6 parasta isäntäpohjaista tunkeutumisen havaitsemisjärjestelmää (HIDS) vuonna 2020

En haluaisi kuulostaa liian vainoharhaiselta, vaikka luultavasti teen, mutta verkkorikollisuus on kaikkialla. Jokaisesta organisaatiosta voi tulla hakkereiden kohde, joka yrittää käyttää tietojaan. Siksi on ensiarvoisen tärkeää pitää silmällä asiat ja varmistaa, että emme joudu näiden väärin tarkoittamien henkilöiden uhreiksi. Aivan ensimmäinen puolustuslinja on Tunkeutumisen tunnistusjärjestelmä. Host- järjestelmät soveltavat havaitsemistaan ​​isäntätasolla ja havaitsevat tyypillisesti useimmat tunkeutumisyritykset nopeasti ja ilmoittavat sinulle heti, jotta voit korjata tilanteen. Koska käytettävissä on niin monia isäntäpohjaisia ​​tunkeutumisen havaitsemisjärjestelmiä, parhaan valitseminen omalle tilanteellesi voi näyttää haasteelta. Jotta näet selvästi, olemme koonneet luettelon parhaista isäntäpohjaisista tunkeutumisen havaitsemisjärjestelmistä.

Ennen kuin paljastamme parhaat työkalut, seuraamme lyhyesti ja katsomme erityyppisiä tunkeutumisen havaitsemisjärjestelmiä. Jotkut ovat isäntäpohjaisia, kun taas toiset ovat verkkopohjaisia. Selitämme erot. Keskustelemme sitten eri tunkeutumisen havaitsemismenetelmistä. Joillakin työkaluilla on allekirjoitusperustainen lähestymistapa, kun taas toisilla etsitään epäilyttävää käyttäytymistä. Parhaimmat käyttävät molempien yhdistelmää. Ennen jatkamista selitämme tunkeutumisen havaitsemisen ja tunkeutumisen estävien järjestelmien erot, koska on tärkeää ymmärtää mitä tarkastelemme. Olemme sitten valmiita tämän viestin ytimeen, parhaisiin isäntäpohjaisiin tunkeutumisen havaitsemisjärjestelmiin.

Kaksi tyyppiä tunkeutumisen havaitsemisjärjestelmiä

Tunkeutumisen havaitsemisjärjestelmiä on pääasiassa kahta tyyppiä. Vaikka heidän tavoitteensa on identtinen - havaita nopeasti kaikki tunkeutumisyritykset tai epäilyttävät toimet, jotka voivat johtaa tunkeutumisyritykseen, ne eroavat sijainnista, jossa tämä ilmaisu suoritetaan. Tätä käsitettä kutsutaan usein täytäntöönpanopisteeksi. Jokaisella tyypillä on etuja ja haittoja, ja yleisesti ottaen ei ole yksimielisyyttä siitä, mikä niistä on parempi. Itse asiassa paras ratkaisu - tai turvallisin - on todennäköisesti ratkaisu, joka yhdistää molemmat.

Isäntä tunkeutumisen havaitsemisjärjestelmät (HIDS)

Ensimmäisen tyyppinen tunkeutumisen havaitsemisjärjestelmä, josta olemme tänään kiinnostuneita, toimii isäntätasolla. Saatat arvata, että sen nimestä. HIDS tarkistaa esimerkiksi eri lokitiedostot ja päiväkirjat epäilyttävän toiminnan merkkejä. Toinen tapa, jolla he havaitsevat tunkeutumisyritykset, on tarkistaa tärkeät kokoonpanotiedostot luvattomien muutosten varalta. He voivat myös tutkia samat määritystiedostot tiettyjen tunnettujen tunkeutumismallien varalta. Esimerkiksi tietyn tunkeutumismenetelmän voidaan tuntea toimivan lisäämällä tietty parametri tiettyyn konfiguraatiotiedostoon. Hyvä isäntäpohjainen tunkeutumisen havaitsemisjärjestelmä saisi sen kiinni.

Suurimman osan ajasta HIDS asennetaan suoraan laitteisiin, joiden on tarkoitus suojata. Ne on asennettava kaikkiin tietokoneisiin. Toiset vaativat vain paikallisen edustajan asentamisen. Jotkut jopa tekevät kaiken työnsä etänä. Riippumatta siitä, kuinka ne toimivat, hyvissä HIDS: issä on keskitetty konsoli, jossa voit hallita sovellusta ja tarkastella sen tuloksia.

