Sembra che tutti in questi giorni siano preoccupaticon sicurezza. Ha senso se si considera l'importanza della criminalità informatica. Le organizzazioni vengono prese di mira dagli hacker che cercano di rubare i loro dati o causare loro altri danni. Un modo per proteggere il proprio ambiente IT da questi attacchi è attraverso l'uso dei giusti strumenti e sistemi. Spesso, la prima linea di difesa si trova al perimetro della rete sotto forma di sistemi di rilevamento delle intrusioni basati sulla rete o NIDS. Questi sistemi analizzano il traffico che arriva sul tuorete da Internet per rilevare eventuali attività sospette e avvisarti immediatamente. I NIDS sono così popolari e molti di questi sono disponibili che trovare quello migliore per le tue esigenze può essere uno sforzo impegnativo. Per aiutarti, abbiamo raccolto questo elenco di alcuni dei migliori sistemi di rilevamento delle intrusioni basati sulla rete.
Inizieremo il nostro viaggio dando un'occhiata adiversi tipi di sistema di rilevamento delle intrusioni. In sostanza, ci sono due tipi: basato su rete e basato su host. Spiegheremo le loro differenze. I sistemi di rilevamento delle intrusioni differiscono anche per il metodo di rilevamento che utilizzano. Alcuni usano un approccio basato sulla firma, mentre altri si basano sull'analisi comportamentale. Gli strumenti migliori utilizzano una combinazione di entrambi i metodi di rilevamento. Il mercato è saturo di sistemi di rilevamento e prevenzione delle intrusioni. Esploreremo in che modo differiscono e sono simili in quanto è importante capire la distinzione. Infine, esamineremo i migliori sistemi di rilevamento delle intrusioni basati sulla rete e presenteremo le loro caratteristiche più importanti.
Rilevamento delle intrusioni basato su rete o host
I sistemi di rilevamento delle intrusioni sono di due tipitipi. Entrambi condividono un obiettivo identico - rilevare rapidamente i tentativi di intrusione o attività sospette che potenzialmente portano a tentativi di intrusione - ma differiscono nella posizione del punto di applicazione che si riferisce a dove viene eseguita la rilevazione. Ogni tipo di strumento di rilevamento delle intrusioni presenta vantaggi e svantaggi. Non esiste un vero consenso su quale sia preferibile. Alcuni giurano per un tipo mentre altri si fideranno solo dell'altro. Entrambi hanno probabilmente ragione. La soluzione migliore, o la più sicura, è probabilmente quella che combina entrambi i tipi.
Network Intrusion Detection Systems (NIDS)
Il primo tipo di Intrusion Detection System èchiamato Network Intrusion Detection System o NIDS. Questi sistemi funzionano ai confini della rete per imporre il rilevamento. Intercettano ed esaminano il traffico di rete, alla ricerca di attività sospette che potrebbero indicare un tentativo di intrusione e anche alla ricerca di schemi di intrusione noti. Gli intrusi spesso cercano di sfruttare le vulnerabilità note di vari sistemi, ad esempio inviando pacchetti non validi agli host, facendoli reagire in un modo particolare che consente loro di essere violati. Un sistema di rilevamento delle intrusioni di rete molto probabilmente rileverà questo tipo di tentativo di intrusione.
Alcuni sostengono che Network Intrusion DetectionI sistemi sono migliori della loro controparte basata su host in quanto sono in grado di rilevare attacchi anche prima ancora di arrivare ai tuoi sistemi. Alcuni tendono anche a preferirli perché non richiedono l'installazione di alcun elemento su ciascun host per proteggerli in modo efficace. D'altra parte, offrono poca protezione contro gli attacchi interni che purtroppo non sono affatto rari. Per essere rilevato, il tentativo di intrusione di un attaccante deve passare attraverso il NIDS, cosa che accade raramente quando proviene dall'interno. Qualsiasi tecnologia ha pro e contro ed è il caso specifico del rilevamento delle intrusioni, nulla ti impedisce di utilizzare entrambi i tipi di strumenti per la massima protezione.
Host Intrusion Detection Systems (HIDS)
Operano i sistemi di rilevamento delle intrusioni dell'host (HIDS)a livello di host; potresti averlo intuito dal loro nome. Ad esempio, monitoreranno vari file di registro e riviste per rilevare segni di attività sospette. Un altro modo per rilevare i tentativi di intrusione è controllando i file di configurazione del sistema per modifiche non autorizzate. Possono anche esaminare questi stessi file per specifici schemi di intrusione noti. Ad esempio, può essere noto che un particolare metodo di intrusione funziona aggiungendo un determinato parametro a un file di configurazione specifico. Un buon sistema di rilevamento delle intrusioni basato su host lo catturerebbe.
