Vypadá to, že se to týká všechs bezpečností. Dává to smysl při zvažování důležitosti kybernetické kriminality. Organizace jsou zaměřeny hackery, kteří se snaží ukrást svá data nebo způsobit jim další újmu. Jedním ze způsobů, jak zabezpečit své IT prostředí před těmito útoky, je použití správných nástrojů a systémů. První linie obrany je často na obvodu sítě ve formě síťových detekčních systémů nebo NIDS. Tyto systémy analyzují přenos přicházející na vášsíť z internetu k detekci jakékoli podezřelé aktivity a okamžitě vás upozorní. NIDS jsou tak populární a tolik z nich je k dispozici, než najít ten nejlepší pro vaše potřeby může být náročné úsilí. Pomoct ti, sestavili jsme tento seznam některých nejlepších síťových systémů detekce narušení.
Začneme naší cestou pohledem narůzné typy systému detekce narušení. V zásadě existují dva typy: síťové a hostitelské. Vysvětlíme jim jejich rozdíly. Systémy detekce narušení se také liší metodou detekce, kterou používají. Některé z nich používají přístup založený na podpisu, zatímco jiné spoléhají na analýzu chování. Nejlepší nástroje používají kombinaci obou detekčních metod. Trh je nasycen jak systémy detekce narušení, tak systémy prevence narušení. Prozkoumáme, jak se liší a jak jsou si podobné, protože je důležité porozumět rozdílu. Nakonec zkontrolujeme nejlepší síťové systémy detekce narušení a představíme jejich nejdůležitější funkce.
Detekce narušení na základě sítě vs Host
Systémy detekce narušení jsou jedním ze dvoutypy. Oba sdílejí stejný cíl - rychle odhalit pokusy o narušení nebo podezřelé aktivity, které by potenciálně mohly vést k pokusům o narušení - liší se však v místě, kde se nachází bod vymáhání, který odkazuje na místo, kde se provádí detekce. Každý typ nástroje pro detekci narušení má své výhody a nevýhody. Neexistuje skutečná shoda ohledně toho, který z nich je výhodnější. Někteří přísahají podle jednoho typu, zatímco jiní věří pouze druhému. Oba mají pravděpodobně pravdu. Nejlepší řešení - nebo nejbezpečnější - je pravděpodobně řešení, které kombinuje oba typy.
Systémy detekce narušení sítě (NIDS)
První typ systému detekce narušení jenazývá se systém detekce narušení sítě nebo NIDS. Tyto systémy pracují na hranici sítě a vynucují detekci. Zachycují a zkoumají síťový provoz, hledají podezřelé činnosti, které by mohly naznačovat pokus o narušení, a také hledají známé vzory narušení. Votřelci se často snaží zneužít známá zranitelnost různých systémů, například zasláním chybně formátovaných paketů hostitelům, což jim umožňuje reagovat zvláštním způsobem, který jim umožňuje jejich porušení. Systém detekce narušení sítě bude s největší pravděpodobností detekovat tento druh pokusu o narušení.
Někteří tvrdí, že detekce narušení sítěSystémy jsou lepší než jejich protějšek založený na hostiteli, protože mohou detekovat útoky ještě předtím, než se dostanou k vašim systémům. Někteří je také preferují, protože nevyžadují žádnou instalaci na každého hostitele, aby je účinně chránili. Na druhou stranu poskytují malou ochranu před útoky zasvěcených osob, které bohužel nejsou vůbec neobvyklé. Aby byl útočník detekován, musí se pokusit o průnik útočníkem skrz NIDS, což málokdy udělá, když pochází zevnitř. Každá technologie má klady a zápory a je to specifický případ detekce narušení, nic vám nebrání používat oba typy nástrojů pro maximální ochranu.
Host Intrusion Detection Systems (HIDS)
Fungují systémy detekce narušení hostitele (HIDS)na úrovni hostitele; mohli jste to uhodnout podle jejich jména. Budou například sledovat různé protokolové soubory a žurnály na známky podezřelé činnosti. Dalším způsobem, jak mohou detekovat pokusy o narušení, je kontrola neoprávněných změn v konfiguračních souborech systému. Mohou také prozkoumat stejné soubory pro specifické známé vzory vniknutí. Například může být známo, že konkrétní způsob vniknutí funguje přidáním určitého parametru do specifického konfiguračního souboru. Dobrý systém detekce narušení založený na hostiteli by to zachytil.
