Non vorrei sembrare troppo paranoico, anche se ioprobabilmente sì, ma la criminalità informatica è ovunque. Ogni organizzazione può diventare il bersaglio di hacker che tentano di accedere ai propri dati. È quindi fondamentale tenere d'occhio le cose e assicurarsi che non cadiamo vittime di questi individui mal intenzionati. La prima linea di difesa è un Sistema di rilevamento intrusioni. basata su host i sistemi applicano il loro rilevamento a livello di host e in genere rileveranno rapidamente la maggior parte dei tentativi di intrusione e avviseranno immediatamente in modo da poter porre rimedio alla situazione. Con così tanti rilevamenti di intrusioni basati su hostsistemi disponibili, scegliere il meglio per la propria situazione specifica può sembrare una sfida. Per aiutarti a vedere chiaramente, abbiamo raccolto un elenco di alcuni dei migliori sistemi di rilevamento delle intrusioni basati su host.
Prima di rivelare gli strumenti migliori, tralasciamobrevemente e dai un'occhiata ai diversi tipi di sistemi di rilevamento delle intrusioni. Alcuni sono basati su host mentre altri sono basati su rete. Spiegheremo le differenze. Discuteremo quindi i diversi metodi di rilevamento delle intrusioni. Alcuni strumenti hanno un approccio basato sulla firma, mentre altri sono alla ricerca di comportamenti sospetti. I migliori usano una combinazione di entrambi. Prima di continuare, spiegheremo le differenze tra i sistemi di rilevamento delle intrusioni e di prevenzione delle intrusioni poiché è importante capire cosa stiamo guardando. Saremo quindi pronti per l'essenza di questo post, i migliori sistemi di rilevamento delle intrusioni basati su host.
Due tipi di sistemi di rilevamento delle intrusioni
Esistono essenzialmente due tipi di intrusioneSistemi di rilevamento Sebbene il loro obiettivo sia identico: rilevare rapidamente qualsiasi tentativo di intrusione o attività sospetta con cui potrebbe condurre a un tentativo di intrusione, differiscono nella posizione in cui viene eseguito questo rilevamento. Questo è un concetto che viene spesso definito punto di applicazione. Ogni tipo presenta vantaggi e svantaggi e, in generale, non vi è consenso su quale sia preferibile. In effetti, la soluzione migliore, o la più sicura, è probabilmente quella che combina entrambi.
Host Intrusion Detection Systems (HIDS)
Il primo tipo di sistema di rilevamento delle intrusioni, ilquello a cui siamo interessati oggi, opera a livello di host. Potresti averlo indovinato dal suo nome. HIDS controlla, ad esempio, vari file di registro e riviste per segni di attività sospette. Un altro modo in cui rilevano i tentativi di intrusione è controllando i file di configurazione importanti per modifiche non autorizzate. Possono anche esaminare gli stessi file di configurazione per specifici schemi di intrusione noti. Ad esempio, può essere noto che un particolare metodo di intrusione funziona aggiungendo un determinato parametro a un file di configurazione specifico. Un buon sistema di rilevamento delle intrusioni basato su host lo catturerebbe.
La maggior parte delle volte gli HIDS sono installati direttamente sui dispositivi che devono proteggere. Dovrai installarli su tutti i tuoi computer. Altri richiedono solo l'installazione di un agente locale. Alcuni addirittura svolgono tutto il loro lavoro da remoto. Indipendentemente da come funzionano, i buoni HIDS dispongono di una console centralizzata in cui è possibile controllare l'applicazione e visualizzarne i risultati.
Network Intrusion Detection Systems (NIDS)
Un altro tipo di sistema di rilevamento delle intrusioni chiamatoI sistemi di rilevamento delle intrusioni di rete, o NIDS, lavorano ai confini della rete per imporre il rilevamento. Usano metodi simili come i sistemi di rilevamento delle intrusioni nell'host come il rilevamento di attività sospette e la ricerca di schemi di intrusione noti. Invece di esaminare log e file di configurazione, controllano il traffico di rete ed esaminano ogni richiesta di connessione. Alcuni metodi di intrusione sfruttano le vulnerabilità note inviando agli host pacchetti appositamente malformati, facendoli reagire in un modo particolare che consente loro di essere violati. Un sistema di rilevamento delle intrusioni di rete rileverebbe facilmente questo tipo di tentativo.
