Изглежда, че всички тези дни са загриженисъс сигурност. Има смисъл, когато се обмисля значението на киберпрестъпността. Организациите са насочени от хакери, които се опитват да откраднат данните им или да им причинят други вреди. Един от начините, по които можете да защитите вашата ИТ среда от тези атаки, е чрез използването на правилните инструменти и системи. Често първата линия на защита е в периметъра на мрежата под формата на мрежово базирани системи за откриване на проникване или NIDS, Тези системи анализират трафика, идващ на вашиямрежа от интернет, за да откриете всякаква подозрителна дейност и да ви предупреди незабавно. NIDS са толкова популярни и толкова много от тях са достъпни, отколкото намирането на най-доброто за вашите нужди може да бъде предизвикателство. Да ти помогне, съставихме този списък на едни от най-добрите мрежови системи за откриване на проникване.
Ще започнем пътуването си, като разгледамеразлични видове система за откриване на проникване. По същество има два типа: базирани на мрежа и хост. Ще обясним разликите им. Системите за откриване на проникване също се различават по метода на откриване, който използват. Някои от тях използват подход, базиран на подпис, докато други разчитат на поведенчески анализ. Най-добрите инструменти използват комбинация от двата метода на откриване. Пазарът е наситен както със системи за откриване на проникване, така и за предотвратяване на проникване. Ще проучим как се различават и как си приличат, тъй като е важно да разберем разликата. Накрая ще разгледаме най-добрите мрежови системи за откриване на проникване и ще представим техните най-важни функции.
Откриване на проникване на базата на мрежа срещу хост
Системите за откриване на проникване са едно от дветевидове. И двамата споделят една и съща цел - бързо откриване на опити за проникване или подозрителна активност, потенциално водещи до опити за проникване, но те се различават по местоположението на мястото на прилагане, което се отнася до мястото, където се извършва откриването. Всеки тип инструмент за откриване на проникване има предимства и недостатъци. Няма реален консенсус по отношение на това кой е за предпочитане. Някои се кълнат в един тип, докато други ще се доверят само на другия. И двете вероятно са прави. Най-доброто решение - или най-сигурното - вероятно е това, което комбинира двата типа.
Мрежови системи за откриване на проникване (NIDS)
Първият тип система за откриване на проникване енаречена Мрежова система за откриване на проникване или NIDS. Тези системи работят на границата на мрежата, за да налагат откриване. Те прехващат и изследват мрежовия трафик, търсейки съмнителни дейности, които биха могли да показват опит за проникване, а също така търсят известни модели на проникване. Нарушителите често се опитват да използват известни уязвимости на различни системи, като например изпращат неправилно оформени пакети до хостове, карайки ги да реагират по определен начин, който им позволява да бъдат нарушени. Мрежова система за откриване на проникване най-вероятно ще открие този вид опит за проникване.
Някои твърдят, че мрежовото проникванеСистемите са по-добри от своя хост-базиран партньор, тъй като те могат да открият атаки, дори преди дори да стигнат до вашите системи. Някои също са склонни да ги предпочитат, тъй като не изискват инсталиране на всеки хост, за да ги защитят ефективно. От друга страна, те осигуряват малка защита срещу вътрешни атаки, които за съжаление изобщо не са рядкост. За да бъде открит, опитът за нахлуване на нападателя трябва да премине през NIDS, което рядко прави, когато идва отвътре. Всяка технология има плюсове и минуси и това е конкретният случай на откриване на проникване, нищо не ви спира да използвате и двата типа инструменти за максимална защита.
Системи за разпознаване на проникване от хост (HIDS)
Системите за разпознаване на проникване в хост (HIDS) работятна ниво домакин; може би сте предположили това от името им. Например, те ще следят различни файлове и журнали за признаци на подозрителна активност. Друг начин, по който те могат да открият опити за проникване, е чрез проверка на системните файлове за конфигурация за неоторизирани промени. Те също могат да изследват същите тези файлове за специфични известни модели на проникване. Например, може да се знае, че даден метод за нахлуване работи чрез добавяне на определен параметър към конкретен конфигурационен файл. Една добра система за откриване на проникване, базирана на домакин, би уловила това.
