6 најбољих система за откривање упада (ХИДС) на бази домаћина у 2020. години

Не бих хтео да звучим превише параноично, мада вероватно и знам, али сајбер-криминал је свуда. Свака организација може постати мета хакера који покушавају да приступе њиховим подацима. Стога је првобитно пазити на ствари и осигурати да не будемо жртве тих злонамерних појединаца. Прва линија одбране је Систем за откривање провале. Домаћин системи примењују детекцију на нивоу хоста и обично детектују већину покушаја упада и одмах вас обавештавају како бисте могли да отклоните ситуацију. Уз толико доступних система за детекцију упада на основу домаћина, одабир најбољег за вашу специфичну ситуацију може се чинити изазовом. Да бисмо вам помогли да јасно видите, саставили смо листу неких од најбољих система за детекцију упада на основу домаћина.

Пре него што откријемо најбоље алате, укратко ћемо се повући у страну и погледати различите врсте система за откривање провале. Неки су засновани на домаћинима, а други на мрежи. Објаснићемо разлике. Затим ћемо разговарати о различитим методама откривања упада. Неки алати имају приступ заснован на потпису, док други траже сумњиво понашање. Најбољи користе комбинацију оба. Пре него што наставимо, објаснићемо разлике између система за откривање провале и система за спречавање упада, јер је важно да разумемо шта гледамо. Тада ћемо бити спремни за суштину овог поста, најбоље системе за детекцију упада на основу домаћина.

Две врсте система за откривање провале

У суштини постоје две врсте система за откривање провале. Иако је њихов циљ идентичан - брзо откривање било каквог покушаја провале или сумњиве активности са којим би могао довести до покушаја провале, они се разликују у локацији на којој се обавља та детекција. Ово је концепт који се често наводи као тачка извршења. Свака врста има предности и недостатке и, генерално гледано, не постоји консензус о томе који је погоднији. Заправо је најбоље решење - или најбезбедније - вероватно решење које комбинује обоје.

Системи за детекцију провале домаћина (ХИДС)

Прва врста система за откривање провале, она која нас данас занима, функционише на нивоу хоста. Можда сте то погодили из његовог имена. ХИДС проверава, на пример, разне датотеке дневника и часописа због знакова сумњивих активности. Други начин на који откривају покушаје провале је провјером важних конфигурацијских датотека за неовлаштене промјене. Такође могу прегледати исте конфигурационе датотеке за специфичне познате обрасце упада. На пример, може се знати да одређени метод упада делује додавањем одређеног параметра одређеној конфигурацијској датотеци. Добар систем детекције упада који се заснива на домаћину би то ухватио.

Већину времена ХИДС се инсталира директно на уређаје које треба да штите. Морате их инсталирати на све своје рачунаре. За остале ће требати само инсталирање локалног агента. Неки чак и свој посао раде на даљину. Без обзира како функционишу, добар ХИДС поседује централизовану конзолу на којој можете контролисати апликацију и видети њене резултате.

Мрежни системи за откривање упада (НИДС)

Друга врста система за откривање провале названа Мрежни системи за откривање упада или НИДС-а раде на граници мреже да би примењивали откривање. Користе сличне методе као и системи за детекцију упада домаћина као што су откривање сумњивих активности и тражење познатих образаца упада. Али уместо да прегледају записнике и конфигурационе датотеке, они гледају мрежни саобраћај и прегледавају све захтеве за повезивање. Неке методе упада искориштавају познате рањивости шаљући намерно неисправне пакете хостовима, чинећи их да реагују на одређени начин који им омогућава кршење. Мрежни систем за откривање упада лако би открио ову врсту покушаја.

Неки тврде да су НИДС бољи од ХИДС-а јер открију нападе чак и пре него што дођу до ваших система. Неки их преферирају јер не требају да се инсталира на сваки домаћин да би их ефикасно заштитили. С друге стране, пружају малу заштиту од инсајдерских напада који на жалост нису ретки. Да би био откривен, нападач мора да користи стазу која пролази кроз НИДС. Из тих разлога, најбоља заштита вероватно долази из употребе комбинације обе врсте алата.

Методе откривања провале

Као што постоје две врсте алата за откривање провале, постоје и две различите методе за откривање покушаја провале. Детекција може бити заснована на потпису или на аномалији. Детекција упада на основу потписа функционише тако што анализира податке за одређене обрасце који су повезани са покушајима провале. То је слично традиционалним системима за заштиту од вируса који се ослањају на дефиниције вируса. Исто тако, откривање упада на основу потписа ослања се на потписе или обрасце упада. Они упоређују податке са упадима да би идентификовали покушаје. Њихов главни недостатак је што не раде све док се одговарајући потписи не унесу у софтвер. Нажалост, то се обично дешава тек након што је нападнут одређени број машина и издавачи уљеза потписа су имали времена да објаве нове пакете за ажурирање. Неки добављачи су прилично брзи, док су други могли да реагују само данима касније.

