- - Mrežni sustavi za otkrivanje provale: 5 najboljih NIDS alata za upotrebu

Mrežni sustavi za otkrivanje provale: 5 najboljih NIDS alata za upotrebu

Čini se kao da su svi ovih dana u pitanjuuz sigurnost. To ima smisla kada se uzme u obzir važnost cyber-kriminala. Organizacije su na meti hakera koji pokušavaju ukrasti njihove podatke ili im nanijeti drugu štetu. Jedan od načina na koji možete zaštititi svoje IT okruženje od ovih napada je upotreba pravih alata i sustava. Često se prva linija obrane nalazi na rubu mreže u obliku mrežnog sustava za otkrivanje upada ili NIDS-a, Ovi sustavi analiziraju promet koji dolazi na vašmrežu s interneta kako bi otkrio bilo kakve sumnjive aktivnosti i odmah vas upozorio. NIDS-ovi su toliko popularni i toliko ih je dostupno nego pronalaženje najboljeg za vaše potrebe može biti izazovno nastojanje. Pomoći ti, Sastavili smo ovaj popis nekih najboljih mrežnih sustava za otkrivanje provale.


Krenut ćemo svojim putovanjem tako što ćemo vidjetirazličite vrste sustava za otkrivanje provale. U osnovi postoje dvije vrste: mrežne i hostirane. Objasnit ćemo njihove razlike. Sustavi za otkrivanje provale razlikuju se i prema metodi otkrivanja koju koriste. Neki se koriste pristupom zasnovanim na potpisu, dok se drugi oslanjaju na analizu ponašanja. Najbolji alati koriste kombinaciju obje metode otkrivanja. Tržište je zasićeno i sustavima za otkrivanje provale i provale. Istražit ćemo kako se razlikuju i kako su slični jer je važno razumjeti razliku. Konačno ćemo pregledati najbolje mrežne sustave za otkrivanje provale i predstaviti njihove najvažnije značajke.

Otkrivanje provale u mrežu temeljeno na mreži

Sustavi za otkrivanje upada su jedan od dvavrste. Oboje imaju identičan cilj - brzo otkrivanje pokušaja provale ili sumnjive aktivnosti koji potencijalno vodi do pokušaja provale - ali oni se razlikuju u mjestu na kojem se vrši mjesto izvršavanja, a koje se odnosi na mjesto gdje se provodi otkrivanje. Svaka vrsta alata za otkrivanje provale ima prednosti i nedostatke. Ne postoji realan konsenzus oko toga koji je prednost. Neki se zaklinju u jednu vrstu, dok će drugi vjerovati samo drugoj. Oboje su vjerojatno u pravu. Vjerojatno je najbolje rješenje ili najsigurnije rješenje koje kombinira obje vrste.

Mrežni sustavi za otkrivanje upada (NIDS)

Prva vrsta sustava za otkrivanje provale jekoji se nazivaju Mrežni sustav za otkrivanje upada ili NIDS. Ovi sustavi rade na granici mreže da bi izvršili otkrivanje. Oni presreću i ispituju mrežni promet, tražeći sumnjive aktivnosti koje bi mogle ukazivati ​​na pokušaj provale te u potrazi za poznatim obrascima provale. Uljezi često pokušavaju iskoristiti poznate ranjivosti različitih sustava, na primjer, slanjem neispravnih paketa domaćinima, čineći ih tako da reagiraju na određeni način koji im omogućuje kršenje. Mrežni sustav otkrivanja provale najvjerojatnije će otkriti ovu vrstu pokušaja provale.

