7 najboljih sustava za sprječavanje provale (IPS) za 2020. godinu

Svi žele spriječiti uljeze izvan svoje kuće. Isto tako - i iz sličnih razloga, mrežni administratori nastoje spriječiti uljeze izvan mreža kojima upravljaju. Jedno od najvažnijih obilježja mnogih današnjih organizacija jesu njihovi podaci. Toliko je važno da će mnogi ljudi koji se dobronamjerno trude ukrasti te podatke. To čine pomoću širokog spektra tehnika za neovlašteni pristup mrežama i sustavima. Čini se da je broj takvih napada nedavno eksponencijalno porastao i, kao reakcija, uvode se sustavi koji će ih spriječiti. Ti se sustavi nazivaju IPS sustavima za zaštitu od provale. Danas imamo pregled najboljih sustava za sprečavanje provale koji možemo pronaći.

Započet ćemo pokušajem bolje definirati što je prevencija provale. To, naravno, podrazumijeva da ćemo također definirati što je upad. Zatim ćemo istražiti različite metode otkrivanja koje se obično koriste i koje se mjere sanacije poduzimaju nakon otkrivanja. Zatim ćemo ukratko govoriti o pasivnoj prevenciji provale. Radi se o statičkim mjerama koje se mogu uspostaviti i drastično će smanjiti broj pokušaja provale. Možda ćete biti iznenađeni kad saznate da neki od njih nemaju nikakve veze s računalima. Tek tada, sa svima nama na istoj stranici, moći ćemo konačno pregledati neke od najboljih sustava za sprečavanje upada.

Sprječavanje upada - o čemu se radi?

Prije mnogo godina, virusi su bili prilično briga samo za administratore sustava. Virusi su stigli do točke u kojoj su bili toliko uobičajeni da je industrija reagirala razvijanjem alata za zaštitu od virusa. Danas nijedan ozbiljan korisnik s pravim umom ne bi pomislio pokrenuti računalo bez zaštite od virusa. Premda više ne čujemo puno virusa, nova prijetnja - ulazak ili neovlašteni pristup vašim podacima od strane zlonamjernih korisnika. Budući da su podaci često najvažnije sredstvo organizacije, korporativne mreže postale su meta zlonamjernih hakera koji će u velikoj mjeri doći do podataka. Kao što je softver za zaštitu od virusa bio odgovor na širenje virusa, Intrusion Prevention Systems odgovor je na napade napada.

Sustavi za sprječavanje provale zapravo rade dvije stvari. Prvo otkrivaju pokušaje upada, a kad otkriju sumnjive aktivnosti, koriste različite metode da ga zaustave ili blokiraju. Postoje dva različita načina na koje se mogu otkriti pokušaji upada. Otkrivanje na temelju potpisa funkcionira analizom mrežnog prometa i podataka i traženjem određenih obrazaca povezanih s pokušajima provale. To je slično tradicionalnim sustavima za zaštitu od virusa koji se oslanjaju na definicije virusa. Otkrivanje upada na temelju potpisa oslanja se na potpise ili obrasce upada. Glavni nedostatak ove metode otkrivanja je taj da joj je potreban odgovarajući potpis da bi se učitao u softver. A kada je nova metoda napada, obično dolazi do kašnjenja prije nego što se napadi potpisa ažuriraju. Neki dobavljači vrlo brzo pružaju ažurirane potpise napada, dok su drugi puno sporiji. Koliko često i koliko brzo se ažuriraju potpisi važan je čimbenik koji treba uzeti u obzir pri odabiru dobavljača.

