7 Melhores Sistemas de Prevenção de Intrusões (IPS) para 2020

Todo mundo quer manter os intrusos fora de casa. Da mesma forma - e por razões semelhantes, os administradores de rede se esforçam para manter os invasores fora das redes que gerenciam. Um dos ativos mais importantes de muitas das organizações de hoje são seus dados. É tão importante que muitos indivíduos mal intencionados se esforçam ao máximo para roubar esses dados. Eles fazem isso usando uma vasta gama de técnicas para obter acesso não autorizado a redes e sistemas. O número desses ataques parece ter crescido exponencialmente recentemente e, em reação, estão sendo implementados sistemas para evitá-los. Esses sistemas são chamados de Sistemas de prevenção de intrusões, ou IPS. Hoje, estamos analisando os melhores sistemas de prevenção de intrusões que pudemos encontrar.

Começaremos tentando definir melhor o que é a prevenção de intrusões. Obviamente, isso implica que também definiremos o que é invasão. Em seguida, exploraremos os diferentes métodos de detecção normalmente usados ​​e quais ações de correção são tomadas após a detecção. Em seguida, falaremos brevemente sobre prevenção passiva de intrusões. São medidas estáticas que podem ser implementadas, o que pode reduzir drasticamente o número de tentativas de invasão. Você pode se surpreender ao descobrir que alguns deles não têm nada a ver com computadores. Somente então, com todos nós na mesma página, poderemos finalmente revisar alguns dos melhores sistemas de prevenção de intrusões que pudemos encontrar.

Prevenção de intrusões - O que é isso tudo?

Anos atrás, os vírus eram praticamente as únicas preocupações dos administradores de sistema. Os vírus chegaram a um ponto em que eram tão comuns que a indústria reagiu desenvolvendo ferramentas de proteção contra vírus. Hoje, nenhum usuário sério, em sã consciência, pensaria em executar um computador sem proteção contra vírus. Enquanto não ouvimos mais muitos vírus, a invasão - ou o acesso não autorizado a seus dados por usuários mal-intencionados - é a nova ameaça. Como os dados costumam ser o ativo mais importante de uma organização, as redes corporativas se tornaram alvo de hackers mal intencionados, que se esforçam ao máximo para obter acesso aos dados. Assim como o software de proteção contra vírus foi a resposta para a proliferação de vírus, o Intrusion Prevention Systems é a resposta para ataques de invasores.

Os sistemas de prevenção de intrusões fazem basicamente duas coisas. Primeiro, eles detectam tentativas de invasão e, quando detectam atividades suspeitas, usam métodos diferentes para pará-lo ou bloqueá-lo. Existem duas maneiras diferentes de detectar tentativas de invasão. A detecção baseada em assinatura funciona analisando o tráfego e os dados da rede e procurando padrões específicos associados às tentativas de invasão. Isso é semelhante aos sistemas tradicionais de proteção contra vírus, que dependem das definições de vírus. A detecção de intrusão baseada em assinatura depende de assinaturas ou padrões de intrusão. A principal desvantagem desse método de detecção é que ele precisa que as assinaturas adequadas sejam carregadas no software. E quando um novo método de ataque, geralmente há um atraso antes da atualização das assinaturas de ataque. Alguns fornecedores são muito rápidos em fornecer assinaturas de ataque atualizadas, enquanto outros são muito mais lentos. Com que frequência e com que rapidez as assinaturas são atualizadas é um fator importante a ser considerado ao escolher um fornecedor.

A detecção baseada em anomalias oferece melhor proteção contra ataques de dia zero, aqueles que ocorrem antes das assinaturas de detecção terem a chance de serem atualizadas. O processo procura anomalias em vez de tentar reconhecer padrões de intrusão conhecidos. Por exemplo, seria acionado se alguém tentasse acessar um sistema com uma senha errada várias vezes seguidas, um sinal comum de um ataque de força bruta. Este é apenas um exemplo e normalmente existem centenas de atividades suspeitas diferentes que podem acionar esses sistemas. Ambos os métodos de detecção têm suas vantagens e desvantagens. As melhores ferramentas são aquelas que usam uma combinação de análise de assinatura e comportamento para obter a melhor proteção.

Detectar tentativas de invasão é a primeira parte da prevenção. Uma vez detectados, os Sistemas de Prevenção de Intrusões trabalham ativamente para interromper as atividades detectadas. Várias ações corretivas diferentes podem ser realizadas por esses sistemas. Eles poderiam, por exemplo, suspender ou desativar as contas de usuário. Outra ação típica é bloquear o endereço IP de origem do ataque ou modificar as regras do firewall. Se a atividade maliciosa vier de um processo específico, o sistema de prevenção poderá interromper o processo. Iniciar algum processo de proteção é outra reação comum e, nos piores casos, sistemas inteiros podem ser desligados para limitar possíveis danos. Outra tarefa importante da Intrusion Prevention Systems é alertar os administradores, registrar o evento e relatar atividades suspeitas.