Verkon tunkeutumisen havaitsemisjärjestelmät (NIDS)

Toinen tyyppinen tunkeutumisen havaitsemisjärjestelmä, nimeltään Verkon tunkeutumisen havaitsemisjärjestelmät, tai NIDS, toimii verkon rajalla valvoakseen havaitsemista. He käyttävät samanlaisia ​​menetelmiä isäntän tunkeutumisen havaitsemisjärjestelminä, kuten havaitsevat epäilyttävät toimet ja etsivät tunnettuja tunkeutumismalleja. Lokien ja määritystiedostojen katselun sijasta ne seuraavat kuitenkin verkkoliikennettä ja tutkivat kaikkia yhteyspyyntöjä. Jotkut tunkeutumismenetelmät hyödyntävät tunnettuja haavoittuvuuksia lähettämällä tarkoituksella epämuodostuneita paketteja isäntille, saaden ne reagoimaan tietyllä tavalla, joka sallii niiden rikkomisen. Verkon tunkeutumisen havaitsemisjärjestelmä havaitsisi helposti tällaisen yrityksen.

Jotkut väittävät, että NIDS ovat parempia kuin HIDS, koska ne havaitsevat hyökkäykset jo ennen kuin he jopa pääsevät järjestelmiin. Jotkut pitävät niitä parempana, koska he eivät vaadi mitään asentamista jokaiselle isäntälle heidän tehokkaan suojaamiseksi. Toisaalta ne tarjoavat vain vähän suojaa sisäpiirihyökkäyksiltä, ​​jotka eivät valitettavasti ole harvinaisia. Tunnistamiseen hyökkääjän on käytettävä polkua, joka kulkee NIDS: n läpi. Näistä syistä paras suoja saadaan todennäköisesti käyttämällä kummankin tyyppisiä työkaluja.

Tunkeutumisen havaitsemismenetelmät

Kuten on olemassa kahden tyyppisiä tunkeutumisen havaitsemisvälineitä, myös pääasiassa kahta erilaista menetelmää käytetään tunkeutumisyritysten havaitsemiseen. Tunnistus voi olla allekirjoitus- tai poikkeavuuspohjainen. Allekirjoituspohjainen tunkeutumisen havaitseminen toimii analysoimalla tietoja erityisistä malleista, jotka on liitetty tunkeutumisyrityksiin. Tämä on samanlainen kuin perinteiset virussuojausjärjestelmät, jotka tukeutuvat virusmääritelmiin. Samoin allekirjoituspohjainen tunkeutumisen havaitseminen riippuu tunkeutumissignaareista tai -malleista. He vertaa tietoja tunkeutumiskirjaimiin yritysten tunnistamiseksi. Niiden suurin haittapuoli on, että ne eivät toimi ennen kuin oikeat allekirjoitukset on ladattu ohjelmistoon. Valitettavasti tämä tapahtuu tyypillisesti vasta sen jälkeen, kun tietty määrä koneita on hyökätty ja tunkeutumisen allekirjoitusten julkaisijoilla on ollut aika julkaista uusia päivityspaketteja. Jotkut toimittajat ovat melko nopeita, kun taas toiset pystyivät reagoimaan vasta päiviä myöhemmin.

Toinen menetelmä anomaliaan perustuva tunkeutumisen havaitseminen tarjoaa paremman suojan nollapäivän hyökkäyksiltä, ne, jotka tapahtuvat ennen minkään tunkeutumisen havaitsemisohjelmiston on saanut mahdollisuuden hankkia oikea allekirjoitus tiedosto. Nämä järjestelmät etsivät poikkeavuuksia sen sijaan, että yrittäisivät tunnistaa tunnetut tunkeutumismallit. Ne voidaan laukaista esimerkiksi, jos joku yrittää käyttää järjestelmää väärin salasanalla useita kertoja peräkkäin, mikä on yleinen merkki raa'asta voimasta. Epäilyttävä toiminta voidaan havaita nopeasti. Jokaisella havaitsemismenetelmällä on edut ja haitat. Aivan kuten työkalutyypeissä, parhaatkin työkalut ovat niitä, jotka käyttävät allekirjoitus- ja käyttäytymisanalyysin yhdistelmää parhaan suojan saavuttamiseksi.

