6 Beste hostgebaseerde inbraakdetectiesystemen (HIDS) in 2020

Ik zou niet te paranoïde willen klinken, hoewel ik dat waarschijnlijk wel doe, maar cybercriminaliteit is overal. Elke organisatie kan het doelwit worden van hackers die toegang proberen te krijgen tot hun gegevens. Het is daarom van primordiaal belang om de dingen in de gaten te houden en ervoor te zorgen dat we niet het slachtoffer worden van deze slechtbedoelende individuen. De allereerste verdedigingslinie is een Inbraakdetectiesysteem. Host-gebaseerd systemen passen hun detectie toe op hostniveau en zullen de meeste inbraakpogingen doorgaans snel detecteren en u onmiddellijk op de hoogte stellen, zodat u de situatie kunt verhelpen. Met zoveel hostgebaseerde inbraakdetectiesystemen beschikbaar, kan het een uitdaging lijken om het beste voor uw specifieke situatie te kiezen. Om u te helpen duidelijk te zien, hebben we een lijst samengesteld met enkele van de beste hostgebaseerde inbraakdetectiesystemen.

Voordat we de beste tools onthullen, gaan we kort opzij en kijken we naar de verschillende soorten inbraakdetectiesystemen. Sommige zijn host-gebaseerd, terwijl andere netwerk-gebaseerd zijn. We leggen de verschillen uit. Vervolgens bespreken we de verschillende methoden voor inbraakdetectie. Sommige tools hebben een op handtekeningen gebaseerde aanpak, terwijl andere op zoek zijn naar verdacht gedrag. De beste gebruiken een combinatie van beide. Voordat we verder gaan, leggen we de verschillen uit tussen systemen voor inbraakdetectie en inbraakpreventie, omdat het belangrijk is om te begrijpen waar we naar kijken. We zijn dan klaar voor de essentie van dit bericht, de beste hostgebaseerde inbraakdetectiesystemen.

Twee soorten inbraakdetectiesystemen

Er zijn in wezen twee soorten inbraakdetectiesystemen. Hoewel hun doel identiek is - het snel detecteren van een inbraakpoging of verdachte activiteit die tot een inbraakpoging kan leiden, verschillen ze op de locatie waar deze detectie wordt uitgevoerd. Dit is een concept dat vaak het handhavingspunt wordt genoemd. Elk type heeft voor- en nadelen en in het algemeen is er geen consensus over welke de voorkeur verdient. In feite is de beste oplossing - of de veiligste - waarschijnlijk een die beide combineert.

Host Intrusion Detection Systems (HIDS)

Het eerste type inbraakdetectiesysteem, waar we vandaag in geïnteresseerd zijn, werkt op hostniveau. Dat heb je misschien al geraden uit zijn naam. HIDS controleert bijvoorbeeld verschillende logbestanden en tijdschriften op tekenen van verdachte activiteiten. Een andere manier waarop ze inbraakpogingen detecteren, is door belangrijke configuratiebestanden te controleren op ongeoorloofde wijzigingen. Ze kunnen dezelfde configuratiebestanden ook onderzoeken op specifieke bekende inbraakpatronen. Het is bijvoorbeeld bekend dat een bepaalde inbraakmethode werkt door een bepaalde parameter toe te voegen aan een specifiek configuratiebestand. Een goed host-gebaseerd inbraakdetectiesysteem zou dat opvangen.

Meestal worden HIDS rechtstreeks op de apparaten geïnstalleerd die ze moeten beschermen. U moet ze op al uw computers installeren. Anderen hoeven alleen een lokale agent te installeren. Sommigen doen zelfs al hun werk op afstand. Ongeacht hoe ze werken, goede HIDS hebben een gecentraliseerde console waar u de applicatie kunt bedienen en de resultaten kunt bekijken.

Network Intrusion Detection Systems (NIDS)

Een ander type inbraakdetectiesysteem, netwerkinbraakdetectiesystemen of NIDS, werkt aan de netwerkgrens om detectie af te dwingen. Ze gebruiken vergelijkbare methoden als hostinbraakdetectiesystemen, zoals het detecteren van verdachte activiteiten en het zoeken naar bekende inbraakpatronen. Maar in plaats van naar logboeken en configuratiebestanden te kijken, bekijken ze het netwerkverkeer en onderzoeken ze alle verbindingsverzoeken. Sommige indringingsmethoden maken gebruik van bekende kwetsbaarheden door doelbewust misvormde pakketten naar hosts te sturen, waardoor ze op een bepaalde manier reageren waardoor ze kunnen worden geschonden. Een netwerkinbraakdetectiesysteem zou dit soort pogingen gemakkelijk kunnen detecteren.

