Sieťové systémy detekcie narušenia: 5 najlepších nástrojov NIDS, ktoré sa majú použiť

Zdá sa, že každý sa v súčasnosti zaujíma o bezpečnosť. Dáva to zmysel, keď sa zvažuje dôležitosť počítačovej kriminality. Na organizácie sa zameriavajú hackeri, ktorí sa snažia ukradnúť ich údaje alebo spôsobiť iným škodám. Jedným zo spôsobov, ako zabezpečiť svoje IT prostredie pred týmito útokmi, je použitie správnych nástrojov a systémov. Prvá obranná línia je často na okraji siete vo forme sieťových detekčných systémov alebo NIDS.. Tieto systémy analyzujú prenos prichádzajúci z vašej siete z internetu, aby zistili podozrivú aktivitu a okamžite vás upozornili. NIDS sú tak populárne a toľko z nich sú k dispozícii, ako nájsť to najlepšie pre vaše potreby môže byť náročné úsilie. Pomôcť ti, zostavili sme tento zoznam niektorých najlepších sieťových detekčných systémov založených na sieťach.

Našou cestou sa pozrieme na rôzne typy systému detekcie narušenia. V zásade existujú dva typy: sieťové a hostiteľské. Vysvetlíme ich rozdiely. Systémy detekcie narušenia sa tiež líšia metódou detekcie, ktorú používajú. Niektoré z nich používajú prístup založený na podpise, zatiaľ čo iné sa spoliehajú na analýzu správania. Najlepšie nástroje používajú kombináciu oboch metód detekcie. Trh je nasýtený systémami na detekciu a prevenciu narušenia. Preskúmame, ako sa líšia a aké sú podobné, pretože je dôležité porozumieť tomuto rozdielu. Nakoniec preskúmame najlepšie sieťové detekčné systémy a predstavíme ich najdôležitejšie funkcie.

Detekcia narušenia pomocou siete a hostiteľa

Systémy detekcie narušenia sú jedným z dvoch typov. Obaja majú rovnaký cieľ - rýchlo odhaliť pokusy o prienik alebo podozrivú aktivitu, ktorá by mohla viesť pokusy o prienik - líšia sa však miestom výkonu, ktoré označuje miesto, kde sa nachádza detekcia vykonané. Každý typ nástroja na detekciu narušenia má svoje výhody a nevýhody. Neexistuje skutočný konsenzus o tom, ktorý z nich je výhodnejší. Niektorí prisahajú jedným typom, zatiaľ čo iní dôverujú iba druhému. Obaja majú pravdepodobne pravdu. Najlepším riešením - alebo najbezpečnejším - je pravdepodobne riešenie, ktoré kombinuje oba typy.

Systémy detekcie narušenia siete (NIDS)

Prvý typ systému detekcie narušenia sa nazýva systém detekcie narušenia siete alebo NIDS. Tieto systémy pracujú na hranici siete, aby vynútili detekciu. Zachytávajú a skúmajú sieťový prenos, hľadajú podozrivé činnosti, ktoré by mohli naznačovať pokus o prienik, a tiež hľadajú známe vzorce narušenia. Votrelci sa často snažia zneužívať známe zraniteľné miesta rôznych systémov, napríklad posielaním chybne formátovaných paketov na hostiteľa, vďaka čomu reagujú konkrétnym spôsobom, ktorý im umožňuje ich porušenie. Systém detekcie narušenia siete pravdepodobne odhalí tento druh pokusu o narušenie.

Niektorí tvrdia, že systémy detekcie narušenia siete sú lepšie ako ich náprotivky založené na hostiteľovi, pretože dokážu odhaliť útoky ešte predtým, ako sa dostanú k vašim systémom. Niektorí ich tiež preferujú, pretože na ich účinnú ochranu nevyžadujú inštaláciu žiadneho hostiteľa na každého hostiteľa. Na druhej strane poskytujú malú ochranu pred útokmi zasvätených osôb, ktoré, žiaľ, nie sú vôbec neobvyklé. Aby sa mohol útočník zistiť, musí sa pokúsiť o prienik útočníkom cez NIDS, čo zriedka robí, keď pochádza zvnútra. Každá technológia má svoje výhody a nevýhody a je to špecifický prípad detekcie narušenia. Nič vás nezastaví v používaní oboch typov nástrojov na dosiahnutie maximálnej ochrany.

Systémy detekcie narušenia hostenia (HIDS)

Systémy detekcie narušenia hostenia (HIDS) fungujú na úrovni hostiteľa; možno ste to uhádli zo svojho mena. Budú napríklad monitorovať rôzne protokolové súbory a žurnály na príznaky podozrivej činnosti. Ďalším spôsobom, ako môžu zistiť pokusy o prienik, je kontrola neoprávnených zmien v konfiguračných súboroch systému. Môžu tiež preskúmať tie isté súbory na konkrétne známe vzory narušenia. Napríklad môže byť známe, že konkrétny spôsob prieniku funguje pridaním určitého parametra do špecifického konfiguračného súboru. Dobrý systém zisťovania narušenia hostiteľa by to pochopil.