Detection Vs ehkäisy - tärkeä erottelu

Olemme keskustelleet tunkeutumisen havaitsemisjärjestelmistä, mutta monet teistä ovat ehkä kuulleet tunkeutumisen estävistä järjestelmistä. Ovatko nämä kaksi käsitettä identtisiä? Helppo vastaus on ei, koska nämä kaksi työkalutyyppiä palvelevat eri tarkoitusta. Niiden välillä on kuitenkin jonkin verran päällekkäisyyksiä. Kuten nimensä osoittaa, tunkeutumisen havaitsemisjärjestelmä havaitsee tunkeutumisyritykset ja epäilyttävät toimet. Kun se havaitsee jotain, se yleensä laukaisee jonkinlaisen hälytyksen tai ilmoituksen. Järjestelmänvalvojien on sitten suoritettava tarvittavat toimenpiteet tunkeutumisyrityksen lopettamiseksi tai estämiseksi.

Tunkeutumisen estävät järjestelmät (IPS) on suunniteltu estämään tunkeutumisia tapahtumasta kokonaan. Aktiiviseen IPS: ään kuuluu tunnistuskomponentti, joka käynnistää automaattisesti jonkin korjaustoimenpiteen aina, kun tunkeutumisyritys havaitaan. Tunkeutumisen estäminen voi olla myös passiivinen. Ilmauksella voidaan viitata mihinkään, mikä on tehty tai otettu käyttöön keinona estää tunkeutumista. Esimerkiksi salasanan kovettumista voidaan ajatella tunkeutumisen estävänä toimenpiteenä.

Paras isäntä tunkeutumisen havaitsemisen työkalut

Olemme etsineet markkinoilta parhaita isäntäpohjaisia ​​tunkeutumisen havaitsemisjärjestelmiä. Meillä on sinulle sekoitus tosi HIDS: ää ja muita ohjelmistoja, joita, vaikka he eivät kutsu itseään tunkeutumisen havaitsemisjärjestelmissä, niissä on tunkeutumisen havaitsemiskomponentti tai niitä voidaan käyttää tunkeutumisen havaitsemiseksi yrityksiä. Katsotaanpa parhaita suosituksiamme ja katsotaan niiden parhaat ominaisuudet.

Ensimmäinen julkaisumme on SolarWinds-verkosta, yleinen nimi verkonhallintatyökalujen alalla. Yhtiö on toiminut noin 20 vuotta ja on tuonut meille joitain parhaista verkko- ja järjestelmänhallintatyökaluista. Se on myös tunnettu monista ilmaisista työkaluista, jotka vastaavat verkonvalvojien tiettyihin tarpeisiin. Kaksi hienoa esimerkkiä ilmaisista työkaluista ovat Kiwi Syslog Server ja Advanced Subnet Calculator.

Älä anna SolarWinds Log & Event ManagerNimi huijaa sinua. Se on paljon enemmän kuin vain lokien ja tapahtumien hallintajärjestelmä. Monet tämän tuotteen edistyneistä ominaisuuksista asettavat sen tietoturvatietojen ja tapahtumien hallintaan (SIEM). Muut ominaisuudet määrittelevät sen tunkeutumisen havaitsemisjärjestelmäksi ja jopa tietyssä määrin tunkeutumisen estäväksi järjestelmäksi. Tämä työkalu sisältää esimerkiksi reaaliaikaisen tapahtuman korrelaation ja reaaliaikaisen korjauksen.

• ILMAINEN KOKEILU: SolarWinds Log & Event Manager
• Virallinen latauslinkki:https://www.solarwinds.com/log-event-manager-software/registration

SolarWinds Log & Event Manager sisältää epäilyttävän toiminnan (IDS: n kaltainen toiminto) välittömän havaitsemisen ja automatisoidut vastaukset (IPS: n kaltainen toiminto). Se voi myös suorittaa tietoturvatapahtumien tutkinnan ja rikostutkimuksen sekä lieventämistä että noudattamista varten. Tilintarkastustodistuksessa ilmoitetun raportoinnin ansiosta työkalua voidaan käyttää myös osoittamaan muun muassa HIPAA: n, PCI-DSS: n ja SOX: n noudattaminen. Työkalussa on myös tiedostojen eheyden seuranta ja USB-laitteen valvonta, mikä tekee siitä paljon enemmän integroidun tietoturvajärjestelmän kuin pelkän lokin ja tapahtumien hallintajärjestelmän.