Jejich jméno by vás mohlo vést k tomu, abyste si to myslelivšechny HIDS jsou nainstalovány přímo na zařízení, které mají chránit, není tomu tak nutně. Některé budou muset být nainstalovány na všech počítačích, zatímco jiné budou vyžadovat pouze instalaci místního agenta. Někteří dokonce dělají veškerou svou práci na dálku bez agenta. Bez ohledu na to, jak fungují, většina HIDS má centralizovanou konzolu, kde můžete ovládat každou instanci aplikace a zobrazovat všechny výsledky.
Metody detekce narušení
Systémy detekce narušení se neliší pouze omísto výkonu, liší se také metodou, kterou používají k detekci pokusů o narušení. Některé jsou založeny na podpisu, zatímco jiné jsou založeny na anomáliích. První z nich pracují na analýze dat pro specifické vzorce, které byly spojeny s pokusy o narušení. Je to podobné tradičním systémům antivirové ochrany, které se spoléhají na definice virů. Detekce narušení založená na podpisech závisí na podpisech nebo vzorcích narušení. Porovnávají zachycená data s podpisy narušení k identifikaci pokusů o narušení. Samozřejmě nebudou fungovat, dokud nebude do softwaru nahrán správný podpis, což se někdy může stát až poté, co byl napaden určitý počet počítačů a vydavatelé podpisů narušení měli čas na publikování nových aktualizačních balíčků. Někteří dodavatelé jsou poměrně rychlí, zatímco jiní mohli reagovat až o několik dní později. Toto je hlavní nevýhoda této metody detekce.
Lepší je detekce narušení na základě anomáliíochranu před útoky v nultý den, proti těm, které se stanou před jakýmkoli softwarem pro detekci narušení, měl šanci získat správný podpisový soubor. Hledají anomálie místo toho, aby se snažili rozpoznat známé vzory vniknutí. Například někdo, kdo se pokouší přistupovat k systému se špatným heslem několikrát za sebou, by spustil varování, protože se jedná o běžný znak útoku hrubou silou. Tyto systémy mohou rychle odhalit jakoukoli podezřelou aktivitu v síti. Každá metoda detekce má výhody a nevýhody a stejně jako u dvou typů nástrojů, nejlepšími nástroji jsou pravděpodobně ty, které používají kombinaci podpisu a analýzy chování.
Detekce nebo prevence?
Někteří lidé mají tendenci se mezi nimi zmástsystémy detekce a prevence narušení. I když spolu úzce souvisejí, nejsou identické, ačkoli mezi nimi existuje určitá funkce. Jak název napovídá, systémy detekce narušení detekují pokusy o narušení a podezřelé činnosti. Když něco zjistí, obvykle vyvolají nějakou formu upozornění nebo upozornění. Je tedy na správcích, aby podnikli nezbytné kroky k zastavení nebo blokování pokusu o narušení.
Intrusion Prevention Systems (IPS) jde o jeden krokdále a může zabránit vniknutí úplně do děje. Systémy prevence narušení obsahují detekční komponentu, která je funkčně ekvivalentní systému detekce narušení - který spustí nějakou automatickou nápravnou akci, kdykoli je detekován pokus o narušení. K zastavení pokusu o vniknutí není nutný žádný zásah člověka. Prevence narušení může také odkazovat na cokoli, co se děje nebo zavádí jako způsob prevence narušení. Za opatření k prevenci narušení lze považovat například ztvárnění hesla nebo blokování vetřelců.
Nejlepší nástroje pro detekci narušení sítě
Hledali jsme na trhu to nejlepšíSystémy detekce narušení založené na síti. Náš seznam obsahuje kombinaci skutečných systémů detekce narušení založených na hostiteli a jiného softwaru, který obsahuje síťovou součást detekce narušení nebo který lze použít k detekci pokusů o narušení. Každý z našich doporučených nástrojů může pomoci detekovat pokusy o narušení sítě.
