Mrežni sustavi za otkrivanje provale: 5 najboljih NIDS alata za upotrebu
Izgleda da se svi ovih dana brinu o sigurnosti. To ima smisla kad se uzme u obzir važnost cyber-kriminala. Organizacije su na meti hakera koji pokušavaju ukrasti njihove podatke ili im nanijeti drugu štetu. Jedan od načina na koji možete zaštititi svoje IT okruženje od ovih napada je upotreba pravih alata i sustava. Često se prva linija obrane nalazi na rubu mreže u obliku mrežnog sustava za otkrivanje upada ili NIDS-a. Ovi sustavi analiziraju promet koji na vašu mrežu dolazi s interneta kako bi otkrili sumnjive aktivnosti i odmah vas upozorili. NIDS-ovi su toliko popularni i mnogi od njih su dostupni nego pronalazak najboljeg za vaše potrebe može biti izazovno nastojanje. Pomoći ti, Sastavili smo ovaj popis nekih najboljih mrežnih sustava za otkrivanje provale.
Svoje putovanje započet ćemo pregledom različitih vrsta sustava za otkrivanje provale. U osnovi postoje dvije vrste: mrežne i hostirane. Objasnit ćemo njihove razlike. Sustavi za otkrivanje provale razlikuju se i prema metodi otkrivanja koju koriste. Neki se koriste pristupom zasnovanim na potpisu, dok se drugi oslanjaju na analizu ponašanja. Najbolji alati koriste kombinaciju obje metode otkrivanja. Tržište je zasićeno i sustavima za otkrivanje provale i provale. Istražit ćemo kako se razlikuju i koliko su im slični jer je važno razumjeti razliku. Konačno ćemo pregledati najbolje mrežne sustave za otkrivanje provale i predstaviti njihove najvažnije značajke.
Otkrivanje provale u mrežu temeljeno na mreži
Sustavi za otkrivanje upada su jedne od dvije vrste. Oboje imaju identičan cilj - brzo otkrivanje pokušaja provale ili sumnjivih aktivnosti koje mogu dovesti do toga pokušaji upada - ali razlikuju se u mjestu izvršenja mjesta koje se odnosi na mjesto otkrivanja izvedena. Svaka vrsta alata za otkrivanje provale ima prednosti i nedostatke. Ne postoji stvarni konsenzus oko toga koji je prednost. Neki se zaklinju u jednu vrstu, dok će drugi vjerovati samo drugoj. Oboje su vjerojatno u pravu. Vjerojatno je najbolje rješenje ili najsigurnije rješenje koje kombinira obje vrste.
Mrežni sustavi za otkrivanje upada (NIDS)
Prva vrsta sustava za otkrivanje provale naziva se mrežnim sustavom za otkrivanje upada ili NIDS. Ovi sustavi rade na granici mreže da bi izvršili otkrivanje. Oni presreću i ispituju mrežni promet, tražeći sumnjive aktivnosti koje bi mogle ukazivati na pokušaj provale i traže poznate uzorke provale. Uljezi često pokušavaju iskoristiti poznate ranjivosti različitih sustava, na primjer, slanjem neispravnih paketa domaćinima, čineći ih tako da reagiraju na određeni način koji im omogućuje kršenje. Mrežni sustav otkrivanja provale najvjerojatnije će otkriti ovu vrstu pokušaja provale.
Neki tvrde da su mrežni sustavi za otkrivanje upada bolji od svojih partnera koji se temelje na domaćinu jer mogu otkriti napade čak i prije nego što uopće dođu do vaših sustava. Neki ih također preferiraju jer ne trebaju instalirati ništa na svaki domaćin da bi ih učinkovito zaštitili. S druge strane, pružaju malu zaštitu od insajderskih napada koji nažalost nimalo nisu rijetki. Da bi ga otkrio, pokušaj napadača napada mora proći kroz NIDS, što rijetko kada iznutra. Bilo koja tehnologija ima prednosti i nedostatke, a specifičan slučaj otkrivanja provale, ništa vas ne sprječava da koristite obje vrste alata za vrhunsku zaštitu.
Sustavi za otkrivanje upada domaćina (HIDS)
Sustavi za otkrivanje provale domaćina (HIDS) djeluju na razini domaćina; mogli ste to pretpostaviti iz njihovog imena. Primjerice, nadzirat će razne datoteke i dnevnike zbog znakova sumnjivih aktivnosti. Drugi način na koji mogu otkriti pokušaje upada jest provjeravanje datoteka konfiguracije sustava za neovlaštene promjene. Oni također mogu pregledati te iste datoteke za pronalazak specifičnih poznatih obrazaca upada. Na primjer, može se znati da određena metoda upada funkcionira dodavanjem određenog parametra određenoj konfiguracijskoj datoteci. Dobar sustav za otkrivanje upada temeljen na domaćinu bi to uhvatio.
