נראה שכולם בימינו מודאגיםעם ביטחון. זה הגיוני כשמביאים בחשבון את החשיבות של פשיעה ברשת. ארגונים ממוקדים על ידי האקרים המנסים לגנוב את הנתונים שלהם או לגרום להם נזק אחר. דרך אחת להגן על סביבת ה- IT שלך מפני התקפות אלה היא באמצעות הכלים והמערכות הנכונים. לעיתים קרובות קו ההגנה הראשון נמצא בקו הרשת בצורה של מערכות גילוי חדירות מבוססות רשת או NIDS. מערכות אלה מנתחות תנועה המגיעה אליכםרשת מהאינטרנט בכדי לאתר פעילות חשודה ולהתריע מייד. NIDS כל כך פופולרי ולכן רבים מהם זמינים מאשר למצוא את הטוב ביותר לצרכים שלך יכול להיות מאמץ מאתגר. לעזור לך, ריכזנו רשימה זו של כמה ממערכות איתור חדירות מבוססות הרשת הטובות ביותר.
נתחיל את המסע שלנו על ידי התבוננות בסוגים שונים של מערכת גילוי חדירות. בעיקרו של דבר, ישנם שני סוגים: מבוססי רשת ומבוססים על מארח. נסביר את ההבדלים ביניהם. מערכות גילוי חדירות נבדלות זו מזו גם בשיטת הגילוי בה הם משתמשים. חלקם משתמשים בגישה מבוססת חתימה ואילו אחרים מסתמכים על ניתוח התנהגותי. הכלים הטובים ביותר משתמשים בשילוב של שתי שיטות איתור. השוק רווי הן בזיהוי חדירות והן במערכות למניעת חדירות. נבדוק כיצד הם שונים זה מזה ואיך הם דומים, מכיוון שחשוב להבין את ההבחנה. לבסוף, נסקור את מיטב מערכות איתור חדירות מבוססות רשת ונציג את התכונות החשובות ביותר שלהן.
איתור חדירה מבוסס רשת לעומת מארח
מערכות גילוי חדירות הן אחת משנייםסוגים. שניהם חולקים מטרה זהה - לאתר במהירות ניסיונות חדירה או פעילות חשודה שעלולה להוביל לניסיונות חדירה - אך הם נבדלים זה מזה במיקום שנקודת האכיפה המתייחסת למקום בו מתבצעת הגילוי. לכל סוג של כלי לגילוי חדירות יש יתרונות וחסרונות. אין הסכמה אמיתית לגבי איזו עדיפה. יש כאלה שנשבעים בסוג אחד ואילו אחרים רק יבטחו בסוג השני. שניהם כנראה צודקים. הפיתרון הטוב ביותר - או המאובטח ביותר - הוא כנראה אחד המשלב את שני הסוגים.
מערכות גילוי חדירות לרשת (NIDS)
הסוג הראשון של מערכת גילוי חדירות הואמערכת איתור חדירות רשת או NIDS. מערכות אלה פועלות בגבול הרשת כדי לאכוף את הגילוי. הם מיירטים ובוחנים את תנועת הרשת, מחפשים פעילויות חשודות שיכולים להעיד על ניסיון חדירה וגם מחפשים דפוסי פריצה ידועים. פורצים מנסים לרוב לנצל פגיעויות ידועות של מערכות שונות על ידי למשל, למשלוח חבילות בעלות מבנה פגום למארחים, ולגרום להם להגיב בצורה מסוימת המאפשרת הפרה. מערכת גילוי חדירות לרשת תסביר ככל הנראה ניסיון מסוג חדירה מסוג זה.
