Ne bih želio zvučati previše paranoično, iako jesamvjerojatno jesu, ali cyber-kriminalitet ima svuda. Svaka organizacija može postati meta hakera koji pokušavaju pristupiti njihovim podacima. Stoga je prvobitno paziti na stvari i osigurati da ne budemo žrtva tih nenamjernih pojedinaca. Prva linija obrane je Sustav za otkrivanje provale. Host-based sustavi primjenjuju svoju detekciju na razini domaćina i obično će brzo otkriti većinu pokušaja provale i odmah vas obavijestiti kako biste mogli ispraviti situaciju. Sa toliko mnogobrojne detekcije upada na osnovi domaćinaSustavi koji su dostupni, odabir najboljeg za vašu specifičnu situaciju može biti izazov. Da bismo vam pomogli da jasno vidite, sastavili smo popis nekih od najboljih sustava za otkrivanje upada koji se zasnivaju na domaćinima.
Prije nego što otkrijemo najbolje alate, krenut ćemo u stranuukratko i pogledajte različite vrste sustava za otkrivanje provale. Neki su temeljeni na hostu, dok su drugi mrežni. Objasnit ćemo razlike. Zatim ćemo razgovarati o različitim metodama otkrivanja provale. Neki alati imaju pristup zasnovan na potpisu, dok drugi traže sumnjivo ponašanje. Najbolji koriste kombinaciju obojega. Prije nastavka, objasnit ćemo razlike između sustava za otkrivanje provale i zaštite od provale jer je važno razumjeti u što gledamo. Tada ćemo biti spremni za suštinu ovog posta, najbolje sustave za otkrivanje upada koji se temelje na domaćinu.
Dvije vrste sustava za otkrivanje provale
Postoje u biti dvije vrste uljezaSustavi za otkrivanje. Iako je njihov cilj identičan - brzo otkrivanje bilo kakvog pokušaja provale ili sumnjive aktivnosti s kojim bi mogao dovesti do pokušaja provale, oni se razlikuju u mjestu na kojem se to otkrivanje vrši. To je koncept koji se često naziva i mjesto izvršenja. Svaka vrsta ima prednosti i nedostatke i, općenito govoreći, ne postoji konsenzus oko toga koji je prednost. Zapravo je najbolje rješenje - ili najsigurnije - vjerojatno rješenje koje kombinira oboje.
Sustavi za otkrivanje upada domaćina (HIDS)
Prva vrsta sustava za otkrivanje provaleono što nas danas zanima, djeluje na razini domaćina. Možda ste to pogodili iz njegovog imena. HIDS provjerava, na primjer, razne datoteke dnevnika i časopisa zbog znakova sumnjivih aktivnosti. Drugi način otkrivanja pokušaja provale je provjeravanjem važnih konfiguracijskih datoteka za neovlaštene promjene. Oni također mogu ispitati iste konfiguracijske datoteke za određene poznate uzorke upada. Na primjer, može se znati da određena metoda upada funkcionira dodavanjem određenog parametra određenoj konfiguracijskoj datoteci. Dobar sustav za otkrivanje provale temeljen na domaćinu bi to uhvatio.
Većinu vremena HIDS se instalira izravnouređaji koje su trebali zaštititi. Trebat ćete ih instalirati na sva svoja računala. Za ostale će biti potrebna samo instalacija lokalnog agenta. Neki čak i svoj posao rade na daljinu. Bez obzira kako djeluju, dobri HIDS imaju centraliziranu konzolu na kojoj možete kontrolirati aplikaciju i vidjeti njene rezultate.
Mrežni sustavi za otkrivanje upada (NIDS)
Druga vrsta sustava za otkrivanje provale nazivaMrežni sustavi za otkrivanje upada ili NIDS rade na granici mreže kako bi naložili otkrivanje. Koriste se slične metode kao i sustavi za otkrivanje upada domaćina kao što su otkrivanje sumnjivih aktivnosti i traženje poznatih obrazaca provale. No umjesto da pregledavaju zapisnike i konfiguracijske datoteke, oni gledaju mrežni promet i ispituju svaki zahtjev za povezivanje. Neke metode upada iskorištavaju poznate ranjivosti slanjem namjerno neispravnih paketa domaćinima, čineći ih na poseban način koji reagira na način koji im omogućuje kršenje. Mrežni sustav otkrivanja upada lako bi otkrio ovakav pokušaj.