Alcuni sostengono che i NIDS sono meglio dei HIDS come lororileva gli attacchi ancor prima che arrivino ai tuoi sistemi. Alcuni li preferiscono perché non richiedono l'installazione di alcun elemento su ciascun host per proteggerli in modo efficace. D'altra parte, offrono poca protezione contro gli attacchi interni che purtroppo non sono affatto rari. Per essere rilevato, un utente malintenzionato deve utilizzare un percorso che passa attraverso il NIDS. Per questi motivi, la migliore protezione probabilmente deriva dall'utilizzo di una combinazione di entrambi i tipi di strumenti.
Metodi di rilevamento delle intrusioni
Proprio come ci sono due tipi di intrusionestrumenti di rilevamento, ci sono principalmente due diversi metodi utilizzati per rilevare i tentativi di intrusione. Il rilevamento potrebbe essere basato sulla firma o potrebbe essere basato sull'anomalia. Il rilevamento delle intrusioni basato sulla firma funziona analizzando i dati per schemi specifici che sono stati associati ai tentativi di intrusione. Questo è simile ai tradizionali sistemi di protezione antivirus che si basano sulle definizioni dei virus. Allo stesso modo, il rilevamento delle intrusioni basato sulla firma si basa su firme o schemi di intrusione. Confrontano i dati con le firme delle intrusioni per identificare i tentativi. Il loro principale svantaggio è che non funzionano fino a quando le firme appropriate non vengono caricate nel software. Sfortunatamente, questo in genere accade solo dopo che un certo numero di macchine sono state attaccate e gli editori di firme di intrusione hanno avuto il tempo di pubblicare nuovi pacchetti di aggiornamento. Alcuni fornitori sono abbastanza veloci mentre altri potrebbero reagire solo giorni dopo.
Il rilevamento delle intrusioni basato sull'anomalia, l'altrometodo, fornisce una migliore protezione dagli attacchi zero-day, quelli che si verificano prima che qualsiasi software di rilevamento delle intrusioni abbia avuto la possibilità di acquisire il file della firma corretto. Questi sistemi cercano anomalie invece di provare a riconoscere schemi di intrusione noti. Ad esempio, potrebbero essere attivati se qualcuno tentasse di accedere a un sistema con una password errata più volte di seguito, segno comune di un attacco di forza bruta. Qualsiasi comportamento sospetto può essere rapidamente rilevato. Ogni metodo di rilevazione ha i suoi vantaggi e svantaggi. Proprio come con i tipi di strumenti, gli strumenti migliori sono quelli che utilizzano una combinazione di firma e analisi del comportamento per la migliore protezione.
Detection Vs Prevention - Una distinzione importante
Abbiamo discusso dei sistemi di rilevamento delle intrusionima molti di voi potrebbero aver sentito parlare di Intrusion Prevention Systems. I due concetti sono identici? La risposta semplice è no poiché i due tipi di strumento hanno uno scopo diverso. Vi sono, tuttavia, alcune sovrapposizioni tra loro. Come suggerisce il nome, il sistema di rilevamento delle intrusioni rileva tentativi di intrusione e attività sospette. Quando rileva qualcosa, in genere attiva una forma di avviso o notifica. Gli amministratori devono quindi adottare le misure necessarie per interrompere o bloccare il tentativo di intrusione.
Vengono realizzati sistemi di prevenzione delle intrusioni (IPS)fermare del tutto le intrusioni. IPS attivi includono un componente di rilevamento che attiverà automaticamente alcune azioni correttive ogni volta che viene rilevato un tentativo di intrusione. La prevenzione delle intrusioni può anche essere passiva. Il termine può essere usato per riferirsi a tutto ciò che viene fatto o messo in atto come mezzo per prevenire le intrusioni. La protezione mediante password, ad esempio, può essere considerata una misura di prevenzione delle intrusioni.
I migliori strumenti di rilevamento delle intrusioni nell'host
Abbiamo cercato sul mercato i migliori host-basedsistemi di rilevamento delle intrusioni. Quello che abbiamo per te è un mix di veri HIDS e altri software che, sebbene non si definiscano sistemi di rilevamento delle intrusioni, hanno un componente di rilevamento delle intrusioni o possono essere utilizzati per rilevare i tentativi di intrusione. Rivediamo le nostre migliori scelte e diamo un'occhiata alle loro migliori funzionalità.