Въпреки че името им може да ви накара да мислите за товавсички HIDS са инсталирани директно на устройството, което са предназначени да защитават, това не е задължително. Някои ще трябва да бъдат инсталирани на всички ваши компютри, докато някои ще изискват инсталиране само на локален агент. Някои дори вършат цялата си работа отдалечено без агент. Без значение как работят, повечето HIDS имат централизирана конзола, където можете да контролирате всеки екземпляр на приложението и да преглеждате всички резултати.
Методи за откриване на проникване
Системите за откриване на проникване не се различават само поточката на принудително изпълнение, те също се различават по метода, който използват за откриване на опити за проникване. Някои са базирани на подпис, докато други са базирани на аномалия. Първите работят, като анализират данни за конкретни модели, които са свързани с опити за проникване. Това е подобно на традиционните системи за защита от вируси, които разчитат на дефиниции срещу вируси. Откриването на проникване въз основа на подпис разчита на подписи или модели на проникване. Те сравняват заснетите данни с подписите за проникване, за да идентифицират опитите за проникване. Разбира се, те няма да работят, докато подходящият подпис не бъде качен в софтуера, което понякога може да се случи само след като определен брой машини са били атакувани и издателите на подписи за навлизане са имали време да публикуват нови пакети за актуализация. Някои доставчици са доста бързи, докато други могат да реагират само дни по-късно. Това е основният недостатък на този метод на откриване.
Откриването на проникване на основата на аномалия осигурява по-добри резултатизащита срещу атаки с нулев ден, онези, които се случват преди всеки софтуер за откриване на проникване, имаше шанс да придобие подходящия файл за подпис. Те търсят аномалии, вместо да се опитват да разпознаят известни модели на проникване. Например, някой, който се опитва да влезе в система с грешна парола няколко пъти подред, би задействал предупреждение, тъй като това е често срещан знак за груба атака. Тези системи могат бързо да открият всякаква подозрителна активност в мрежата. Всеки метод за откриване има предимства и недостатъци и точно както при двата типа инструменти, най-добрите инструменти вероятно са тези, използващи комбинация от подпис и анализ на поведението.
Откриване или превенция?
Някои хора са склонни да се объркват междусистеми за откриване на проникване и предотвратяване на проникване. Въпреки че са тясно свързани, те не са идентични, въпреки че между тях има припокриване на функционалност. Както подсказва името, системите за откриване на проникване откриват опити за проникване и подозрителни дейности. Когато открият нещо, те обикновено задействат някаква форма на предупреждение или известие. Тогава администраторите трябва да предприемат необходимите стъпки, за да спрат или блокират опита за проникване.
Системите за предотвратяване на проникване (IPS) са една стъпкаосвен това и могат да спрат натрапванията да се случват напълно. Системите за предотвратяване на проникване включват компонент за откриване - който е функционално еквивалентен на система за откриване на проникване - който ще задейства някои автоматични действия за отстраняване при всеки опит за намеса. Не е необходима човешка намеса, която да спре опита за проникване. Предотвратяването на проникване също може да се отнася до всичко, което се прави или се поставя като начин за предотвратяване на прониквания. Например втвърдяването с парола или блокирането на натрапник може да се разглежда като мерки за предотвратяване на проникване.
Най-добрите мрежови инструменти за откриване на проникване
Търсихме пазара за най-добротоМрежови системи за откриване на проникване. Нашият списък съдържа комбинация от истински базирани на Host системи за откриване на проникване и друг софтуер, който има компонент на мрежово разпознаване на проникване или който може да се използва за откриване на опити за проникване. Всеки от нашите препоръчани инструменти може да ви помогне да откриете опити за проникване във вашата мрежа.
