6 najboljših sistemov za zaznavanje vdorov na osnovi gostitelja v letu 2020
Čeprav se verjetno ne bi hotel slišati preveč paranoično, vendar kibernetska kriminalnost obstaja povsod. Vsaka organizacija lahko postane tarča hekerjev, ki poskušajo dostopati do svojih podatkov. Zato je izvirno paziti na stvari in zagotoviti, da ne bomo postali žrtve teh naklepnih posameznikov. Prva obrambna linija je Sistem za zaznavanje vdorov. Na osnovi gostitelja sistemi uporabljajo svoje zaznavanje na ravni gostitelja in ponavadi hitro zaznajo večino poskusov vdora in vas takoj obvestijo, da lahko situacijo odpravite. Glede na toliko sistemov za zaznavanje vdorov na gostiteljskem omrežju je lahko izbira najboljšega za vašo situacijo izziv. Da bi lažje videli, smo sestavili seznam nekaterih najboljših sistemov za zaznavanje vdorov na osnovi gostitelja.
Preden razkrijemo najboljša orodja, si bomo na kratko ogledali stran in si ogledali različne vrste sistemov za zaznavanje vdorov. Nekateri temeljijo na gostitelju, drugi pa na omrežju. Pojasnili bomo razlike. Nato bomo razpravljali o različnih metodah zaznavanja vdorov. Nekatera orodja imajo pristop, ki temelji na podpisu, medtem ko druga iščejo sumljivo vedenje. Najboljši uporabljajo kombinacijo obeh. Pred nadaljevanjem bomo razložili razlike med sistemi za zaznavanje vdorov in sistemom za preprečevanje vdorov, saj je pomembno razumeti, kaj gledamo. Nato bomo pripravljeni na bistvo te objave, najboljše sisteme za zaznavanje vdorov na gostitelju.
Dve vrsti sistemov za zaznavanje vdorov
V bistvu obstajata dve vrsti sistemov za zaznavanje vdorov. Medtem ko je njihov cilj enak - hitro odkrivanje kakršnega koli poskusa vdora ali sumljive dejavnosti s katerim bi lahko prišlo do poskusa vdora, se razlikujejo v kraju, kjer se to zaznavanje izvaja. To je koncept, ki ga pogosto imenujejo točka izvrševanja. Vsaka vrsta ima prednosti in slabosti in na splošno ni soglasja, katera je bolj zaželena. V resnici je verjetno najboljša rešitev - ali najbolj varna - ta, ki združuje oboje.
Sistemi za zaznavanje vdorov gostitelja (HIDS)
Prva vrsta sistema za zaznavanje vdorov, ki nas danes zanima, deluje na ravni gostitelja. To ste morda uganili iz njegovega imena. HIDS na primer preveri različne dnevniške zapise in dnevnike glede znakov sumljive dejavnosti. Drug način zaznavanja poskusov vdora je preverjanje pomembnih konfiguracijskih datotek za nepooblaščene spremembe. Prav tako lahko pregledajo iste konfiguracijske datoteke za posebne znane vzorce vdorov. Na primer, znano je, da določena metoda vdora deluje tako, da določenemu parametru dodate določeno konfiguracijsko datoteko. Dober sistem za zaznavanje vdorov na gostitelju bi to ujel.
Večino časa so HIDS nameščeni neposredno na napravah, ki naj bi jih zaščitili. Namestiti jih boste morali na vse svoje računalnike. Drugi pa bodo morali le namestiti lokalni agent. Nekateri celo svoje delo opravljajo na daljavo. Ne glede na to, kako delujejo, ima dober HIDS centralizirano konzolo, na kateri lahko nadzirate aplikacijo in si ogledate njene rezultate.
Omrežni sistemi za zaznavanje vdorov (NIDS)
Druga vrsta sistema za zaznavanje vdorov, imenovana Omrežni sistemi za zaznavanje vdorov, ali NIDS, deluje na meji omrežja, da uveljavi zaznavanje. Uporabljajo podobne metode kot gostiteljski sistemi za zaznavanje vdorov, kot so zaznavanje sumljivih dejavnosti in iskanje znanih vzorcev vdorov. Toda namesto da bi pogledali dnevnike in konfiguracijske datoteke, gledajo omrežni promet in preučijo vse zahteve za povezavo. Nekateri načini vdora izkoriščajo znane ranljivosti tako, da gostiteljem namerno napačno oblikovane pakete pošljejo na gostitelje, zaradi česar se odzovejo na poseben način, ki jim omogoča kršitev. Omrežni sistem za zaznavanje vdorov bi z lahkoto zaznal tovrstne poskuse.