Iako bi ih zbog vašeg imena moglo pomisliti da su svi HIDS-ovi instalirani izravno na uređaju koji trebaju zaštititi, to nije nužno. Neke će trebati biti instalirane na svim vašim računalima, dok će neke zahtijevati samo instaliranje lokalnog agenta. Neki čak svoj posao rade na daljinu bez ikakvog agenta. Bez obzira kako djeluju, većina HIDS-a ima centraliziranu konzolu na kojoj možete kontrolirati svaku instancu aplikacije i vidjeti sve rezultate.
Metode otkrivanja prodora
Sustavi otkrivanja provale ne razlikuju se samo po točki izvršenja, već se razlikuju i prema metodi koju koriste za otkrivanje pokušaja provale. Neki se temelje na potpisu, a drugi na anomaliji. Prvi djeluju analizom podataka za određene obrasce koji su povezani s pokušajima provale. To je slično tradicionalnim sustavima za zaštitu od virusa koji se oslanjaju na definicije virusa. Otkrivanje upada na temelju potpisa oslanja se na potpise ili obrasce upada. Oni uspoređuju snimljene podatke s upadnim potpisima kako bi identificirali pokušaje upada. Naravno, neće raditi dok se odgovarajući potpis ne postavi na softver što se ponekad može dogoditi tek nakon napadnut je određeni broj strojeva, a izdavači uljeza potpisa imali su vremena objaviti novo ažuriranje paketi. Neki su dobavljači dosta brzi, dok su drugi mogli reagirati samo nekoliko dana kasnije. To je osnovni nedostatak ove metode otkrivanja.
Otkrivanje ulaza utemeljeno na anomaliji pruža bolju zaštitu od napada nula dana, onih koji se događaju prije nego što je bilo koji softver za otkrivanje provale imao priliku nabaviti odgovarajuću datoteku potpisa. Oni traže anomalije umjesto da pokušavaju prepoznati poznate uzorke upada. Na primjer, netko tko pokušava pristupiti sustavu s pogrešnom zaporkom nekoliko puta zaredom pokrenuti će upozorenje, jer je to čest znak napada grube sile. Ovi sustavi mogu brzo otkriti bilo kakve sumnjive aktivnosti na mreži. Svaka metoda otkrivanja ima prednosti i nedostatke i baš kao i kod dvije vrste alata, najbolji su alati vjerojatno oni koji koriste kombinaciju analize potpisa i ponašanja.
Otkrivanje ili prevencija?
Neki se često zbunjuju između sustava za otkrivanje provale i zaštite od provale. Iako su usko povezane, nisu identične iako se neke funkcije preklapaju. Kao što ime sugerira, sustavi za otkrivanje provale otkrivaju pokušaje provale i sumnjive aktivnosti. Kad nešto otkriju, obično aktiviraju neki oblik upozorenja ili obavijesti. Na administratorima je da poduzmu potrebne korake kako bi zaustavili ili blokirali pokušaj upada.
Sustavi za sprječavanje upada (IPS) idu jedan korak dalje i mogu spriječiti da se upadi počnu događati. Sustavi za sprečavanje provale uključuju komponentu detekcije - koja je funkcionalno ekvivalentna napadu Sustav detekcije - koji će pokrenuti neke automatske korektivne radnje kad god se otkrije pokušaj upada. Nije potrebna ljudska intervencija za zaustavljanje pokušaja provale. Sprječavanje upada može se odnositi i na sve što je učinjeno ili uvedeno kao način sprečavanja upada. Na primjer, otvrdnjavanje lozinke ili blokiranje uljeza može se smatrati mjerama za sprečavanje provale.
Najbolji mrežni alati za otkrivanje provale
Pretražili smo tržište za najbolje mrežne sustave za otkrivanje provale. Naš popis sadrži kombinaciju istinskih sustava za otkrivanje upada temeljenih na hostu i ostalog softvera koji imaju mrežnu komponentu za otkrivanje upada ili se mogu koristiti za otkrivanje pokušaja provale. Svaki od naših preporučenih alata može vam pomoći u otkrivanju pokušaja provale u vašu mrežu.