Neki tvrde da su NIDS bolji od HIDS-a kao i oniotkrijte napade čak i prije nego što uopće dođu do vaših sustava. Neki ih preferiraju jer ne trebaju bilo što instalirati na svaki host da bi ih učinkovito zaštitili. S druge strane, pružaju malu zaštitu od insajderskih napada koji nažalost nimalo nisu rijetki. Za otkrivanje napadač mora koristiti stazu koja prolazi kroz NIDS. Iz tih razloga, najbolja zaštita vjerojatno dolazi iz kombinacije obje vrste alata.
Metode otkrivanja prodora
Baš kao što postoje dvije vrste upadaalati za otkrivanje, uglavnom postoje dvije različite metode koje se koriste za otkrivanje pokušaja provale. Otkrivanje može biti zasnovano na potpisu ili na anomaliji. Detekcija upada na temelju potpisa djeluje analizom podataka za specifične obrasce koji su povezani s pokušajima provale. To je slično tradicionalnim sustavima za zaštitu od virusa koji se oslanjaju na definicije virusa. Isto tako, otkrivanje upada na temelju potpisa oslanja se na potpise ili obrasce upada. Oni uspoređuju podatke s upadom potpisa kako bi identificirali pokušaje. Glavni im je nedostatak to što ne rade dok se u softver ne učitaju odgovarajući potpisi. Nažalost, to se obično događa tek nakon što je napadnut određeni broj strojeva i izdavači uljeza potpisa su imali vremena objaviti nove pakete za nadogradnju. Neki su dobavljači prilično brzi, dok su drugi mogli reagirati samo nekoliko dana kasnije.
Drugo otkrivanje upada temeljeno na anomalijimetoda omogućuje bolju zaštitu od napada bez ijednog dana, onih koji se događaju prije nego što je svaki softver za otkrivanje provale imao priliku nabaviti odgovarajuću datoteku potpisa. Ovi sustavi traže nepravilnosti umjesto pokušaja prepoznavanja poznatih obrazaca provale. Na primjer, oni bi se mogli pokrenuti ako je netko nekoliko puta zaredom pokušao pristupiti sustavu s pogrešnom zaporkom, što je uobičajeni znak napada grube sile. Svako sumnjivo ponašanje može se brzo otkriti. Svaka metoda otkrivanja ima svoje prednosti i nedostatke. Kao i kod vrsta alata, najbolji su alati oni koji koriste kombinaciju potpisa i analize ponašanja za najbolju zaštitu.
Prepoznavanje vs prevencija - važno razlikovanje
Raspravljali smo o sustavima za otkrivanje provaleali mnogi od vas možda su čuli za sustave za sprečavanje provale. Jesu li dva koncepta identična? Odgovor je jednostavan, jer dvije vrste alata služe različitoj svrsi. Međutim, među njima se nešto preklapa. Kao što mu ime govori, sustav za otkrivanje provale otkriva pokušaje provale i sumnjive aktivnosti. Kad nešto otkrije, obično aktivira neki oblik upozorenja ili obavijesti. Tada administratori moraju poduzeti potrebne korake za zaustavljanje ili blokiranje pokušaja provale.
Sustavi za sprječavanje provale (IPS) napravljeni su naspriječite da se intruzije potpuno događaju. Active IPS uključuje komponentu otkrivanja koja će automatski pokrenuti neke popravne radnje svaki put kada se otkrije pokušaj provale. Sprečavanje prodora može biti i pasivno. Izraz se može upotrijebiti za označavanje bilo čega što se učini ili uspostavlja kao način sprječavanja upada. Otvrdnjavanje lozinkom, na primjer, može se smatrati mjerom za sprečavanje provale.
Najbolji alati za otkrivanje prodora domaćina
Pretražili smo tržište za najboljeg domaćinasustavi za otkrivanje upada Ono što imamo za vas je kombinacija istinskog HIDS-a i drugog softvera koji, iako se ne nazivaju sustavima za otkrivanje provale, imaju komponentu za otkrivanje provale ili se mogu koristiti za otkrivanje pokušaja provale. Pogledajmo naše najbolje odabranike i pogledajmo njihove najbolje značajke.
1. SolarWinds Log & Event Manager (Besplatna probna verzija)
Naš prvi unos je iz SolarWinds, opće imeu području alata za mrežno upravljanje. Tvrtka postoji već oko 20 godina i donijela nam je neke od najboljih alata za mrežnu i sistemsku administraciju. Takođe je dobro poznato da ima mnogo besplatnih alata koji rješavaju neke specifične potrebe mrežnih administratora. Dva sjajna primjera ovih besplatnih alata su Kiwi Syslog Server i Advanced Subnet Calculator.
