Мрежни системи за откривање упада: 5 најбољих НИДС алата за употребу

Изгледа да се сви ових дана брину о сигурности. То има смисла када се узме у обзир важност сајбер-криминала. Организације су на мети хакера који покушавају да украду њихове податке или им нанесу другу штету. Један од начина да заштитите своје ИТ окружење од ових напада је коришћење правих алата и система. Често се прва линија одбране налази на ободу мреже у облику мрежних система за откривање упада или НИДС-а. Ови системи анализирају саобраћај који на вашу мрежу стиже с интернета како би открио било какве сумњиве активности и одмах вас упозорио. НИДС су толико популарни и многи од њих су доступни него проналажење најбољег за ваше потребе може бити изазовно настојање. Да ти помогне, саставили смо ову листу неких од најбољих система за откривање упада у мрежи.

Почећемо своје путовање тако што ћемо разгледати различите врсте система за откривање провале. У суштини постоје две врсте: мрежне и хостиране. Објаснићемо њихове разлике. Системи за откривање провале разликују се и према методи детекције коју користе. Неки од њих користе приступ заснован на потпису, док се други ослањају на анализу понашања. Најбољи алати користе комбинацију обе методе детекције. Тржиште је засићено и системима за откривање провале и за заштиту од провале. Истражићемо како се разликују и како су слични јер је важно да схватимо разлику. Коначно ћемо прегледати најбоље мрежне системе за откривање провале и представити њихове најважније карактеристике.

Мрежа - вс детекција упада заснована на хосту

Системи за откривање провале представљају једну од две врсте. Обоје имају идентичан циљ - брзо откривање покушаја провале или сумњиве активности која потенцијално води покушаји упада - али разликују се у месту извршног места које се односи на место откривања изведено. Свака врста алата за откривање провале има предности и мане. Не постоји реалан консензус око тога који је предност. Неки се заклињу у једну врсту, док ће други вјеровати само другом. Обоје су вероватно у праву. Најбоље решење - или најбезбедније - је вероватно решење које комбинује обе врсте.

Мрежни системи за откривање упада (НИДС)

Први тип система за откривање провале назива се мрежним системом за откривање упада или НИДС. Ови системи раде на граници мреже да би примењивали откривање. Они пресрећу и испитују мрежни саобраћај, тражећи сумњиве активности које би могле указивати на покушај провале, а такође траже познате обрасце упада. Уљези често покушавају да искористе познате рањивости различитих система тако што, на пример, шаљу неисправне пакете хостовима, чинећи их да реагују на одређени начин који им омогућава да буду прекршени. Мрежни систем за откривање провале највероватније ће открити ову врсту покушаја упада.

Неки тврде да су мрежни системи за откривање упада бољи од својих колега са рачунаром, јер могу открити нападе чак и пре него што дођу до ваших система. Неки их такође преферирају зато што не требају инсталирати било шта на сваки хост да би их ефикасно заштитили. С друге стране, пружају малу заштиту од инсајдерских напада који на жалост нису ретки. Да би био откривен, покушај напада напада мора да прође кроз НИДС, што ретко када извире изнутра. Било која технологија има предности и недостатке, а специфичан случај откривања провале, ништа вас не спречава да користите обе врсте алата за врхунску заштиту.

Системи за детекцију провале домаћина (ХИДС)

Системи за откривање провале домаћина (ХИДС) дјелују на нивоу домаћина; могли бисте то претпоставити из њиховог имена. Они ће, на пример, надгледати разне датотеке и дневнике због знакова сумњивих активности. Други начин да открију покушаје упада је провјером системских датотека о неовлаштеним измјенама. Такође могу прегледати те исте датотеке ради утврђивања познатих образаца упада. На пример, може се знати да одређени метод упада делује додавањем одређеног параметра одређеној конфигурацијској датотеци. Добар систем за откривање упада који се заснива на домаћину би то ухватио.

Иако би их име могло навести да помислите да су сви ХИДС-ови инсталирани директно на уређају који требају да заштите, то није нужно случај. Неке ће требати бити инсталиране на свим рачунарима, док ће неке требати само инсталирање локалног агента. Неки чак раде свој посао на даљину без агента. Без обзира како функционишу, већина ХИДС-а има централизовану конзолу на којој можете контролисати сваку инстанцу апликације и видети све резултате.

Методе откривања провале

Системи за откривање провале не разликују се само по тачки извршења, већ се разликују и по методи коју користе за откривање покушаја провале. Неки су засновани на потпису, а други на аномалији. Први раде анализом података за одређене обрасце који су повезани са покушајима провале. То је слично традиционалним системима за заштиту од вируса који се ослањају на дефиниције вируса. Откривање упада на основу потписа ослања се на потписе или обрасце упада. Они упоређују снимљене податке са упадима да препознају покушаје упада. Наравно, неће радити све док се одговарајући потпис не постави на софтвер што се понекад може догодити тек након нападнут је одређени број машина и издавачи уљеза су имали времена да објаве нову исправку пакети. Неки добављачи су прилично брзи, док су други могли да реагују само данима касније. Ово је основни недостатак ове методе детекције.

