- - Verkkopohjaiset tunkeutumisen havaitsemisjärjestelmät: 5 parasta käytettävää NIDS-työkalua

Verkkopohjaiset tunkeutumisen havaitsemisjärjestelmät: 5 parasta käytettävää NIDS-työkalua

Näyttää siltä, ​​että kaikki ovat nykyään huolissaanvarmuudella. On järkevää harkita tietoverkkorikollisuuden merkitystä. Hakkerit kohdistavat organisaatioita hakkereiden yrittäessä varastaa tietojaan tai aiheuttaa heille muita haittoja. Yksi tapa suojata IT-ympäristösi näiltä hyökkäyksiltä on käyttää oikeita työkaluja ja järjestelmiä. Usein ensimmäinen puolustuslinja on verkon kehällä verkkopohjaisten tunkeutumisen havaitsemisjärjestelmien tai NIDS-muodossa.. Nämä järjestelmät analysoivat liikennettä, joka tulee sinunverkossa Internetistä havaitsemaan epäilyttävät toimet ja hälyttämään heti. NIDS ovat niin suosittuja ja niin monia niistä on saatavana, kuin parhaan löytäminen tarpeisiisi voi olla haastava pyrkimys. Auttaa sinua, olemme koonneet tämän luettelon parhaista verkkopohjaisista tunkeutumisen havaitsemisjärjestelmistä.


Aloitamme matkamme katsomallaerityyppisiä tunkeutumisen havaitsemisjärjestelmiä. Pohjimmiltaan on olemassa kaksi tyyppiä: verkko- ja isäntäpohjaiset. Selitämme heidän erot. Tunkeutumisen havaitsemisjärjestelmät eroavat myös käyttämästään ilmaisumenetelmästä. Jotkut heistä käyttävät allekirjoitukseen perustuvaa lähestymistapaa, kun taas toiset luottavat käyttäytymisanalyysiin. Parhaat työkalut käyttävät molempien tunnistusmenetelmien yhdistelmää. Markkinat ovat kyllästyneet sekä tunkeutumisen havaitsemiseen että tunkeutumisen estämiseen. Tutkimme, miten ne eroavat toisistaan ​​ja miten ne ovat samankaltaisia, koska on tärkeää ymmärtää ero. Lopuksi tarkastelemme parhaita verkkopohjaisia ​​tunkeutumisen havaitsemisjärjestelmiä ja esittelemme niiden tärkeimmät ominaisuudet.

Verkko- tai isäntäpohjainen tunkeutumisen havaitseminen

Tunkeutumisen havaitsemisjärjestelmät ovat yksi kahdestatyypit. Molemmilla on sama tavoite - tunkeutua nopeasti tunkeutumisyrityksiin tai epäilyttäviin toimiin, jotka voivat johtaa tunkeutumisyrityksiin -, mutta ne eroavat toisistaan ​​valvontapisteen sijainnissa, joka viittaa havaitsemiseen. Kullakin tunkeutumisen havaitsemisvälineellä on etuja ja haittoja. Ei ole todellista yksimielisyyttä siitä, mikä on parempi. Jotkut vannovat yhden tyypin mukaan, kun taas toiset luottavat vain toisiin. Molemmat ovat luultavasti oikeassa. Paras ratkaisu - tai turvallisin - on todennäköisesti ratkaisu, joka yhdistää molemmat tyypit.

Verkon tunkeutumisen havaitsemisjärjestelmät (NIDS)

Ensimmäinen tyyppi tunkeutumisen havaitsemisjärjestelmä onnimeltään Network Intrusion Detection System tai NIDS. Nämä järjestelmät toimivat verkon rajalla valvoakseen havaitsemista. He sieppaavat ja tutkivat verkkoliikennettä etsiessään epäilyttäviä toimia, jotka voisivat viitata tunkeutumisyritykseen, ja etsivät myös tunnettuja tunkeutumismalleja. Tunkeilijat yrittävät usein hyödyntää useiden järjestelmien tunnettuja haavoittuvuuksia esimerkiksi lähettämällä isännille väärin muodostuneet paketit saaden ne reagoimaan tietyllä tavalla, joka mahdollistaa niiden rikkomisen. Verkon tunkeutumisen tunnistusjärjestelmä todennäköisesti havaitsee tällaisen tunkeutumisyrityksen.