Hoci ich názov môže viesť k domnienke, že všetky HIDS sú nainštalované priamo na zariadení, ktoré majú chrániť, nemusí to tak nevyhnutne byť. Niektoré budú musieť byť nainštalované na všetkých počítačoch, zatiaľ čo niektoré budú vyžadovať iba inštaláciu miestneho agenta. Niektorí dokonca robia všetku svoju prácu na diaľku bez agenta. Bez ohľadu na to, ako fungujú, väčšina HIDS má centralizovanú konzolu, kde môžete ovládať každú inštanciu aplikácie a zobrazovať všetky výsledky.

Metódy detekcie narušenia

Systémy detekcie narušenia sa nelíšia len bodom vymáhania, líšia sa tiež metódou, ktorú používajú na detekciu pokusov o prienik. Niektoré sú založené na podpise, zatiaľ čo iné sú založené na anomálii. Prvé fungujú tak, že analyzujú údaje na špecifické vzorce, ktoré sa spájajú s pokusmi o prienik. Je to podobné tradičným systémom ochrany vírusov, ktoré sa spoliehajú na definície vírusov. Detekcia narušenia založená na podpise sa spolieha na podpisy alebo vzory narušenia. Porovnávajú zachytené údaje s podpismi narušenia, aby identifikovali pokusy o prienik. Samozrejme, že nebudú fungovať, kým sa nenahrá riadny podpis do softvéru, ktorý sa niekedy môže vyskytnúť až po a bol napadnutý určitý počet počítačov a vydavatelia podpisov prieniku mali čas zverejniť novú aktualizáciu balíčky. Niektorí dodávatelia sú pomerne rýchle, zatiaľ čo iní mohli reagovať iba o niekoľko dní neskôr. Toto je primárna nevýhoda tejto metódy detekcie.

Detekcia narušenia založená na anomáliách poskytuje lepšiu ochranu pred útokmi v nulové dni, ktoré sa vyskytujú predtým, ako mal ktorýkoľvek softvér na detekciu narušenia šancu získať správny podpisový súbor. Namiesto toho, aby sa pokúsili rozpoznať známe vzorce vniknutia, hľadajú anomálie. Napríklad niekto, kto sa pokúša niekoľkokrát za sebou získať prístup do systému s nesprávnym heslom, by spustil varovanie, pretože ide o bežný znak útoku hrubou silou. Tieto systémy dokážu rýchlo zistiť akúkoľvek podozrivú aktivitu v sieti. Každá metóda detekcie má svoje výhody a nevýhody a rovnako ako pri týchto dvoch typoch nástrojov, najlepšie nástroje sú pravdepodobne tie, ktoré používajú kombináciu analýzy podpisov a správania.

Detekcia alebo prevencia?

Niektorí ľudia majú tendenciu sa zamieňať medzi systémami na detekciu a prevenciu narušenia. Aj keď spolu úzko súvisia, nie sú identické, aj keď medzi nimi existuje určité prekrývanie funkcií. Ako už názov napovedá, systémy detekcie narušenia zisťujú pokusy o prienik a podozrivé aktivity. Keď niečo zistia, zvyčajne spustia nejakú formu varovania alebo oznámenia. Je potom na správcoch, aby podnikli potrebné kroky na zastavenie alebo zablokovanie pokusu o prienik.

Systémy prevencie prienikov (IPS) idú ešte o krok ďalej a môžu zabrániť zastaveniu útokov celkom. Systémy prevencie prieniku obsahujú detekčný komponent, ktorý je funkčne ekvivalentný narušeniu Detection System (Systém detekcie) - ktorý spustí detekciu pokusu o narušenie automaticky. Na zastavenie pokusu o prienik sa nevyžaduje zásah človeka. Prevencia prieniku sa môže vzťahovať aj na všetko, čo sa robí alebo zavádza ako spôsob prevencie prienikov. Za opatrenia na zabránenie vniknutia sa môže považovať napríklad tvrdenie hesla alebo blokovanie narušiteľa.

Najlepšie nástroje na detekciu narušenia siete

Hľadali sme na trhu najlepšie sieťové detekčné systémy. Náš zoznam obsahuje kombináciu pravých hostiteľských systémov detekcie narušenia a iného softvéru, ktorý obsahuje sieťovú detekciu narušenia alebo ktorá sa môže použiť na detekciu pokusov o narušenie. Každý z našich odporúčaných nástrojov môže pomôcť odhaliť pokusy o prienik do vašej siete.

