6 najboljih sustava za otkrivanje upada (HIDS) utemeljenih na domaćinima u 2020. godini
Ne bih želio zvučati previše paranoično, mada to vjerojatno učinim, ali cyber-kriminalitet ima svuda. Svaka organizacija može postati meta hakera koji pokušavaju pristupiti njihovim podacima. Stoga je prvobitno paziti na stvari i osigurati da ne budemo žrtva tih nenamjernih pojedinaca. Prva linija obrane je Sustav za otkrivanje provale. Host-based sustavi primjenjuju svoju detekciju na razini domaćina i obično će brzo otkriti većinu pokušaja provale i odmah vas obavijestiti kako biste mogli ispraviti situaciju. Uz toliko dostupnih sustava za otkrivanje upada koji se temelje na domaćinu, odabir najboljeg za vašu specifičnu situaciju može se činiti izazovom. Da bismo vam pomogli da jasno vidite, sastavili smo popis nekih od najboljih sustava za otkrivanje upada koji se zasnivaju na domaćinima.
Prije nego što otkrijemo najbolje alate, ukratko ćemo se povući u stranu i pogledati različite vrste sustava za otkrivanje provale. Neki su temeljeni na hostu, dok su drugi mrežni. Objasnit ćemo razlike. Zatim ćemo razgovarati o različitim metodama otkrivanja provale. Neki alati imaju pristup zasnovan na potpisu, dok drugi traže sumnjivo ponašanje. Najbolji koriste kombinaciju obojega. Prije nastavka, objasnit ćemo razlike između sustava otkrivanja provale i sustava za sprečavanje provale, jer je važno razumjeti što gledamo. Tada ćemo biti spremni za suštinu ovog posta, najbolje sustave za otkrivanje upada koji se temelje na domaćinu.
Dvije vrste sustava za otkrivanje provale
U osnovi postoje dvije vrste sustava za otkrivanje provale. Iako je njihov cilj identičan - brzo otkrivanje bilo kakvog pokušaja provale ili sumnjive aktivnosti s kojim bi mogao dovesti do pokušaja provale, oni se razlikuju u mjestu na kojem se to otkrivanje vrši. To je koncept koji se često naziva i mjesto izvršenja. Svaka vrsta ima prednosti i nedostatke i, generalno gledano, ne postoji konsenzus oko toga koji je prednost. Zapravo je najbolje rješenje - ili najsigurnije - vjerojatno rješenje koje kombinira oboje.
Sustavi za otkrivanje upada domaćina (HIDS)
Prva vrsta sustava otkrivanja provale, ona koja nas danas zanima, djeluje na razini računala. Možda ste to pogodili iz njegovog imena. HIDS provjerava, na primjer, razne datoteke i dnevnike zbog znakova sumnjivih aktivnosti. Drugi način otkrivanja pokušaja provale je provjeravanjem važnih konfiguracijskih datoteka za neovlaštene promjene. Oni također mogu ispitati iste konfiguracijske datoteke za određene poznate uzorke upada. Na primjer, može se znati da određena metoda upada funkcionira dodavanjem određenog parametra određenoj konfiguracijskoj datoteci. Dobar sustav za otkrivanje provale temeljen na domaćinu bi to uhvatio.
Većinu vremena HIDS se instalira izravno na uređaje kojima se želi zaštititi. Trebat ćete ih instalirati na sva svoja računala. Za ostale će biti potrebna samo instalacija lokalnog agenta. Neki čak i svoj posao rade na daljinu. Bez obzira kako djeluju, dobri HIDS imaju centraliziranu konzolu na kojoj možete kontrolirati aplikaciju i vidjeti njene rezultate.
Mrežni sustavi za otkrivanje upada (NIDS)
Druga vrsta sustava za otkrivanje upada, nazvana Mrežni sustavi za otkrivanje upada, ili NIDS, djeluju na granici mreže kako bi osigurali otkrivanje. Koriste slične metode kao i sustavi za otkrivanje upada domaćina kao što su otkrivanje sumnjivih aktivnosti i traženje poznatih obrazaca provale. No umjesto da pregledavaju zapisnike i konfiguracijske datoteke, oni gledaju mrežni promet i ispituju svaki zahtjev za povezivanje. Neke metode upada iskorištavaju poznate ranjivosti slanjem namjerno neispravnih paketa domaćinima, čineći ih da reagiraju na poseban način koji im omogućuje kršenje. Mrežni sustav otkrivanja upada lako bi otkrio ovakav pokušaj.