Otkrivanje temeljeno na anomaliji pruža bolju zaštitu od napada nula dana, onih koji se događaju prije otkrivanja potpisa imali su priliku biti ažurirani. Proces traži anomalije umjesto pokušaja prepoznavanja poznatih obrazaca prodora. Primjerice, aktiviralo bi se ako netko pokuša nekoliko puta zaredom pristupiti sustavu s pogrešnom zaporkom, što je uobičajeni znak napada grube sile. Ovo je samo primjer i obično postoje stotine različitih sumnjivih aktivnosti koje mogu pokrenuti ove sustave. Obje metode otkrivanja imaju svoje prednosti i nedostatke. Najbolji su alati oni koji za najbolju zaštitu koriste kombinaciju potpisa i analize ponašanja.

Otkrivanje pokušaja provale prvi je dio sprječavanja istih. Jednom otkriveni, sustavi za sprečavanje provale djeluju aktivno na zaustavljanju otkrivenih aktivnosti. Ovi sustavi mogu poduzeti nekoliko različitih korektivnih radnji. Na primjer, mogu obustaviti ili na drugi način deaktivirati korisničke račune. Druga tipična akcija je blokiranje izvorne IP adrese napada ili izmjena pravila vatrozida. Ako zlonamjerna aktivnost proizlazi iz određenog postupka, sustav prevencije mogao bi je ubiti. Pokretanje nekog postupka zaštite još je jedna uobičajena reakcija, a u najgorim slučajevima mogu se zatvoriti čitavi sustavi radi ograničavanja potencijalne štete. Drugi važan zadatak sustava za sprečavanje provale je upozoravanje administratora, snimanje događaja i prijavljivanje sumnjivih aktivnosti.

Pasivne mjere sprječavanja upada

Iako sustavi za sprečavanje provale mogu vas zaštititi od brojnih vrsta napada, ništa ne može biti dobro, staromodne mjere pasivne prevencije provale. Primjerice, izricanje jakih lozinki izvrstan je način zaštite od mnogih provala. Druga jednostavna mjera zaštite je promjena zadanih lozinki za opremu. Iako je rjeđi u korporativnim mrežama - iako to nije nečuveno - samo sam prečesto vidio internetske prolaze koji su i dalje imali zadanu administratorsku lozinku. Dok se radi o lozinki, starenje lozinke je još jedan konkretan korak koji se može poduzeti za smanjenje pokušaja provale. Svaka lozinka, pa i najbolja, na kraju se može provaliti s obzirom na dovoljno vremena. Starenje lozinke osigurava promjenu lozinki prije nego što se kreiraju.

Bilo je samo primjera što se može učiniti za pasivno sprečavanje upada. Mogli bismo napisati cijeli post o tome koje se pasivne mjere mogu uspostaviti, ali to nam danas nije cilj. Naš je cilj umjesto toga predstaviti neke od najboljih aktivnih sustava za sprečavanje provale.

Najbolji sustavi za prevenciju provale

Naš popis sadrži kombinaciju različitih alata koji se mogu koristiti za zaštitu od pokušaja provale. Većina uključenih alata su istinski sustavi za sprečavanje provale, ali uključuju i alate koji se, iako se ne prodaju na tržištu, mogu koristiti za sprečavanje upada. Naš prvi unos je jedan takav primjer. Imajte na umu da, više od svega, vaš odabir alata trebate voditi prema vašim specifičnim potrebama. Dakle, pogledajmo što svaki od naših najboljih alata može ponuditi.

SolarWinds je dobro poznato ime u mrežnoj administraciji. Uživa u solidnoj reputaciji za izradu nekih od najboljih alata za administraciju mreže i sustava. Svoj vodeći proizvod, Network Performance Monitor kontinuirano ubraja među najbolje dostupne alate za nadzor propusnosti mreže. SolarWinds je također poznat po brojnim besplatnim alatima, koji se obraćaju specifičnim potrebama mrežnih administratora. Kiwi Syslog Server ili SolarWinds TFTP poslužitelj su dva izvrsna primjera ovih besplatnih alata.