Jotkut väittävät, että verkon tunkeutumisen havaitseminenJärjestelmät ovat parempia kuin isäntäpohjainen vastine, koska ne pystyvät havaitsemaan hyökkäykset jo ennen kuin ne edes pääsevät järjestelmiin. Jotkut myös yleensä pitävät niitä parempana, koska he eivät vaadi mitään asentamista jokaiselle isännälle suojaamaan niitä tehokkaasti. Toisaalta ne tarjoavat vain vähän suojaa sisäpiirihyökkäyksiltä, ​​jotka eivät valitettavasti ole harvinaisia. Hyökkääjän tunkeutumisyrityksen on oltava havaittavissa NIDS: n läpi, mitä se harvoin tekee, kun se on lähtöisin sisäpuolelta. Millä tahansa tekniikalla on etuja ja haittoja, ja se on erityinen tunkeutumisen havaitsemistapa, mikään ei estä käyttämästäsi molemmat tyyppisiä työkaluja parhaan mahdollisen suojan saavuttamiseksi.

Isäntä tunkeutumisen havaitsemisjärjestelmät (HIDS)

Host Intrusion Detection Systems (HIDS) toimiiisäntätasolla; olet saattanut arvata sen heidän nimestään. He seuraavat esimerkiksi erilaisia ​​lokitiedostoja ja lehtiä epäilyttävien toimien varalta. Toinen tapa, jolla he voivat havaita tunkeutumisyritykset, on tarkistaa järjestelmän määritystiedostoissa luvattomien muutosten varalta. He voivat myös tutkia näitä samoja tiedostoja tiettyjen tunnettujen tunkeutumismallien varalta. Esimerkiksi tietyn tunkeutumismenetelmän voidaan tuntea toimivan lisäämällä tietty parametri tiettyyn konfiguraatiotiedostoon. Hyvä isäntäpohjainen tunkeutumisen havaitsemisjärjestelmä saisi sen kiinni.

Vaikka heidän nimensä voisi johtaa sinut ajattelemaan sitäkaikki HIDS asennetaan suoraan laitteeseen, jonka niiden on tarkoitus suojata, niin ei välttämättä ole. Jotkut on asennettava kaikkiin tietokoneisiin, kun taas jotkut vaativat vain paikallisen edustajan asentamisen. Jotkut jopa tekevät kaiken työnsä etänä ilman agenttia. Riippumatta siitä, kuinka ne toimivat, useimmissa HIDS-laitteissa on keskitetty konsoli, jossa voit hallita sovelluksen kaikkia esiintymät ja tarkastella kaikkia tuloksia.

Tunkeutumisen havaitsemismenetelmät

Tunkeutumisen havaitsemisjärjestelmät eivät eroa vain toisistaanTäytäntöönpanopiste, ne eroavat myös menetelmästä, jolla he havaitsevat tunkeutumisyritykset. Jotkut ovat allekirjoituspohjaisia, kun taas toiset ovat anomaliapohjaisia. Ensimmäiset toimivat analysoimalla tietoja erityisistä malleista, jotka on liitetty tunkeutumisyrityksiin. Tämä on samanlainen kuin perinteiset viruksentorjuntajärjestelmät, jotka tukeutuvat virusmääritelmiin. Allekirjoituspohjainen tunkeutumisen tunnistus riippuu tunkeutumissignaareista tai kuvioista. He vertaa kaapattua tietoa tunkeutumiskirjaimiin tunkeutumisyritysten tunnistamiseksi. Ne eivät tietenkään toimi, ennen kuin oikea allekirjoitus on ladattu ohjelmistoon, mikä voi joskus tapahtua vasta sen jälkeen, kun tietty määrä koneita on hyökätty ja tunkeutumiskirjaimien julkaisijoilla on ollut aika julkaista uusia päivityspaketteja. Jotkut toimittajat ovat melko nopeita, kun taas toiset pystyivät reagoimaan vasta päiviä myöhemmin. Tämä on tämän ilmaisumenetelmän ensisijainen haitta.