Sommigen beweren dat NIDS beter zijn dan HIDS omdat ze aanvallen detecteren zelfs voordat ze bij uw systemen komen. Sommigen geven er de voorkeur aan omdat ze niet hoeven te worden geïnstalleerd op elke host om ze effectief te beschermen. Aan de andere kant bieden ze weinig bescherming tegen aanvallen van binnenuit, die helaas helemaal niet ongebruikelijk zijn. Om te worden gedetecteerd, moet een aanvaller een pad gebruiken dat door de NIDS loopt. Om deze redenen komt de beste bescherming waarschijnlijk van het gebruik van een combinatie van beide soorten tools.

Inbraakdetectiemethoden

Net zoals er twee soorten inbraakdetectietools zijn, zijn er hoofdzakelijk twee verschillende methoden die worden gebruikt om inbraakpogingen te detecteren. Detectie kan op handtekening of op anomalie zijn gebaseerd. Op handtekeningen gebaseerde inbraakdetectie werkt door gegevens te analyseren op specifieke patronen die zijn geassocieerd met inbraakpogingen. Dit is vergelijkbaar met traditionele virusbeveiligingssystemen die afhankelijk zijn van virusdefinities. Evenzo is op handtekening gebaseerde inbraakdetectie gebaseerd op handtekening of patronen voor inbraak. Ze vergelijken gegevens met indringersignaturen om pogingen te identificeren. Hun grootste nadeel is dat ze pas werken als de juiste handtekeningen zijn geüpload naar de software. Helaas gebeurt dit meestal pas nadat een bepaald aantal machines is aangevallen en uitgevers van indringersignaturen de tijd hebben gehad om nieuwe updatepakketten te publiceren. Sommige leveranciers zijn vrij snel, terwijl andere pas dagen later konden reageren.

Anomalie-gebaseerde inbraakdetectie, de andere methode, biedt betere bescherming tegen zero-day-aanvallen, degenen die plaatsvinden voordat er software voor inbraakdetectie is geweest, hebben de kans gekregen om de juiste handtekening te verkrijgen het dossier. Deze systemen zoeken naar afwijkingen in plaats van bekende indringingspatronen te proberen te herkennen. Ze kunnen bijvoorbeeld worden geactiveerd als iemand meerdere keren achter elkaar probeert toegang te krijgen tot een systeem met een verkeerd wachtwoord, een veelvoorkomend teken van een brute force-aanval. Elk verdacht gedrag kan snel worden opgespoord. Elke detectiemethode heeft zijn voor- en nadelen. Net als bij de soorten tools, zijn de beste tools die welke een combinatie van handtekening- en gedragsanalyse gebruiken voor de beste bescherming.

Detectie versus preventie - een belangrijk onderscheid

We hebben het gehad over inbraakdetectiesystemen, maar velen van jullie hebben misschien gehoord van inbraakpreventiesystemen. Zijn de twee concepten identiek? Het gemakkelijke antwoord is nee, aangezien de twee soorten gereedschappen een ander doel dienen. Er is echter enige overlap tussen beide. Zoals de naam al aangeeft, detecteert het inbraakdetectiesysteem inbraakpogingen en verdachte activiteiten. Wanneer het iets detecteert, activeert het meestal een vorm van waarschuwing of melding. Beheerders moeten dan de nodige stappen ondernemen om de inbraakpoging te stoppen of te blokkeren.

Inbraakpreventiesystemen (IPS) zijn gemaakt om inbraken te voorkomen. Actieve IPS bevat een detectiecomponent die automatisch een herstelactie activeert wanneer een inbraakpoging wordt gedetecteerd. Inbraakpreventie kan ook passief zijn. De term kan worden gebruikt om te verwijzen naar alles wat wordt gedaan of ingevoerd om indringers te voorkomen. Het verharden van wachtwoorden kan bijvoorbeeld worden gezien als een maatregel voor inbraakpreventie.

De beste hostinbraakdetectietools

We hebben de markt afgezocht naar de beste hostgebaseerde inbraakdetectiesystemen. Wat we voor je hebben is een mix van echte HIDS en andere software die, hoewel ze zichzelf niet noemen inbraakdetectiesystemen, hebben een inbraakdetectiecomponent of kunnen worden gebruikt om inbraak te detecteren pogingen. Laten we onze topkeuzes eens bekijken en hun beste eigenschappen bekijken.