Hinnoittelu SolarWinds Log & Event Manager alkaa 4585 dollarista jopa 30 valvotulle solmulle. Enintään 2500 solmun lisenssejä voi ostaa, mikä tekee tuotteesta erittäin skaalautuvan. Jos haluat viedä tuotteen koeajoon ja tarkistaa itse, sopiiko se sinulle, ilmainen täyspäivitetty 30 päivän kokeiluversio on saatavana.

2. OSSEC

Avoimen lähdekoodin tietoturvatai OSSEC, on ylivoimaisesti johtava avoimen lähdekoodin isäntäpohjainen tunkeutumisen havaitsemisjärjestelmä. Tuotteen omistaa Trend Micro, joka on yksi IT-tietoturvan johtavista nimistä ja yhden parhaan virustorjuntaohjelman valmistaja. Asennettuna Unix-tyyppisiin käyttöjärjestelmiin ohjelmisto keskittyy ensisijaisesti loki- ja määritystiedostoihin. Se luo tarkistussummia tärkeistä tiedostoista ja vahvistaa ne säännöllisin väliajoin, varoittaen sinua, kun tapahtuu jotain outoa. Se myös tarkkailee ja hälyttää kaikista epänormaalista yrityksestä päästä juureen. Windows-isäntälaitteissa järjestelmä pitää myös silmällä luvattomia rekisterimuutoksia, jotka voivat olla ilmaisun merkki haitallisesta toiminnasta.

Koska se on isäntäpohjainen tunkeutumisen havaitsemisjärjestelmä, OSSEC on asennettava jokaiseen suojattavaan tietokoneeseen. Keskitetty konsoli kuitenkin yhdistää tiedot kustakin suojatusta tietokoneesta hallinnan helpottamiseksi. Samalla kun OSSEC konsoli toimii vain Unix-kaltaisissa käyttöjärjestelmissä, agentti on saatavana Windows-koneiden suojaamiseksi. Mahdolliset havainnot laukaisevat hälytyksen, joka näkyy keskitetyssä konsolissa, kun taas ilmoitukset lähetetään myös sähköpostitse.

3. Samhain

Samhain on toinen tunnettu ilmainen isäntä tunkeutumisen havaitsemisjärjestelmä. Sen pääpiirteet IDS: n kannalta ovat tiedostojen eheyden tarkistaminen ja lokitiedostojen seuranta / analyysi. Se tekee kuitenkin paljon enemmän. Tuote suorittaa rootkit-tunnistuksen, porttiseurannan, roistojen SUID-suoritettavien tiedostojen ja piilotettujen prosessien havaitsemisen. Työkalu on suunniteltu tarkkailemaan useita isäntiä, jotka käyttävät erilaisia ​​käyttöjärjestelmiä, samalla kun ne tarjoavat keskitetyn kirjaamisen ja ylläpidon. Kuitenkin, Samhain voidaan käyttää myös erillisenä sovelluksena yhdessä tietokoneessa. Ohjelmisto toimii pääasiassa POSIX-järjestelmissä, kuten Unix, Linux tai OS X. Se voi myös toimia Windows-käyttöjärjestelmässä, Cygwin-järjestelmässä, paketti, joka sallii POSIX-sovellusten suorittamisen Windowsissa, vaikka vain seuranta-agentti on testattu kyseisessä kokoonpanossa.

Yksi SamhainAinutlaatuisin ominaisuus on sen varkaustila, jonka avulla se voidaan ajaa ilman, että mahdolliset hyökkääjät havaitsevat sitä. Tunkeilijoiden on tiedetty tappavan nopeasti tunnistusprosessit, jotka he tunnistavat heti, kun ne tulevat järjestelmään ennen havaitsemistaan, jolloin ne voivat jäädä huomaamatta. Samhain käyttää steganografisia tekniikoita piilottaakseen prosessinsa muilta. Se suojaa myös keskuslokitiedostot ja kokoonpanovarmuuskopiot PGP-avaimella peukaloinnin estämiseksi.