Neki tvrde da je mreža otkrivanje provaleSustavi su bolji od svog domaćina, jer mogu otkriti napade čak i prije nego što dođu do vaših sustava. Neki ih također preferiraju jer ne trebaju instalirati ništa na svaki domaćin da bi ih učinkovito zaštitili. S druge strane, pružaju malu zaštitu od insajderskih napada koji nažalost nimalo nisu rijetki. Da bi ga otkrio, pokušaj napadača napada mora proći kroz NIDS-a što rijetko čini iznutra. Bilo koja tehnologija ima prednosti i nedostatke, a specifičan slučaj otkrivanja provale, ništa vas ne sprječava da koristite obje vrste alata za vrhunsku zaštitu.

Sustavi za otkrivanje upada domaćina (HIDS)

Postoje sustavi za prepoznavanje provale domaćina (HIDS)na razini domaćina; mogli ste to pretpostaviti iz njihovog imena. Primjerice, nadzirat će razne datoteke i dnevnike zbog znakova sumnjivih aktivnosti. Drugi način na koji mogu otkriti pokušaje upada jest provjeravanje datoteka konfiguracije sustava za neovlaštene promjene. Oni također mogu pregledati te iste datoteke za pronalazak specifičnih poznatih obrazaca upada. Na primjer, može se znati da određena metoda upada funkcionira dodavanjem određenog parametra određenoj konfiguracijskoj datoteci. Dobar sustav za otkrivanje upada temeljen na domaćinu bi to uhvatio.

Iako bi ih ime moglo navesti da to mislitesvi su HIDS instalirani izravno na uređaj koji trebaju zaštititi, to nije nužno. Neke će trebati biti instalirane na svim vašim računalima, dok će neke zahtijevati samo instaliranje lokalnog agenta. Neki čak svoj posao rade na daljinu bez ikakvog agenta. Bez obzira kako djeluju, većina HIDS-a ima centraliziranu konzolu na kojoj možete kontrolirati svaku instancu aplikacije i vidjeti sve rezultate.

Metode otkrivanja prodora

Sustavi za otkrivanje provale ne razlikuju se samo potočke izvršenja, razlikuju se i prema metodi koju koriste za otkrivanje pokušaja provale. Neki se temelje na potpisu, a drugi na anomaliji. Prvi djeluju analizom podataka za određene obrasce koji su povezani s pokušajima provale. To je slično tradicionalnim sustavima za zaštitu od virusa koji se oslanjaju na definicije virusa. Otkrivanje upada na temelju potpisa oslanja se na potpise ili obrasce upada. Oni uspoređuju snimljene podatke s upadnim potpisima kako bi identificirali pokušaje upada. Naravno, oni neće raditi sve dok odgovarajući potpis ne bude prenesen na softver, što se ponekad može dogoditi tek nakon što je napadnut određeni broj strojeva i izdavači uljeza potpisa imaju vremena objaviti nove pakete za nadogradnju. Neki su dobavljači prilično brzi, dok su drugi mogli reagirati samo nekoliko dana kasnije. To je osnovni nedostatak ove metode otkrivanja.

Otkrivanje provale na temelju anomalije pruža boljeZaštita od napada bez ikakvih dana, onih koji se događaju prije nego što je svaki softver za otkrivanje provale imao priliku dobiti odgovarajuću datoteku potpisa. Oni traže anomalije umjesto da pokušavaju prepoznati poznate uzorke upada. Na primjer, netko tko pokušava pristupiti sustavu s pogrešnom zaporkom nekoliko puta zaredom pokrenuti će upozorenje, jer je to čest znak napada grube sile. Ovi sustavi mogu brzo otkriti bilo kakve sumnjive aktivnosti na mreži. Svaka metoda otkrivanja ima prednosti i nedostatke i baš kao i kod dvije vrste alata, najbolji su alati vjerojatno oni koji koriste kombinaciju analize potpisa i ponašanja.

Otkrivanje ili prevencija?

Neki se često zbunesustavi za otkrivanje i probijanje provale Iako su usko povezane, nisu identične iako se neke funkcije preklapaju. Kao što ime sugerira, sustavi za otkrivanje provale otkrivaju pokušaje provale i sumnjive aktivnosti. Kad nešto otkriju, obično aktiviraju neki oblik upozorenja ili obavijesti. Na administratorima je da poduzmu potrebne korake kako bi zaustavili ili blokirali pokušaj provale.