Ne dopusti SolarWinds Log & Event ManagerPrevara ti ime. Postoji mnogo više od toga što susreće oko. Neke napredne značajke ovog proizvoda klasificiraju ga kao sustav otkrivanja i sprečavanja provale, dok ga drugi stavljaju u raspon sigurnosnih podataka i upravljanja događajima (SIEM). Na primjer, alat sadrži korelaciju događaja u stvarnom vremenu i sanaciju u stvarnom vremenu.

• BESPLATNO ISPITIVANJE: SolarWinds Log & Event Manager
• Službena veza za preuzimanje: https://www.solarwinds.com/log-event-manager-software/registration

SolarWinds Log & Event Manager ima trenutno otkrivanje sumnjivih aktivnosti (funkcionalnost otkrivanja provale) i automatizirane reakcije (funkcionalnost sprečavanja provale). Ovaj se alat također može koristiti za provođenje istraga sigurnosnih događaja i forenzike. Može se koristiti u svrhu ublažavanja i poštivanja propisa. Alat sadrži izvještavanje dokazano revizijom, koje se također može koristiti za dokazivanje usklađenosti s različitim regulatornim okvirima kao što su HIPAA, PCI-DSS i SOX. Alat također ima nadzor nad integritetom datoteka i nadzor USB uređaja. Sve napredne značajke softvera čine ga više integriranom sigurnosnom platformom nego samo sustavom za upravljanje dnevnicima i događajima u što bi vas njegovo ime moglo poverovati.

Značajke sprječavanja provale prema SolarWinds Log & Event Manager djeluje provođenjem akcija koje se nazivaju Aktivni odgovori kad god se otkriju prijetnje. Različiti odgovori mogu se povezati s određenim upozorenjima. Na primjer, sustav može pisati u tablice vatrozida kako bi blokirao mrežni pristup izvornoj IP adresi koja je identificirana kao obavljanje sumnjivih aktivnosti. Alat također može obustaviti korisničke račune, zaustaviti ili pokrenuti procese i zatvoriti sustave. Sjetit ćete se kako su to točno postupci sanacije koje smo prethodno identificirali.

Cijene za SolarWinds Log & Event Manager varira ovisno o broju nadziranih čvorova. Cijene počinju od 4.585 USD za do 30 nadziranih čvorova, a licence za do 2500 čvorova mogu se kupiti, što proizvod čini vrlo skalabilnim. Ako želite testirati proizvod, provjerite je li on za vas, a dostupno je besplatno cjelovito 30-dnevno probno razdoblje.

2. Splunk

Splunk vjerojatno je jedan od najpopularnijih sustava za sprečavanje provale. Dostupan je u nekoliko različitih izdanja u kojima se nalaze različite setove značajki. Splunk Enterprise Security-ili Splunk ES, kako se često naziva - ono što vam je potrebno za istinsku prevenciju provale. Softver prati podatke vašeg sustava u stvarnom vremenu, tražeći ranjivosti i znakove nenormalne aktivnosti.

Sigurnosni odgovor jedno je od najjačih načina proizvoda i ono što ga čini sustavom za sprečavanje provale. Koristi ono što dobavljač naziva okvir prilagodljivog odgovora (ARF). Integrira se s opremom više od 55 dobavljača sigurnosti i može izvršiti automatizirani odgovor, ubrzavajući ručne zadatke. Ova kombinacija ako automatizirana sanacija i ručna intervencija mogu vam pružiti najbolje šanse za brzo osvajanje prednosti. Alat ima jednostavno i nesputano korisničko sučelje, čineći pobjedničko rješenje. Ostale zanimljive zaštitne značajke uključuju funkciju "Značajke" koja pokazuje korisnički prilagodljiv upozorenja i "Istražitelj imovine" za označavanje zlonamjernih aktivnosti i sprječavanje daljnjeg problemi.

Splunk Enterprise SecurityInformacije o cijenama nisu lako dostupne. Morate se obratiti Splunkovim prodavačima da biste dobili detaljnu ponudu. Ovo je sjajan proizvod za koji je dostupna besplatna proba.