1. SolarWinds Threat Monitor - IT Ops Edition (Ukázka ZDARMA)
SolarWinds je obecný název v polinástroje pro správu sítě. Společnost působí již asi 20 let a přinesla nám některé z nejlepších nástrojů pro správu sítě a systému. Jeho stěžejní produkt, Network Performance Monitor, trvale patří mezi špičkové nástroje pro monitorování šířky pásma sítě. SolarWinds také nabízí vynikající bezplatné nástroje, z nichž každý řeší specifickou potřebu správců sítě. Dva dobré příklady jsou Kiwi Syslog Server a Advanced Subnet Calculator.
Pro detekci narušení v síti nabízí SolarWinds Monitor hrozeb - IT Ops Edition. Na rozdíl od většiny ostatních nástrojů SolarWinds to jejedna je spíše cloudová služba než lokálně nainstalovaný software. Jednoduše se přihlásíte k odběru, nakonfigurujete jej a začne sledovat vaše prostředí kvůli pokusům o narušení a několika dalším typům hrozeb. Monitor hrozeb - IT Ops Edition kombinuje několik nástrojů. Má detekci narušení v síti i hostitele, jakož i centralizaci a korelaci protokolu a bezpečnostní informace a správu událostí (SIEM). Jedná se o velmi důkladnou sadu pro sledování hrozeb.
- DEMO ZDARMA: SolarWinds Threat Monitor - IT Ops Edition
- Oficiální odkaz ke stažení: https://www.solarwinds.com/threat-monitor/registration
The Monitor hrozeb - IT Ops Edition je vždy aktuální a neustále se aktualizujeinteligenci hrozeb z více zdrojů, včetně databází IP a doménových reputací. Sleduje známé i neznámé hrozby. Nástroj obsahuje automatizované inteligentní reakce na rychlou nápravu bezpečnostních incidentů a poskytuje tak některé funkce, jako je prevence narušení.
Výstražné funkce produktu jsou docela dostimpozantní. Existují vícepodmínečné, vzájemně korelované alarmy, které pracují ve spojení s aktivním modulem reakce nástroje a pomáhají identifikovat a shrnout důležité události. Systém hlášení je stejně dobrý jako jeho upozornění a lze jej použít k prokázání shody pomocí existujících předdefinovaných šablon sestav. Můžete také vytvořit vlastní přehledy, které přesně odpovídají vašim obchodním potřebám.
Ceny za SolarWinds Threat Monitor - IT Ops Edition začněte na 4 500 $ až 25 uzlů s 10 dnyindexu. Chcete-li získat podrobnou nabídku přizpůsobenou vašim konkrétním potřebám, můžete kontaktovat společnost SolarWinds. A pokud chcete produkt vidět v akci, můžete požádat o bezplatné demo od společnosti SolarWinds.
2. Šňupat
Šňupat je určitě nejznámější NIDS s otevřeným zdrojovým kódem. Ale Šňupat je ve skutečnosti více než nástroj detekce narušení. Je to také čtečka paketů a záznamník paketů a také několik dalších funkcí. Prozatím se soustředíme na funkce detekce narušení nástroje, protože to je předmětem tohoto příspěvku. Konfigurace produktu připomíná konfiguraci brány firewall. Konfiguruje se pomocí pravidel. Základní pravidla si můžete stáhnout z Šňupat a používejte je tak, jak jsou, nebo je přizpůsobte vašim konkrétním potřebám. Můžete se také přihlásit k odběru Šňupat pravidla, která automaticky získají všechna nejnovější pravidla, jak se vyvíjejí nebo jak se objevují nové hrozby.
Seřadit je velmi důkladný a dokonce i jeho základní pravidla mohoudetekovat širokou škálu událostí, jako jsou kontroly skrytých portů, útoky přetečení vyrovnávacích pamětí, útoky CGI, sondy SMB a otisky OS. To, co můžete pomocí tohoto nástroje zjistit, není prakticky žádné a to, co zjistí, závisí pouze na nainstalované sadě pravidel. Pokud jde o metody detekce, některá základní pravidla Snort jsou založena na podpisech, zatímco jiná jsou založena na anomáliích. Snort vám proto může dát to nejlepší z obou světů.
3. Suricata
Suricata není jen systém detekce narušení. Má také některé funkce prevence narušení. Ve skutečnosti je inzerován jako kompletní ekosystém monitorování zabezpečení sítě. Jednou z nejlepších výhod tohoto nástroje je to, jak funguje až po aplikační vrstvu. Díky tomu je hybridním systémem založeným na síti a hostiteli, který umožňuje nástroji detekovat hrozby, které by pravděpodobně ostatní nástroje nevšimly.