Onze eerste vermelding is afkomstig van SolarWinds, een veel voorkomende naam op het gebied van netwerkbeheertools. Het bedrijf bestaat al ongeveer 20 jaar en heeft ons enkele van de beste tools voor netwerk- en systeembeheer opgeleverd. Het is ook bekend om de vele gratis tools die voorzien in een aantal specifieke behoeften van netwerkbeheerders. Twee geweldige voorbeelden van deze gratis tools zijn de Kiwi Syslog Server en de Advanced Subnet Calculator.

Laat het niet SolarWinds Log & Event ManagerDe naam houdt je voor de gek. Het is veel meer dan alleen een log- en evenementenbeheersysteem. Veel van de geavanceerde functies van dit product maken het onderdeel van het Security Information and Event Management (SIEM) -bereik. Andere kenmerken kwalificeren het als een inbraakdetectiesysteem en zelfs tot op zekere hoogte als een inbraakpreventiesysteem. Deze tool biedt bijvoorbeeld real-time correlatie van gebeurtenissen en real-time herstel.

• GRATIS PROEF: SolarWinds Log & Event Manager
• Officiële downloadlink:https://www.solarwinds.com/log-event-manager-software/registration

De SolarWinds Log & Event Manager biedt onmiddellijke detectie van verdachte activiteiten (een IDS-achtige functionaliteit) en geautomatiseerde reacties (een IPS-achtige functionaliteit). Het kan ook beveiligingsgebeurtenisonderzoek en forensisch onderzoek uitvoeren voor zowel mitigatie- als nalevingsdoeleinden. Dankzij de audit-bewezen rapportage kan de tool ook worden gebruikt om de naleving van onder andere HIPAA, PCI-DSS en SOX aan te tonen. De tool heeft ook monitoring van bestandsintegriteit en monitoring van USB-apparaten, waardoor het veel meer een geïntegreerd beveiligingsplatform is dan alleen een log- en gebeurtenisbeheersysteem.

Prijsstelling voor de SolarWinds Log & Event Manager begint bij $ 4.585 voor maximaal 30 bewaakte knooppunten. Er kunnen licenties worden aangeschaft voor maximaal 2500 knooppunten, waardoor het product zeer schaalbaar is. Als u het product wilt uitproberen en zelf wilt zien of het geschikt voor u is, er is een gratis, volledig uitgeruste proefversie van 30 dagen beschikbaar.

2. OSSEC

Open source beveiliging, of OSSEC, is verreweg het toonaangevende open-source hostgebaseerde inbraakdetectiesysteem. Het product is eigendom van Trend Micro, een van de toonaangevende namen in IT-beveiliging en maker van een van de beste antivirusprogramma's. Bij installatie op Unix-achtige besturingssystemen richt de software zich voornamelijk op log- en configuratiebestanden. Het maakt checksums van belangrijke bestanden en valideert ze periodiek, zodat u wordt gewaarschuwd wanneer er iets vreemds gebeurt. Het zal ook elke abnormale poging om root-toegang te krijgen volgen en waarschuwen. Op Windows-hosts houdt het systeem ook een oogje in het zeil voor ongeoorloofde registerwijzigingen die een duidelijk teken kunnen zijn van kwaadaardige activiteiten.

Omdat het een op een host gebaseerd inbraakdetectiesysteem is, OSSEC moet worden geïnstalleerd op elke computer die u wilt beschermen. Een gecentraliseerde console consolideert echter informatie van elke beveiligde computer voor eenvoudiger beheer. Terwijl de OSSEC console werkt alleen op Unix-achtige besturingssystemen, er is een agent beschikbaar om Windows-hosts te beschermen. Elke detectie activeert een waarschuwing die wordt weergegeven op de centrale console, terwijl meldingen ook per e-mail worden verzonden.

3. Samhain

Samhain is een ander bekend gratis inbraakdetectiesysteem voor hosts. De belangrijkste kenmerken, vanuit het oogpunt van IDS, zijn controle van de bestandsintegriteit en controle / analyse van logbestanden. Het doet echter veel meer dan dat. Het product zal rootkit-detectie, poortbewaking, detectie van frauduleuze SUID-uitvoerbare bestanden en verborgen processen uitvoeren. De tool is ontworpen om meerdere hosts met verschillende besturingssystemen te monitoren en biedt tegelijkertijd centrale logging en onderhoud. Echter, Samhain kan ook worden gebruikt als een stand-alone applicatie op een enkele computer. De software draait voornamelijk op POSIX-systemen zoals Unix, Linux of OS X. Het kan ook op Windows worden uitgevoerd onder Cygwin, een pakket waarmee POSIX-toepassingen op Windows kunnen worden uitgevoerd, hoewel alleen de monitoring agent in die configuratie is getest.

