6 Melhores Sistemas de Detecção de Intrusão (HIDS) baseados em host em 2020
Eu não gostaria de parecer muito paranóico, embora provavelmente o faça, mas a cibercriminalidade está em toda parte. Toda organização pode se tornar alvo de hackers que tentam acessar seus dados. Portanto, é primordial ficar de olho nas coisas e garantir que não sejamos vítimas desses indivíduos mal intencionados. A primeira linha de defesa é uma Sistema de Detecção de Intrusão. Baseado em host os sistemas aplicam sua detecção no nível do host e normalmente detectam a maioria das tentativas de invasão rapidamente e o notificam imediatamente para que você possa remediar a situação. Com tantos sistemas de detecção de intrusão baseados em host disponíveis, escolher o melhor para sua situação específica pode parecer um desafio. Para ajudar você a ver com clareza, montamos uma lista dos melhores sistemas de detecção de intrusão baseados em host.
Antes de revelar as melhores ferramentas, desviaremos brevemente e daremos uma olhada nos diferentes tipos de sistemas de detecção de intrusão. Alguns são baseados em host, enquanto outros são baseados em rede. Vamos explicar as diferenças. Discutiremos os diferentes métodos de detecção de intrusão. Algumas ferramentas têm uma abordagem baseada em assinaturas, enquanto outras estão à procura de comportamentos suspeitos. Os melhores usam uma combinação de ambos. Antes de continuar, explicaremos as diferenças entre os sistemas de detecção e prevenção de invasões, pois é importante entender o que estamos vendo. Estaremos prontos para a essência desta postagem, os melhores sistemas de detecção de intrusão baseados em host.
Dois tipos de sistemas de detecção de intrusão
Existem essencialmente dois tipos de sistemas de detecção de intrusão. Embora o objetivo seja idêntico - detectar rapidamente qualquer tentativa de invasão ou atividade suspeita que possa levar a uma tentativa de invasão, eles diferem no local em que essa detecção é realizada. Esse é um conceito geralmente chamado de ponto de execução. Cada tipo tem vantagens e desvantagens e, de um modo geral, não há consenso sobre qual deles é preferível. De fato, a melhor solução - ou a mais segura - é provavelmente aquela que combina as duas coisas.
Sistemas de detecção de intrusão de host (HIDS)
O primeiro tipo de sistema de detecção de intrusões, o que estamos interessados hoje, opera no nível do host. Você deve ter adivinhado isso pelo nome. O HIDS verifica, por exemplo, vários arquivos de registro e diários quanto a sinais de atividades suspeitas. Outra maneira de detectar tentativas de invasão é verificar os arquivos de configuração importantes em busca de alterações não autorizadas. Eles também podem examinar os mesmos arquivos de configuração para padrões específicos de intrusão conhecidos. Por exemplo, um método de intrusão específico pode funcionar, adicionando um determinado parâmetro a um arquivo de configuração específico. Um bom sistema de detecção de intrusões baseado em host capturaria isso.
Na maioria das vezes, o HIDS é instalado diretamente nos dispositivos que eles devem proteger. Você precisará instalá-los em todos os seus computadores. Outros exigirão apenas a instalação de um agente local. Alguns até fazem todo o seu trabalho remotamente. Não importa como eles operem, os bons HIDS têm um console centralizado onde você pode controlar o aplicativo e visualizar seus resultados.
Sistemas de detecção de intrusão de rede (NIDS)
Outro tipo de sistema de detecção de intrusão chamado NIDS (Network Intrusion Detection Systems), trabalha na fronteira da rede para impor a detecção. Eles usam métodos semelhantes aos sistemas de detecção de intrusão do host, como a detecção de atividades suspeitas e a procura de padrões de intrusão conhecidos. Mas, em vez de examinar logs e arquivos de configuração, eles observam o tráfego da rede e examinam todas as solicitações de conexão. Alguns métodos de intrusão exploram vulnerabilidades conhecidas enviando pacotes propositalmente malformados aos hosts, fazendo-os reagir de uma maneira específica que permite que eles sejam violados. Um sistema de detecção de intrusão na rede detectaria facilmente esse tipo de tentativa.