1. Log e gestore eventi di SolarWinds (Prova gratuita)
La nostra prima voce proviene da SolarWinds, un nome comunenel campo degli strumenti di amministrazione della rete. L'azienda esiste da circa 20 anni e ci ha fornito alcuni dei migliori strumenti di amministrazione di rete e di sistema. È anche noto i suoi numerosi strumenti gratuiti che rispondono ad alcune esigenze specifiche degli amministratori di rete. Due grandi esempi di questi strumenti gratuiti sono Kiwi Syslog Server e Advanced Subnet Calculator.
Non lasciare che il Log e gestore eventi di SolarWindsIl nome ti prende in giro. È molto più di un semplice sistema di gestione dei log e degli eventi. Molte delle funzionalità avanzate di questo prodotto lo inseriscono nella gamma Security Information and Event Management (SIEM). Altre caratteristiche lo qualificano come sistema di rilevamento delle intrusioni e persino, in una certa misura, come sistema di prevenzione delle intrusioni. Questo strumento offre, ad esempio, la correlazione degli eventi in tempo reale e la correzione in tempo reale.
- PROVA GRATUITA: Log e gestore eventi di SolarWinds
- Link per il download ufficiale: https://www.solarwinds.com/log-event-manager-software/registration
Il Log e gestore eventi di SolarWinds presenta il rilevamento istantaneo di sospettiattività (una funzionalità simile a IDS) e risposte automatiche (una funzionalità simile a IPS). Può anche eseguire indagini sugli eventi di sicurezza e analisi forensi sia a fini di mitigazione che di conformità. Grazie alla sua reportistica comprovata da audit, lo strumento può essere utilizzato anche per dimostrare la conformità con HIPAA, PCI-DSS e SOX, tra gli altri. Lo strumento ha anche il monitoraggio dell'integrità dei file e il monitoraggio dei dispositivi USB, rendendolo molto più una piattaforma di sicurezza integrata che un semplice sistema di gestione dei log e degli eventi.
Prezzi per il Log e gestore eventi di SolarWinds inizia a $ 4,585 per un massimo di 30 nodi monitorati. È possibile acquistare licenze per un massimo di 2500 nodi che rendono il prodotto altamente scalabile. Se vuoi portare il prodotto per una prova e vedere di persona se è giusto per te, è disponibile una versione di prova gratuita di 30 giorni con funzionalità complete.
2. OSSEC
Sicurezza open source, o OSSEC, è di gran lunga il principale basato su host open sourcesistema di rilevamento delle intrusioni. Il prodotto è di proprietà di Trend Micro, uno dei nomi di spicco della sicurezza IT e produttore di una delle migliori suite di protezione antivirus. Se installato su sistemi operativi simili a Unix, il software si concentra principalmente sui file di registro e di configurazione. Crea checksum di file importanti e li convalida periodicamente, avvisandoti ogni volta che succede qualcosa di strano. Inoltre monitorerà e avviserà in caso di tentativi anomali di ottenere l'accesso come root. Sugli host Windows, il sistema tiene anche d'occhio le modifiche non autorizzate del registro che potrebbero essere un segnale rivelatore di attività dannose.
In virtù dell'essere un sistema di rilevamento delle intrusioni basato su host, OSSEC deve essere installato su ogni computer che si desidera proteggere. Tuttavia, una console centralizzata consolida le informazioni di ciascun computer protetto per una gestione più semplice. Mentre il OSSEC la console funziona solo su sistemi operativi Unix-Like,un agente è disponibile per proteggere gli host Windows. Qualsiasi rilevamento attiverà un avviso che verrà visualizzato sulla console centralizzata mentre le notifiche verranno inviate anche via e-mail.
3. Samhain
Samhain è un'altra nota intrusione di host gratuitisistema di rilevamento. Le sue caratteristiche principali, dal punto di vista IDS, sono il controllo dell'integrità dei file e il monitoraggio / analisi dei file di registro. Fa molto di più, però. Il prodotto eseguirà il rilevamento di rootkit, il monitoraggio delle porte, il rilevamento di eseguibili SUID non autorizzati e i processi nascosti. Lo strumento è stato progettato per monitorare più host che eseguono vari sistemi operativi fornendo al contempo registrazione e manutenzione centralizzate. Tuttavia, Samhain può essere utilizzato anche come applicazione autonoma suun singolo computer. Il software funziona principalmente su sistemi POSIX come Unix, Linux o OS X. Può anche funzionare su Windows con Cygwin, un pacchetto che consente di eseguire applicazioni POSIX su Windows, sebbene solo l'agente di monitoraggio sia stato testato in quella configurazione.