3. Sagan

Sagan u osnovi je besplatni sustav za otkrivanje provale. No alat koji ima mogućnosti izvršavanja skripte može ga svrstati u kategoriju Sustavi za zaštitu od provale. Sagan otkriva pokušaje upada kroz nadzor datoteka zapisa. Također možete kombinirati Sagan sa Snortom koji može napajati njegov izlaz Sagan alatu pružaju neke mrežne mogućnosti otkrivanja provale. Zapravo, Sagan može primati podatke iz mnogih drugih alata kao što su Bro ili Suricata, kombinirajući mogućnosti nekoliko alata za najbolju moguću zaštitu.

Ima ulov na SaganIpak mogućnosti izvršavanja skripte. Morate napisati skripte za sanaciju. Iako se ovaj alat možda ne može najbolje upotrijebiti kao jedina obrana od provale, mogao bi biti ključna komponenta a sustav koji uključuje nekoliko alata povezujući događaje iz različitih izvora, dajući vam najbolje od mnogih proizvodi.

Dok Sagan može se instalirati samo na Linux, Unix i Mac OS, može se povezati s Windows sustavima za dobivanje njihovih događaja. Ostale zanimljivosti Sagana uključuju praćenje lokacije IP adrese i distribuiranu obradu.

4. OSSEC

Sigurnost otvorenog koda, ili OSSEC, jedan je od vodećih open-source sustava za otkrivanje upada. Uključujemo ga na naš popis iz dva razloga. Njegova popularnost je takva da smo ga morali uključiti, pogotovo uzimajući u obzir da alat omogućuje određivanje tih radnji se automatski izvode kad god se pokrenu specifične upozorenja, što daje neke mogućnosti prevencije provale. OSSEC je u vlasništvu tvrtke Trend Micro, jednog od vodećih imena u IT sigurnosti i proizvođača jednog od najboljih apartmana za zaštitu od virusa.

Kad se instalira na operativne sustave slične Unixu, mehanizam za otkrivanje softvera prvenstveno se fokusira na zapisnike i konfiguracijske datoteke. Stvara kontrolne sume važnih datoteka i periodično ih provjerava, upozoravajući vas ili pokrećući korektivnu akciju kad god se dogodi nešto neobično. Također će pratiti i upozoravati na svaki nenormalan pokušaj da se pristup korijenu. U sustavu Windows sustav također nadgleda neovlaštene izmjene registra jer bi one mogle biti znak opasnosti o zlonamjernoj aktivnosti. Svako otkrivanje pokrenuće upozorenje koje će se prikazati na centraliziranoj konzoli, dok će se obavijesti poslati i e-poštom.

OSSEC je sustav za zaštitu od provale od strane domaćina. Kao takav, treba ga instalirati na svako računalo koje želite zaštititi. Međutim, centralizirana konzola objedinjuje podatke sa svakog zaštićenog računala radi lakšeg upravljanja. OSSEC konzola radi samo na Unix operativnim sustavima, ali dostupan je agent za zaštitu Windows domaćina. Alternativno, drugi alati poput Kibane ili Graylog mogu se koristiti kao prednji kraj alata.

5. Otvori WIPS-NG

Nismo bili previše sigurni treba li uključiti Otvorite WIPS NG na našem popisu. Više o tome u trenu. Napravio je to uglavnom zato što je jedan jedini proizvod koji posebno cilja bežične mreže. Otvorite WIPS NG- gdje WIPS stoji za bežični sustav za sprečavanje provale - otvoreni je alat koji se sastoji od tri glavne komponente. Prvo, tu je senzor. Ovo je glup postupak koji jednostavno bilježi bežični promet i šalje ga na analizu poslužitelju. Kao što vjerojatno pogađate, sljedeća komponenta je poslužitelj. Prikuplja podatke svih senzora, analizira prikupljene podatke i reagira na napade. Ova komponenta je srce sustava. Posljednje, ali ne najmanje bitno, je komponenta sučelja koja je GUI koji koristite za upravljanje poslužiteljem i prikaz informacija o prijetnjama koje se nalaze na vašoj bežičnoj mreži.