Anomaliaan perustuva tunkeutumisen havaitseminen tarjoaa paremmansuojaus nollapäivän hyökkäyksiltä, ​​sellaisilta, jotka tapahtuvat ennen minkään tunkeutumisen havaitsemisohjelmiston on ollut mahdollisuus hankkia oikea allekirjoitustiedosto. He etsivät poikkeavuuksia sen sijaan, että yrittäisivät tunnistaa tunnettuja tunkeutumismalleja. Esimerkiksi joku, joka yrittää käyttää järjestelmää väärin salasanalla useita kertoja peräkkäin, laukaisi hälytyksen, koska tämä on yleinen merkki raa'asta voimasta. Nämä järjestelmät voivat nopeasti havaita epäilyttävät toimet verkossa. Jokaisella havaitsemismenetelmällä on etuja ja haittoja, ja aivan kuten kahdentyyppisissä työkaluissa, parhaimmat työkalut ovat todennäköisesti ne, jotka käyttävät allekirjoituksen ja käyttäytymisen analysointia.

Havaitseminen tai ehkäisy?

Joillakin ihmisillä on taipumus sekoittaa keskenääntunkeutumisen havaitseminen ja tunkeutumisen estävät järjestelmät. Vaikka ne liittyvät läheisesti toisiinsa, ne eivät ole identtisiä, vaikka näiden kahden välillä on jonkin verran toiminnallisuutta päällekkäisyyttä. Kuten nimestä voi päätellä, tunkeutumisen havaitsemisjärjestelmät havaitsevat tunkeutumisyritykset ja epäilyttävät toimet. Kun he havaitsevat jotain, ne yleensä laukaisevat jonkinlaisen hälytyksen tai ilmoituksen. Järjestelmänvalvojien on sitten tehtävä tarvittavat toimenpiteet tunkeutumisyrityksen lopettamiseksi tai estämiseksi.

Tunkeutumisen estävät järjestelmät (IPS) menevät yhden askeleenedelleen ja voi estää tunkeutumisen tapahtumisen kokonaan. Tunkeutumisen estävät järjestelmät sisältävät ilmaisukomponentin, joka on toiminnallisesti ekvivalentti tunkeutumisen havaitsemisjärjestelmän kanssa, ja joka käynnistää automaattisen korjaustoimenpiteen aina, kun tunkeutumisyritys havaitaan. Tunkeutumisyrityksen lopettamiseksi ei tarvita ihmisen väliintuloa. Tunkeutumisen estämisellä voidaan myös viitata mihin tahansa, joka on tehty tai otettu käyttöön keinona tunkeutumisen estämiseksi. Esimerkiksi salasanan kovettamista tai tunkeilijan lukitusta voidaan ajatella tunkeutumisen estävinä toimenpiteinä.

Parhaat verkon tunkeutumisen havaitsemisen työkalut

Olemme etsineet markkinoilta parastaVerkkopohjaiset tunkeutumisen havaitsemisjärjestelmät. Luetteloomme sisältyy sekoitus todellisia isäntäpohjaisia ​​tunkeutumisen havaitsemisjärjestelmiä ja muita ohjelmistoja, joissa on verkkopohjainen tunkeutumisen havaitsemiskomponentti tai joita voidaan käyttää havaitsemaan tunkeutumisyrityksiä. Jokainen suositeltu työkalumme voi auttaa havaitsemaan tunkeutumisyrityksiä verkossa.