Nekateri trdijo, da so NIDS boljši od HIDS-a, saj zaznajo napade, še preden sploh pridejo do vaših sistemov. Nekateri jih imajo raje, ker ne potrebujejo nameščanja ničesar na vsakem gostitelju, da bi jih učinkovito zaščitili. Po drugi strani pa nudijo malo zaščite pred notranjimi napadi, ki na žalost sploh niso redki. Če ga želite zaznati, mora napadalec uporabiti pot, ki gre skozi NIDS. Iz teh razlogov je najboljša zaščita verjetno uporaba kombinacije obeh vrst orodij.
Metode zaznavanja vdorov
Tako kot obstajata dve vrsti orodij za zaznavanje vdorov, obstajata predvsem dve različni metodi za odkrivanje poskusov vdora. Zaznavanje lahko temelji na podpisu ali pa lahko temelji na anomaliji. Zaznavanje vdorov na podlagi podpisa deluje tako, da analizira podatke za posebne vzorce, ki so bili povezani s poskusi vdora. To je podobno tradicionalnim sistemom za zaščito pred virusi, ki se opirajo na definicije virusov. Prav tako se zaznavanje vdorov na podlagi podpisovanja opira na podpise ali vzorce vdorov. Podatke primerjajo s vdorom vdorov, da prepoznajo poskuse. Njihova glavna pomanjkljivost je, da ne delujejo, dokler se v programsko opremo ne naložijo ustrezni podpisi. Na žalost se to običajno zgodi šele po napadu določenega števila strojev in izdajateljev vdorov vdorov ima čas, da objavijo nove pakete za posodobitev. Nekateri dobavitelji so precej hitri, medtem ko so drugi lahko odreagirali šele nekaj dni kasneje.
Druga metoda za zaznavanje vdorov, ki temelji na anomaliji, zagotavlja boljšo zaščito pred napadi brez dnevnega dne, tisti, ki se zgodijo pred kakršno koli programsko opremo za odkrivanje vdorov, so imeli priložnost pridobiti ustrezen podpis mapa. Ti sistemi iščejo nepravilnosti, namesto da poskušajo prepoznati znane vzorce vdorov. Tako bi se lahko na primer sprožilo, če bi nekdo večkrat zapored poskusil dostopati do sistema z napačnim geslom, kar je pogost znak napada hude sile. Vsako sumljivo vedenje je mogoče hitro zaznati. Vsak način odkrivanja ima svoje prednosti in slabosti. Kot za vrste orodij so najboljša orodja tista, ki za najboljšo zaščito uporabljajo kombinacijo analize podpisov in obnašanja.
Prepoznavanje Vs Preprečevanje - Pomembno razlikovanje
Razpravljali smo o sistemih za zaznavanje vdorov, a mnogi od vas ste morda slišali za sisteme za preprečevanje vdorov. Ali sta oba pojma enaka? Enostaven odgovor je ne, saj obe vrsti orodja služijo različnemu namenu. Vendar se med njimi nekaj prekriva. Kot že ime pove, sistem za zaznavanje vdorov zazna poskuse vdorov in sumljive dejavnosti. Ko nekaj zazna, običajno sproži neko obliko opozorila ali obvestila. Nato morajo skrbniki sprejeti potrebne ukrepe, da ustavijo ali blokirajo poskus vdora.
Sistemi za preprečevanje vdorov (IPS) so narejeni tako, da preprečijo, da bi se vdori v celoti zgodili. Active IPS vključuje komponento odkrivanja, ki bo samodejno sprožila nekaj popravnih ukrepov, kadar koli je odkrit poskus vdora. Preprečevanje vdorov je lahko tudi pasivno. Izraz se lahko uporablja za nanašanje na vse, kar se naredi ali uvede kot način preprečevanja vdorov. Kaljenje z geslom lahko na primer velja za ukrep za preprečevanje vdorov.
Najboljša orodja za zaznavanje vdorov gostitelja
Na trgu gostitelja smo iskali najboljše sisteme za zaznavanje vdorov na gostitelju. Za vas imamo kombinacijo pravega HIDS-a in druge programske opreme, ki se, čeprav se sami ne imenujejo sistemi za odkrivanje vdorov, imajo komponento za zaznavanje vdorov ali se lahko uporabljajo za zaznavanje vdora poskusi. Oglejmo si naše najboljše kraje in si oglejmo njihove najboljše lastnosti.
Naš prvi vnos je iz podjetja SolarWinds, ki je splošno ime na področju orodij za mrežno administracijo. Podjetje obstaja že približno 20 let in prineslo nam je nekaj najboljših orodij za mrežno in sistemsko administracijo. Dobro je znano tudi, da ima veliko brezplačnih orodij, ki obravnavajo nekatere posebne potrebe omrežnih skrbnikov. Dva odlična primera teh brezplačnih orodij sta Kiwi Syslog Server in Advanced Subnet Calculator.