Sustavi za sprječavanje upada (IPS) čine jedan korakNadalje, mogu zaustaviti upada da se uopće događaju. Sustavi za sprečavanje provale uključuju komponentu otkrivanja - koja je funkcionalno ekvivalentna sustavu za otkrivanje provale - koja će pokrenuti neke automatske korektivne radnje kad god se otkrije pokušaj provale. Nije potrebna ljudska intervencija za zaustavljanje pokušaja provale. Sprječavanje upada može se odnositi i na sve što je učinjeno ili uvedeno kao način sprečavanja upada. Na primjer, otvrdnjavanje lozinke ili blokiranje uljeza može se smatrati mjerama za sprečavanje provale.

Najbolji mrežni alati za otkrivanje provale

Pretražili smo tržište najboljeMrežni sustavi za otkrivanje provale. Naš popis sadrži kombinaciju istinskih sustava za otkrivanje upada temeljenih na hostu i ostalog softvera koji imaju mrežnu komponentu za otkrivanje upada ili se mogu koristiti za otkrivanje pokušaja provale. Svaki od naših preporučenih alata može vam pomoći u otkrivanju pokušaja provale u vašu mrežu.

1. SolarWinds Threat Monitor - IT Ops izdanje (BESPLATNO Demo)

SolarWinds je uobičajeni naziv na područjualati za mrežnu administraciju. Tvrtka postoji već oko 20 godina i donijela nam je neke od najboljih alata za mrežni i sistemski nadzor. Njegov vodeći proizvod, Network Performance Monitor, kontinuirano se nalazi među najboljim mrežnim alatima za praćenje propusnosti. SolarWinds također nudi odlične besplatne alate, a svaki se obraća određenim potrebama mrežnih administratora. Kiwi Syslog Server i Advanced Subnet Calculator su dobra dva primjera.

Za mrežno otkrivanje upada SolarWinds nudi Prizor prijetnje - izdanje IT Ops, Suprotno većini drugih alata SolarWinds, ovojedan je usluga utemeljena na oblaku, a ne lokalno instaliran softver. Jednostavno se pretplatite na njega, konfigurirate ga i on počinje gledati vaše okruženje radi pokušaja provale i još nekoliko vrsta prijetnji. Prizor prijetnje - izdanje IT Ops kombinira nekoliko alata. Ima mrežnu i domaćinsku detekciju provale, kao i centralizaciju i korelaciju dnevnika, te sigurnosne informacije i upravljanje događajima (SIEM). To je vrlo temeljit paket za nadzor prijetnji.

SolarWinds Threat Monitor - IT Ops Edition - Nadzorna ploča

  • BESPLATNO DEMO: SolarWinds Threat Monitor - IT Ops izdanje
  • Službena veza za preuzimanje: https://www.solarwinds.com/threat-monitor/registration

To. Prizor prijetnje - izdanje IT Ops je uvijek u toku, stalno se ažurirainteligencija o prijetnji iz više izvora, uključujući IP baze podataka i ugled domene. Promatra i poznate i nepoznate prijetnje. Alat ima automatizirane inteligentne odgovore na brzo saniranje sigurnosnih incidenata, što mu daje neke značajke poput prevencije provale.

Značajke upozoravanja proizvoda su priličnoimpresivan. Postoje višestruki uvjeti, unakrsno korelirani alarmi koji djeluju zajedno s mehanizmom aktivnog reagiranja alata i pomažu u prepoznavanju i sažimanju važnih događaja. Sustav izvješćivanja jednako je dobar kao i upozoravanje i može se upotrijebiti za dokazivanje usklađenosti korištenjem postojećih unaprijed izgrađenih predložaka izvještaja. Alternativno, možete kreirati prilagođena izvješća kako biste točno odgovarali vašim poslovnim potrebama.