SolarWinds je uobičajeni naziv na polju mrežnih alata. Tvrtka postoji već oko 20 godina i donijela nam je neke od najboljih alata za mrežni i sistemski administraciju. Njegov vodeći proizvod, Network Performance Monitor, kontinuirano se nalazi među najboljim mrežnim alatima za praćenje propusnosti. SolarWinds također nudi odlične besplatne alate, a svaki se obraća određenim potrebama mrežnih administratora. Kiwi Syslog Server i Advanced Subnet Calculator dva su dobra primjera za to.
Za mrežno otkrivanje upada SolarWinds nudi Prizor prijetnje - izdanje IT Ops. Suprotno većini ostalih alata SolarWinds, ovaj je servis temeljen na oblaku, a ne lokalno instaliran softver. Jednostavno se pretplatite na njega, konfigurirate ga i on počinje gledati vaše okruženje radi pokušaja provale i još nekoliko vrsta prijetnji. Prizor prijetnje - izdanje IT Ops kombinira nekoliko alata. Ima mrežnu i domaćinsku detekciju provale, kao i centralizaciju i korelaciju dnevnika te sigurnosne informacije i upravljanje događajima (SIEM). To je vrlo temeljit paket za nadzor prijetnji.
- BESPLATNO DEMO: SolarWinds monitor prijetnji - IT Ops izdanje
- Službena veza za preuzimanje: https://www.solarwinds.com/threat-monitor/registration
Prizor prijetnje - izdanje IT Ops je uvijek u toku, neprestano dobiva ažurirane podatke o prijetnjama iz više izvora, uključujući IP baze podataka i ugled domene. Promatra i poznate i nepoznate prijetnje. Alat ima automatizirane inteligentne odgovore na brzo saniranje sigurnosnih incidenata, što mu daje neke značajke poput prevencije provale.
Značajke upozoravanja proizvoda prilično su impresivne. Postoje višestruki uvjeti, unakrsno korelirani alarmi koji djeluju zajedno s mehanizmom aktivnog reagiranja alata i pomažu u prepoznavanju i sažimanju važnih događaja. Sustav izvješćivanja jednako je dobar kao i upozoravanje i može se upotrijebiti za dokazivanje usklađenosti korištenjem postojećih unaprijed izgrađenih predložaka izvještaja. Alternativno, možete kreirati prilagođena izvješća kako biste točno odgovarali vašim poslovnim potrebama.
Cijene za SolarWinds monitor prijetnji - IT Ops izdanje startujte od $ 4 500 za do 25 čvorova s indeksom 10 dana. Možete se obratiti SolarWinds za detaljan citat prilagođen vašim specifičnim potrebama. A ako više želite proizvod vidjeti u akciji, možete zatražiti besplatni demo softver od SolarWinds.
2. frka
frka zasigurno je najpoznatiji NIDS s otvorenim kodom. Ali frka zapravo je više od alata za otkrivanje provale. To je također snaffer paketa i loger paketa, a uključuje i nekoliko drugih funkcija. Za sada ćemo se usredotočiti na značajke alata za otkrivanje provale jer je ovo tema ovog posta. Konfiguriranje proizvoda podsjeća na konfiguriranje vatrozida. Konfiguriran je pomoću pravila. Osnovna pravila možete preuzeti s frka web mjesto i koristite ih onakvima kakve jesu ili ih prilagodite vašim specifičnim potrebama. Možete se pretplatiti i na frka pravila za automatsko dobivanje svih najnovijih pravila kako se razvijaju ili otkrivaju nove prijetnje.
Sortirati vrlo je temeljit, pa čak i njegova osnovna pravila mogu otkriti široku paletu događaja kao što su skeniranje nevidljivih vrata, napadi prepunjenog međuspremnika, CGI napadi, SMB sonde i otisak prsta na OS-u. Gotovo ne postoji ograničenje onoga što možete otkriti pomoću ovog alata i onoga što otkrije isključivo ovisno o setu pravila koji instalirate. Što se tiče metoda otkrivanja, neka se osnovna pravila Snort-a temelje na potpisu, dok se druga temelje na anomaliji. Snort vam može, dakle, pružiti najbolje od oba svijeta.
3. Suricata
Suricata nije samo sustav za otkrivanje provale. Također ima neke značajke za sprečavanje provale. U stvari, oglašava se kao cjeloviti ekosistem praćenja sigurnosti mreže. Jedno od najboljih svojstava alata je kako djeluje sve do sloja aplikacije. To ga čini hibridnim sustavom temeljenim na mreži i hostu, koji omogućuje otkrivanje prijetnji koje bi ostale alate vjerojatno mogle proći nezapaženo.