Откривање упада засновано на аномалији пружа бољу заштиту од напада без нула дана, оних који се догађају пре него што је било који софтвер за откривање провале имао прилику да добије одговарајућу датотеку потписа. Они траже аномалије уместо да покушавају препознати познате обрасце упада. На пример, неко ко покушава да приступи систему са погрешном лозинком неколико пута заредом активираће упозорење, јер је то чест знак напада грубе силе. Ови системи могу брзо открити било какве сумњиве активности на мрежи. Свака метода детекције има предности и недостатке и баш као и код две врсте алата, најбољи су алати вероватно они који користе комбинацију анализе потписа и понашања.

Откривање или превенција?

Неки људи имају тенденцију да се збуне између система за откривање провале и заштите од упада. Иако су уско повезане, оне нису идентичне иако постоји одређено преклапање функционалности између њих две. Као што име сугерира, системи за откривање провале откривају покушаје упада и сумњивих активности. Кад нешто открију, обично покрећу неки облик упозорења или обавештења. Тада ће администратори предузети потребне кораке да зауставе или блокирају покушај упада.

Системи за спречавање упада (ИПС) иду корак даље и могу спречити да се упади потпуно почну дешавати. Системи за спречавање провале укључују компоненту детекције - која је функционално еквивалентна Интрузији Систем детекције - који ће покренути аутоматску корективну радњу сваки пут када се открије покушај упада. Није потребна људска интервенција за заустављање покушаја провале. Превенција против упада такође се може односити на било шта што се направи или успостави као начин спречавања упада. На примјер, отврдњавање лозинке или блокирање уљеза може се сматрати мјерама за спречавање провале.

Најбољи мрежни алати за откривање провале

Претражили смо тржиште за најбоље мрежне системе за откривање упада. Наша листа садржи комбинацију истинских система за откривање упада заснованих на хосту и другог софтвера који имају компоненту за детекцију упада на мрежи или се могу користити за откривање покушаја провале. Сваки од наших препоручених алата може вам помоћи у откривању покушаја провале у вашу мрежу.

СоларВиндс је уобичајено име у пољу алата за мрежно администрирање. Компанија постоји већ неких 20 година и донела нам је неке од најбољих алата за мрежу и администрацију система. Његов водећи производ, Нетворк Перформанце Монитор, константно се налази међу врхунским алатима за праћење пропусности мреже. СоларВиндс такође нуди одличне бесплатне алате, сваки се обраћа специфичним потребама мрежних администратора. Киви Сислог Сервер и Адванцед Субнет Цалцулатор су два добра примера за то.

За мрежно откривање упада СоларВиндс нуди Тхреат Монитор - ИТ Опс Едитион. Супротно већини других алата СоларВиндс, овај је услуга заснована у облаку, а не локално инсталирани софтвер. Једноставно се претплатите на њега, конфигуришете га и оно почиње са посматрањем вашег окружења ради покушаја провале и још неколико врста претњи. Тхе Тхреат Монитор - ИТ Опс Едитион комбинује неколико алата. Има и мрежно и хостовно откривање провала, као и централизацију и корелацију дневника, као и безбедносне информације и управљање догађајима (СИЕМ). То је веома темељит пакет за надгледање претњи.

• БЕСПЛАТНО ДЕМО: СоларВиндс Тхреат Монитор - ИТ Опс Едитион
• Званична веза за преузимање: https://www.solarwinds.com/threat-monitor/registration

Тхе Тхреат Монитор - ИТ Опс Едитион је увек у току, непрестано добија ажуриране информације о претњи из више извора, укључујући ИП и Дата Репутатион базе података. Посматра и познате и непознате претње. Алат садржи аутоматизоване интелигентне одговоре на брзо решавање безбедносних инцидената, пружајући му неке функције сличне превенцији провале.

Значајке упозоравања производа су прилично импресивне. Постоје вишеструки условљени, унакрсно корелирани аларми који раде у комбинацији са механизмом активног реаговања алата и помажу у идентификовању и сумирању важних догађаја. Систем извештавања је подједнако добар као и његово упозоравање и може се користити за демонстрирање усаглашености коришћењем постојећих унапред уграђених образаца извештаја. Алтернативно, можете да креирате прилагођене извештаје да бисте тачно одговарали пословним потребама.

Цене за СоларВиндс Тхреат Монитор - ИТ Опс Едитион стартујте од $ 4 500 за до 25 чворова са индексом од 10 дана. Можете се обратити СоларВиндс-у за детаљан цитат прилагођен вашим специфичним потребама. А ако више желите да видите производ у акцији, можете затражити бесплатни демо приказ од СоларВиндс.

2. Снорт

Снорт је свакако најпознатији НИДС са отвореним кодом. Али Снорт је заправо више од алата за откривање провале. Такође је снаффер за пакете и логер за пакете и он такође спаја неколико других функција. За сада ћемо се концентрисати на функције алата за откривање упада јер је ово тема овог поста. Конфигурирање производа подсећа на конфигурирање заштитног зида. Конфигурише се помоћу правила. Основна правила можете преузети са Снорт веб странице и користите их као што јесте или их прилагодите вашим специфичним потребама. Можете се претплатити и на Снорт правила да аутоматски добију сва најновија правила како се развијају или како се откривају нове претње.