Suricata je skutečná detekce narušení sítěSystém a nefunguje pouze na aplikační vrstvě. Bude monitorovat síťové protokoly nižší úrovně, jako jsou TLS, ICMP, TCP a UDP. Nástroj také rozumí a dekóduje protokoly vyšší úrovně, jako je HTTP, FTP nebo SMB, a dokáže detekovat pokusy o narušení skryté v jinak normálních požadavcích. Nástroj také obsahuje možnosti extrakce souborů, které správcům umožňují prozkoumat jakýkoli podezřelý soubor.
SuricataArchitektura aplikací je zcela inovativní. Nástroj rozdělí své pracovní zatížení do několika procesorových jader a vláken pro nejlepší výkon. V případě potřeby může dokonce část zpracování zpracovat na grafickou kartu. To je skvělá funkce, když se nástroj používá na serverech, protože jejich grafická karta je obvykle nedostatečně využívána.
4. Bro Monitor zabezpečení sítě
The Bro Network Security Monitor, další systém detekce narušení sítě. Nástroj pracuje ve dvou fázích: protokolování provozu a analýza provozu. Stejně jako Suricata, Bro Network Security Monitor pracuje na více vrstvách až po aplikační vrstvu. To umožňuje lepší detekci pokusů o rozdělené vniknutí. Bro Network Security MonitorAnalytický modul se skládá ze dvou prvků. První prvek se nazývá mechanismus událostí a sleduje spouštěcí události, jako jsou například připojení TCP nebo požadavky HTTP. Události jsou poté analyzovány skripty politik, druhým prvkem, který rozhoduje o tom, zda spustit alarm nebo spustit akci. Možnost zahájení akce dává Bro Network Security Monitor některé funkce podobné IPS.
The Bro Network Security Monitor vám umožní sledovat aktivity HTTP, DNS a FTPa bude také sledovat přenos SNMP. To je dobrá věc, protože SNMP se často používá pro monitorování sítě, nejedná se však o bezpečný protokol. A protože může být také použit k úpravám konfigurací, může být zneužíván uživateli se zlými úmysly. Tento nástroj vám také umožní sledovat změny konfigurace zařízení a SNMP Trapy. Může být nainstalován na Unixu, Linuxu a OS X, ale není k dispozici pro Windows, což je možná jeho hlavní nevýhoda.
5. Bezpečnostní cibule
Je těžké definovat, co Bezpečnostní cibule je. Nejedná se pouze o systém detekce nebo prevence narušení. Ve skutečnosti jde o kompletní distribuci Linuxu se zaměřením na detekci narušení, monitorování podnikové bezpečnosti a správu protokolů. Může tak administrátorům ušetřit spoustu času. Obsahuje mnoho nástrojů, z nichž některé jsme právě zkontrolovali. Bezpečnostní cibule zahrnuje Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner a další. Aby bylo nastavení vše snazší, je distribuce dodávána se snadno použitelným průvodcem nastavením, který vám během několika minut umožní ochranu vaší organizace. Kdybychom museli popsat Bezpečnostní cibule v jedné větě bychom řekli, že je to švýcarský armádní nůž podnikové IT bezpečnosti.
Jedna z nejzajímavějších věcí na tomnástroj je, že dostanete vše v jedné jednoduché instalaci. V případě detekce narušení vám nástroj poskytne nástroje detekce narušení založené na síti i hostiteli. Balíček také kombinuje nástroje, které používají přístup založený na podpisu, a nástroje založené na anomáliích. Dále najdete kombinaci nástrojů založených na textu a GUI. Existuje opravdu vynikající kombinace bezpečnostních nástrojů. Existuje jedna primární nevýhoda pro cibuli Security. S tolika zahrnutými nástroji se jejich konfigurace může ukázat jako významný úkol. Nemusíte však používat a konfigurovat všechny nástroje. Můžete si vybrat pouze ty, které chcete použít. I když používáte pouze několik zahrnutých nástrojů, pravděpodobně by to byla rychlejší volba než jejich samostatná instalace.
Komentáře