Glavni razlog zašto smo oklijevali prije uključivanja Otvorite WIPS NG na našem popisu stoji da, koliko god to bilo dobro, nisu svi sviđa programeru proizvoda. Ona je od istog razvojnog programera kao što je Aircrack NG, bežični snajfer za pakete i lokator za lozinke koji je dio svakog paketa alata WiFi hakera. Ovo otvara raspravu o etičnosti programera i čini neke korisnike opreznima. S druge strane, pozadina programera može se promatrati kao svjedočanstvo njegova dubokog poznavanja Wi-Fi sigurnosti.

6. Fail2Ban

Fail2Ban relativno je popularan besplatni sustav za otkrivanje provale domaćina s karakteristikama za sprečavanje provale. Softver radi nadgledanjem datoteka dnevnika sustava radi sumnjivih događaja kao što su neuspjeli pokušaji prijave ili iskorištavanja traženja. Kad sustav otkrije nešto sumnjivo, reagira automatski ažuriranjem pravila lokalnog vatrozida kako bi blokirao izvornu IP adresu zlonamjernog ponašanja. To, naravno, podrazumijeva da se neki postupak vatrozida izvodi na lokalnom stroju. To je osnovni nedostatak alata. Međutim, bilo koje druge proizvoljne radnje - poput izvršavanja neke sanacijske skripte ili slanja obavijesti putem e-pošte - mogu se konfigurirati.

Fail2Ban isporučuje se s nekoliko unaprijed ugrađenih okidača za otkrivanje nazvanih filtri, koji pokrivaju neke od najčešćih usluga kao što su Apache, Courrier, SSH, FTP, Postfix i mnogi drugi. Kao što smo rekli, sanacijske radnje izvode se izmjenom tablica vatrozida domaćina. Fail2Ban podržava Netfilter, IPtables ili host.deny tablicu TCP Wrapper. Svaki se filtar može povezati s jednom ili više radnji. Zajedno se filtri i radnje nazivaju zatvorom.

7. Bro Network Security Monitor

Bro Network Security Monitor je još jedan besplatni mrežni sustav za otkrivanje upada s funkcijom sličnom IPS-u. Radi u dvije faze, prvo evidentira promet, a zatim ga analizira. Ovaj alat djeluje na više slojeva do aplikacijskog sloja što omogućava bolje otkrivanje podijeljenih pokušaja provale. Analiza proizvoda modul sastoji se od dva elementa. Prvi se element naziva Event Engine i njegova je svrha praćenje pokretanja događaja kao što su TCP veze ili HTTP zahtjevi. Tada se događaji analiziraju Skriptama politike, drugi element. Zadatak skripti pravila je da odluče hoće li pokrenuti alarm, pokrenuti radnju ili ignorirati događaj. To je mogućnost pokretanja akcije koja daje Bro Network Security Monitor njegova IPS funkcionalnost.

Bro Network Security Monitor ima određena ograničenja. Pratit će samo HTTP, DNS i FTP aktivnost i nadzirat će i SNMP promet. To je dobra stvar, jer se SNMP često koristi za nadzor mreže unatoč ozbiljnim sigurnosnim nedostacima. SNMP nema gotovo nikakvu ugrađenu sigurnost i koristi nešifrirani promet. A budući da se protokol može koristiti za izmjenu konfiguracija, zlonamjerni korisnici to mogu lako iskoristiti. Proizvod će također voditi računa o promjenama konfiguracije uređaja i SNMP zamki. Može se instalirati na Unix, Linux i OS X, ali nije dostupan za Windows, što je možda i njegov glavni nedostatak. Inače, ovo je vrlo zanimljiv alat koji je vrijedno pokušati.