6 najlepších hostiteľských detekčných systémov založených na hostiteľoch (HIDS) v roku 2020

Nechcel by som znieť príliš paranoidne, hoci to asi tak je, ale počítačová kriminalita je všade. Každá organizácia sa môže stať terčom hackerov, ktorí sa snažia získať prístup k ich údajom. Preto je prvotné dohliadať na veci a zabezpečiť, aby sme sa nestali obeťami týchto neplánovaných jednotlivcov. Úplne prvou obrannou líniou je Systém detekcie narušenia. Host-based systémy používajú detekciu na úrovni hostiteľa a zvyčajne detekujú väčšinu pokusov o prienik rýchlo a okamžite vás upozornia, aby ste mohli situáciu napraviť. Ak je k dispozícii toľko hostiteľských systémov na detekciu narušenia hostiteľa, výber správneho riešenia pre vašu konkrétnu situáciu sa môže javiť ako výzva. Aby sme vám pomohli jasne vidieť, zostavili sme zoznam niektorých najlepších systémov detekcie narušenia hostiteľa.

Skôr ako odhalíme najlepšie nástroje, krátko sa pozrieme na rôzne typy systémov detekcie narušenia. Niektoré sú založené na hostiteľovi, zatiaľ čo iné sú založené na sieti. Vysvetlíme si rozdiely. Potom budeme diskutovať o rôznych metódach detekcie narušenia. Niektoré nástroje majú prístup založený na podpise, zatiaľ čo iné hľadajú podozrivé správanie. Tí najlepší používajú kombináciu oboch. Predtým, ako budeme pokračovať, vysvetlíme rozdiely medzi systémami zisťovania a prevencie narušenia, pretože je dôležité porozumieť tomu, na čo sa zameriame. Potom budeme pripravení na podstatu tohto príspevku, najlepších systémov detekcie narušenia hostiteľa.

Dva typy systémov detekcie narušenia

V zásade existujú dva typy systémov detekcie narušenia. Aj keď sú ich ciele rovnaké - rýchlo odhaliť akýkoľvek pokus o prienik alebo podozrivú aktivitu, ktorá by mohla viesť k pokusu o prienik, líšia sa v mieste, kde sa táto detekcia vykonáva. Toto je koncept, ktorý sa často označuje ako bod presadzovania. Každý typ má svoje výhody a nevýhody a všeobecne neexistuje konsenzus o tom, ktorý z nich je výhodnejší. V skutočnosti je najlepším riešením - alebo najbezpečnejším - pravdepodobne riešenie, ktoré kombinuje obidve.

Systémy detekcie narušenia hostenia (HIDS)

Prvý typ systému na detekciu narušenia, ktorý nás dnes zaujíma, funguje na úrovni hostiteľa. Možno ste to uhádli z názvu. HIDS napríklad kontroluje rôzne protokolové súbory a žurnály, či neobsahujú známky podozrivej aktivity. Ďalším spôsobom, ako zisťujú pokusy o prienik, je kontrola neoprávnených zmien dôležitých konfiguračných súborov. Môžu tiež skontrolovať rovnaké konfiguračné súbory pre konkrétne známe vzory narušenia. Napríklad môže byť známe, že konkrétny spôsob prieniku funguje pridaním určitého parametra do špecifického konfiguračného súboru. Dobrý systém na zisťovanie narušenia hostiteľa by to zachytil.

HIDS sú väčšinou nainštalované priamo na zariadeniach, ktoré majú chrániť. Budete ich musieť nainštalovať na všetky svoje počítače. Iné budú vyžadovať iba inštaláciu miestneho agenta. Niektorí dokonca robia všetku svoju prácu na diaľku. Bez ohľadu na to, ako fungujú, majú dobré HIDS centralizovanú konzolu, kde môžete ovládať aplikáciu a zobrazovať jej výsledky.

Systémy detekcie narušenia siete (NIDS)

Ďalší typ systému na detekciu narušenia nazývaný systémy na detekciu narušenia siete (NIDS) pracuje na hranici siete a vynúti detekciu. Používajú podobné metódy ako systémy detekcie narušenia hostiteľa, napríklad zisťovanie podozrivých aktivít a hľadanie známych vzorov narušenia. Namiesto prezerania protokolov a konfiguračných súborov však sledujú sieťovú prevádzku a skúmajú všetky požiadavky na pripojenie. Niektoré metódy narušenia zneužívajú známe zraniteľné miesta tým, že posielajú hostiteľom zámerne chybné pakety, vďaka čomu sú schopné reagovať zvláštnym spôsobom, ktorý im umožňuje ich porušenie. Systém detekcie narušenia siete by ľahko odhalil tento druh pokusu.