יש הטוענים כי איתור חדירות ברשתמערכות טובות יותר ממקבילתן המבוססת על מארח מכיוון שהן יכולות לאתר התקפות עוד לפני שהן אפילו מגיעות למערכות שלך. חלקם נוטים להעדיף אותם מכיוון שהם אינם דורשים להתקין כל דבר על כל מארח כדי להגן עליהם בצורה יעילה. מצד שני, הם מספקים הגנה מועטה מפני התקפות פנים שלצערנו אינן נדירות כלל. כדי לגלות, ניסיון הפריצה של התוקף צריך לעבור את ה- NIDS שהוא עושה לעתים רחוקות כשהוא נובע מבפנים. לכל טכנולוגיה יש יתרונות וחסרונות והיא המקרה הספציפי של גילוי חדירות, שום דבר לא מונע ממך להשתמש בשני סוגי הכלים להגנה האולטימטיבית.
מערכות גילוי חדירות לארח (HIDS)
מערכות איתור חדירות לארח (HIDS) פועלותברמת המארח; הייתם מנחשים זאת משמם. הם, למשל, יפקחו אחר קבצי יומן שונים וכתבי עת אחר סימנים של פעילות חשודה. דרך נוספת בה הם יכולים לאתר ניסיונות פריצה היא על ידי בדיקת קבצי תצורת מערכת אם הם אינם מורשים. הם יכולים גם לבחון אותם קבצים עבור דפוסי פריצה ידועים ספציפיים. לדוגמה, ייתכן שידוע כי שיטת פריצה מסוימת עובדת על ידי הוספת פרמטר מסוים לקובץ תצורה ספציפי. מערכת איתור חדירות טובה המבוססת על מארח תתפוס את זה.
למרות ששמם יכול להוביל אותך לחשוב ככהכל ה- HIDS מותקנים ישירות במכשיר שאליו הם נועדו להגן, זה לא בהכרח המקרה. חלקם יצטרכו להיות מותקנים בכל המחשבים שלכם ואילו חלקם ידרשו להתקין סוכן מקומי בלבד. חלקם אפילו עושים את כל עבודתם מרחוק ללא סוכן. לא משנה איך הם פועלים, לרוב ה- HIDS יש קונסולה מרכזית בה תוכלו לשלוט בכל מופע של היישום ולצפות בכל התוצאות.
שיטות איתור חדירות
מערכות גילוי חדירות אינן נבדלות זו מזונקודת האכיפה, הם נבדלים זה מזה בשיטה שהם משתמשים בכדי לאתר ניסיונות חדירה. חלקן מבוססות חתימה ואילו אחרות מבוססות אנומליות. הראשונים עובדים על ידי ניתוח נתונים עבור דפוסים ספציפיים שקשורים לניסיונות חדירה. זה דומה למערכות הגנת וירוסים מסורתיות הנשענות על הגדרות וירוסים. איתור חדירה מבוסס חתימה מסתמך על חתימות או תבניות חדירה. הם משווים נתונים שנתפסו עם חתימות פריצה כדי לזהות ניסיונות פריצה. כמובן שהם לא יעבדו עד להעלאת החתימה הנכונה לתוכנה, שלעתים יכולה להתרחש רק לאחר שתקף מספר מכונות מסוים, ובעלי אתרים של חתימות פריצה הספיקו לפרסם חבילות עדכון חדשות. חלק מהספקים הם די מהירים בעוד שאחרים יכולים להגיב רק כעבור ימים. זהו החיסרון העיקרי של שיטת איתור זו.
איתור חדירות מבוסס אנומליות מספק טוב יותרהגנה מפני התקפות אפס יום, כאלו שקורים לפני שתוכנת זיהוי חדירה כלשהי קיבלה הזדמנות לרכוש את קובץ החתימה הנכון. הם מחפשים חריגות במקום לנסות להכיר דפוסי חדירה ידועים. לדוגמה, מישהו שמנסה לגשת למערכת עם סיסמה שגויה מספר פעמים ברציפות, יפעיל התרעה מכיוון שזה סימן נפוץ להתקפת כוח ברוט. מערכות אלו יכולות לאתר במהירות כל פעילות חשודה ברשת. לכל שיטת איתור יתרונות וחסרונות ובדיוק כמו בשני סוגי הכלים, ככל הנראה הכלים הטובים ביותר הם אלה המשתמשים בשילוב של חתימה וניתוח התנהגות.