1. SolarWinds Threat Monitor - IT Ops Edition (БЕЗПЛАТНА демонстрация)
SolarWinds е често срещано име в областта наинструменти за мрежово администриране. Компанията съществува от около 20 години и ни донесе едни от най-добрите инструменти за мрежова и системна администрация. Нейният водещ продукт, мрежовият монитор за ефективност, постоянно се класира сред най-добрите инструменти за мониторинг на честотната лента. SolarWinds също така прави отлични безплатни инструменти, всеки от които адресира конкретни нужди на мрежовите администратори. Сървърът Kiwi Syslog и калкулаторът за разширени подмрежи са два добри примера за тях.
За мрежово откриване на проникване SolarWinds предлага Threat Monitor - IT Ops Edition, Противно на повечето други инструменти на SolarWinds, товаединият е облачна услуга, а не локално инсталиран софтуер. Просто се абонирате за него, конфигурирате го и той започва да наблюдава вашата среда за опити за проникване и още няколко вида заплахи. Най- Threat Monitor - IT Ops Edition комбинира няколко инструмента. Той разполага както с мрежова, така и с хостово разпознаване на проникване, както и централизация и корелация на журнала, и информация за сигурност и управление на събития (SIEM). Това е много задълбочен пакет за наблюдение на заплахите.
- БЕЗПЛАТНО ДЕМО: SolarWinds Threat Monitor - IT Ops Edition
- Официална връзка за изтегляне: https://www.solarwinds.com/threat-monitor/registration
Най- Threat Monitor - IT Ops Edition винаги е актуален, постоянно се актуализираразузнавателна информация за заплахите от множество източници, включително IP бази данни и репутация на домейни. Той следи както известни, така и неизвестни заплахи. Инструментът разполага с автоматизирани интелигентни отговори за бързо преодоляване на инциденти със сигурността, като му дава някои функции, подобни на предотвратяване на проникване.
Функциите за предупреждение на продукта са доставпечатляваща. Има много условни, кръстосано свързани кореспонденции, които работят съвместно с механизма за активно реагиране на инструмента и помагат при идентифицирането и обобщаването на важни събития. Системата за докладване е също толкова добра, колкото и нейното сигнализиране и може да се използва за демонстриране на съответствие, като се използват съществуващи предварително изградени шаблони за отчети. Като алтернатива можете да създадете персонализирани отчети, които да отговарят точно на вашите бизнес нужди.
Цени за SolarWinds Threat Monitor - IT Ops Edition започнете от $ 4 500 за до 25 възли с 10 днина индекс. Можете да се свържете със SolarWinds за подробна оферта, адаптирана към вашите специфични нужди. И ако предпочитате да видите продукта в действие, можете да поискате безплатна демонстрация от SolarWinds.
2. сумтене
сумтене със сигурност е най-известният NIDS с отворен код. Но сумтене всъщност е нещо повече от инструмент за откриване на проникване. Освен това е sniffer за пакети и логър за пакети и също така има няколко други функции. За сега ще се съсредоточим върху функциите за откриване на проникване в инструмента, тъй като това е тема на тази публикация. Конфигурирането на продукта напомня на конфигурирането на защитна стена. Конфигурира се с помощта на правила. Можете да изтеглите основни правила от сумтене уебсайт и да ги използвате като такива или да ги персонализирате според вашите специфични нужди. Можете също да се абонирате за сумтене правила за автоматично получаване на всички най-нови правила с развитието им или с откриването на нови заплахи.
Вид е много задълбочен и дори основните му правила могатоткрийте голямо разнообразие от събития като сканиране на скрит порт, атаки на преливане на буфер, CGI атаки, SMB сонди и отпечатъци на ОС. На практика няма ограничение за това какво можете да откриете с този инструмент и това, което открива, зависи единствено от правилото, което инсталирате. Що се отнася до методите за откриване, някои от основните правила на Snort са базирани на подпис, докато други са базирани на аномалия. Следователно смъртът може да ви даде най-доброто от двата свята.