Ne dopusti SolarWinds Log & Event ManagerPrevara ti ime. To je mnogo više od samo sustava za upravljanje dnevnicima i događajima. Mnoge napredne značajke ovog proizvoda stavljaju ga u raspon sigurnosnih podataka i upravljanja događajima (SIEM). Ostale značajke ga klasificiraju kao sustav otkrivanja provale, pa čak i, u određenoj mjeri, kao sustav za sprečavanje provale. Ovaj alat, na primjer, sadrži korelaciju događaja u stvarnom vremenu i sanaciju u stvarnom vremenu.
- BESPLATNO ISPITIVANJE: SolarWinds Log & Event Manager
- Službena veza za preuzimanje: https://www.solarwinds.com/log-event-manager-software/registration
To. SolarWinds Log & Event Manager ima trenutno otkrivanje sumnjivogaktivnost (IDS-ova funkcionalnost) i automatizirani odgovori (funkcionalnost slična IPS-u). Također može provesti istragu sigurnosnih događaja i forenzičke lijekove u svrhu ublažavanja i poštivanja propisa. Zahvaljujući izvještaju dokazanom revizijom, alat se također može koristiti za dokazivanje usklađenosti s HIPAA, PCI-DSS i SOX, među ostalim. Alat također ima nadzor praćenja integriteta datoteka i nadgledanje USB uređaja, što ga čini mnogo integriranijom sigurnosnom platformom nego samo sustavom za upravljanje dnevnicima i događajima.
Cijene za SolarWinds Log & Event Manager počinje od 4,585 dolara za do 30 nadziranih čvorova. Licence za do 2500 čvorova mogu se kupiti što čini proizvod vrlo skalabilnim. Ako želite testirati proizvod i uvjeriti se da li je pravi za vas, na raspolaganju vam je besplatno 30-dnevno besplatno probno razdoblje.
2. OSSEC
Sigurnost otvorenog koda, ili OSSEC, daleko je vodeći open-source domaćinsustav za otkrivanje upada Proizvod je u vlasništvu tvrtke Trend Micro, jednog od vodećih imena u IT sigurnosti i proizvođača jednog od najboljih apartmana za zaštitu od virusa. Instaliran na Unix operativne sustave, softver se prvenstveno fokusira na zapisnike i konfiguracijske datoteke. Stvara kontrolne sume važnih datoteka i periodično ih potvrđuje, upozoravajući vas kad god se dogodi nešto neobično. Također će pratiti i upozoravati na svaki nenormalan pokušaj da se pristup korijenu. Na Windows domaćinima sustav također pazi na neovlaštene izmjene registra što bi mogle biti znak opasnosti o zlonamjernoj aktivnosti.
Budući da je sustav za otkrivanje upada koji se temelji na domaćinu, OSSEC mora biti instalirano na svako računalo koje želite zaštititi. Međutim, centralizirana konzola objedinjuje podatke sa svakog zaštićenog računala radi lakšeg upravljanja. Dok OSSEC konzola radi samo na Unix operativnim sustavima,na raspolaganju je agent za zaštitu Windows domaćina. Svako otkrivanje pokrenuće upozorenje koje će se prikazati na centraliziranoj konzoli, dok će se obavijesti poslati i e-poštom.
3. Samhain
Samhain je još jedan dobro poznat upad slobodnog domaćinasustav detekcije Njegove glavne značajke, sa stanovišta IDS-a, jesu provjera integriteta datoteke i nadzor / analiza datoteka. Ipak, djeluje i više od toga. Proizvod će izvoditi rootkit otkrivanje, nadgledanje portova, otkrivanje loših izvršivih SUID-ova i skrivenih procesa. Alat je dizajniran za nadgledanje više domaćina koji pokreću različite operativne sustave, istovremeno pružajući centraliziranu prijavu i održavanje. Međutim, Samhain može se koristiti i kao samostalni program najedno računalo. Softver se pokreće uglavnom na POSIX sustavima kao što su Unix, Linux ili OS X. Može se izvoditi i na Windows-u pod Cygwin-om, paketom koji omogućuje pokretanje POSIX aplikacija na Windows-u, iako je u toj konfiguraciji testiran samo nadzorni agent.