גילוי או מניעה?
יש אנשים שנוטים להתבלבל ביניהםמערכות גילוי פריצות ומניעת חדירות. אמנם הם קשורים זה לזה, אך הם אינם זהים למרות שיש חפיפה בין פונקציונליות בין השניים. כפי שהשם מרמז, מערכות גילוי חדירות מגלות ניסיונות חדירה ופעילויות חשודות. כאשר הם מזהים משהו, הם בדרך כלל מפעילים צורה כלשהי של התראה או התראה. לאחר מכן, על המנהלים לנקוט בצעדים הדרושים כדי לעצור או לחסום את ניסיון הפריצה.
מערכות מניעת חדירות (IPS) עוברות צעד אחדהלאה ויכולים למנוע מפליצות להתרחש לחלוטין. מערכות מניעת חדירות כוללות רכיב איתור - השווה פונקציונלי למערכת איתור חדירות - שתפעיל פעולת תיקון אוטומטית בכל פעם שמתגלה ניסיון חדירה. אין צורך בהתערבות אנושית בכדי לעצור את ניסיון הפריצה. מניעת חדירות יכולה להתייחס גם לכל מה שנעשה או מוצב כדרך למנוע חדירות. לדוגמה, התקשות סיסמא או נעילת פורץ יכולים להיחשב כאמצעים למניעת פריצות.
כלי איתור החדירה הטובים ביותר ברשת
חיפשנו את הטוב ביותר בשוקמערכות גילוי חדירות מבוססות רשת. הרשימה שלנו מכילה תערובת של מערכות איתור חדירה אמיתית המבוססת על מארח ותוכנות אחרות שיש בהן רכיב איתור חדירה מבוסס רשת או שניתן להשתמש בהן לגילוי ניסיונות חדירה. כל אחד מהכלים המומלצים שלנו יכול לעזור באיתור ניסיונות חדירה ברשת שלך.
1. SolarWinds Threat Monitor - מהדורת Ops IT (הדגמה בחינם)
SolarWinds הוא שם נפוץ בתחוםכלי ניהול רשת. החברה קיימת כבר כעשרים שנה והביאה לנו כמה מכלי ניהול הרשת והמערכת הטובים ביותר. מוצר הדגל שלה, Monitor Performance Monitor, מביא בעקביות בין כלי ניטור רוחב הפס המובילים. SolarWinds גם מכינה כלים חינמיים מעולים, שכל אחד מהם נותן מענה לצורך ספציפי של מנהלי רשת. שרת ה- Kiwi Syslog ומחשבון המשנה המתקדם הם שתי דוגמאות טובות לאלה.
לגילוי חדירות מבוסס רשת, SolarWinds מציעה את מעקב איומים - מהדורת Ops IT. בניגוד לרוב הכלים האחרים של SolarWinds, זההאחד הוא שירות מבוסס ענן ולא תוכנה המותקנת באופן מקומי. אתה פשוט מנוי אליו, מגדיר אותו ומתחיל לצפות בסביבתך לניסיונות חדירה ועוד כמה סוגים של איומים. ה מעקב איומים - מהדורת Ops IT משלב מספר כלים. יש לו איתור חדירה בין רשת ומארח, כמו גם ריכוז ומתאם ביומן, ומידע בנושא אבטחה וניהול אירועים (SIEM). זוהי חבילת ניטור איומים יסודית מאוד.
- הדגמה בחינם: SolarWinds Threat Monitor - מהדורת Ops IT
- קישור הורדה רשמי: https://www.solarwinds.com/threat-monitor/registration
ה מעקב איומים - מהדורת Ops IT תמיד מעודכן, מתעדכן כל הזמןמודיעין איומים ממקורות רבים, כולל מסדי נתונים של מוניטין IP ותחום. זה צופה באיומים ידועים ולא ידועים כאחד. הכלי כולל תגובות אינטליגנטיות אוטומטיות כדי לתקן במהירות אירועי אבטחה ומעניקים לו כמה תכונות דומות למניעת חדירות.