Niektorí tvrdia, že NIDS sú lepšie ako HIDS, keď detekujú útoky ešte predtým, ako sa dostanú k vašim systémom. Niektorí ich uprednostňujú, pretože na ich účinnú ochranu nevyžadujú inštaláciu na každom hostiteľovi. Na druhej strane poskytujú malú ochranu pred útokmi zasvätených osôb, ktoré, žiaľ, nie sú vôbec neobvyklé. Útočník musí byť detekovaný tak, že použije cestu, ktorá prechádza NIDS. Z týchto dôvodov najlepšia ochrana pravdepodobne pochádza z kombinácie oboch typov nástrojov.

Metódy detekcie narušenia

Rovnako ako existujú dva typy nástrojov na detekciu narušenia, na zisťovanie pokusov o narušenie sa používajú hlavne dve rôzne metódy. Detekcia môže byť založená na podpise alebo môže byť založená na anomálii. Detekcia vniknutia na základe podpisu funguje tak, že analyzuje údaje na špecifické vzorce, ktoré sú spojené s pokusmi o prienik. Je to podobné tradičným systémom ochrany vírusov, ktoré sa spoliehajú na definície vírusov. Podobne detekcia narušenia založená na podpisoch sa spolieha na podpisy alebo vzory narušenia. Na identifikáciu pokusov porovnávajú údaje s podpismi prieniku. Ich hlavnou nevýhodou je, že nefungujú, kým sa do softvéru nenahrajú správne podpisy. Nanešťastie sa to zvyčajne stáva až po útoku na určitý počet počítačov a vydavatelia podpisov prieniku mali čas na zverejnenie nových aktualizačných balíkov. Niektorí dodávatelia sú pomerne rýchle, zatiaľ čo iní mohli reagovať iba o niekoľko dní neskôr.

Ďalšia metóda zisťovania narušenia založeného na anomáliách poskytuje lepšiu ochranu pred útokmi v nulové dni, tie, ktoré sa stanú pred akýmkoľvek softvérom na detekciu narušenia, mali šancu získať správny podpis file. Tieto systémy hľadajú anomálie namiesto toho, aby sa pokúšali rozpoznať známe vzorce vniknutia. Mohli by sa napríklad spustiť, ak sa niekto pokúsil niekoľkokrát za sebou získať prístup do systému s nesprávnym heslom, čo je bežný znak útoku hrubou silou. Akékoľvek podozrivé správanie možno rýchlo zistiť. Každá metóda detekcie má svoje výhody a nevýhody. Rovnako ako u typov nástrojov, aj tie najlepšie nástroje sú tie, ktoré využívajú najlepšiu ochranu kombináciou analýzy podpisov a správania.

Prevencia detekcie Vs - dôležitý rozdiel

Diskutovali sme o systémoch detekcie narušenia, ale mnohí z vás už možno počuli o systémoch prevencie pred narušením. Sú tieto dva pojmy totožné? Ľahká odpoveď nie je, pretože dva typy nástrojov slúžia inému účelu. Medzi nimi však existuje určité prekrývanie. Ako už názov napovedá, detekčný systém detekuje pokusy o prienik a podozrivé aktivity. Keď niečo zistí, zvyčajne spustí určitú formu varovania alebo oznámenia. Správcovia potom musia podniknúť potrebné kroky na zastavenie alebo blokovanie pokusu o prienik.

Systémy prevencie prienikov (IPS) sú určené na to, aby zabránili vniknutiu narušení. Aktívne IPS zahŕňajú detekčnú súčasť, ktorá automaticky spustí určité nápravné opatrenia vždy, keď sa zistí pokus o prienik. Prevencia prieniku môže byť tiež pasívna. Tento výraz sa môže použiť na označenie všetkého, čo sa robí alebo zavádza ako spôsob, ako zabrániť vniknutiu. Napríklad tvrdenie hesla možno považovať za opatrenie na zabránenie vniknutiu.

Najlepšie nástroje na detekciu narušenia hostiteľa

Hľadali sme na trhu najlepšie systémy detekcie prienikov na základe hostiteľa. Máme pre vás kombináciu pravých HIDS a iného softvéru, ktorý síce nenazývajú sami seba systémy detekcie narušenia, majú komponent na detekciu narušenia alebo sa môžu použiť na detekciu narušenia pokusy. Pozrime sa na naše najlepšie tipy a pozrime sa na ich najlepšie vlastnosti.

Náš prvý záznam je od spoločnosti SolarWinds, čo je bežné meno v oblasti nástrojov na správu siete. Spoločnosť existuje už asi 20 rokov a priniesla nám niektoré z najlepších nástrojov na správu siete a systému. Známe je aj množstvo bezplatných nástrojov, ktoré riešia niektoré špecifické potreby správcov siete. Dva skvelé príklady týchto bezplatných nástrojov sú server Kiwi Syslog Server a kalkulačka Advanced Subnet Calculator.

