyttää käyttäjätilit, pysäyttää tai käynnistää prosessit ja sammuttaa järjestelmät. Muistat, kuinka nämä ovat juuri aiemmin havaitsemiamme korjaustoimenpiteitä.

Hinnoittelu SolarWinds Log & Event Manager vaihtelee valvottujen solmujen lukumäärän perusteella. Hinnat alkavat 4585 dollarista jopa 30 valvotulle solmulle, ja lisenssejä voi ostaa jopa 2500 solmulle, mikä tekee tuotteesta erittäin skaalautuvan. Jos haluat viedä tuotteen koeajoon ja tarkistaa itse, sopiiko se sinulle, a ilmainen täysipäiväinen 30 päivän kokeiluversio on saatavana.

2. Splunk

Splunk on todennäköisesti yksi suosituimmista tunkeutumisen ehkäisemisjärjestelmistä. Sitä on saatavana useissa eri versioissa, joissa urheillaan erilaisia ​​ominaisuusjoukkoja. Splunk-yritysturvallisuus-tai Splunk ES, kuten sitä usein kutsutaan, - tarvitset todellista tunkeutumisen estämistä. Ohjelmisto tarkkailee järjestelmän tietoja reaaliajassa etsimällä haavoittuvuuksia ja merkkejä epänormaalista toiminnasta.

Turvavaste on yksi tuotteen vahvoista puvuista, ja se tekee siitä tunkeutumisen estävän järjestelmän. Se käyttää sitä, mitä myyjä kutsuu adaptiiviseksi vastauskehykseksi (ARF). Se integroituu yli 55 tietoturvatoimittajan laitteisiin ja pystyy suorittamaan automaattisen vastauksen nopeuttamalla manuaalisia tehtäviä. Tämä yhdistelmä, jos automaattinen korjaaminen ja manuaalinen interventio voivat antaa sinulle parhaat mahdollisuudet saada nopeasti käsi käteen. Työkalulla on yksinkertainen ja häiriöttömä käyttöliittymä, joka tarjoaa voittavan ratkaisun. Muita mielenkiintoisia suojausominaisuuksia ovat ”Notables” -toiminto, joka näyttää käyttäjän räätälöitävissä hälytykset ja ”omaisuuden tutkija” haitallisten toimien ilmoittamiseksi ja estämiseksi edelleen ongelmia.

Splunk-yritysturvallisuusHinnoittelutiedot eivät ole helposti saatavissa. Sinun on otettava yhteyttä Splunkin myyntiin saadaksesi yksityiskohtaisen tarjouksen. Tämä on hieno tuote, jolle on saatavana ilmainen kokeilu.

3. Sagan

Sagan on periaatteessa ilmainen tunkeutumisen havaitsemisjärjestelmä. Työkalu, jolla on komentosarjojen suorituskyky, joka voi sijoittaa sen tunkeutumisen estävien järjestelmien luokkaan. Sagan havaitsee tunkeutumisyritykset lokitiedostojen valvonnan avulla. Voit myös yhdistää Sagan Snortilla, joka voi syöttää tulonsa Sagan antaa työkalulle joitain verkkopohjaisia ​​tunkeutumisen havaitsemisominaisuuksia. Itse asiassa, Sagan voi vastaanottaa tuloksia monista muista työkaluista, kuten Bro tai Suricata, yhdistämällä useiden työkalujen ominaisuudet parhaan mahdollisen suojan saavuttamiseksi.

Siellä on saalis SaganSkriptin suorituskyky kuitenkin. Sinun on kirjoitettava korjausohjelmat. Vaikka tätä työkalua ei ehkä parhaiten käytetä ainoana suojana tunkeutumiselta, se voi olla avainasemassa Järjestelmä, joka sisältää useita työkaluja korreloimalla tapahtumia eri lähteistä, antaa sinulle parhaan monista Tuotteet.

Sillä aikaa Sagan voidaan asentaa vain Linux-, Unix- ja Mac OS -käyttöjärjestelmiin, se voi muodostaa yhteyden Windows-järjestelmiin saadakseen tapahtumia. Muita mielenkiintoisia Sagan-ominaisuuksia ovat IP-osoitteen sijainnin seuranta ja hajautettu käsittely.