Anche se il loro nome potrebbe farti pensaretutti gli HIDS sono installati direttamente sul dispositivo che devono proteggere, non è sempre necessariamente così. Alcuni dovranno essere installati su tutti i computer, mentre altri richiederanno solo l'installazione di un agente locale. Alcuni addirittura svolgono tutto il loro lavoro da remoto senza alcun agente. Indipendentemente da come funzionano, la maggior parte degli HIDS ha una console centralizzata in cui è possibile controllare ogni istanza dell'applicazione e visualizzare tutti i risultati.
Metodi di rilevamento delle intrusioni
I sistemi di rilevamento delle intrusioni non differiscono solo peril punto di applicazione, differiscono anche per il metodo che usano per rilevare i tentativi di intrusione. Alcuni sono basati su firma mentre altri sono basati su anomalie. I primi funzionano analizzando i dati per schemi specifici che sono stati associati a tentativi di intrusione. Questo è simile ai tradizionali sistemi di protezione antivirus che si basano sulle definizioni dei virus. Il rilevamento delle intrusioni basato sulla firma si basa su firme o schemi di intrusione. Confrontano i dati acquisiti con le firme delle intrusioni per identificare i tentativi di intrusione. Ovviamente, non funzioneranno fino a quando la firma corretta non verrà caricata sul software, cosa che a volte può accadere solo dopo che un certo numero di macchine sono state attaccate e gli editori di firme antintrusione hanno avuto il tempo di pubblicare nuovi pacchetti di aggiornamento. Alcuni fornitori sono abbastanza veloci mentre altri potrebbero reagire solo giorni dopo. Questo è il principale svantaggio di questo metodo di rilevamento.
Il rilevamento delle intrusioni basato sull'anomalia offre risultati miglioriprotezione dagli attacchi zero-day, quelli che si verificano prima che qualsiasi software di rilevamento delle intrusioni abbia avuto la possibilità di acquisire il file della firma corretto. Cercano anomalie invece di provare a riconoscere schemi di intrusione noti. Ad esempio, qualcuno che tenta di accedere a un sistema con una password errata più volte di seguito attiverà un avviso in quanto questo è un segno comune di un attacco di forza bruta. Questi sistemi sono in grado di rilevare rapidamente qualsiasi attività sospetta sulla rete. Ogni metodo di rilevamento presenta vantaggi e svantaggi e proprio come con i due tipi di strumenti, gli strumenti migliori sono probabilmente quelli che utilizzano una combinazione di analisi di firma e comportamento.
Rilevazione o prevenzione?
Alcune persone tendono a confondersi trasistemi di rilevamento e prevenzione delle intrusioni. Sebbene siano strettamente correlati, non sono identici sebbene vi sia una certa sovrapposizione di funzionalità tra i due. Come suggerisce il nome, i sistemi di rilevamento delle intrusioni rilevano tentativi di intrusione e attività sospette. Quando rilevano qualcosa, in genere attivano una forma di avviso o notifica. Spetta quindi agli amministratori adottare le misure necessarie per arrestare o bloccare il tentativo di intrusione.
I sistemi di prevenzione delle intrusioni (IPS) fanno un passoulteriormente e può fermare del tutto le intrusioni. I sistemi di prevenzione delle intrusioni includono un componente di rilevazione, che è funzionalmente equivalente a un sistema di rilevazione delle intrusioni, che attiverà alcune azioni correttive automatiche ogni volta che viene rilevato un tentativo di intrusione. Non è richiesto alcun intervento umano per fermare il tentativo di intrusione. La prevenzione delle intrusioni può anche riferirsi a tutto ciò che viene fatto o messo in atto come un modo per prevenire le intrusioni. Ad esempio, l'indurimento della password o il blocco dell'intruso possono essere considerati misure di prevenzione delle intrusioni.
I migliori strumenti di rilevamento delle intrusioni in rete
Abbiamo cercato il meglio per il mercatoSistemi di rilevamento delle intrusioni basati su rete. Il nostro elenco contiene un mix di veri sistemi di rilevamento delle intrusioni basati su host e altri software che dispongono di un componente di rilevamento delle intrusioni basato sulla rete o che possono essere utilizzati per rilevare i tentativi di intrusione. Ciascuno dei nostri strumenti consigliati può aiutare a rilevare i tentativi di intrusione nella tua rete.