Jedan od SamhainNajosnovnija karakteristika je njegov prikriveni način kojiomogućuje mu da se pokrene bez otkrivanja potencijalnih napadača. Poznato je da uljezi brzo ubijaju procese otkrivanja koje prepoznaju čim uđu u sustav prije nego što budu otkriveni, omogućujući im da prođu nezapaženo. Samhain koristi steganografske tehnike da sakrije svoje procese od drugih. Također štiti središnje datoteke dnevnika i sigurnosne kopije PGP tipkom kako bi se spriječilo neovlašteno diranje.
4. Fail2Ban
Fail2Ban je besplatni i otvoreni host upadasustav za otkrivanje koji također ima neke mogućnosti sprečavanja provale. Softverski alat prati datoteke dnevnika zbog sumnjivih aktivnosti i događaja kao što su neuspjeli pokušaji prijave, traženje eksploatacije itd. Zadana radnja alata, kad god otkrije nešto sumnjivo, je automatsko ažuriranje lokalnih pravila firewall-a za blokiranje IP adrese izvora zlonamjerno ponašanje. U stvarnosti, to nije istinsko sprječavanje provale, već sustav za otkrivanje provale sa značajkama automatske sanacije. Ono što smo upravo opisali je zadana radnja alata, ali bilo koja druga proizvoljna radnja - poput slanja obavijesti putem e-pošte - također se može konfigurirati tako da se ponaša kao "klasičniji" sustav za otkrivanje provale.
Fail2Ban nudi se s raznim unaprijed ugrađenim filtrima zaneke od najčešćih usluga poput Apache, SSH, FTP, Postfix i mnogih drugih. Prevencija, kako smo objasnili, provodi se izmjenom tablica vatrozida domaćina. Alat može raditi s Netfilter, IPtables ili host.deny tablom TCP Wrapper. Svaki se filtar može povezati s jednom ili više radnji.
5. POMOĆNIK
To. Napredno okruženje za otkrivanje provale, ili POMOĆNIK, je još jedan besplatni sustav za otkrivanje provale domaćinaOvaj se fokusira uglavnom na otkrivanje rootkita i usporedbu potpisa datoteka. Kad ga prvotno instalirate, alat će sastaviti vrstu baze podataka administratora iz konfiguracijskih datoteka sustava. Ova se baza tada može koristiti kao početna crta s kojom se bilo kakve promjene mogu usporediti i eventualno vratiti ako je potrebno.
POMOĆNIK koristi se i na temelju potpisa isheme otkrivanja temeljene na anomaliji. Ovo je alat koji se pokreće na zahtjev, a ne planira se ili kontinuirano prikazuje. Zapravo, ovo je glavni nedostatak proizvoda. No, budući da je to alat naredbenog retka, a ne da se temelji na GUI-ju, može se stvoriti posao cron koji će ga pokretati u redovitim intervalima. Ako odaberete često pokretanje alata - kao što je jednom u svakoj minuti - gotovo da ćete dobiti podatke u stvarnom vremenu i imat ćete vremena reagirati prije nego što je svaki pokušaj provale prebrzo prouzrokovao veliku štetu.
U svojoj srži POMOĆNIK je samo alat za usporedbu podataka, ali uz pomoćod nekoliko vanjskih zakazanih skripti, može se pretvoriti u istinskog HIDS-a. Imajte na umu da je ovo, međutim, u osnovi lokalni alat. Nema centralizirano upravljanje i fancy GUI.
6. Sagan
Posljednji na našem popisu je Sagan, što je zapravo više sustav analize zapisanego pravi IDS. Međutim, ima neke IDS-ove značajke zbog čega zaslužuje mjesto na našoj listi. Alat lokalno nadgleda datoteke dnevnika sustava na kojima je instaliran, ali također može komunicirati s drugim alatima. Na primjer, mogao bi analizirati Snortove zapise, učinkovito dodajući NIDS funkcionalnost Snorta onome što je u biti HIDS. Neće komunicirati samo sa Snortom. Sagan može također komunicirati sa Suricata, a kompatibilan je s nekoliko alata za izgradnju pravila kao što su Oinkmaster ili Pulled Pork.
Sagan također ima mogućnosti izvršavanja skripti koje mogučine ga grubim sustavom za sprečavanje upada, pod uvjetom da razvijete neke skripte za sanaciju. Iako se ovaj alat vjerojatno neće koristiti kao vaša jedina obrana od provale, može biti sjajna komponenta sustava koji može ugraditi mnogo alata koreliranjem događaja iz različitih izvora.
komentari