Medidas passivas de prevenção de intrusões

Embora os Sistemas de prevenção de intrusões possam protegê-lo contra vários tipos de ataques, nada supera as boas e antiquadas medidas de prevenção de invasões passivas. Por exemplo, exigir senhas fortes é uma excelente maneira de se proteger contra muitas invasões. Outra medida de proteção fácil é alterar as senhas padrão do equipamento. Embora seja menos frequente nas redes corporativas, embora não seja algo inédito, tenho visto com muita frequência gateways da Internet que ainda tinham a senha de administrador padrão. Enquanto o assunto das senhas, o envelhecimento da senha é outra etapa concreta que pode ser implementada para reduzir as tentativas de invasão. Qualquer senha, mesmo a melhor, pode eventualmente ser quebrada, com tempo suficiente. O envelhecimento da senha garante que as senhas sejam alteradas antes de serem quebradas.

Havia apenas exemplos do que poderia ser feito para evitar passivamente invasões. Poderíamos escrever um post inteiro sobre quais medidas passivas podem ser adotadas, mas esse não é nosso objetivo hoje. Nosso objetivo é apresentar alguns dos melhores sistemas ativos de prevenção de intrusões.

Os melhores sistemas de prevenção de intrusões

Nossa lista contém uma mistura de várias ferramentas que podem ser usadas para proteger contra tentativas de invasão. A maioria das ferramentas incluídas são verdadeiros sistemas de prevenção de intrusões, mas também estamos incluindo ferramentas que, embora não sejam comercializadas como tal, podem ser usadas para evitar invasões. Nossa primeira entrada é um exemplo. Lembre-se de que, mais do que tudo, sua escolha de qual ferramenta usar deve ser orientada por quais são suas necessidades específicas. Então, vamos ver o que cada uma das nossas principais ferramentas tem a oferecer.

SolarWinds é um nome conhecido na administração de rede. Goza de uma sólida reputação por criar algumas das melhores ferramentas de administração de rede e sistema. Seu principal produto, o Network Performance Monitor, pontua consistentemente entre as principais ferramentas de monitoramento de largura de banda de rede disponíveis. O SolarWinds também é famoso por suas muitas ferramentas gratuitas, cada uma abordando uma necessidade específica de administradores de rede. O servidor Kiwi Syslog ou o servidor SolarWinds TFTP são dois excelentes exemplos dessas ferramentas gratuitas.

Não deixe o Gerenciador de log e eventos da SolarWindsO nome te engana. Há muito mais do que aparenta. Alguns dos recursos avançados deste produto o qualificam como um sistema de detecção e prevenção de intrusões, enquanto outros o colocam na faixa de Gerenciamento de informações e eventos de segurança (SIEM). A ferramenta, por exemplo, apresenta correlação de eventos em tempo real e correção em tempo real.

• TESTE GRÁTIS: Gerenciador de log e eventos da SolarWinds
• Link para download oficial: https://www.solarwinds.com/log-event-manager-software/registration

o Gerenciador de log e eventos da SolarWinds possui detecção instantânea de atividades suspeitas (uma funcionalidade de detecção de intrusões) e respostas automatizadas (uma funcionalidade de prevenção de intrusões). Essa ferramenta também pode ser usada para executar investigação e forense de eventos de segurança. Pode ser usado para fins de mitigação e conformidade. A ferramenta apresenta relatórios comprovados por auditoria que também podem ser usados ​​para demonstrar conformidade com várias estruturas regulatórias, como HIPAA, PCI-DSS e SOX. A ferramenta também possui monitoramento de integridade de arquivos e monitoramento de dispositivos USB. Todos os recursos avançados do software o tornam mais uma plataforma de segurança integrada do que apenas o sistema de gerenciamento de logs e eventos em que o nome levaria você a acreditar.

Os recursos de Prevenção de intrusões do Gerenciador de log e eventos da SolarWinds funciona implementando ações chamadas Respostas ativas sempre que ameaças são detectadas. Respostas diferentes podem ser vinculadas a alertas específicos. Por exemplo, o sistema pode gravar em tabelas de firewall para bloquear o acesso à rede de um endereço IP de origem que foi identificado como executando atividades suspeitas. A ferramenta também pode suspender contas de usuário, interromper ou iniciar processos e desligar sistemas. Você se lembrará de como essas são precisamente as ações de correção que identificamos antes.