1. SolarWinds Threat Monitor - IT Ops Edition (ILMAINEN esittely)

SolarWinds on yleinen nimi kentälläverkonhallintatyökalut. Yrityksen toiminta on ollut noin 20 vuotta ja se on tuonut meille joitain parhaista verkko- ja järjestelmänhallintatyökaluista. Sen lippulaiva, Network Performance Monitor, on johdonmukaisesti sijoitettu verkon parhaisiin kaistanleveyden valvontatyökaluihin. SolarWinds tarjoaa myös erinomaisia ​​ilmaisia ​​työkaluja, joista jokainen vastaa verkonvalvojien erityistarpeisiin. Kiwi Syslog Server ja Advanced Subnet Calculator ovat kaksi hyvää esimerkkiä niistä.

Verkkopohjaisen tunkeutumisen havaitsemiseksi SolarWinds tarjoaa Threat Monitor - IT Ops Edition. Toisin kuin useimmat muut SolarWinds-työkalut, tämäyksi on pilvipohjainen palvelu eikä paikallisesti asennettu ohjelmisto. Tilaat vain sen, määrität sen ja se alkaa seurata ympäristöäsi tunkeutumisyrityksiä ja muutama tyyppisiä uhkia varten. Threat Monitor - IT Ops Edition yhdistää useita työkaluja. Siinä on sekä verkko- että isäntäpohjainen tunkeutumisen havaitseminen sekä lokien keskittäminen ja korrelointi sekä turvallisuustiedot ja tapahtumien hallinta (SIEM). Se on erittäin perusteellinen uhkien seurantaohjelma.

SolarWinds Threat Monitor - IT Ops Edition - kojelauta

  • ILMAINEN DEMO: SolarWinds Threat Monitor - IT Ops Edition
  • Virallinen latauslinkki: https://www.solarwinds.com/threat-monitor/registration

Ja Threat Monitor - IT Ops Edition on aina ajan tasalla, päivitetään jatkuvastiuhkailutiedot useista lähteistä, mukaan lukien IP- ja verkkotunnusmaineistotietokannat. Se tarkkailee sekä tunnettuja että tuntemattomia uhkia. Työkalu sisältää automatisoidut älykkäät vastaukset turvallisuushäiriöiden nopeaksi korjaamiseksi antaen sille joitain tunkeutumisen estäviä ominaisuuksia.

Tuotteen hälytysominaisuudet ovat melkovaikuttava. On monia ehtoja, ristikorreloivia hälytyksiä, jotka toimivat yhdessä työkalun Active Response -moottorin kanssa ja auttavat tärkeiden tapahtumien tunnistamisessa ja yhteenvedossa. Raportointijärjestelmä on yhtä hyvä kuin sen hälytys ja sitä voidaan käyttää osoittamaan vaatimustenmukaisuus käyttämällä olemassa olevia valmiita raporttipohjia. Vaihtoehtoisesti voit luoda mukautettuja raportteja, jotka vastaavat tarkalleen yrityksesi tarpeita.

Hinnat SolarWinds Threat Monitor - IT Ops Edition alkaa 4 500 dollarista jopa 25 solmuun 10 päivällähakemistosta. Voit ottaa yhteyttä SolarWindsiin saadaksesi yksityiskohtaisen tarjouksen, joka on räätälöity tarpeitasi varten. Ja jos haluat nähdä tuotteen toiminnassa, voit pyytää ilmaisen esittelyn SolarWinds-sivustolta.

2. tuhahtaa

tuhahtaa on ehdottomasti tunnetuin avoimen lähdekoodin NIDS. Mutta tuhahtaa on oikeastaan ​​enemmän kuin tunkeutumisen havaitsemisen työkalu. Se on myös paketinhaku ja pakettien kirjaaja sekä paketti myös muutamia muita toimintoja. Keskitymme toistaiseksi työkalun tunkeutumisen havaitsemisominaisuuksiin, koska tämä on tämän viestin aihe. Tuotteen konfigurointi muistuttaa palomuurin määrittämistä. Se on määritetty sääntöjen avulla. Voit ladata perussäännöt tuhahtaa verkkosivustolla ja käytä niitä sellaisenaan tai räätälöi ne erityistarpeisiisi. Voit myös tilata tuhahtaa säännöt, jotta kaikki uusimmat säännöt saadaan automaattisesti niiden kehittyessä tai uusien uhkien havaittua.