תכונות ההתראה של המוצר הן דימרשימים. יש אזעקות מרובות-תנאים, בין-צולבות, העובדות בשילוב עם מנוע ה- Active Response של הכלי ומסייעות בזיהוי וסיכום של אירועים חשובים. מערכת הדיווח טובה בדיוק כמו ההתראה שלה וניתן להשתמש בה כדי להפגין תאימות באמצעות תבניות דוחות קיימות שנבנו מראש. לחלופין, אתה יכול ליצור דוחות מותאמים אישית שיתאימו במדויק לצרכים העסקיים שלך.
מחירים עבור SolarWinds Threat Monitor - מהדורת Ops IT התחל ב -4 500 דולר עבור עד 25 צמתים עם 10 ימיםמדד. תוכלו ליצור קשר עם SolarWinds לקבלת הצעת מחיר מפורטת המותאמת לצרכים הספציפיים שלכם. ואם אתה מעדיף לראות את המוצר בפעולה, אתה יכול לבקש הדגמה חינם של SolarWinds.
2. נחר
נחר הוא ללא ספק ה- NIDS המקור הפתוח הידוע ביותר. אבל נחר הוא למעשה יותר מכלי לזיהוי פריצות. זה גם רחרוח מנות ולוגר מנות והוא אורז גם כמה פונקציות אחרות. לעת עתה נתרכז בתכונות גילוי החדירה של הכלי מכיוון שזהו נושא הפוסט הזה. הגדרת התצורה של המוצר מזכירה את תצורת חומת האש. זה מוגדר באמצעות כללים. אתה יכול להוריד כללי בסיס מה - נחר אתר ולהשתמש בהם כפי שהוא או להתאים אותם לצרכים הספציפיים שלך. אתה יכול גם להירשם כמנוי נחר כללים לקבלת אוטומטית את כל הכללים האחרונים ככל שהם מתפתחים או כשמתגלים איומים חדשים.
סוג הוא יסודי מאוד ואפילו הכללים הבסיסיים שלו יכולים לעשות זאתלזהות מגוון רחב של אירועים כמו סריקות נמל התגנבות, התקפות הצפת מאגר, התקפות CGI, בדיקות SMB וטביעות אצבע של מערכת ההפעלה. אין כמעט גבול למה שאתה יכול לאתר באמצעות כלי זה, ומה שהוא מגלה תלוי אך ורק בכללי הכלול שאתה מתקין. באשר לשיטות איתור, חלק מכללי Snort הבסיסיים מבוססים על חתימה ואילו אחרים מבוססים על אנומליות. אם כן, נוח יכול להעניק לך את הטוב שבשני העולמות.
3. סוריקטה
סוריקטה היא לא רק מערכת גילוי חדירות. יש לו גם כמה תכונות למניעת חדירות. למעשה, הוא מפרסם כמערכת אקולוגית מלאה לניטור אבטחת רשת. אחד הנכסים הטובים ביותר של הכלי הוא כיצד הוא עובד עד לשכבת היישום. זה הופך אותה למערכת היברידית מבוססת רשת ומארח המאפשרת לכלי לגלות איומים שעלולים להסתכל על ידי כלים אחרים.
סוריקטה הוא גילוי חדירות אמיתי מבוסס רשתמערכת וזה לא עובד רק בשכבת היישום. זה יפקח על פרוטוקולי רשת ברמה נמוכה יותר כמו TLS, ICMP, TCP ו- UDP. הכלי גם מבין ומפענח פרוטוקולים ברמה גבוהה יותר כמו HTTP, FTP או SMB והוא יכול לאתר ניסיונות חדירה מוסתרים בבקשות רגילות אחרת. הכלי כולל גם יכולות חילוץ קבצים המאפשר למנהלי מערכת לבדוק כל קובץ חשוד.