Врста је врло темељит, па чак и његова основна правила могу открити најразличитије догађаје као што су скенирање невидљивих порта, напади препуњеног међуспремника, ЦГИ напади, СМБ сонде и отисак прста на ОС-у. Не постоји ограничење онога што можете открити помоћу овог алата и онога што открије искључиво зависи од скупа правила које инсталирате. Што се тиче метода откривања, нека од основних Снорт правила заснивају се на потпису, а друга на аномалији. Снорт вам може, дакле, пружити најбоље од оба света.

3. Сурицата

Сурицата није само систем за откривање провале. Такође има неке карактеристике за спречавање продора. У ствари, рекламиран је као комплетан екосистем за праћење безбедности мреже. Једно од најбољих својстава алата је како функционише све до слоја апликације. То га чини хибридним системом заснованим на мрежи и хосту који омогућава алату да детектује претње које би друге алате вероватно остале незапажене.

Сурицата је прави мрежни систем за откривање упада и не ради само на апликацијском слоју. Надгледаће мрежне протоколе нижег нивоа као што су ТЛС, ИЦМП, ТЦП и УДП. Алат такође разуме и декодира протоколе вишег нивоа, као што су ХТТП, ФТП или СМБ и може открити покушаје провале скривене у иначе нормалним захтевима. Алат такође садржи могућности вађења датотека омогућавајући администраторима да прегледају сваку сумњиву датотеку.

СурицатаАрхитектура апликација је прилично иновативна. Алат ће распоредити своје радно оптерећење на неколико процесорских језгара и нити за најбоље перформансе. По потреби може чак и дио своје обраде пребацити на графичку картицу. Ово је сјајна карактеристика када се алат користи на серверима, јер се њихова графичка картица обично не користи.

4. Брате Монитор сигурности мреже

Тхе Бро Нетворк Сецурити Монитор, још један бесплатни мрежни систем за откривање упада. Алат делује у две фазе: евидентирање и анализа саобраћаја. Баш као Сурицата, Бро Нетворк Сецурити Монитор дјелује на више слојева према апликацијском слоју. То омогућава бољу детекцију покушаја раздвајања. Тхе Бро Нетворк Сецурити МониторМодул за анализу састоји се од два елемента. Први елемент се назива покретачки догађај и прати покретање догађаја као што су нето ТЦП везе или ХТТП захтеви. Догађаји се затим анализирају помоћу скрипти политике, другог елемента, који одлучују хоће ли активирати аларм и / или покренути акцију. Могућност покретања акције даје Бро Нетворк Сецурити Монитор неке функције сличне ИПС-у.

Тхе Бро Нетворк Сецурити Монитор ће вам омогућити да пратите ХТТП, ДНС и ФТП активност и надгледаће СНМП саобраћај. То је добра ствар јер се СНМП често користи за надгледање мреже, а опет није сигуран протокол. А будући да се такође може користити за измену конфигурација, то могу да искористе и злобни корисници. Алат ће вам такође омогућити да гледате промене конфигурације уређаја и СНМП замке. Може се инсталирати на Уник, Линук и ОС Кс, али није доступан за Виндовс, што је можда и његов главни недостатак.

5. Безбедносни лук

Тешко је дефинисати шта Безбедносни лук је. То није само систем за откривање или спречавање провале. То је, у ствари, потпуна дистрибуција Линука са фокусом на откривање провале, праћење сигурности предузећа и управљање евиденцијама. Као такав, то може уштедети администраторима пуно времена. То укључује много алата, од којих смо неке управо прегледали. Сигурносни лук укључује Еластицсеарцх, Логстасх, Кибана, Снорт, Сурицата, Бро, ОССЕЦ, Сгуил, Скуерт, НетворкМинер и још много тога. Да бисте олакшали подешавање, дистрибуција је у пакету са чаробњаком за једноставно постављање који вам омогућава да заштитите своју организацију у року од неколико минута. Ако бисмо морали да опишемо то Безбедносни лук у једној реченици, могли бисмо рећи да је то швајцарска војска нож информатичке безбедности предузећа.

Једна од најинтересантнијих ствари о овом алату је та што добијате све у једној једноставној инсталацији. За откривање провале, алат вам даје мрежне и хост-ове алате за откривање провале. Пакет такође комбинује алате који користе приступ заснован на потпису и алате који се базирају на аномалији. Поред тога, наћи ћете комбинацију текстуалних и ГУИ алата. Постоји заиста одлична комбинација сигурносних алата. Постоји један основни недостатак сигурносног лука. Са толико укључених алата, њихово конфигурисање може се показати значајним задатком. Међутим, не морате да користите и конфигуришете све алате. Можете да одаберете само оне које користите. Чак и ако користите само неколико укључених алата, то би вероватно била бржа опција него да их инсталирате одвојено.