Neki tvrde da su NIDS bolji od HIDS-a jer otkrivaju napade čak i prije nego što dođu do vašeg sustava. Neki ih preferiraju jer ne trebaju bilo što instalirati na svaki host da bi ih učinkovito zaštitili. S druge strane, pružaju malu zaštitu od insajderskih napada koji nažalost nimalo nisu rijetki. Za otkrivanje napadač mora koristiti stazu koja prolazi kroz NIDS. Iz tih razloga, najbolja zaštita vjerojatno dolazi iz kombinacije obje vrste alata.
Metode otkrivanja prodora
Kao što postoje dvije vrste alata za otkrivanje provale, postoje i dvije različite metode za otkrivanje pokušaja provale. Otkrivanje može biti zasnovano na potpisu ili na anomaliji. Detekcija upada na temelju potpisa djeluje analizom podataka za specifične obrasce koji su povezani s pokušajima provale. To je slično tradicionalnim sustavima za zaštitu od virusa koji se oslanjaju na definicije virusa. Isto tako, otkrivanje upada na temelju potpisa oslanja se na potpise ili obrasce upada. Oni uspoređuju podatke s upadom potpisa kako bi identificirali pokušaje. Glavni im je nedostatak to što ne rade dok se odgovarajući potpisi ne prenesu u softver. Nažalost, to se obično događa tek nakon što je napadnut određeni broj strojeva i izdavači uljeza potpisa su imali vremena objaviti nove pakete za nadogradnju. Neki su dobavljači dosta brzi, dok su drugi mogli reagirati samo nekoliko dana kasnije.
Otkrivanje upada zasnovano na anomaliji, druga metoda, pruža bolju zaštitu od napada nula dana, oni koji se događaju prije bilo kojeg softvera za otkrivanje provale imali su priliku steći pravi potpis datoteka. Ovi sustavi traže anomalije umjesto da pokušavaju prepoznati poznate uzorke upada. Na primjer, oni bi se mogli pokrenuti ako je netko nekoliko puta zaredom pokušao pristupiti sustavu s pogrešnom zaporkom, što je uobičajeni znak napada grube sile. Svako sumnjivo ponašanje može se brzo otkriti. Svaka metoda otkrivanja ima svoje prednosti i nedostatke. Kao i kod vrsta alata, najbolji su alati oni koji koriste kombinaciju potpisa i analize ponašanja za najbolju zaštitu.
Prepoznavanje vs prevencija - važno razlikovanje
Raspravljali smo o sustavima za otkrivanje provale, ali mnogi od vas su možda čuli za sustave za sprečavanje provale. Jesu li dva koncepta identična? Odgovor je jednostavan, jer dvije vrste alata služe različitoj svrsi. Međutim, među njima se nešto preklapa. Kao što mu ime govori, sustav otkrivanja provale otkriva pokušaje provale i sumnjive aktivnosti. Kad nešto otkrije, obično aktivira neki oblik upozorenja ili obavijesti. Tada administratori moraju poduzeti potrebne korake za zaustavljanje ili blokiranje pokušaja provale.
Sustavi za sprječavanje upada (IPS) napravljeni su da zaustave upadne događaje u potpunosti. Active IPS uključuje komponentu otkrivanja koja će automatski pokrenuti neke popravne radnje svaki put kada se otkrije pokušaj provale. Sprečavanje prodora može biti i pasivno. Izraz se može koristiti za označavanje bilo čega što se učini ili uspostavlja kao način sprječavanja upada. Učvršćivanje lozinke, na primjer, može se smatrati mjerom za sprečavanje provale.
Najbolji alati za otkrivanje prodora domaćina
Pretražili smo na tržištu najbolje sustave za otkrivanje provale do računala. Ono što imamo za vas je kombinacija istinskog HIDS-a i drugog softvera koji, iako sami sebe, ne nazivaju sustavi za otkrivanje provale imaju komponentu za otkrivanje upada ili se mogu koristiti za otkrivanje upada pokušaja. Pogledajmo naše najbolje odabranike i pogledajte njihove najbolje značajke.
Naš prvi unos je iz SolarWinds, uobičajenog naziva u području alata za mrežno upravljanje. Tvrtka postoji već oko 20 godina i donijela nam je neke od najboljih alata za mrežnu i sistemsku administraciju. Takođe je dobro poznato da ima mnogo besplatnih alata koji rješavaju neke specifične potrebe mrežnih administratora. Dva sjajna primjera ovih besplatnih alata su Kiwi Syslog Server i Advanced Subnet Calculator.