Cijene za SolarWinds Threat Monitor - IT Ops izdanje startujte od $ 4 500 za do 25 čvorova sa 10 danaindeksa. Možete se obratiti SolarWinds za detaljan citat prilagođen vašim specifičnim potrebama. A ako više volite vidjeti proizvod u akciji, možete zatražiti besplatni demo softver od SolarWinds.

2. frka

frka svakako je najpoznatiji NIDS s otvorenim kodom. Ali frka zapravo je više od alata za otkrivanje provale. To je također snaffer paketa i loger paketa, a uključuje i nekoliko drugih funkcija. Za sada ćemo se usredotočiti na značajke alata za otkrivanje provale, jer je ovo tema ovog posta. Konfiguriranje proizvoda podsjeća na konfiguriranje vatrozida. Konfigurira se pomoću pravila. Osnovna pravila možete preuzeti s frka web stranicu i koristite ih onakvima kakve jesu ili ih prilagodite vašim specifičnim potrebama. Možete se pretplatiti i na frka pravila za automatsko dobivanje svih najnovijih pravila kako se razvijaju ili otkrivaju nove prijetnje.

Snort IDS konzola za Windows

Sortirati vrlo je temeljit pa čak i njegova osnovna pravila moguotkriti širok raspon događaja kao što su skeniranje nevidljivih vrata, napadi prepunjenog međuspremnika, CGI napadi, SMB sonde i otisci prsta na OS-u. Gotovo ne postoji ograničenje onoga što možete otkriti pomoću ovog alata i onoga što detektira isključivo ovisi o setu pravila koji instalirate. Što se tiče metoda otkrivanja, neka se osnovna pravila Snort-a temelje na potpisu, dok se druga temelje na anomaliji. Snort vam, dakle, može pružiti najbolje od oba svijeta.

3. Suricata

Suricata nije samo sustav za otkrivanje provale. Također ima neke značajke za sprečavanje provale. U stvari, oglašava se kao cjeloviti ekosistem praćenja sigurnosti mreže. Jedno od najboljih svojstava alata je kako djeluje sve do sloja aplikacije. To ga čini hibridnim sustavom temeljenim na mreži i hostu, koji omogućuje otkrivanje prijetnji koje bi ostale alate vjerojatno mogle proći nezapaženo.

Snimak slike Suricata

Suricata je pravo mrežno otkrivanje provaleSustav i ne radi samo na aplikacijskom sloju. Nadgledat će mrežne protokole niže razine poput TLS, ICMP, TCP i UDP. Alat također razumije i dekodira protokole više razine poput HTTP, FTP ili SMB i može otkriti pokušaje provale skrivene u inače normalnim zahtjevima. Alat također sadrži mogućnosti izdvajanja datoteka koje omogućuju administratorima da ispitaju svaku sumnjivu datoteku.

SuricataAplikacija arhitektura je vrlo inovativna. Alat će rasporediti svoje radno opterećenje na nekoliko procesorskih jezgara i niti za najbolje performanse. Po potrebi može čak i dio svoje obrade prebaciti na grafičku karticu. Ovo je sjajna značajka kada se alat koristi na poslužiteljima jer se njihova grafička kartica obično ne koristi.

4. Bro Monitor sigurnosti mreže

To. Bro Network Monitor sigurnosti, još jedan besplatni mrežni sustav za otkrivanje upada. Alat djeluje u dvije faze: evidentiranje prometa i analiza prometa. Baš kao Suricata, Bro Network Monitor sigurnosti djeluje na više slojeva prema aplikacijskom sloju. To omogućuje bolju detekciju pokušaja rascjepa rascjepa. Bro Network Monitor sigurnostiModul za analizu sastoji se od dva elementa. Prvi se element naziva motor događaja i prati pokretanje događaja kao što su neto TCP veze ili HTTP zahtjevi. Događaji se zatim analiziraju pomoću skripti pravila, drugog elementa, koji odlučuju hoće li pokrenuti alarm i / ili pokrenuti akciju. Mogućnost pokretanja akcije daje mogućnost Bro Network Monitor sigurnosti neke funkcionalnosti slične IPS-u.