Snort IDS -konsoli Windowsissa

Järjestellä on erittäin perusteellinen ja jopa sen perussäännöt voivathavaitsee monenlaisia ​​tapahtumia, kuten varkainporttien tarkistukset, puskurin ylivuotohyökkäykset, CGI-hyökkäykset, SMB-koettimet ja käyttöjärjestelmän sormenjäljet. Sillä, mitä tämän työkalun avulla voit havaita, ei käytännössä ole mitään rajoituksia, ja sen, mitä se havaitsee, riippuu yksinomaan asentamasi sääntöjoukosta. Tunnistusmenetelmien suhteen jotkut Snort-perussäännöistä ovat allekirjoituspohjaisia, kun taas toiset ovat poikkeavuuteen perustuvia. Snort voi siksi antaa sinulle parhaan molemmista maailmoista.

3. suricata

suricata ei ole vain tunkeutumisen havaitsemisjärjestelmä. Siinä on myös joitain tunkeutumisen estäviä ominaisuuksia. Itse asiassa sitä mainostetaan täydellisenä verkkoturvallisuuden seurantaekosysteeminä. Yksi työkalun parhaista hyödyistä on, miten se toimii aina sovelluskerrokseen saakka. Tämä tekee siitä hybridi-, verkko- ja isäntäpohjaisen järjestelmän, jonka avulla työkalu havaitsee uhat, jotka todennäköisesti jäävät muiden työkalujen huomaamatta.

Suricata-näyttökuva

suricata on todellinen verkkopohjainen tunkeutumisen havaitseminenJärjestelmä, ja se ei toimi vain sovelluskerroksessa. Se seuraa alemman tason verkkoprotokollia, kuten TLS, ICMP, TCP ja UDP. Työkalu ymmärtää ja dekoodaa myös korkeamman tason protokollia, kuten HTTP, FTP tai SMB, ja pystyy havaitsemaan muutoin normaaliin pyyntöihin piilotetut tunkeutumisyritykset. Työkalussa on myös tiedostojen poimintaominaisuudet, joiden avulla järjestelmänvalvojat voivat tutkia epäilyttävät tiedostot.

suricataSovellusarkkitehtuuri on melko innovatiivinen. Työkalu jakaa työmääränsä useille suorittimen ytimille ja säikeille parhaan suorituskyvyn saavuttamiseksi. Tarvittaessa se voi jopa purkaa osan prosessoinnistaan ​​näytönohjaimeen. Tämä on hieno ominaisuus, kun työkalua käytetään palvelimilla, koska niiden näytönohjainta ei yleensä käytetä riittävästi.

4. bro Verkkoturvamonitori

Ja Bro-verkon tietoturvamonitori, toinen ilmainen verkon tunkeutumisen havaitsemisjärjestelmä. Työkalu toimii kahdessa vaiheessa: liikenteen kirjaaminen ja liikenteen analysointi. Aivan kuten Suricata, Bro-verkon tietoturvamonitori toimii useilla kerroksilla sovelluskerrosta ylöspäin. Tämä mahdollistaa jaettujen tunkeutumisyritysten paremman havaitsemisen. Bro-verkon tietoturvamonitoriAnalyysimoduuli koostuu kahdesta elementistä. Ensimmäistä elementtiä kutsutaan tapahtumamoottoriksi ja se seuraa käynnistäviä tapahtumia, kuten netto TCP-yhteyksiä tai HTTP-pyyntöjä. Sitten tapahtumia analysoidaan käytäntökomentosarjoilla, toisella elementillä, jotka päättävät, käynnistääkö hälytys ja / tai käynnistää toiminnan. Mahdollisuus käynnistää toiminta antaa Bro-verkon tietoturvamonitori joitain IPS-kaltaisia ​​toimintoja.