1. SolarWinds Threat Monitor - IT Ops Edition (Demo GRATUITA)
SolarWinds è un nome comune nel campo distrumenti di amministrazione della rete. L'azienda esiste da circa 20 anni e ci ha fornito alcuni dei migliori strumenti di amministrazione di rete e di sistema. Il suo prodotto di punta, Network Performance Monitor, si classifica costantemente tra i migliori strumenti di monitoraggio della larghezza di banda della rete. SolarWinds offre anche eccellenti strumenti gratuiti, ciascuno dei quali risponde a un'esigenza specifica degli amministratori di rete. Kiwi Syslog Server e Advanced Subnet Calculator ne sono due buoni esempi.
Per il rilevamento delle intrusioni basato sulla rete, SolarWinds offre Threat Monitor - IT Ops Edition. Contrariamente alla maggior parte degli altri strumenti di SolarWinds, questouno è un servizio basato su cloud piuttosto che un software installato localmente. Ti iscrivi semplicemente, configuralo e inizia a guardare il tuo ambiente per tentativi di intrusione e alcuni altri tipi di minacce. Il Threat Monitor - IT Ops Edition combina diversi strumenti. Ha sia il rilevamento delle intrusioni basato su rete che su host, nonché la centralizzazione e la correlazione dei registri e la gestione delle informazioni sulla sicurezza e degli eventi (SIEM). È una suite di monitoraggio delle minacce molto approfondita.
- DEMO GRATUITA: SolarWinds Threat Monitor - IT Ops Edition
- Link per il download ufficiale: https://www.solarwinds.com/threat-monitor/registration
Il Threat Monitor - IT Ops Edition è sempre aggiornato, costantemente aggiornatoinformazioni sulle minacce provenienti da più fonti, inclusi database IP e di dominio. Controlla le minacce note e sconosciute. Lo strumento offre risposte intelligenti automatizzate per rimediare rapidamente agli incidenti di sicurezza fornendo alcune funzionalità simili alla prevenzione delle intrusioni.
Le funzionalità di avviso del prodotto sono abbastanzadegno di nota. Esistono allarmi multi-condizionali, con correlazione incrociata che funzionano in combinazione con il motore di risposta attiva dello strumento e aiutano a identificare e sintetizzare eventi importanti. Il sistema di reportistica è altrettanto efficace degli avvisi e può essere utilizzato per dimostrare la conformità utilizzando modelli di report pre-costruiti esistenti. In alternativa, è possibile creare report personalizzati per adattarsi con precisione alle esigenze aziendali.
Prezzi per il SolarWinds Threat Monitor - IT Ops Edition iniziare da $ 4 500 per un massimo di 25 nodi con 10 giornidi indice. Puoi contattare SolarWinds per un preventivo dettagliato adattato alle tue esigenze specifiche. E se preferisci vedere il prodotto in azione, puoi richiedere una demo gratuita da SolarWinds.
2. sbuffo
sbuffo è sicuramente il NIDS open source più noto. Ma sbuffo è in realtà più di uno strumento di rilevamento delle intrusioni. È anche uno sniffer di pacchetti e un logger di pacchetti e racchiude anche alcune altre funzioni. Per ora, ci concentreremo sulle funzionalità di rilevamento delle intrusioni dello strumento poiché questo è l'argomento di questo post. La configurazione del prodotto ricorda la configurazione di un firewall. È configurato usando le regole. Puoi scaricare le regole di base dal sbuffo sito Web e usarli così come sono o personalizzali in base alle tue esigenze specifiche. Puoi anche iscriverti a sbuffo regole per ottenere automaticamente tutte le ultime regole man mano che si evolvono o quando vengono scoperte nuove minacce.
Ordinare è molto approfondito e anche le sue regole di base possonorilevare una vasta gamma di eventi come scansioni delle porte invisibili, attacchi buffer overflow, attacchi CGI, sonde SMB e fingerprinting del sistema operativo. Non esiste praticamente alcun limite a ciò che è possibile rilevare con questo strumento e ciò che rileva dipende esclusivamente dal set di regole installato. Per quanto riguarda i metodi di rilevamento, alcune delle regole di base di Snort sono basate sulla firma mentre altre sono basate sull'anomalia. Snort può, quindi, darti il meglio di entrambi i mondi.