4. OSSEC

Avoimen lähdekoodin tietoturvatai OSSEC, on yksi johtavista avoimen lähdekoodin isäntäpohjaisista tunkeutumisen havaitsemisjärjestelmistä. Olemme sisällyttämässä sen luetteloomme kahdesta syystä. Sen suosio on sellainen, että meidän piti sisällyttää se, varsinkin kun otetaan huomioon, että työkalun avulla voit määrittää toimenpiteet, jotka suoritetaan automaattisesti aina, kun tietyt hälytykset laukaistaan, mikä antaa sille joitain tunkeutumisen estäviä ominaisuuksia. OSSEC omistaa Trend Micro, yksi IT-tietoturvan johtavista nimistä ja yhden parhaimmista virussuojaussovellusten valmistaja.

Asennettuna Unix-tyyppisiin käyttöjärjestelmiin ohjelmiston havaitsemismoottori keskittyy ensisijaisesti loki- ja määritystiedostoihin. Se luo tarkistussummia tärkeistä tiedostoista ja tarkistaa ne säännöllisin väliajoin, hälyttäen tai käynnistämään korjaavat toimet aina, kun tapahtuu jotain outoa. Se myös tarkkailee ja hälyttää kaikista epänormaalista yrityksestä päästä juureen. Windowsissa järjestelmä pitää myös silmällä luvattomia rekisterimuutoksia, koska ne voivat olla haitallisen toiminnan merkkivalo. Mahdolliset havainnot laukaisevat hälytyksen, joka näkyy keskitetyssä konsolissa, kun taas ilmoitukset lähetetään myös sähköpostitse.

OSSEC on isäntäpohjainen tunkeutumissuojausjärjestelmä. Sellaisena se on asennettava jokaiseen suojattavaan tietokoneeseen. Keskitetty konsoli kuitenkin yhdistää tiedot kustakin suojatusta tietokoneesta hallinnan helpottamiseksi. OSSEC konsoli toimii vain Unix-kaltaisissa käyttöjärjestelmissä, mutta agentti on saatavana Windows-koneiden suojaamiseksi. Vaihtoehtoisesti muita työkaluja, kuten Kibana tai Graylog, voidaan käyttää työkalun etusijana.

5. Avaa WIPS-NG

Emme olleet liian varmoja siitä, pitäisikö meidän sisällyttää mukaan Avaa WIPS NG luettelossamme. Lisätietoja siitä hetkessä. Se teki siitä pääasiassa siksi, että se on yksi ainoista tuotteista, joka kohdistuu erityisesti langattomiin verkkoihin. Avaa WIPS NG- WIPS tarkoittaa langatonta tunkeutumisen estävää järjestelmää - on avoimen lähdekoodin työkalu, joka koostuu kolmesta pääkomponentista. Ensinnäkin on anturi. Tämä on tyhmä prosessi, joka yksinkertaisesti vangitsee langattoman liikenteen ja lähettää sen palvelimelle analysointia varten. Kuten todennäköisesti arvasit, seuraava komponentti on palvelin. Se yhdistää kaikkien anturien tiedot, analysoi kerätyt tiedot ja vastaa hyökkäyksiin. Tämä komponentti on järjestelmän ydin. Viimeisenä, mutta ei vähäisimpänä, käyttöliittymäkomponentti on käyttöliittymä, jota käytetään palvelimen hallintaan ja langattomasta verkostasi löydettyjen uhkien tietojen näyttämiseen.

Tärkein syy, miksi epäröimme ennen sisällyttämistä Avaa WIPS NG listallamme, että niin hyvä kuin se on, kaikki eivät pidä tuotteen kehittäjästä. Se on samasta kehittäjästä kuin Aircrack NG, langaton paketinhaku ja salasanahakkuri, joka on osa jokaisen WiFi-hakkerin työkalupakkia. Tämä avaa keskustelun kehittäjän etiikasta ja saa jotkut käyttäjät varovaisiksi. Toisaalta kehittäjän taustaa voidaan nähdä osoituksena hänen syvällisestä tietämyksestään Wi-Fi-turvallisuudesta.