Bro Network Secirity Monitor - Snimka zaslona IDS-a

To. Bro Network Monitor sigurnosti omogućit će vam praćenje aktivnosti HTTP, DNS i FTPa također će pratiti SNMP promet. To je dobra stvar jer se SNMP često koristi za nadzor mreže, a ipak nije siguran protokol. A budući da se također može koristiti za izmjenu konfiguracija, to mogu iskoristiti zlonamjerni korisnici. Alat će vam također omogućiti gledanje promjena u konfiguraciji uređaja i SNMP zamki. Može se instalirati na Unix, Linux i OS X, ali nije dostupan za Windows, što je možda i njegov glavni nedostatak.

5. Sigurnosni luk

Teško je definirati što Sigurnosni luk je. To nije samo sustav za otkrivanje ili sprečavanje provale. To je, u stvari, potpuna distribucija Linuxa s fokusom na otkrivanje provale, nadzor sigurnosti poduzeća i upravljanje zapisnicima. Kao takav, administratorima se može uštedjeti puno vremena. To uključuje mnogo alata, od kojih smo neke upravo pregledali. Sigurnosni luk uključuje Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner i još mnogo toga. Da biste sve olakšali postavljanje, distribucija je u paketu s čarobnjakom za jednostavno postavljanje koji vam omogućuje zaštitu organizacije u roku od nekoliko minuta. Kad bismo morali opisati Sigurnosni luk u jednoj rečenici rekli bismo da je to švicarska vojska nož informatičke sigurnosti poduzeća.

Sigurnosni luk - kartica Događaji

Jedna od najzanimljivijih stvari o ovomeAlat je da dobivate sve u jednoj jednostavnoj instalaciji. Za otkrivanje provale, alat vam daje alate za prepoznavanje ulaza koji se temelje na mreži i hostu. Paket također kombinira alate koji koriste pristup temeljen na potpisu i alate koji se temelje na anomaliji. Nadalje, naći ćete kombinaciju tekstualnih i GUI alata. Postoji zaista izvrsna kombinacija sigurnosnih alata. Postoji jedan osnovni nedostatak sigurnosnog luka. Uz toliko uključenih alata, njihovo konfiguriranje može se pokazati značajnim zadatkom. No, ne morate upotrebljavati i konfigurirati sve alate. Možete odabrati samo one koje koristite. Čak i ako koristite samo nekoliko uključenih alata, to bi mogla biti brža opcija od instaliranja zasebno.

Pročitajte i

Što je mrežni Njuškalo i za što se koristi?
ContaCam: Stvorite sustav nadzora s web-kamerama, WDM-om i DV-om
Motion Monitor - Pretvorite web kameru u sigurnosnu kameru za otkrivanje pokreta
SolarWinds Log & Event Manager vs Splunk - uporedni pregled
Trojani s udaljenim pristupom (RATs) - što su oni i kako se zaštititi od njih?
6 najboljih sustava za otkrivanje upada (HIDS) utemeljenih na domaćinima u 2019. godini
7 najboljih sustava za sprječavanje provale (IPS) za 2019. godinu
6 najboljih sigurnosnih podataka i alata za upravljanje događajima (SIEM) vrijedi provjeriti u 2019. godini
14 najboljih mrežnih sigurnosnih alata za sigurnije okruženje u 2019. godini
Top 10 alata za otkrivanje provale: Vaše najbolje besplatne mogućnosti za 2019. godinu
Vrhunski vodič za mrežnu sigurnost - uključujući bitne alate
Dodajte Ok Google otkrivanje u sve ekrane na vašem uređaju [Nema korijena]

komentari