4. fail2ban

fail2ban on ilmainen ja avoimen lähdekoodin tunkeutumisen tunnistusjärjestelmä, jolla on myös joitain tunkeutumisen estäviä ominaisuuksia. Ohjelmistotyökalu tarkkailee lokitiedostoja epäilyttävien toimien ja tapahtumien, kuten epäonnistuneiden kirjautumisyritysten, hyväksikäytön etsimisen jne. Suhteen. Työkalun oletustoiminto on aina, kun se havaitsee jotain epäilyttävää, päivittää paikalliset palomuurisäännöt automaattisesti estääksesi haitallisen toiminnan lähteen IP-osoitteen. Todellisuudessa tämä ei ole totta tunkeutumisen estäminen, vaan pikemminkin tunkeutumisen havaitsemisjärjestelmä, jossa on automaattiset korjaustoiminnot. Äskettäin kuvailemme työkalun oletustoimintoa, mutta kaikkia muita mielivaltaisia ​​toimia, kuten lähettämistä sähköposti-ilmoitukset - voidaan myös määrittää, jolloin se käyttäytyy kuin "klassisempi" tunkeutumisen havaitseminen järjestelmään.

fail2ban tarjotaan useilla valmiilla suodattimilla joillekin yleisimmistä palveluista, kuten Apache, SSH, FTP, Postfix ja monille muille. Kuten selitimme, ennaltaehkäisy suoritetaan muuttamalla isännän palomuuritaulukoita. Työkalu voi toimia Netfilterin, IPtable-sovellusten tai TCP Wrapper -sovelluksen hosts.deny kanssa. Jokainen suodatin voidaan liittää yhteen tai useampaan toimintoon.

5. AVUSTAJA

Edistynyt tunkeutumisen havaitsemisympäristötai AVUSTAJA, on toinen ilmainen isäntien tunkeutumisen havaitsemisjärjestelmä Tämä keskittyy pääasiassa rootkit-havaitsemiseen ja tiedostojen allekirjoitusten vertailuihin. Kun asennat sen ensin, työkalu kokoaa lajitellun järjestelmänvalvojatietojen tietokannan järjestelmän määritystiedostoista. Tätä tietokantaa voidaan sitten käyttää lähtökohtana, jota vastaan ​​kaikkia muutoksia voidaan verrata ja lopulta tarvittaessa kääntää takaisin.

AVUSTAJA käyttää sekä allekirjoitus- että anomaliapohjaisia ​​havaitsemisjärjestelmiä. Tämä on työkalu, jota käytetään pyydettäessä eikä ajoitettu tai jatkuvasti käynnissä. Itse asiassa tämä on tuotteen suurin haittapuoli. Koska kyse on komentorivityökalusta sen sijaan, että se olisi GUI-pohjainen, cron-työ voidaan luoda sen ajamiseksi säännöllisin väliajoin. Jos päätät käyttää työkalua usein - esimerkiksi kerran minuutissa, saat melkein reaaliaikaista tietoa ja sinulla on aikaa reagoida ennen kuin kaikki tunkeutumisyritykset ovat menneet liian pitkälle aiheuttaneet paljon vahinkoa.

Sen ytimessä AVUSTAJA on vain tietojen vertailutyökalu, mutta muutamien ulkoisten ajoitettujen skriptien avulla siitä voidaan tehdä tosi HIDS. Muista, että tämä on kuitenkin lähinnä paikallinen työkalu. Sillä ei ole keskitettyä hallintaa eikä hienoa käyttöliittymää.

6. Sagan

Viimeinen luettelossamme on Sagan, joka on oikeastaan ​​enemmän lokin analysointijärjestelmää kuin todellinen IDS. Sillä on kuitenkin joitain IDS: n kaltaisia ​​ominaisuuksia, minkä vuoksi se ansaitsee paikan luettelossamme. Työkalu tarkkailee paikallisesti lokitiedostoja järjestelmästä, johon se on asennettu, mutta se voi toimia myös muiden työkalujen kanssa. Se voisi esimerkiksi analysoida Snortin lokit lisäämällä tehokkaasti Snortin NIDS-toiminnot siihen, mikä on pohjimmiltaan HIDS. Se ei ole vain vuorovaikutuksessa Snortin kanssa. Sagan voi olla vuorovaikutuksessa myös Surikatan kanssa ja se on yhteensopiva useiden sääntöjen rakennustyökalujen, kuten Oinkmaster tai Pulled Pork, kanssa.

Sagan siinä on myös komentosarjojen suorituskyky, joka voi tehdä siitä raa'an tunkeutumisen estävän järjestelmän edellyttäen, että kehität joitain korjauskomentosarjoja. Vaikka tätä työkalua ei todennäköisesti käytetä ainoana suojana tunkeutumiselta, se voi olla loistava osa järjestelmää, joka voi sisältää monia työkaluja korreloimalla tapahtumia erilaisilta lähteet.