6. fail2ban

fail2ban on suhteellisen suosittu ilmainen isäntä tunkeutumisen havaitsemisjärjestelmä, jolla on tunkeutumisen estäviä ominaisuuksia. Ohjelmisto toimii tarkkailemalla järjestelmän lokitiedostoja epäilyttävien tapahtumien, kuten epäonnistuneiden kirjautumisyritysten tai etsintöjen hyväksikäytön suhteen. Kun järjestelmä havaitsee jotain epäilyttävää, se reagoi päivittämällä paikalliset palomuurisäännöt automaattisesti estääkseen haitallisen toiminnan lähteen IP-osoitteen. Tämä tietysti tarkoittaa, että jokin palomuuriprosessi on käynnissä paikallisessa koneessa. Tämä on työkalun ensisijainen haitta. Kaikki muut mielivaltaiset toimenpiteet - kuten joidenkin korjaavien komentosarjojen suorittaminen tai sähköposti-ilmoitusten lähettäminen - voidaan kuitenkin määrittää.

fail2ban on toimitettu useilla valmiilla suodatuslaitteilla, joita kutsutaan suodattimiksi, ja ne kattavat joitain yleisimmistä palveluista, kuten Apache, Courrier, SSH, FTP, Postfix ja monet muut. Kuten sanoimme, korjaustoimenpiteet suoritetaan muuttamalla isäntäpalomuuritaulukoita. fail2ban tukee Netfilter-, IPtable- tai TCP Wrapper -taulukon hosts.deny-taulukkoa. Jokainen suodatin voidaan liittää yhteen tai useampaan toimintoon. Yhdessä suodattimiin ja toimintoihin viitataan vankilassa.

7. Bro-verkon tietoturvamonitori

Bro-verkon tietoturvamonitori on toinen ilmainen verkon tunkeutumisen havaitsemisjärjestelmä, jolla on IPS-kaltaiset toiminnot. Se toimii kahdessa vaiheessa, se ensin kirjaa liikenteen ja analysoi sen sitten. Tämä työkalu toimii useissa kerroksissa sovelluskerrokseen saakka, mikä varmistaa jaettujen tunkeutumisyritysten paremman havaitsemisen. Tuotteen analyysimoduuli koostuu kahdesta elementistä. Ensimmäistä elementtiä kutsutaan tapahtumamoottoriksi, ja sen tarkoituksena on seurata laukaisevia tapahtumia, kuten TCP-yhteydet tai HTTP-pyynnöt. Sitten tapahtumia analysoidaan Policy Scriptsillä, toisella osalla. Käytäntökomentosarjojen tehtävänä on päättää, käynnistääkö hälytys, käynnistää toiminnon vai ohittaa tapahtuman. Se on mahdollisuus käynnistää toiminta, joka antaa Bro-verkon tietoturvamonitori sen IPS-toiminnallisuus.

Bro-verkon tietoturvamonitori on joitain rajoituksia. Se seuraa vain HTTP-, DNS- ja FTP-toimintaa ja seuraa myös SNMP-liikennettä. Tämä on kuitenkin hyvä asia, koska SNMP: tä käytetään usein verkon valvontaan vakavista turvallisuusvirheistä huolimatta. SNMP: llä ei ole juuri sisäänrakennettua tietoturvaa ja se käyttää salaamatonta liikennettä. Ja koska protokollaa voidaan käyttää kokoonpanojen muuttamiseen, haitalliset käyttäjät voivat käyttää sitä helposti. Tuote seuraa myös laitteen kokoonpanomuutoksia ja SNMP-ansoja. Se voidaan asentaa Unix-, Linux- ja OS X -käyttöjärjestelmiin, mutta se ei ole saatavana Windowsille, mikä on ehkä sen tärkein haittapuoli. Muuten tämä on erittäin mielenkiintoinen työkalu, joka kannattaa kokeilla.