Suricata je pravi mrežni sustav za otkrivanje provale i ne radi samo na aplikacijskom sloju. Nadgledat će mrežne protokole niže razine poput TLS, ICMP, TCP i UDP. Alat također razumije i dekodira protokole više razine poput HTTP, FTP ili SMB i može otkriti pokušaje provale skrivene u inače normalnim zahtjevima. Alat također sadrži mogućnosti izdvajanja datoteka koje omogućuju administratorima da ispitaju svaku sumnjivu datoteku.
SuricataArhitektura aplikacija prilično je inovativna. Alat će rasporediti svoje radno opterećenje na nekoliko procesorskih jezgara i niti za najbolje performanse. Po potrebi može čak i dio svoje obrade prebaciti na grafičku karticu. Ovo je sjajna značajka kada se alat koristi na poslužiteljima jer se njihova grafička kartica obično ne koristi.
4. Bro Monitor sigurnosti mreže
Bro Network Security Monitor, još jedan besplatni mrežni sustav za otkrivanje upada. Alat djeluje u dvije faze: evidentiranje prometa i analiza prometa. Baš kao Suricata, Bro Network Security Monitor djeluje na više slojeva prema aplikacijskom sloju. To omogućuje bolje otkrivanje pokušaja rascjepa rascjepa. Bro Network Security MonitorModul za analizu sastoji se od dva elementa. Prvi se element naziva motor događaja i prati pokretanje događaja kao što su neto TCP veze ili HTTP zahtjevi. Događaji se zatim analiziraju pomoću skripti pravila, drugog elementa, koji odlučuju hoće li pokrenuti alarm i / ili pokrenuti akciju. Mogućnost pokretanja akcije daje mogućnost Bro Network Security Monitor neke funkcionalnosti slične IPS-u.
Bro Network Security Monitor omogućit će vam praćenje aktivnosti HTTP, DNS i FTP, a nadzirat će i SNMP promet. To je dobra stvar jer se SNMP često koristi za nadzor mreže, a ipak nije siguran protokol. A budući da se također može koristiti za izmjenu konfiguracija, to mogu iskoristiti zlonamjerni korisnici. Alat će vam također omogućiti gledanje promjena u konfiguraciji uređaja i SNMP zamki. Može se instalirati na Unix, Linux i OS X, ali nije dostupan za Windows, što je možda i njegov glavni nedostatak.
5. Sigurnosni luk
Teško je definirati što Sigurnosni luk je. To nije samo sustav za otkrivanje ili sprečavanje provale. To je, u stvari, potpuna distribucija Linuxa s fokusom na otkrivanje provale, nadzor sigurnosti poduzeća i upravljanje zapisnicima. Kao takav, administratorima se može uštedjeti puno vremena. To uključuje mnogo alata, neke od kojih smo upravo pregledali. Sigurnosni luk uključuje Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner i još mnogo toga. Da biste sve olakšali postavljanje, distribucija je u paketu s čarobnjakom za jednostavno postavljanje koji vam omogućuje zaštitu organizacije za nekoliko minuta. Kad bismo morali opisati Sigurnosni luk u jednoj rečenici, rekli bismo da je to švicarska vojska nož informatičke sigurnosti poduzeća.
Jedna od najzanimljivijih stvari ovog alata je da sve dobijete u jednoj jednostavnoj instalaciji. Za otkrivanje upada alat nudi i alate za prepoznavanje ulaza koji se temelje na mreži i hostu. Paket također kombinira alate koji koriste pristup temeljen na potpisu i alate koji se temelje na anomaliji. Nadalje, naći ćete kombinaciju tekstualnih i GUI alata. Postoji zaista izvrsna kombinacija sigurnosnih alata. Postoji jedan osnovni nedostatak sigurnosnog luka. Uz toliko uključenih alata, njihovo konfiguriranje može se pokazati značajnim zadatkom. Međutim, ne morate upotrebljavati i konfigurirati sve alate. Možete odabrati samo one koje koristite. Čak i ako koristite samo nekoliko uključenih alata, to bi mogla biti brža opcija od instaliranja zasebno.
traži
Najnoviji Postovi
Najbolji alati za praćenje VM-a za gledanje na virtualne strojeve
Virtualizacija je sve češća. Jednom rezervirani za eksperimentiranj...
7 najboljih alata za skeniranje IP adresa i kako to učiniti
Ako želite znati koje se IP adrese zapravo koriste na mreži, vaša j...
5 najboljih DDI / IPAM sustava za rješavanje vašeg IP adrese Blues
DNS, DHCP, IPAM - zajedno tvore ono što često nazivamo DDI. Svi zaj...