Nedovoľte, aby Správca protokolov a udalostí SolarWindsMeno ťa zmiasť. Je to oveľa viac než len systém na správu protokolov a udalostí. Mnoho pokročilých funkcií tohto produktu ho zaradilo do radu bezpečnostných informácií a správy udalostí (SIEM). Ostatné funkcie ho označujú ako systém detekcie narušenia a do istej miery dokonca ako systém prevencie pred narušením. Tento nástroj obsahuje napríklad koreláciu udalostí v reálnom čase a nápravu v reálnom čase.

• SKÚŠKA ZADARMO: Správca protokolov a udalostí SolarWinds
• Odkaz na stiahnutie:https://www.solarwinds.com/log-event-manager-software/registration

Správca protokolov a udalostí SolarWinds obsahuje okamžitú detekciu podozrivej aktivity (funkcia podobná IDS) a automatizované odpovede (funkcia podobnú IPS). Môže tiež vykonávať vyšetrovanie bezpečnostných udalostí a forenznú analýzu na účely zmiernenia a súladu. Vďaka auditom overenému vykazovaniu sa tento nástroj môže použiť aj na preukázanie súladu s HIPAA, PCI-DSS a SOX. Tento nástroj má tiež monitorovanie integrity súborov a monitorovanie zariadení USB, vďaka čomu je oveľa viac integrovanou bezpečnostnou platformou ako len systém správy protokolov a udalostí.

Ceny za Správca protokolov a udalostí SolarWinds začína na 4 585 $ až pre 30 monitorovaných uzlov. Licencie až pre 2500 uzlov je možné zakúpiť, vďaka čomu je produkt vysoko škálovateľný. Ak si chcete produkt vziať na skúšobnú jazdu a presvedčte sa sami, či je pre vás to pravé, K dispozícii je bezplatná plne funkčná 30-dňová skúšobná verzia.

2. OSSEC

Open Source Securityalebo OSSEC, je zďaleka popredný otvorený zdrojový detekčný systém hostiteľa. Produkt vlastní spoločnosť Trend Micro, jedna z vedúcich mien v oblasti bezpečnosti IT a výrobca jedného z najlepších antivírusových programov. Pri inštalácii na operačné systémy podobné Unixu sa softvér zameriava predovšetkým na protokolové a konfiguračné súbory. Vytvára kontrolné súčty dôležitých súborov a pravidelne ich potvrdzuje, upozorní vás vždy, keď sa stane niečo čudné. Bude tiež monitorovať a upozorňovať na akýkoľvek neobvyklý pokus o získanie prístupu root. Na počítačoch so systémom Windows tiež systém dohliada na neoprávnené zmeny v registroch, ktoré by mohli byť známkou škodlivej činnosti.

Vďaka tomu, že ide o systém detekcie narušenia hostiteľa, OSSEC musí byť nainštalovaný na každom počítači, ktorý chcete chrániť. Centralizovaná konzola však konsoliduje informácie z každého chráneného počítača pre ľahšiu správu. Kým OSSEC konzola beží iba na operačných systémoch Unix-like, agent je k dispozícii na ochranu hostiteľov Windows. Akákoľvek detekcia spustí výstrahu, ktorá sa zobrazí na centralizovanej konzole, zatiaľ čo oznámenia sa budú posielať aj e-mailom.

3. Samhain

Samhain je ďalší dobre známy systém detekcie narušenia hostiteľa. Jeho hlavnými rysmi z hľadiska IDS sú kontrola integrity súborov a monitorovanie / analýza protokolových súborov. Urobí to však oveľa viac. Produkt bude vykonávať detekciu rootkitov, monitorovanie portov, detekciu nečestných spustiteľných súborov SUID a skrytých procesov. Tento nástroj bol navrhnutý na sledovanie viacerých hostiteľov, ktorí prevádzkujú rôzne operačné systémy a zároveň poskytujú centralizované protokolovanie a údržbu. Avšak, Samhain môže byť tiež použitý ako samostatná aplikácia na jednom počítači. Softvér pracuje predovšetkým na systémoch POSIX ako Unix, Linux alebo OS X. Môže tiež bežať na Windows pod Cygwinom, balíkom, ktorý umožňuje spúšťanie aplikácií POSIX na Windows, aj keď v tejto konfigurácii bol testovaný iba monitorovací agent.