3. Suricata
Suricata е не само система за откриване на проникване. Той също има някои функции за предотвратяване на проникване. Всъщност той се рекламира като цялостна екосистема за мониторинг на сигурността на мрежата. Едно от най-добрите предимства на инструмента е как работи до целия слой на приложението. Това го прави хибридна система, базирана на мрежа и хост, която позволява на инструмента да открива заплахи, които вероятно ще останат незабелязани от други инструменти.
Suricata е истинско мрежово разпознаване на проникванеСистема и тя не работи само на приложения слой. Той ще следи мрежовите протоколи от по-ниско ниво като TLS, ICMP, TCP и UDP. Инструментът също така разбира и декодира протоколи от по-високо ниво като HTTP, FTP или SMB и може да открие опити за проникване, скрити в иначе нормални заявки. Инструментът разполага и с възможности за извличане на файлове, което позволява на администраторите да разгледат всеки подозрителен файл.
SuricataАрхитектурата на приложението е доста иновативна. Инструментът ще разпредели работното си натоварване в няколко процесорни ядра и нишки за най-добра производителност. Ако е необходимо, той дори може да зареди част от обработката си на графичната карта. Това е чудесна функция, когато използвате инструмента на сървърите, тъй като тяхната графична карта обикновено не се използва.
4. Брато Монитор за мрежова сигурност
Най- Бро монитор за мрежова сигурност, друга безплатна система за откриване на проникване в мрежа. Инструментът работи на две фази: регистриране на трафика и анализ на трафика. Точно като Суриката, Бро монитор за мрежова сигурност работи на няколко слоя нагоре на приложения слой. Това дава възможност за по-добро откриване на опити за разбиване на сплит. Най- Бро монитор за мрежова сигурностМодулът за анализ е съставен от два елемента. Първият елемент се нарича двигател на събитията и той проследява задействащи събития като мрежови TCP връзки или HTTP заявки. След това събитията се анализират чрез скриптове на политиката, вторият елемент, който решава дали да се задейства аларма и / или стартира действие. Възможността за стартиране на действие дава Бро монитор за мрежова сигурност някои IPS-подобни функции.
Най- Бро монитор за мрежова сигурност ще ви позволи да проследявате HTTP, DNS и FTP активности също така ще следи SNMP трафика. Това е добро, защото SNMP често се използва за мониторинг на мрежата, но не е защитен протокол. И тъй като може да се използва и за промяна на конфигурации, може да бъде използван от злонамерени потребители. Инструментът също така ще ви позволи да наблюдавате промени в конфигурацията на устройството и SNMP капани. Може да бъде инсталиран в Unix, Linux и OS X, но не е наличен за Windows, което е може би основният му недостатък.
5. Сигурност лук
Трудно е да се определи какво Сигурност лук е. Това не е само система за откриване или предотвратяване на проникване. Всъщност това е цялостна дистрибуция на Linux с акцент върху откриването на проникване, мониторинга на сигурността на предприятието и управлението на журнала. Като такъв, той може да спести на администраторите много време. Тя включва много инструменти, някои от които току-що прегледахме. Security Onion включва Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner и други. За да улесните настройката си, дистрибуцията е снабдена с лесен за използване съветник за настройка, който ви позволява да защитите вашата организация за минути. Ако трябваше да опишем това Сигурност лук с едно изречение бихме казали, че това е ножът на швейцарската армия на ИТ сигурността на предприятията.
Едно от най-интересните неща за товаинструмент е, че получавате всичко в една проста инсталация. За разпознаване на проникване инструментът ви предоставя както мрежови, така и хост-базирани инструменти за разпознаване на проникване. Пакетът също комбинира инструменти, които използват подход, базиран на подпис, и инструменти, базирани на аномалия. Освен това ще намерите комбинация от текстови и GUI инструменти. Има наистина отлична комбинация от инструменти за сигурност. Има един основен недостатък на защитния лук. При толкова много включени инструменти конфигурирането им всички може да се окаже значителна задача. Не е нужно обаче да използвате и конфигурирате всички инструменти. Можете да изберете само онези, които да използвате. Дори и да използвате само няколко включени инструмента, това вероятно ще е по-бърза опция от инсталирането им поотделно.
Коментари