Ne pusti SolarWinds Log & Event ManagerPrevara te ime. Je veliko več kot le sistem za upravljanje dnevnikov in dogodkov. Številne napredne funkcije tega izdelka so vključene v paleto varnostnih informacij in upravljanja dogodkov (SIEM). Druge lastnosti ga opredeljujejo kot sistem za zaznavanje vdorov in v določeni meri celo kot sistem za preprečevanje vdorov. To orodje vsebuje na primer primerjavo dogodkov v realnem času in sanacijo v realnem času.
- BREZPLAČEN PREIZKUS: SolarWinds Log & Event Manager
- Uradna povezava za prenos:https://www.solarwinds.com/log-event-manager-software/registration
The SolarWinds Log & Event Manager odlikuje takojšnje odkrivanje sumljivih aktivnosti (IDS-u podobna funkcionalnost) in samodejne odzive (IPS-podobna funkcionalnost). Izvaja lahko tudi preiskave varnostnih dogodkov in forenzike tako za blažitev kot skladnost. Zahvaljujoč revizijsko preverjenemu poročanju lahko orodje med drugim uporabite tudi za dokazovanje skladnosti s HIPAA, PCI-DSS in SOX. Orodje ima tudi nadzor integritete datotek in nadzor USB naprav, zaradi česar je veliko bolj integrirana varnostna platforma kot le sistem za upravljanje dnevnika in dogodkov.
Cene za SolarWinds Log & Event Manager se začne pri 4.585 $ za do 30 nadzorovanih vozlišč. Licence za do 2500 vozlišč je mogoče kupiti, zaradi česar je izdelek zelo razširljiv. Če želite izdelek vzeti za preizkus in se prepričati, ali je pravi za vas, je na voljo brezplačna 30-dnevna preizkusna različica.
2. OSSEC
Varnost z odprto kodoali OSSEC, je daleč vodilni sistem za odkrivanje vdorov na odprtem kodu, ki temelji na gostitelju. Izdelek je v lasti podjetja Trend Micro, enega vodilnih imen v IT-varnosti in proizvajalca enega najboljših paketov za zaščito pred virusi. Programska oprema se pri namestitvi v operacijske sisteme, podobne Unixu, osredotoča predvsem na dnevnike in konfiguracijske datoteke. Ustvari kontrolne vsote pomembnih datotek in jih občasno potrdi ter vas opozori, kadar se zgodi kaj nenavadnega. Prav tako bo spremljal in opozarjal na vsak nenormalen poskus pridobitve korenskega dostopa. Na gostiteljih sistema Windows prav tako pazi na nepooblaščene spremembe registra, ki bi lahko bile znak škodljive dejavnosti.
Ker je sistem za zaznavanje vdorov na osnovi gostitelja, OSSEC mora biti nameščen v vsakem računalniku, ki ga želite zaščititi. Vendar centralizirana konzola združi podatke iz vsakega zaščitenega računalnika za lažje upravljanje. Medtem ko OSSEC konzola deluje samo v operacijskih sistemih Unix-Like, na voljo je sredstvo za zaščito gostiteljev sistema Windows. Vsako odkrivanje bo sprožilo opozorilo, ki bo prikazano na centralizirani konzoli, obvestila pa bodo poslana tudi po e-pošti.
3. Samhain
Samhain je še en dobro znan sistem za zaznavanje vdorov v sistem gostitelja. Njene glavne značilnosti z vidika IDS so preverjanje celovitosti datotek in spremljanje / analiza datotek dnevnika. Vendar je vseeno več kot to. Izdelek bo izvajal odkrivanje rootkitov, spremljanje vrat, odkrivanje ločenih izvršljivih datotek SUID in skritih procesov. Orodje je bilo zasnovano za nadziranje več gostiteljev, ki poganjajo različne operacijske sisteme, hkrati pa zagotavlja centralizirano beleženje in vzdrževanje. Vendar pa je dr. Samhain se lahko uporablja tudi kot samostojna aplikacija v enem samem računalniku. Programska oprema deluje predvsem na sistemih POSIX, kot so Unix, Linux ali OS X. V operacijskem sistemu Windows se lahko zažene tudi Cygwin, paket, ki omogoča zagon POSIX aplikacij v operacijskem sistemu Windows, čeprav je v tej konfiguraciji preizkušen le nadzorni agent.
Eden od SamhainNajbolj edinstvena lastnost je tajni način, ki omogoča, da se izvaja, ne da bi ga zaznali potencialni napadalci. Znano je, da so vsiljivci hitro ubili procese odkrivanja, ki jih prepoznajo takoj, ko vstopijo v sistem, preden jih odkrijejo, kar jim omogoča, da ostanejo neopaženi. Samhain uporablja steganografske tehnike za skrivanje svojih procesov pred drugimi. Prav tako ščiti svoje centralne datoteke dnevnika in varnostne kopije konfiguracije s tipko PGP, da prepreči posege.