Jeden z SamhainJeho najunikátnejšou vlastnosťou je tajný režim, ktorý umožňuje jej spustenie bez toho, aby bol odhalený potenciálnymi útočníkmi. Je známe, že votrelci rýchlo zabíjajú detekčné procesy, ktoré rozpoznajú, hneď ako vstúpia do systému pred tým, ako boli odhalení, čo im umožňuje zostať nepovšimnuté. Samhain používa steganografické techniky na skrytie svojich procesov pred ostatnými. Chráni tiež svoje centrálne protokolové súbory a zálohy konfigurácie pomocou kľúča PGP, aby sa zabránilo neoprávnenému zásahu.

4. fail2ban

fail2ban je bezplatný a otvorený systém detekcie narušenia hostiteľa, ktorý obsahuje aj niektoré možnosti predchádzania narušeniu. Softvérový nástroj monitoruje protokolové súbory na podozrivé aktivity a udalosti, ako sú neúspešné pokusy o prihlásenie, vyhľadávanie zneužitia atď. Predvolenou akciou nástroja je vždy, keď zistí niečo podozrivé, automaticky aktualizovať pravidlá miestnej brány firewall a blokovať zdrojovú adresu IP škodlivého správania. V skutočnosti nejde o skutočnú prevenciu prieniku, ale skôr o systém detekcie prieniku s funkciami automatickej nápravy. Práve sme opísali predvolenú akciu nástroja, ale akékoľvek ďalšie svojvoľné konanie - napríklad odoslanie e-mailové upozornenia - dá sa nakonfigurovať aj tak, aby sa správalo ako „klasickejšia“ detekcia narušenia Systém.

fail2ban je ponúkaný s rôznymi preddefinovanými filtrami pre niektoré z najbežnejších služieb, ako sú Apache, SSH, FTP, Postfix a mnoho ďalších. Prevencia, ako sme už vysvetlili, sa vykonáva úpravou tabuliek brány firewall hostiteľa. Tento nástroj môže pracovať s programami Netfilter, IPtables alebo tabuľkou hosts.deny TCP Wrapper. Každý filter môže byť spojený s jednou alebo viacerými akciami.

5. AIDE

Pokročilé prostredie detekcie narušeniaalebo AIDE, je ďalší bezplatný systém detekcie narušenia hostiteľa. Tento sa zameriava hlavne na detekciu rootkitov a porovnávanie podpisov súborov. Pri prvom nainštalovaní tento nástroj zostaví databázu správcovských údajov z konfiguračných súborov systému. Táto databáza sa potom môže použiť ako základná línia, s ktorou je možné porovnávať každú zmenu a prípadne ju vrátiť späť.

AIDE využíva detekčné schémy založené na podpise aj anomálii. Toto je nástroj, ktorý sa spúšťa na požiadanie a nie je naplánovaný alebo nepretržite beží. Toto je vlastne hlavná nevýhoda tohto produktu. Keďže však ide skôr o nástroj príkazového riadku než o rozhranie GUI, je možné vytvoriť úlohu cron, ktorá ho bude spúšťať v pravidelných intervaloch. Ak sa rozhodnete tento nástroj spúšťať často, napríklad raz za minútu, budete mať takmer údaje v reálnom čase a budete mať čas na reakciu skôr, ako akýkoľvek pokus o narušenie príde príliš ďaleko a spôsobí veľa škody.

V jadre AIDE je iba nástroj na porovnávanie údajov, ale pomocou niekoľkých externých plánovaných skriptov sa môže zmeniť na skutočné HIDS. Nezabúdajte však, že je to v zásade miestny nástroj. Nemá centralizované hospodárenie ani fantastické GUI.

6. Sagan

Posledné na našom zozname je Sagan, ktorá je v skutočnosti skôr systémom analýzy protokolov než skutočným IDS. Má však niektoré funkcie podobné IDS, a preto si zaslúži miesto na našom zozname. Nástroj lokálne sleduje protokolové súbory systému, v ktorom je nainštalovaný, ale môže tiež interagovať s inými nástrojmi. Mohlo by to napríklad analyzovať Snortove denníky, čím by sa efektívne pridala funkčnosť NIDS zo Snoretu do toho, čo je v podstate HIDS. So Snortom nebude iba komunikovať. Sagan môže tiež komunikovať so Suricata a je kompatibilný s niekoľkými nástrojmi na tvorbu pravidiel, ako sú Oinkmaster alebo Pulled Pork.

Sagan má tiež funkcie na vykonávanie skriptov, ktoré z neho môžu urobiť hrubý systém prevencie prieniku, za predpokladu, že si vytvoríte nejaké nápravné skripty. Aj keď tento nástroj pravdepodobne nebude použitý ako vaša jediná obrana proti vniknutiu, môže to byť skvelá súčasť systému, ktorý dokáže začleniť veľa nástrojov koreláciou udalostí z rôznych zdroje.