Een van de SamhainDe meest unieke functie is de stealth-modus, waardoor deze kan worden uitgevoerd zonder te worden opgemerkt door potentiële aanvallers. Het is bekend dat indringers detectieprocessen die ze herkennen snel doden zodra ze een systeem binnengaan voordat ze worden gedetecteerd, waardoor ze onopgemerkt blijven. Samhain gebruikt steganografische technieken om zijn processen voor anderen te verbergen. Het beschermt ook zijn centrale logbestanden en configuratieback-ups met een PGP-sleutel om manipulatie te voorkomen.

4. Fail2Ban

Fail2Ban is een gratis en open-source hostinbraakdetectiesysteem dat ook enkele mogelijkheden voor inbraakpreventie biedt. De softwaretool controleert logbestanden op verdachte activiteiten en gebeurtenissen zoals mislukte inlogpogingen, misbruik zoeken, enz. De standaardactie van de tool, wanneer deze iets verdachts detecteert, is om automatisch de lokale firewallregels bij te werken om het bron-IP-adres van het schadelijke gedrag te blokkeren. In werkelijkheid is dit geen echte inbraakpreventie, maar eerder een inbraakdetectiesysteem met automatische herstelfuncties. Wat we zojuist hebben beschreven, is de standaardactie van de tool, maar elke andere willekeurige actie, zoals verzenden e-mailmeldingen - kunnen ook worden geconfigureerd, waardoor het zich gedraagt ​​als een meer "klassieke" inbraakdetectie systeem.

Fail2Ban wordt aangeboden met verschillende vooraf gebouwde filters voor enkele van de meest voorkomende services zoals Apache, SSH, FTP, Postfix en nog veel meer. Preventie, zoals we hebben uitgelegd, wordt uitgevoerd door de firewalltabellen van de host te wijzigen. De tool kan werken met Netfilter, IPtables of de hosts.deny-tabel van TCP Wrapper. Elk filter kan worden geassocieerd met een of meer acties.

5. ASSISTENT

De Geavanceerde inbraakdetectieomgeving, of ASSISTENT, is een ander gratis hostinbraakdetectiesysteem. Dit systeem richt zich voornamelijk op rootkitdetectie en vergelijking van bestandshandtekeningen. Wanneer u het voor het eerst installeert, zal de tool een soort database met beheerdersgegevens samenstellen uit de configuratiebestanden van het systeem. Deze database kan vervolgens worden gebruikt als basislijn waarmee elke wijziging kan worden vergeleken en eventueel teruggedraaid.

ASSISTENT maakt gebruik van zowel op handtekeningen gebaseerde als op anomalie gebaseerde detectieschema's. Dit is een tool die op aanvraag wordt uitgevoerd en niet gepland of continu actief is. Dit is zelfs het grootste nadeel van het product. Omdat het echter een opdrachtregelprogramma is in plaats van dat het op GUI is gebaseerd, kan een cron-taak worden gemaakt om deze met regelmatige tussenpozen uit te voeren. Als u ervoor kiest om de tool regelmatig uit te voeren, zoals één keer per minuut, krijgt u bijna realtime gegevens en heeft u de tijd om te reageren voordat een poging tot inbraak te ver is gegaan en veel schade heeft aangericht.

In de kern ASSISTENT is slechts een tool voor gegevensvergelijking, maar met behulp van een paar externe geplande scripts kan het worden omgezet in een echte HIDS. Houd er echter rekening mee dat dit in wezen een lokale tool is. Het heeft geen gecentraliseerd beheer en geen luxe GUI.

6. Sagan

De laatste op onze lijst is Sagan, wat eigenlijk meer een loganalysesysteem is dan een echte IDS. Het heeft echter enkele IDS-achtige functies en daarom verdient het een plaats op onze lijst. De tool bekijkt lokaal de logbestanden van het systeem waarop deze is geïnstalleerd, maar kan ook communiceren met andere tools. Het kan bijvoorbeeld de logboeken van Snort analyseren, waardoor de NIDS-functionaliteit van Snort effectief wordt toegevoegd aan wat in wezen een HIDS is. Het werkt niet alleen met Snort. Sagan kan ook communiceren met Suricata en het is compatibel met verschillende tools voor het bouwen van regels, zoals Oinkmaster of Pulled Pork.

Sagan heeft ook mogelijkheden voor het uitvoeren van scripts die het tot een grof systeem voor het voorkomen van indringers kunnen maken, op voorwaarde dat u enkele herstelscripts ontwikkelt. Hoewel deze tool waarschijnlijk niet als enige verdediging tegen inbraak wordt gebruikt, kan het een geweldig onderdeel van een systeem dat veel tools kan bevatten door gebeurtenissen van verschillende te correleren bronnen.