Alguns argumentam que o NIDS é melhor que o HIDS, pois eles detectam ataques antes mesmo de chegarem aos seus sistemas. Alguns os preferem porque não exigem que nada seja instalado em cada host para protegê-los efetivamente. Por outro lado, eles fornecem pouca proteção contra ataques internos, que infelizmente não são incomuns. Para ser detectado, um invasor deve usar um caminho que passe pelo NIDS. Por esses motivos, a melhor proteção provavelmente vem do uso de uma combinação dos dois tipos de ferramentas.
Métodos de detecção de intrusão
Assim como existem dois tipos de ferramentas de detecção de intrusão, existem principalmente dois métodos diferentes usados para detectar tentativas de invasão. A detecção pode ser baseada em assinatura ou em anomalia. A detecção de intrusões com base em assinaturas funciona analisando os dados para padrões específicos que foram associados a tentativas de invasão. Isso é semelhante aos sistemas tradicionais de proteção contra vírus, que dependem das definições de vírus. Da mesma forma, a detecção de intrusão baseada em assinatura depende de assinaturas ou padrões de intrusão. Eles comparam dados com assinaturas de intrusão para identificar tentativas. A principal desvantagem é que eles não funcionam até que as assinaturas apropriadas sejam carregadas no software. Infelizmente, isso normalmente acontece somente após um certo número de máquinas ter sido atacado e os editores de assinaturas de intrusão tiveram tempo para publicar novos pacotes de atualização. Alguns fornecedores são bastante rápidos, enquanto outros só podem reagir dias depois.
A detecção de intrusão com base em anomalias, o outro método, fornece melhor proteção contra ataques de dia zero, aqueles que ocorrem antes de qualquer software de detecção de intrusão ter a chance de adquirir a assinatura adequada Arquivo. Esses sistemas procuram anomalias em vez de tentar reconhecer padrões de intrusão conhecidos. Por exemplo, eles poderiam ser acionados se alguém tentasse acessar um sistema com uma senha errada várias vezes seguidas, um sinal comum de um ataque de força bruta. Qualquer comportamento suspeito pode ser rapidamente detectado. Cada método de detecção tem suas vantagens e desvantagens. Assim como nos tipos de ferramentas, as melhores ferramentas são aquelas que usam uma combinação de assinatura e análise de comportamento para obter a melhor proteção.
Detecção Vs Prevenção - Uma Distinção Importante
Temos discutido sistemas de detecção de intrusões, mas muitos de vocês já devem ter ouvido falar sobre sistemas de prevenção de intrusões. Os dois conceitos são idênticos? A resposta fácil é não, pois os dois tipos de ferramenta têm um propósito diferente. Há, no entanto, alguma sobreposição entre eles. Como o próprio nome indica, o sistema de detecção de invasões detecta tentativas de invasão e atividades suspeitas. Quando detecta algo, normalmente aciona alguma forma de alerta ou notificação. Os administradores devem seguir as etapas necessárias para interromper ou bloquear a tentativa de invasão.
Os sistemas de prevenção de intrusões (IPS) são criados para impedir que as intrusões aconteçam completamente. O IPS ativo inclui um componente de detecção que acionará automaticamente alguma ação corretiva sempre que uma tentativa de invasão for detectada. A prevenção de intrusões também pode ser passiva. O termo pode ser usado para se referir a qualquer coisa que seja feita ou posta em prática como uma maneira de impedir invasões. A proteção de senha, por exemplo, pode ser considerada uma medida de prevenção de intrusões.
As melhores ferramentas de detecção de intrusão de host
Pesquisamos no mercado os melhores sistemas de detecção de intrusão baseados em host. O que temos para você é uma mistura de HIDS verdadeiros e outros softwares que, embora não se autodenominam sistemas de detecção de intrusão, possuem um componente de detecção de intrusão ou podem ser usados para detectar intrusão tentativas. Vamos analisar nossas principais opções e dar uma olhada em seus melhores recursos.
Nossa primeira entrada é do SolarWinds, um nome comum no campo das ferramentas de administração de rede. A empresa existe há cerca de 20 anos e nos trouxe algumas das melhores ferramentas de administração de redes e sistemas. Também é conhecida suas muitas ferramentas gratuitas que atendem a algumas necessidades específicas dos administradores de rede. Dois ótimos exemplos dessas ferramentas gratuitas são o Kiwi Syslog Server e a Calculadora de sub-rede avançada.