Откривање упада засновано на аномалији, друга метода, пружа бољу заштиту од напада без нула дана, они који се догађају пре било ког софтвера за откривање провале имали су прилику да стекну одговарајући потпис датотека. Ови системи траже аномалије уместо да покушавају препознати познате обрасце упада. На примјер, они би се могли покренути ако је неко више пута заредом покушао приступити систему с погрешном лозинком, што је уобичајени знак напада бруталне силе. Свако сумњиво понашање може се брзо открити. Свака метода детекције има своје предности и мане. Као и код врста алата, најбољи су алати они који користе комбинацију потписа и анализе понашања за најбољу заштиту.

Детецтион Вс Превентион - Важна дистинкција

Разговарали смо о системима за откривање провале, али многи од вас су можда чули за системе за спречавање провале. Да ли су два концепта идентична? Једноставан одговор је не, јер две врсте алата служе различитим сврхама. Међутим, постоји нешто преклапање међу њима. Као што му име каже, систем за откривање провале открива покушаје упада и сумњивих активности. Кад нешто открије, обично активира неки облик упозорења или обавештења. Затим администратори морају предузети потребне кораке да зауставе или блокирају покушај упада.

Системи за спречавање упада (ИПС) направљени су да спрече да се упади потпуно почну дешавати. Ацтиве ИПС укључује компоненту детекције која ће аутоматски покренути неку корективну радњу сваки пут када се открије покушај упада. Превенција против упада такође може бити пасивна. Израз се може употребити за означавање било чега што се учини или успоставља као начин за спречавање упада. Отврдњавање лозинке, на пример, може се сматрати мером за спречавање провале.

Најбољи алати за откривање упада домаћина

Претражили смо тржиште за најбоље системе за детекцију упада на основу домаћина. Оно што имамо за вас је комбинација правог ХИДС-а и другог софтвера који, иако сами себе не називају системи за откривање провале имају компоненту детекције провале или се могу користити за откривање упада покушаји. Погледајмо наше најбоље изборе и погледајмо њихове најбоље карактеристике.

Наш први унос је из СоларВиндс-а, уобичајеног имена у пољу алата за мрежно администрирање. Компанија постоји већ око 20 година и донела нам је неке од најбољих алата за мрежу и системску администрацију. Такође је добро познато да има много бесплатних алата који испуњавају неке специфичне потребе мрежних администратора. Два сјајна примера ових бесплатних алата су Киви Сислог Сервер и Адванцед Субнет Цалцулатор.

Не дозволите СоларВиндс Лог & Евент МанагерЗаваравам те именом. То је много више од система за управљање дневницима и догађајима. Многе напредне функције овог производа сврставају га у распон безбедносних информација и управљања догађајима (СИЕМ). Остале карактеристике га квалификују као систем за откривање упада, па чак и до извесне мере као систем за спречавање провале. На пример, овај алат садржи корелацију догађаја у стварном времену и санирање у реалном времену.

• БЕСПЛАТНА РЕКЛАМА: СоларВиндс Лог & Евент Манагер
• Званична веза за преузимање:https://www.solarwinds.com/log-event-manager-software/registration

Тхе СоларВиндс Лог & Евент Манагер има тренутно откривање сумњивих активности (ИДС-ова функционалност) и аутоматизоване одговоре (функционалност слична ИПС-у). Такође може да обави истрагу безбедносних догађаја и форензичке податке у сврху ублажавања и поштовања прописа. Захваљујући извештавању доказаном ревизијом, алат се такође може користити за доказивање усаглашености са ХИПАА, ПЦИ-ДСС и СОКС, између осталог. Алат такође има надзор над интегритетом датотека и надгледање УСБ уређаја, што га чини много више интегрисаном заштитном платформом него само системом за управљање дневницима и догађајима.

Цене за СоларВиндс Лог & Евент Манагер почиње од 4,585 УСД за до 30 надгледаних чворова. Лиценце за до 2500 чворова могу се купити због чега је производ високо скалабилан. Ако желите да узмете производ на пробни рад и уверите се да ли је тачно за вас, доступно је бесплатно пробно 30-дневно пробно раздобље.

2. ОССЕЦ

Сигурност отвореног кода, или ОССЕЦ, далеко је водећи систем за откривање упада базиран на отвореном извору. Производ је у власништву компаније Тренд Мицро, једног од водећих имена у ИТ безбедности и произвођача једног од најбољих апартмана за заштиту од вируса. Када се инсталира на Уник оперативне системе, софтвер се првенствено фокусира на датотеке дневника и конфигурације. Ствара контролне суме важних датотека и периодично их потврђује, упозоравајући вас кад год се нешто чудно догоди. Такође ће пратити и упозоравати на сваки ненормалан покушај да се добије роот приступ. На Виндовс домаћинима систем такође пази на неовлашћене измене регистра које би могле бити знак за злонамјерну активност.