Preços para o Gerenciador de log e eventos da SolarWinds varia de acordo com o número de nós monitorados. Os preços começam em US $ 4.585 para até 30 nós monitorados e as licenças para até 2500 nós podem ser adquiridas, tornando o produto altamente escalável. Se você deseja levar o produto para uma execução de teste e ver por si mesmo se é certo para você, um avaliação gratuita de 30 dias com todos os recursos está disponível.

2. Splunk

Splunk é provavelmente um dos mais populares sistemas de prevenção de intrusões. Está disponível em várias edições diferentes, com diferentes conjuntos de recursos. Splunk Enterprise Security-ou Splunk ES, como costuma ser chamado - é o que você precisa para uma verdadeira prevenção de intrusões. O software monitora os dados do seu sistema em tempo real, procurando vulnerabilidades e sinais de atividade anormal.

A resposta de segurança é um dos pontos fortes do produto e o torna um sistema de prevenção de intrusões. Ele usa o que o fornecedor chama de ARF (Adaptive Response Framework). Ele se integra a equipamentos de mais de 55 fornecedores de segurança e pode executar respostas automatizadas, agilizando tarefas manuais. Essa combinação, se a correção automatizada e a intervenção manual puderem oferecer as melhores chances de ganhar rapidamente a vantagem. A ferramenta possui uma interface de usuário simples e organizada, criando uma solução vencedora. Outros recursos interessantes de proteção incluem a função “Notáveis”, que mostra personalizável pelo usuário alertas e o “Asset Investigator” por sinalizar atividades maliciosas e impedir mais problemas

Splunk Enterprise SecurityAs informações de preços da empresa não estão prontamente disponíveis. Você precisará entrar em contato com as vendas da Splunk para obter uma cotação detalhada. Este é um ótimo produto para o qual está disponível uma avaliação gratuita.

3. Sagan

Sagan é basicamente um sistema de detecção de intrusão gratuito. No entanto, a ferramenta que possui recursos de execução de script pode colocá-la na categoria Sistemas de Prevenção de Intrusões. Sagan detecta tentativas de invasão através do monitoramento de arquivos de log. Você também pode combinar Sagan com Snort, que pode alimentar sua saída para Sagan fornecendo à ferramenta alguns recursos de detecção de intrusão baseados em rede. De fato, Sagan pode receber informações de muitas outras ferramentas, como Bro ou Suricata, combinando os recursos de várias ferramentas para a melhor proteção possível.

Existe um problema para SaganOs recursos de execução de script, no entanto. Você precisa escrever os scripts de correção. Embora essa ferramenta possa não ser melhor usada como sua única defesa contra invasões, ela pode ser um componente essencial de um sistema que incorpora várias ferramentas, correlacionando eventos de diferentes fontes, oferecendo o melhor de muitos produtos.

Enquanto Sagan só pode ser instalado no Linux, Unix e Mac OS, ele pode se conectar aos sistemas Windows para obter seus eventos. Outras características interessantes do Sagan incluem rastreamento de localização de endereço IP e processamento distribuído.

4. OSSEC

Segurança de código abertoou OSSEC, é um dos principais sistemas de detecção de intrusão baseados em host de código aberto. Nós o incluímos em nossa lista por dois motivos. Sua popularidade é tanta que precisamos incluí-la, principalmente considerando que a ferramenta permite especificar ações que são executados automaticamente sempre que alertas específicos são acionados, oferecendo alguns recursos de prevenção de intrusões. OSSEC pertence à Trend Micro, um dos principais nomes em segurança de TI e criador de um dos melhores pacotes de proteção contra vírus.

Quando instalado em sistemas operacionais semelhantes ao Unix, o mecanismo de detecção do software se concentra principalmente nos arquivos de log e configuração. Ele cria somas de verificação de arquivos importantes e os verifica periodicamente, alertando ou desencadeando uma ação corretiva sempre que algo estranho acontece. Ele também monitorará e alertará sobre qualquer tentativa anormal de obter acesso root. No Windows, o sistema também fica de olho nas modificações não autorizadas do registro, pois podem ser o sinal revelador de atividade maliciosa. Qualquer detecção acionará um alerta que será exibido no console centralizado, enquanto as notificações também serão enviadas por email.