Não deixe o Gerenciador de log e eventos da SolarWindsO nome te engana. É muito mais do que apenas um sistema de gerenciamento de log e eventos. Muitos dos recursos avançados deste produto o colocam na faixa Gerenciamento de informações e eventos de segurança (SIEM). Outros recursos o qualificam como um sistema de detecção de intrusões e, até certo ponto, como um sistema de prevenção de intrusões. Essa ferramenta apresenta correlação de eventos em tempo real e correção em tempo real, por exemplo.
- TESTE GRÁTIS: Gerenciador de log e eventos da SolarWinds
- Link para download oficial:https://www.solarwinds.com/log-event-manager-software/registration
o Gerenciador de log e eventos da SolarWinds apresenta detecção instantânea de atividades suspeitas (uma funcionalidade semelhante ao IDS) e respostas automatizadas (uma funcionalidade semelhante ao IPS). Ele também pode executar investigações de eventos de segurança e forenses para fins de mitigação e conformidade. Graças aos seus relatórios comprovados por auditoria, a ferramenta também pode ser usada para demonstrar conformidade com HIPAA, PCI-DSS e SOX, entre outros. A ferramenta também possui monitoramento de integridade de arquivos e monitoramento de dispositivos USB, tornando-se muito mais uma plataforma de segurança integrada do que apenas um sistema de gerenciamento de logs e eventos.
Preços para o Gerenciador de log e eventos da SolarWinds começa em US $ 4.585 para até 30 nós monitorados. É possível adquirir licenças para até 2500 nós, tornando o produto altamente escalável. Se você deseja levar o produto para uma execução de teste e ver por si mesmo se é certo para você, está disponível uma avaliação gratuita de 30 dias com todos os recursos.
2. OSSEC
Segurança de código abertoou OSSEC, é de longe o principal sistema de detecção de intrusão baseado em host de código aberto. O produto pertence à Trend Micro, um dos principais nomes em segurança de TI e criador de um dos melhores pacotes de proteção contra vírus. Quando instalado em sistemas operacionais semelhantes ao Unix, o software se concentra principalmente nos arquivos de log e configuração. Ele cria somas de verificação de arquivos importantes e as valida periodicamente, alertando-o sempre que algo estranho acontece. Ele também monitorará e alertará sobre qualquer tentativa anormal de obter acesso root. Nos hosts Windows, o sistema também fica de olho nas modificações não autorizadas do registro, que podem ser um sinal revelador de atividade maliciosa.
Por ser um sistema de detecção de intrusões baseado em host, OSSEC precisa ser instalado em cada computador que você deseja proteger. No entanto, um console centralizado consolida as informações de cada computador protegido para facilitar o gerenciamento. Enquanto o OSSEC console é executado apenas em sistemas operacionais Unix-Like, um agente está disponível para proteger os hosts do Windows. Qualquer detecção acionará um alerta que será exibido no console centralizado, enquanto as notificações também serão enviadas por email.
3. Samhain
Samhain é outro sistema de detecção de intrusão de host gratuito bem conhecido. Suas principais características, do ponto de vista do IDS, são a verificação da integridade do arquivo e o monitoramento / análise do arquivo de log. Mas faz muito mais do que isso. O produto executará a detecção de rootkits, o monitoramento de portas, a detecção de executáveis desonestos SUID e de processos ocultos. A ferramenta foi projetada para monitorar vários hosts executando vários sistemas operacionais, fornecendo registro e manutenção centralizados. Contudo, Samhain também pode ser usado como um aplicativo independente em um único computador. O software é executado principalmente em sistemas POSIX como Unix, Linux ou OS X. Ele também pode ser executado no Windows no Cygwin, um pacote que permite a execução de aplicativos POSIX no Windows, embora apenas o agente de monitoramento tenha sido testado nessa configuração.
Um de SamhainO recurso mais exclusivo do seu modo furtivo é que ele pode ser executado sem ser detectado por possíveis invasores. Sabe-se que os invasores eliminam rapidamente os processos de detecção que reconhecem assim que entram no sistema antes de serem detectados, permitindo que eles passem despercebidos. Samhain usa técnicas esteganográficas para esconder seus processos dos outros. Ele também protege seus arquivos de log centrais e backups de configuração com uma chave PGP para evitar violações.