Uno di SamhainLa caratteristica più singolare è la sua modalità invisibile chegli consente di funzionare senza essere rilevato da potenziali aggressori. È noto che gli intrusi uccidono rapidamente i processi di rilevamento che riconoscono non appena entrano in un sistema prima di essere rilevati, consentendo loro di passare inosservati. Samhain usa tecniche steganografiche per nascondere i suoi processi agli altri. Protegge anche i suoi file di registro centrali e i backup di configurazione con una chiave PGP per evitare manomissioni.
4. fail2ban
fail2ban è un'intrusione host gratuita e open sourcesistema di rilevamento che presenta anche alcune funzionalità di prevenzione delle intrusioni. Lo strumento software monitora i file di registro per attività ed eventi sospetti come tentativi di accesso non riusciti, ricerca di exploit, ecc. L'azione predefinita dello strumento, ogni volta che rileva qualcosa di sospetto, è aggiornare automaticamente le regole del firewall locale per bloccare l'indirizzo IP di origine del comportamento dannoso. In realtà, questa non è una vera prevenzione delle intrusioni ma piuttosto un sistema di rilevamento delle intrusioni con funzionalità di riparazione automatica. Quello che abbiamo appena descritto è l'azione predefinita dello strumento, ma qualsiasi altra azione arbitraria, come l'invio di notifiche e-mail, può anche essere configurata, facendolo comportare come un sistema di rilevamento delle intrusioni più "classico".
fail2ban viene offerto con vari filtri predefiniti peralcuni dei servizi più comuni come Apache, SSH, FTP, Postfix e molti altri. La prevenzione, come abbiamo spiegato, viene effettuata modificando le tabelle del firewall dell'host. Lo strumento può funzionare con Netfilter, IPtables o la tabella hosts.deny di TCP Wrapper. Ogni filtro può essere associato a una o più azioni.
5. AIDE
Il Ambiente avanzato di rilevamento delle intrusioni, o AIDE, è un altro sistema di rilevamento delle intrusioni dell'host gratuitoQuesto si concentra principalmente sul rilevamento del rootkit e sul confronto delle firme dei file. Quando lo installi inizialmente, lo strumento compilerà una sorta di database di dati di amministrazione dai file di configurazione del sistema. Questo database può quindi essere utilizzato come base rispetto alla quale confrontare qualsiasi modifica e eventualmente ripristinarla, se necessario.
AIDE fa uso sia di firma sia dischemi di rilevamento basati su anomalie. Questo è uno strumento che viene eseguito su richiesta e non pianificato o continuamente in esecuzione. In effetti, questo è il principale svantaggio del prodotto. Tuttavia, poiché si tratta di uno strumento da riga di comando anziché basato sulla GUI, è possibile creare un processo cron per eseguirlo a intervalli regolari. Se scegli di eseguire lo strumento frequentemente, ad esempio una volta al minuto, otterrai quasi dati in tempo reale e avrai il tempo di reagire prima che qualsiasi tentativo di intrusione sia andato troppo lontano e abbia causato molti danni.
Al suo centro, AIDE è solo uno strumento di confronto dei dati ma con l'aiutodi alcuni script programmati esterni, può essere trasformato in un vero HIDS. Tieni presente che questo è essenzialmente uno strumento locale, però. Non ha una gestione centralizzata e nessuna interfaccia grafica sofisticata.
6. Sagan
L'ultimo sulla nostra lista è Sagan, che in realtà è più un sistema di analisi dei logdi un vero IDS. Ha, tuttavia, alcune caratteristiche simili a IDS, motivo per cui merita un posto nella nostra lista. Lo strumento controlla localmente i file di registro del sistema in cui è installato ma può anche interagire con altri strumenti. Ad esempio, potrebbe analizzare i log di Snort, aggiungendo efficacemente la funzionalità NIDS di Snort a ciò che è essenzialmente un HIDS. Non interagirà solo con Snort. Sagan può interagire anche con Suricata ed è compatibile con diversi strumenti per la creazione di regole come Oinkmaster o Pulled Pork.
Sagan ha anche capacità di esecuzione degli script che possonorendilo un sistema di prevenzione delle intrusioni grezze, a condizione che tu sviluppi alcuni script di correzione. Anche se questo strumento potrebbe non essere utilizzato come unica difesa contro le intrusioni, può essere un ottimo componente di un sistema che può incorporare molti strumenti correlando eventi da fonti diverse.
Commenti