3. Suricata
Suricata non è solo un sistema di rilevamento delle intrusioni. Ha anche alcune funzionalità di prevenzione delle intrusioni. In realtà, è pubblicizzato come un ecosistema completo di monitoraggio della sicurezza della rete. Una delle risorse migliori dello strumento è come funziona fino al livello dell'applicazione. Questo lo rende un sistema ibrido basato su rete e host che consente allo strumento di rilevare minacce che probabilmente passerebbero inosservate da altri strumenti.
Suricata è un vero rilevamento delle intrusioni basato sulla reteSistema e non funziona solo a livello di applicazione. Monitorerà i protocolli di rete di livello inferiore come TLS, ICMP, TCP e UDP. Lo strumento comprende inoltre e decodifica protocolli di livello superiore come HTTP, FTP o SMB e può rilevare tentativi di intrusione nascosti in richieste altrimenti normali. Lo strumento offre inoltre funzionalità di estrazione dei file che consentono agli amministratori di esaminare qualsiasi file sospetto.
SuricataL'architettura dell'applicazione è piuttosto innovativa. Lo strumento distribuirà il suo carico di lavoro su più core e thread del processore per le migliori prestazioni. Se necessario, può anche scaricare parte della sua elaborazione sulla scheda grafica. Questa è un'ottima funzionalità quando si utilizza lo strumento sui server poiché la loro scheda grafica è in genere sottoutilizzata.
4. Bro Network Security Monitor
Il Bro Network Security Monitor, un altro sistema di rilevamento delle intrusioni di rete gratuito. Lo strumento funziona in due fasi: registrazione del traffico e analisi del traffico. Proprio come il Suricata, Bro Network Security Monitor opera a più livelli nel livello dell'applicazione. Ciò consente un migliore rilevamento dei tentativi di intrusione divisa. Il Bro Network Security MonitorIl modulo di analisi è composto da due elementi. Il primo elemento è chiamato motore degli eventi e tiene traccia degli eventi scatenanti come connessioni TCP nette o richieste HTTP. Gli eventi vengono quindi analizzati da script di policy, il secondo elemento, che decidono se attivare o meno un allarme e / o avviare un'azione. La possibilità di lanciare un'azione dà il Bro Network Security Monitor alcune funzionalità simili a IPS.
Il Bro Network Security Monitor ti consentirà di tenere traccia delle attività HTTP, DNS e FTPe monitorerà anche il traffico SNMP. Questa è una buona cosa perché SNMP viene spesso utilizzato per il monitoraggio della rete ma non è un protocollo sicuro. E poiché può anche essere utilizzato per modificare le configurazioni, potrebbe essere sfruttato da utenti malintenzionati. Lo strumento ti consentirà anche di guardare le modifiche alla configurazione del dispositivo e le trap SNMP. Può essere installato su Unix, Linux e OS X ma non è disponibile per Windows, che è forse il suo principale svantaggio.
5. Cipolla di sicurezza
È difficile definire quale Cipolla di sicurezza è. Non è solo un sistema di rilevamento o prevenzione delle intrusioni. In realtà si tratta di una distribuzione Linux completa focalizzata sul rilevamento delle intrusioni, sul monitoraggio della sicurezza aziendale e sulla gestione dei log. Pertanto, può far risparmiare molto tempo agli amministratori. Include molti strumenti, alcuni dei quali abbiamo appena esaminato. Security Onion include Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner e molti altri. Per semplificare l'impostazione, la distribuzione è abbinata a una procedura guidata di installazione facile da usare, che consente di proteggere l'organizzazione in pochi minuti. Se dovessimo descrivere il Cipolla di sicurezza in una frase, diremmo che è il coltellino svizzero della sicurezza IT aziendale.
Una delle cose più interessanti di questolo strumento è che ottieni tutto in un'unica installazione. Per il rilevamento delle intrusioni, lo strumento offre strumenti di rilevamento delle intrusioni basati sia su rete sia su host. Il pacchetto combina inoltre strumenti che utilizzano un approccio basato su firma e strumenti basati su anomalie. Inoltre, troverai una combinazione di strumenti basati su testo e GUI. Esiste davvero un eccellente mix di strumenti di sicurezza. C'è un principale svantaggio per Security Onion. Con così tanti strumenti inclusi, configurarli tutti può rivelarsi un compito considerevole. Tuttavia, non è necessario utilizzare e configurare tutti gli strumenti. Sei libero di scegliere solo quelli che desideri utilizzare. Anche se utilizzi solo un paio di strumenti inclusi, sarebbe probabilmente un'opzione più rapida rispetto all'installazione separata.
Commenti