OSSEC é um sistema de proteção contra invasões baseado em host. Como tal, ele precisa ser instalado em cada computador que você deseja proteger. No entanto, um console centralizado consolida as informações de cada computador protegido para facilitar o gerenciamento. o OSSEC O console é executado apenas em sistemas operacionais Unix-Like, mas um agente está disponível para proteger os hosts do Windows. Como alternativa, outras ferramentas, como Kibana ou Graylog, podem ser usadas como o front end da ferramenta.

5. Abra o WIPS-NG

Não tínhamos certeza se deveríamos incluir Open WIPS NG na nossa lista. Mais sobre isso em um momento. Foi criado principalmente porque é um dos únicos produtos que segmenta especificamente redes sem fio. Open WIPS NG–Onde WIPS significa Wireless Intrusion Prevention System - é uma ferramenta de código aberto composta por três componentes principais. Primeiro, existe o sensor. Esse é um processo idiota que simplesmente captura o tráfego sem fio e o envia ao servidor para análise. Como você provavelmente já adivinhou, o próximo componente é o servidor. Ele agrega dados de todos os sensores, analisa os dados coletados e responde a ataques. Este componente é o coração do sistema. Por último, mas não menos importante, é o componente da interface, que é a GUI que você usa para gerenciar o servidor e exibir informações sobre ameaças encontradas na sua rede sem fio.

A principal razão pela qual hesitamos antes de incluir Open WIPS NG na nossa lista, que, por melhor que seja, nem todo mundo gosta do desenvolvedor do produto. É do mesmo desenvolvedor que o Aircrack NG, um farejador de pacotes sem fio e quebra de senha que faz parte do kit de ferramentas de todos os hackers de WiFi. Isso abre o debate sobre a ética do desenvolvedor e torna alguns usuários cautelosos. Por outro lado, o histórico do desenvolvedor pode ser visto como uma prova de seu profundo conhecimento de segurança Wi-Fi.

6. Fail2Ban

Fail2Ban é um sistema de detecção de intrusão de host gratuito relativamente popular, com recursos de prevenção de intrusões. O software funciona monitorando os arquivos de log do sistema em busca de eventos suspeitos, como falhas de tentativas de login ou explorações de buscas. Quando o sistema detecta algo suspeito, ele reage atualizando automaticamente as regras do firewall local para bloquear o endereço IP de origem do comportamento malicioso. Obviamente, isso implica que algum processo de firewall está sendo executado na máquina local. Essa é a principal desvantagem da ferramenta. No entanto, qualquer outra ação arbitrária - como executar algum script corretivo ou enviar notificações por email - pode ser configurada.

Fail2Ban é fornecido com vários gatilhos de detecção pré-criados chamados filtros, cobrindo alguns dos serviços mais comuns, como Apache, Courrier, SSH, FTP, Postfix e muitos mais. Como dissemos, as ações de correção são realizadas modificando as tabelas de firewall do host. Fail2Ban suporta Netfilter, IPtables ou a tabela hosts.deny do TCP Wrapper. Cada filtro pode ser associado a uma ou várias ações. Juntos, filtros e ações são chamados de prisão.

7. Monitor de segurança de rede Bro

o Monitor de segurança de rede Bro é outro sistema de detecção de intrusão de rede gratuito com funcionalidade semelhante a IPS. Ele funciona em duas fases, primeiro registra o tráfego e depois o analisa. Essa ferramenta opera em várias camadas até a camada do aplicativo, o que é responsável por uma melhor detecção de tentativas de invasão divididas. O módulo de análise do produto é composto por dois elementos. O primeiro elemento é chamado de Mecanismo de Eventos e tem como objetivo rastrear eventos acionadores, como conexões TCP ou solicitações HTTP. Os eventos são então analisados ​​pelos scripts de política, o segundo elemento. O trabalho dos scripts de política é decidir se deve acionar um alarme, iniciar uma ação ou ignorar o evento. É a possibilidade de iniciar uma ação que dê ao Monitor de segurança de rede Bro sua funcionalidade IPS.

o Monitor de segurança de rede Bro tem algumas limitações. Ele rastreará apenas as atividades HTTP, DNS e FTP e também monitorará o tráfego SNMP. Isso é bom, no entanto, porque o SNMP é frequentemente usado para monitoramento de rede, apesar de suas graves falhas de segurança. O SNMP quase não possui segurança interna e usa tráfego não criptografado. E como o protocolo pode ser usado para modificar configurações, ele pode ser facilmente explorado por usuários mal-intencionados. O produto também acompanhará as alterações na configuração do dispositivo e as armadilhas SNMP. Ele pode ser instalado no Unix, Linux e OS X, mas não está disponível para Windows, o que talvez seja sua principal desvantagem. Caso contrário, é uma ferramenta muito interessante que vale a pena tentar.