4. Fail2Ban
Fail2Ban é um sistema de detecção de intrusão de host gratuito e de código aberto que também possui alguns recursos de prevenção de intrusões. A ferramenta de software monitora os arquivos de log em busca de atividades e eventos suspeitos, como falhas de tentativas de login, exploração de busca etc. A ação padrão da ferramenta, sempre que detectar algo suspeito, é atualizar automaticamente as regras do firewall local para bloquear o endereço IP de origem do comportamento malicioso. Na realidade, isso não é uma prevenção verdadeira contra invasões, mas um sistema de detecção de invasões com recursos de correção automática. O que acabamos de descrever é a ação padrão da ferramenta, mas qualquer outra ação arbitrária, como enviar notificações por email - também pode ser configurado, fazendo com que se comporte como uma detecção de intrusão mais "clássica" sistema.
Fail2Ban é oferecido com vários filtros pré-criados para alguns dos serviços mais comuns, como Apache, SSH, FTP, Postfix e muitos mais. A prevenção, como explicamos, é realizada modificando as tabelas de firewall do host. A ferramenta pode trabalhar com o Netfilter, IPtables ou a tabela hosts.deny do TCP Wrapper. Cada filtro pode ser associado a uma ou várias ações.
5. AIDE
o Ambiente avançado de detecção de intrusõesou AIDE, é outro sistema de detecção de intrusão de host gratuito. Este enfoca principalmente a detecção de rootkits e comparações de assinaturas de arquivos. Quando você o instala inicialmente, a ferramenta compila uma espécie de banco de dados de dados de administrador a partir dos arquivos de configuração do sistema. Esse banco de dados pode ser usado como uma linha de base contra a qual qualquer alteração pode ser comparada e, eventualmente, revertida, se necessário.
AIDE faz uso de esquemas de detecção baseados em assinaturas e baseados em anomalias. Esta é uma ferramenta executada sob demanda e não agendada ou em execução contínua. De fato, essa é a principal desvantagem do produto. No entanto, como é uma ferramenta de linha de comando, e não baseada em GUI, um trabalho cron pode ser criado para executá-lo em intervalos regulares. Se você optar por executar a ferramenta com frequência, como uma vez a cada minuto, você quase obterá dados em tempo real e terá tempo para reagir antes que qualquer tentativa de invasão tenha ido muito longe e tenha causado muitos danos.
Em seu núcleo, AIDE é apenas uma ferramenta de comparação de dados, mas com a ajuda de alguns scripts agendados externos, ele pode ser transformado em um verdadeiro HIDS. Lembre-se de que essa é essencialmente uma ferramenta local. Não possui gerenciamento centralizado nem interface gráfica sofisticada.
6. Sagan
O último da nossa lista é Sagan, que na verdade é mais um sistema de análise de logs do que um IDS verdadeiro. No entanto, possui alguns recursos semelhantes ao IDS e é por isso que merece um lugar em nossa lista. A ferramenta observa localmente os arquivos de log do sistema em que está instalado, mas também pode interagir com outras ferramentas. Poderia, por exemplo, analisar os logs do Snort, adicionando efetivamente a funcionalidade NIDS do Snort ao que é essencialmente um HIDS. Ele não interage apenas com o Snort. Sagan também pode interagir com o Suricata e é compatível com várias ferramentas de criação de regras, como Oinkmaster ou Pulled Pork.
Sagan também possui recursos de execução de script que podem torná-lo um sistema de prevenção de intrusões bruto, desde que você desenvolva alguns scripts de correção. Embora essa ferramenta possa não ser usada como sua única defesa contra invasões, pode ser uma grande componente de um sistema que pode incorporar muitas ferramentas correlacionando eventos de diferentes fontes.
Pesquisa
Postagens Recentes
7 Melhores Sistemas de Prevenção de Intrusões (IPS) para 2020
Todo mundo quer manter os intrusos fora de casa. Da mesma forma - e...
6 Melhores ferramentas de análise de largura de banda e padrão de tráfego
Para manter as redes funcionando sem problemas, precisamos ficar de...
Melhores ferramentas para maximizar a largura de banda da rede e analisar o uso
A largura de banda da rede é uma daquelas coisas que parece que nun...