Ne dopusti SolarWinds Log & Event ManagerPrevara ti ime. To je mnogo više od sustava upravljanja zapisima i događajima. Mnoge napredne značajke ovog proizvoda stavljaju ga u raspon sigurnosnih podataka i upravljanja događajima (SIEM). Ostale značajke ga klasificiraju kao sustav otkrivanja provale, pa čak i, u određenoj mjeri, kao sustav za sprečavanje provale. Ovaj alat, na primjer, sadrži korelaciju događaja u stvarnom vremenu i sanaciju u stvarnom vremenu.
- BESPLATNO ISPITIVANJE: SolarWinds Log & Event Manager
- Službena veza za preuzimanje:https://www.solarwinds.com/log-event-manager-software/registration
SolarWinds Log & Event Manager ima trenutno otkrivanje sumnjivih aktivnosti (IDS-ova funkcionalnost) i automatizirane odgovore (funkcionalnost slična IPS-u). Također može provesti istragu sigurnosnih događaja i forenzičke lijekove u svrhu ublažavanja i poštivanja propisa. Zahvaljujući izvještaju dokazanom revizijom, alat se također može koristiti za dokazivanje usklađenosti s HIPAA, PCI-DSS i SOX, među ostalim. Alat također ima nadzor praćenja integriteta datoteka i nadgledanje USB uređaja, što ga čini mnogo integriranijom sigurnosnom platformom nego samo sustavom za upravljanje dnevnicima i događajima.
Cijene za SolarWinds Log & Event Manager počinje od 4,585 USD za do 30 nadziranih čvorova. Licence za do 2500 čvorova mogu se kupiti što čini proizvod vrlo skalabilnim. Ako želite testirati proizvod i uvjerite se da li je pravi za vas, dostupno je besplatno cjelodnevno 30-dnevno probno razdoblje.
2. OSSEC
Sigurnost otvorenog koda, ili OSSEC, daleko je vodeći sustav za otkrivanje upada s otvorenim kodom. Proizvod je u vlasništvu tvrtke Trend Micro, jednog od vodećih imena u IT sigurnosti i proizvođača jednog od najboljih apartmana za zaštitu od virusa. Instaliran na Unix operativne sustave, softver se prvenstveno fokusira na zapisnike i konfiguracijske datoteke. Stvara kontrolne sume važnih datoteka i periodično ih potvrđuje, upozoravajući vas kad god se dogodi nešto neobično. Također će pratiti i upozoravati na svaki nenormalan pokušaj da se pristup korijenu. Na Windows domaćinima sustav također pazi na neovlaštene izmjene registra što bi mogle biti oznaka zlonamjerne aktivnosti.
Budući da je sustav za otkrivanje upada, temeljen na domaćinima, OSSEC mora biti instalirano na svako računalo koje želite zaštititi. Međutim, centralizirana konzola objedinjuje podatke sa svakog zaštićenog računala radi lakšeg upravljanja. Dok OSSEC konzola radi samo na Unix operativnim sustavima, dostupan je agent za zaštitu Windows domaćina. Svako otkrivanje pokrenuće upozorenje koje će se prikazati na centraliziranoj konzoli, dok će se obavijesti poslati i e-poštom.
3. Samhain
Samhain je još jedan dobro poznati sustav detekcije upada besplatnih računala. Njegove glavne značajke, sa stanovišta IDS-a, jesu provjera integriteta datoteke i nadzor / analiza datoteka. Ipak, djeluje i više od toga. Proizvod će izvoditi rootkit otkrivanje, nadgledanje portova, otkrivanje skitnih izvršivih SUID-ova i skrivenih procesa. Alat je dizajniran za nadgledanje više domaćina koji pokreću različite operativne sustave, istovremeno pružajući centraliziranu prijavu i održavanje. Međutim, Samhain mogu se koristiti i kao samostalni program na jednom računalu. Softver se prvenstveno izvodi na POSIX sustavima kao što su Unix, Linux ili OS X. Može se izvoditi i u sustavu Windows pod Cygwin-om, paketom koji omogućuje pokretanje POSIX aplikacija u sustavu Windows, iako je u toj konfiguraciji testiran samo nadzorni agent.
Jedan od SamhainNajosnovnija karakteristika je njegov prikriveni način koji mu omogućuje da se pokrene bez otkrivanja potencijalnih napadača. Poznato je da uljezi brzo ubijaju procese otkrivanja koje prepoznaju čim uđu u sustav prije nego što budu otkriveni, omogućujući im da prođu nezapaženo. Samhain koristi steganografske tehnike da sakrije svoje procese od drugih. Također štiti središnje datoteke dnevnika i sigurnosne kopije s PGP tipkom kako bi se spriječilo neovlašteno diranje.