4. Fail2Ban
Fail2Ban je brezplačni in odprtokodni sistem za zaznavanje vdorov gostitelja, ki vsebuje tudi nekatere možnosti preprečevanja vdorov. Programsko orodje spremlja dnevniške datoteke zaradi sumljivih dejavnosti in dogodkov, kot so neuspeli poskusi prijave, iskanje izkoriščanja itd. Privzeto dejanje orodja, kadar koli zazna nekaj sumljivega, je samodejno posodabljanje lokalnih pravil požarnega zidu, da blokira izvorni IP naslov zlonamernega vedenja. V resnici to ni resno preprečevanje vdorov, temveč sistem za zaznavanje vdorov s funkcijami samodejne sanacije. Pravkar smo opisali, da je orodje privzeto dejanje, vendar katero koli drugo samovoljno dejanje - na primer pošiljanje e-poštna obvestila - lahko tudi konfigurirate, tako da se obnašajo kot bolj "klasično" zaznavanje vdorov sistem.
Fail2Ban je na voljo z različnimi že vgrajenimi filtri za nekatere najpogostejše storitve, kot so Apache, SSH, FTP, Postfix in številne druge. Kot smo pojasnili, preprečevanje izvajamo s spreminjanjem tabel požarnega zidu gostitelja. Orodje lahko deluje z Netfilter, IPtables ali s tabelo hosts.deny TCP Wrapper. Vsak filter je lahko povezan z enim ali več dejanji.
5. POMOČNIK
The Napredno okolje za zaznavanje vdorovali POMOČNIK, je še en brezplačni sistem za zaznavanje vdorov gostitelja. Glavni se osredotoča na odkrivanje rootkitov in primerjavo podpisov datotek. Ko ga na začetku namestite, bo orodje iz konfiguracijskih datotek sistema zbralo nekakšno bazo podatkov skrbniških podatkov. Ta baza podatkov se nato lahko uporabi kot osnovna črta, s katero je mogoče primerjati kakršne koli spremembe in jih po potrebi vrniti nazaj.
POMOČNIK uporablja sheme zaznavanja na podlagi podpisov in anomalij. To je orodje, ki se izvaja na zahtevo in se ne načrtuje ali neprekinjeno izvaja. Pravzaprav je to glavna pomanjkljivost izdelka. Ker pa je orodje ukazne vrstice in ne temelji na GUI, lahko ustvarite delo cron, ki ga bo izvajalo v rednih intervalih. Če se boste orodje odločili pogosto uporabljati - na primer enkrat na minuto -, boste skoraj dobili podatke v realnem času in imeli boste čas za odziv, preden bo kateri koli poskus vdora pretirano povzročil veliko škode.
V svoji srži je dr. POMOČNIK je samo orodje za primerjavo podatkov, vendar ga s pomočjo nekaj zunanjih načrtovanih skriptov lahko spremenimo v pravega HIDS-a. Upoštevajte, da je to v bistvu lokalno orodje. Nima centraliziranega upravljanja in ne domišljijskega vmesnika GUI.
6. Sagan
Zadnji na našem seznamu je Sagan, ki je dejansko bolj sistem analize dnevnikov kot pravi IDS. Ima pa nekaj funkcij, ki so podobne IDS-u, zato si zasluži mesto na našem seznamu. Orodje lokalno opazuje datoteke dnevnika sistema, kjer je nameščeno, lahko pa deluje tudi z drugimi orodji. Lahko bi na primer analizirali Snortove dnevnike in učinkovito dodali NIDS funkcionalnost Snorta v tisto, kar je v bistvu HIDS. To ne bo samo interakcija s Snort. Sagan lahko deluje tudi s Suricata in je združljiv z več orodji za oblikovanje pravil, kot sta Oinkmaster ali Pulled Pork.
Sagan ima tudi zmožnosti izvrševanja skriptov, zaradi česar lahko postane sistem za preprečevanje vdorov grobo, pod pogojem, da razvijete nekatere popravne skripte. Čeprav se to orodje verjetno ne bo uporabljalo kot vaša edina obramba pred vdori, je lahko to odlična komponenta sistema, ki lahko vključuje veliko orodij s korelacijo dogodkov iz različnih viri.
Iskanje
Zadnje Objave
Poglobljen pregled upravitelja pravic za dostop do programa SolarWinds
SolarWinds pri nagovarjanju omrežnih skrbnikov ne potrebuje predsta...
SolarWinds Network Performance Monitor (NPM) proti Nagios XI
Nadzor omrežja je pomembna naloga večine današnjih skrbnikov omreži...
4 najboljše alternative Varonis za analizo dovoljenj
Varonis je znan ponudnik rešitev za varnost podatkov. Njegov izdele...