SolarWinds je všeobecný názov v oblasti nástrojov na správu siete. Spoločnosť je už asi 20 rokov a priniesla nám niektoré z najlepších nástrojov na správu siete a systému. Jeho vlajkový produkt, Network Performance Monitor, neustále patrí medzi špičkové nástroje na monitorovanie šírky pásma siete. SolarWinds tiež vytvára vynikajúce bezplatné nástroje, pričom každý z nich rieši špecifickú potrebu správcov siete. Dva dobré príklady z nich sú Kiwi Syslog Server a Advanced Subnet Calculator.

Pre detekciu vniknutia do siete ponúka SolarWinds Monitor hrozieb - vydanie IT Ops. Na rozdiel od väčšiny ostatných nástrojov SolarWinds je to skôr služba typu cloud, ako lokálne nainštalovaný softvér. Jednoducho sa prihlásite na odber, nakonfigurujete ho a začne sledovať vaše prostredie na pokusy o prienik a niekoľko ďalších typov hrozieb. Monitor hrozieb - vydanie IT Ops kombinuje niekoľko nástrojov. Má detekciu narušenia v sieti aj hostiteľa, ako aj centralizáciu a koreláciu protokolov a bezpečnostné informácie a správu udalostí (SIEM). Je to veľmi dôkladný balík na sledovanie hrozieb.

• DEMO ZDARMA: Monitor hrozieb SolarWinds - vydanie IT Ops
• Odkaz na stiahnutie: https://www.solarwinds.com/threat-monitor/registration

Monitor hrozieb - vydanie IT Ops je vždy aktuálny a neustále dostáva aktualizované informácie o hrozbách z viacerých zdrojov vrátane databáz IP a domén. Sleduje známe aj neznáme hrozby. Nástroj obsahuje automatizované inteligentné reakcie na rýchlu nápravu bezpečnostných incidentov a poskytuje tak niektoré funkcie podobné prevencii.

Varovné funkcie produktu sú dosť pôsobivé. Existujú multi-podmienené, vzájomne prepojené alarmy, ktoré pracujú v spojení s nástrojom aktívnej reakcie nástroja a pomáhajú pri identifikácii a sumarizácii dôležitých udalostí. Systém podávania správ je rovnako dobrý ako jeho varovanie a môže sa použiť na preukázanie súladu s použitím existujúcich vopred pripravených šablón výkazov. Prípadne môžete vytvoriť vlastné prehľady, ktoré presne zodpovedajú vašim obchodným potrebám.

Ceny za internet Monitor hrozieb SolarWinds - vydanie IT Ops začnite na 4 500 $ až pre 25 uzlov s indexom 10 dní. Ak chcete získať podrobnú ponuku prispôsobenú vašim špecifickým potrebám, môžete kontaktovať spoločnosť SolarWinds. A ak uprednostňujete produkt v akcii, si môžete vyžiadať bezplatné demo od SolarWinds.

2. opäť normálne

opäť normálne je určite najznámejší NIDS s otvoreným zdrojom. ale opäť normálne je v skutočnosti viac než len nástroj na detekciu narušenia. Je to tiež identifikátor paketov a záznamník paketov a obsahuje aj niekoľko ďalších funkcií. Zatiaľ sa sústredíme na funkcie detekcie prieniku tohto nástroja, pretože toto je predmetom tohto príspevku. Konfigurácia produktu pripomína konfiguráciu brány firewall. Konfiguruje sa pomocou pravidiel. Základné pravidlá si môžete stiahnuť z internetu opäť normálne a používajte ich tak, ako sú, alebo ich prispôsobte vašim konkrétnym potrebám. Môžete sa tiež prihlásiť na odber opäť normálne pravidlá na automatické získanie všetkých najnovších pravidiel pri ich vývoji alebo objavení nových hrozieb.

druh je veľmi dôkladný a dokonca aj jeho základné pravidlá dokážu odhaliť širokú škálu udalostí, ako sú napríklad skenovanie tajných portov, útoky s pretečením vyrovnávacej pamäte, útoky CGI, sondy SMB a snímanie odtlačkov operačných systémov. To, čo môžete zistiť pomocou tohto nástroja, nie je prakticky nijaké a to, čo zistí, závisí výlučne od nainštalovanej sady pravidiel. Pokiaľ ide o metódy detekcie, niektoré zo základných pravidiel Snort sú založené na podpise, zatiaľ čo iné sú založené na anomálii. Snort vám preto môže dať to najlepšie z oboch svetov.

3. Šurice

Šurice nie je iba systém detekcie narušenia. Má tiež niektoré funkcie prevencie prieniku. V skutočnosti je inzerovaný ako kompletný ekosystém na monitorovanie sieťovej bezpečnosti. Jedným z najlepších prínosov nástroja je to, ako funguje až po aplikačnú vrstvu. Vďaka tomu je hybridný systém založený na sieti a hostiteľovi, ktorý umožňuje nástroju zistiť hrozby, ktoré by pravdepodobne iné nástroje nevšimli.