4. Fail2Ban
Fail2Ban je besplatni i otvoreni izvorni sustav za otkrivanje provale domaćina koji također ima neke mogućnosti sprečavanja provale. Softverski alat prati datoteke dnevnika zbog sumnjivih aktivnosti i događaja kao što su neuspjeli pokušaji prijave, traženje iskorištavanja itd. Zadana radnja alata, kad god otkrije nešto sumnjivo, je automatsko ažuriranje lokalnih pravila vatrozida kako bi se blokirala izvorna IP adresa zlonamjernog ponašanja. U stvarnosti, to nije istinsko sprječavanje provale, već sustav za otkrivanje provale sa značajkama automatske sanacije. Ono što smo upravo opisali je zadana radnja alata, ali bilo koja druga proizvoljna radnja - poput slanja obavijesti putem e-pošte - mogu se također konfigurirati tako da se ponašaju kao "klasičnija" detekcija upada sustav.
Fail2Ban nudi se s raznim unaprijed ugrađenim filtrima za neke od najčešćih usluga kao što su Apache, SSH, FTP, Postfix i mnogi drugi. Prevencija, kako smo objasnili, provodi se izmjenom tablica vatrozida domaćina. Alat može raditi s Netfilter, IPtables ili host.deny tablom TCP Wrapper. Svaki se filtar može povezati s jednom ili više radnji.
5. POMOĆNIK
Napredno okruženje za otkrivanje provale, ili POMOĆNIK, je još jedan besplatni sustav detekcije upada domaćina Ovaj se uglavnom fokusira na otkrivanje rootkita i usporedbu potpisa datoteka. Kad ga prvotno instalirate, alat će sastaviti vrstu baze podataka administratora iz konfiguracijskih datoteka sustava. Ova se baza može tada koristiti kao početna crta s kojom se bilo kakve promjene mogu usporediti i eventualno vratiti ako je potrebno.
POMOĆNIK koristi sheme otkrivanja temeljene na potpisu i anomaliji. Ovo je alat koji se pokreće na zahtjev, a ne planira se ili kontinuirano prikazuje. Zapravo, ovo je glavni nedostatak proizvoda. No, budući da je to alat naredbenog retka, a ne da se temelji na GUI-ju, može se stvoriti posao cron koji će ga pokretati u redovitim intervalima. Ako odaberete često pokretanje alata - kao što je jednom u svakoj minuti - gotovo da ćete dobiti podatke u stvarnom vremenu i imat ćete vremena za reagiranje prije nego što je svaki pokušaj provale prebrzo prouzrokovao veliku štetu.
U svojoj srži POMOĆNIK je samo alat za usporedbu podataka, ali uz pomoć nekoliko vanjskih zakazanih skripti, može se pretvoriti u istinskog HIDS-a. Imajte na umu da je ovo, međutim, u osnovi lokalni alat. Nema centralizirano upravljanje i fancy GUI.
6. Sagan
Posljednji na našem popisu je Sagan, što je zapravo više sustav analize dnevnika nego istinski IDS. Međutim, ima neke IDS-ove značajke zbog čega zaslužuje mjesto na našoj listi. Alat lokalno nadgleda datoteke dnevnika sustava na kojima je instaliran, ali također može komunicirati s drugim alatima. Na primjer, mogao bi analizirati Snortove zapise, učinkovito dodajući NIDS funkcionalnost Snorta onome što je u biti HIDS. Neće samo komunicirati sa Snortom. Sagan može također komunicirati sa Suricata, a kompatibilan je s nekoliko alata za izgradnju pravila kao što su Oinkmaster ili Pulled Pork.
Sagan također ima mogućnosti izvršenja skripte što ga može učiniti grubim sustavom za sprečavanje upada, pod uvjetom da razvijete neke skripte za sanaciju. Iako se ovaj alat vjerojatno neće koristiti kao jedina obrana od provale, može biti sjajna komponenta sustava koja može uključiti mnoge alate povezivanjem događaja iz različitih izvori.
traži
Najnoviji Postovi
Što su DDoS napadi i kako se zaštititi od njih
Napadi distribuiranog uskraćivanja usluge (DDoS) nažalost su češći ...
5 najboljih analizatora mrežnog prometa (pregled 2020.)
Analizatori mrežnog prometa omogućuju mrežnim administratorima i up...
Najbolji alati za rješavanje problema s mrežnom izvedbom
Čini se da mreže nikada nisu dovoljno brze. Stvarno, performanse mr...