Bro Network Secirity Monitor - IDS-näyttökuva

Ja Bro-verkon tietoturvamonitori antaa sinun seurata HTTP-, DNS- ja FTP-toimintaaja se seuraa myös SNMP-liikennettä. Tämä on hyvä asia, koska SNMP: tä käytetään usein verkonvalvontaan, mutta se ei ole suojattu protokolla. Ja koska sitä voidaan käyttää myös kokoonpanojen muuttamiseen, haitalliset käyttäjät voivat käyttää sitä hyväkseen. Työkalun avulla voit myös seurata laitemääritysten muutoksia ja SNMP-ansoja. Se voidaan asentaa Unix-, Linux- ja OS X -käyttöjärjestelmiin, mutta se ei ole saatavana Windowsille, mikä on ehkä sen tärkein haittapuoli.

5. Turvallisuus sipuli

On vaikea määritellä mitä Turvallisuus sipuli on. Se ei ole vain tunkeutumisen havaitsemis- tai estämisjärjestelmä. Se on todellisuudessa täydellinen Linux-jakelu, jossa keskitytään tunkeutumisen havaitsemiseen, yritysturvallisuuden seurantaan ja lokien hallintaan. Sellaisena se voi säästää järjestelmänvalvojia paljon aikaa. Se sisältää monia työkaluja, joista joitakin olemme juuri tarkistaneet. Turvasipuli sisältää Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner ja muut. Jotta kaiken asettaminen olisi helpompaa, jakeluun kuuluu helppokäyttöinen ohjattu asennustoiminto, jonka avulla voit suojata organisaatiosi muutamassa minuutissa. Jos meidän piti kuvata Turvallisuus sipuli yhdessä lauseessa sanoisimme, että se on Sveitsin armeijan veitsi yrityksen tietoturvaa.

Turvallisuus sipuli - Tapahtumat-välilehti

Yksi mielenkiintoisimmista asioista tässätyökalu on, että saat kaiken yhdellä yksinkertaisella asennuksella. Tunkeutumisen havaitsemiseksi työkalu antaa sinulle sekä verkko- että isäntäpohjaiset tunkeutumisen havaitsemisen työkalut. Paketti yhdistää myös työkalut, jotka käyttävät allekirjoitusperusteista lähestymistapaa, ja välineet, jotka ovat anomaliapohjaisia. Lisäksi löydät yhdistelmän tekstipohjaisia ​​ja graafisia käyttöliittymiä. Siellä on todella erinomainen sekoitus tietoturvatyökaluja. Tietoturvasipulilla on yksi ensisijainen haitta. Kun mukana on niin monia työkaluja, niiden kaikkien määrittäminen voi osoittautua huomattavaksi tehtäväksi. Sinun ei kuitenkaan tarvitse käyttää ja määrittää kaikkia työkaluja. Voit vapaasti valita vain ne, joita sinä käytät. Vaikka käyttäisit vain muutamaa mukana olevaa työkalua, se olisi todennäköisesti nopeampi vaihtoehto kuin niiden asentaminen erikseen.

Lue myös

Mikä on Verkkosniffer ja mihin sitä käytetään?
ContaCam: Luo valvontajärjestelmä web-kameroiden, WDM: n ja DV: n avulla
Motion Monitor - Käännä verkkokamera liiketunnistusturvakameraan
SolarWinds Log & Event Manager vs. Splunk - vertaileva katsaus
Etäkäyttö Troijalaiset (RAT) - Mitä ne ovat ja kuinka suojata heitä vastaan?
6 parasta isäntäpohjaista tunkeutumisen havaitsemisjärjestelmää (HIDS) vuonna 2019
7 parasta tunkeutumisen estävää järjestelmää (IPS) vuodelle 2019
6 parasta tietoturva- ja tapahtumahallintatyökalua (SIEM), jotka kannattaa tarkistaa vuonna 2019
14 parasta verkon suojaustyökalua turvallisemmille ympäristöille vuonna 2019
10 parasta tunkeutumisen havaitsemisen työkalua: parhaat ilmaiset vaihtoehdot vuodelle 2019
Äärimmäinen opas verkkoturvallisuuteen - mukaan lukien välttämättömät työkalut
Lisää Ok Google Detection kaikkiin laitteen näytöihin [Ei juuria]

Kommentit