Захваљујући систему за детекцију упада који је заснован на домаћинима, ОССЕЦ треба да буде инсталиран на сваком рачунару који желите да заштитите. Међутим, централизована конзола обједињује информације са сваког заштићеног рачунара ради лакшег управљања. Док ОССЕЦ конзола ради само на Уник оперативним системима, доступан је агент који штити Виндовс домаћине. Свако откривање покренуће упозорење које ће се приказати на централизованој конзоли, док ће се обавештења такође слати е-поштом.

3. Самхаин

Самхаин је још један добро познат систем за детекцију упада бесплатног домаћина. Његове главне карактеристике, са становишта ИДС-а, јесу провјера интегритета датотеке и надзор / анализа датотека. Ипак, има и пуно више од тога. Производ ће вршити детекцију рооткита, надгледање портова, детекцију рогуе СУИД извршних датотека и скривених процеса. Алат је дизајниран за надгледање више домаћина који покрећу различите оперативне системе, истовремено пружајући централизовано евидентирање и одржавање. Међутим, Самхаин такође се може користити као самостална апликација на једном рачунару. Софтвер се првенствено покреће на ПОСИКС системима као што су Уник, Линук или ОС Кс. Такође се може покретати на Виндовс-у под Цигвин-ом, пакетом који омогућава покретање ПОСИКС апликација на Виндовс-у, мада је само надзорни агент тестиран у тој конфигурацији.

Један од СамхаинНајосновнија карактеристика је тајни режим који му омогућава да се покрене без откривања потенцијалних нападача. Познато је да уљези брзо убијају процесе детекције које препознају чим уђу у систем пре него што буду откривени, омогућујући им да прођу незапажено. Самхаин користи стеганографске технике да сакрије своје процесе од других. Такође штити своје централне датотеке дневника и сигурносне копије са ПГП кључем како би се спречило неовлаштено дирање.

4. Фаил2Бан

Фаил2Бан је бесплатни систем за откривање упада и отварања извора који такође има неке могућности спречавања провале. Софтверски алат прати датотеке дневника ради сумњивих активности и догађаја као што су неуспјели покушаји пријаве, тражење експлоатације итд. Подразумевана радња алата, када год открије нешто сумњиво, је да аутоматски ажурира локална правила фиревалл-а да блокира изворну ИП адресу злонамерног понашања. У стварности, ово није истинска превенција провале, већ систем за откривање провале са функцијама аутоматске санације. Оно што смо управо описали је подразумевана акција алата, али било која друга произвољна радња - попут слања обавештења путем е-поште - такође се могу конфигурирати тако да се понашају као „класичнија“ детекција упада систем.

Фаил2Бан нуди се са разним унапред уграђеним филтерима за неке од најчешћих сервиса као што су Апацхе, ССХ, ФТП, Постфик и многи други. Превенција се, како смо објаснили, врши модификовањем табела фиревалл-а домаћина. Алат може радити са Нетфилтер-ом, ИПтабле-овима или хост.дени таблом ТЦП Враппер-а. Сваки филтар може бити повезан са једном или више радњи.

5. ПОМОЋ

Тхе Напредно окружење за откривање провале, или ПОМОЋ, је још један бесплатни систем за откривање упада у домаћин. Овај се фокусира углавном на детекцију рооткита и упоређивање потписа датотека. Када га првотно инсталирате, алат ће саставити врсту базе података администратора из конфигурационих датотека система. Ова база података тада се може користити као основна линија са којом се било какве промене могу упоредити и на крају вратити ако је потребно.

ПОМОЋ користи схеме откривања засноване на потпису и аномалији. Ово је алат који се покреће на захтјев, а не планира се или континуирано користи. Заправо, ово је главни недостатак производа. Међутим, будући да је то алат наредбеног ретка, а не да се заснива на ГУИ-ју, може се креирати црон задатак који ће га покретати у редовним интервалима. Ако одлучите да алат често покрећете - као што је то сваки минут - скоро ћете добити податке у реалном времену и имаћете времена да реагујете пре него што је било какав покушај провале претерано нанео велику штету.

У својој сржи, ПОМОЋ је само алат за упоређивање података, али уз помоћ неколико спољних заказаних скрипти, може се претворити у истинског ХИДС-а. Имајте на уму да је ово у основи локални алат. Нема централизовано управљање и фанци ГУИ.

6. Саган

Последњи на нашој листи је Саган, који је заправо више систем анализе дневника него истински ИДС. Има, међутим, неке карактеристике сличне ИДС-у, због чега заслужује место на нашој листи. Алат локално посматра датотеке дневника система на којима је инсталиран, али може и комуницирати са другим алаткама. На пример, могао би да анализира Снортове записе, ефикасно додајући НИДС функционалност Снорта ономе што је у ствари ХИДС. Неће само комуницирати са Снортом. Саган може такође да комуницира са Сурицата и компатибилан је с неколико алата за прављење правила попут Оинкмастер или Пуллед Порк.

Саган такође има могућности извођења скрипти што га може учинити грубим системом за спречавање упада, под условом да развијете неке скрипте за санацију. Иако се овај алат вероватно неће користити као ваша једина одбрана од провале, може бити сјајна компонента система која може уградити много алата корелирањем догађаја из различитих извори.