Šurice je skutočný sieťový detekčný systém a nefunguje iba na aplikačnej vrstve. Bude monitorovať sieťové protokoly nižšej úrovne ako TLS, ICMP, TCP a UDP. Nástroj tiež rozumie a dekóduje protokoly vyššej úrovne, ako napríklad HTTP, FTP alebo SMB, a dokáže zistiť pokusy o prienik skryté v inak normálnych požiadavkách. Nástroj tiež obsahuje možnosti extrakcie súborov, ktoré správcom umožňujú preskúmať akýkoľvek podozrivý súbor.

ŠuriceArchitektúra aplikácií je celkom inovatívna. Nástroj rozdelí svoje pracovné zaťaženie do niekoľkých jadier procesorov a vlákien pre najlepší výkon. Ak je to potrebné, môže dokonca niektoré časti spracovania spracovať na grafickú kartu. Toto je vynikajúca funkcia, keď sa nástroj používa na serveroch, pretože ich grafická karta sa zvyčajne nevyužíva.

4. bro Monitor zabezpečenia siete

Monitor zabezpečenia siete Bro, ďalší bezplatný systém detekcie narušenia siete. Tento nástroj funguje v dvoch fázach: zaznamenávanie a analýza prenosu. Rovnako ako Suricata, Monitor zabezpečenia siete Bro pracuje vo viacerých vrstvách až po aplikačnú vrstvu. To umožňuje lepšiu detekciu pokusov o prienik rozdelených do jednotlivých častí. Monitor zabezpečenia siete BroAnalytický modul pozostáva z dvoch prvkov. Prvý prvok sa nazýva mechanizmus udalostí a sleduje spúšťacie udalosti, ako sú čisté pripojenia TCP alebo HTTP požiadavky. Udalosti sú potom analyzované skriptmi politík, druhým prvkom, ktorý rozhoduje o spustení alarmu a / alebo o začatí akcie. Možnosť začať konanie poskytuje Monitor zabezpečenia siete Bro niektoré funkcie podobné IPS.

Monitor zabezpečenia siete Bro vám umožní sledovať aktivity HTTP, DNS a FTP a bude tiež sledovať prenos SNMP. Je to dobrá vec, pretože protokol SNMP sa často používa na monitorovanie siete, nie je to však bezpečný protokol. A keďže sa dá použiť aj na modifikáciu konfigurácií, môžu ju zneužívať škodliví používatelia. Tento nástroj vám tiež umožní sledovať zmeny konfigurácie zariadenia a SNMP pasce. Môže byť nainštalovaný na Unixe, Linuxe a OS X, ale nie je dostupný pre Windows, čo je asi jeho hlavná nevýhoda.

5. Bezpečnostná cibuľa

Je ťažké definovať, čo Bezpečnostná cibuľa je. Nejde iba o systém detekcie alebo prevencie narušenia. V skutočnosti je to úplná distribúcia systému Linux so zameraním na detekciu narušenia, monitorovanie podnikovej bezpečnosti a správu protokolov. Preto môže správcom ušetriť veľa času. Obsahuje veľa nástrojov, z ktorých niektoré sme práve skontrolovali. Bezpečnostná cibuľa zahŕňa Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner a ďalšie. Na uľahčenie nastavenia je distribúcia dodávaná s ľahko použiteľným sprievodcom nastavením, ktorý vám umožní chrániť vašu organizáciu v priebehu niekoľkých minút. Keby sme museli opísať Bezpečnostná cibuľa v jednej vete by sme povedali, že je to švajčiarsky armádny nôž podnikovej IT bezpečnosti.

Jednou z najzaujímavejších vecí tohto nástroja je to, že všetko získate jednoduchou inštaláciou. Pre detekciu narušenia vám tento nástroj poskytne nástroje na zisťovanie narušenia založené na sieti aj hostiteľovi. Balík tiež kombinuje nástroje, ktoré používajú prístup založený na podpise, a nástroje, ktoré sú založené na anomálii. Ďalej nájdete kombináciu textových a GUI nástrojov. Existuje naozaj vynikajúca kombinácia bezpečnostných nástrojov. Existuje jedna primárna nevýhoda bezpečnostnej cibule. S toľkými zahrnutými nástrojmi sa ich konfigurácia môže ukázať ako veľká úloha. Nemusíte však používať ani konfigurovať všetky nástroje. Môžete si vybrať iba tie, ktoré chcete použiť. Aj keď používate iba niekoľko zahrnutých nástrojov, pravdepodobne by to bola rýchlejšia možnosť ako ich inštalácia osobitne.