סוריקטהארכיטקטורת היישומים היא חדשנית למדי. הכלי יפיץ את עומס העבודה שלו על פני מספר ליבות וחוטים של מעבד לקבלת הביצועים הטובים ביותר. במידת הצורך הוא יכול אפילו להוריד חלק מעיבודו לכרטיס הגרפי. זוהי תכונה נהדרת כאשר משתמשים בכלי בשרתים מכיוון שכרטיס הגרפי שלהם בדרך כלל מנוצל.
4. אחי מוניטור אבטחת רשת
ה אחי צג אבטחת רשת, מערכת גילוי פריצות רשת נוספת בחינם. הכלי פועל בשני שלבים: רישום תנועה וניתוח תנועה. בדיוק כמו סוריקטה, אחי צג אבטחת רשת פועל במספר שכבות במעלה שכבת היישום. זה מאפשר איתור טוב יותר של ניסיונות חדירה מפוצלים. ה אחי צג אבטחת רשתמודול הניתוח מורכב משני אלמנטים. האלמנט הראשון נקרא מנוע האירועים והוא עוקב אחר אירועים מפעילים כגון חיבורי TCP נטו או בקשות HTTP. לאחר מכן מנותחים את האירועים באמצעות סקריפטים של המדיניות, האלמנט השני, שמחליטים אם להפעיל אזעקה או לא, או לפתוח בפעולה. האפשרות לצאת לפעולה מעניקה ל- אחי צג אבטחת רשת כמה פונקציונליות דמויות IPS.
ה אחי צג אבטחת רשת יאפשר לך לעקוב אחר פעילות HTTP, DNS ו- FTPוהוא גם יפקח על תנועת SNMP. זה דבר טוב מכיוון שלרוב SNMP משמש לניטור רשת ובכל זאת זה לא פרוטוקול מאובטח. ומכיוון שאפשר להשתמש בו גם לשינוי תצורות, משתמשים עלולים לזכור אותם. הכלי יאפשר לך לצפות גם בשינויי תצורת מכשירים ומלכודות SNMP. ניתן להתקין אותו ב- Unix, Linux ו- OS X אך הוא אינו זמין עבור Windows, וזה אולי החיסרון העיקרי שלו.
5. בצל אבטחה
קשה להגדיר מה ה בצל אבטחה הוא. זו לא רק מערכת גילוי או מניעה של חדירות. זו, למעשה, הפצה לינוקס מלאה עם דגש על גילוי פריצות, ניטור אבטחה ארגוני וניהול יומן. ככזה, זה יכול לחסוך מנהלים זמן רב. זה כולל כלים רבים שחלקם סקרנו זה עתה. בצל אבטחה כולל Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner, ועוד. כדי להקל על הגדרת הכל, ההפצה מצורפת באשף הגדרות קל לשימוש המאפשר לך להגן על הארגון שלך תוך דקות ספורות. אם היינו צריכים לתאר את בצל אבטחה במשפט אחד נאמר שזה הסכין של הצבא השוויצרי של אבטחת IT ארגונית.
אחד הדברים המעניינים ביותר בזההכלי הוא שתשיג הכל בהתקנה אחת פשוטה. עבור איתור חדירות, הכלי נותן לך כלי איתור חדירה מבוסס רשת וגם מארח. החבילה משלבת גם כלים המשתמשים בגישה מבוססת חתימה וכלים מבוססי אנומליה. יתר על כן, תוכלו למצוא שילוב של כלים מבוססי טקסט וכלי GUI. יש באמת שילוב מצוין של כלי אבטחה. יש חיסרון ראשוני אחד לבצל האבטחה. עם כל כך הרבה כלים כלולים, הגדרת התצורה של כולם יכולה להתברר כמשימה לא מבוטלת. עם זאת, אינך צריך להשתמש ולהגדיר את כל הכלים. אתה חופשי לבחור רק את אלה שאתה משתמש בהם. גם אם אתה משתמש רק בכמה מהכלים הכלולים, סביר להניח שזו אפשרות מהירה יותר מאשר להתקין אותם בנפרד.
הערות