너무 편집증적인 소리를하고 싶지는 않지만사이버 범죄는 어디에나 있습니다. 모든 조직은 데이터에 액세스하려는 해커의 대상이 될 수 있습니다. 그러므로 사물을 주시하고 우리가 의도하지 않은이 개인의 희생양이되지 않도록하는 것이 가장 중요합니다. 첫 번째 방어선은 침입 탐지 시스템. 호스트 기반 시스템은 호스트 수준에서 탐지를 적용하며 일반적으로 대부분의 침입 시도를 신속하게 탐지하고 즉시 통지하여 상황을 해결할 수 있습니다. 수많은 호스트 기반 침입 탐지특정 상황에 가장 적합한 시스템을 선택하는 것은 어려운 일입니다. 명확하게 볼 수 있도록 호스트 기반 침입 탐지 시스템 중 일부를 정리했습니다.
최고의 도구를 공개하기 전에, 우리는 반 추적합니다다양한 유형의 침입 탐지 시스템을 살펴보십시오. 일부는 호스트 기반이고 다른 일부는 네트워크 기반입니다. 차이점을 설명하겠습니다. 그런 다음 다양한 침입 탐지 방법에 대해 설명합니다. 일부 도구에는 서명 기반 접근 방식이 있으며 다른 도구는 의심스러운 동작을 찾고 있습니다. 가장 좋은 것은 둘의 조합을 사용합니다. 계속하기 전에, 우리가보고있는 것을 이해하는 것이 중요하기 때문에 침입 탐지 시스템과 침입 방지 시스템의 차이점을 설명 할 것입니다. 그런 다음 최고의 호스트 기반 침입 탐지 시스템 인이 게시물의 핵심을 준비합니다.
두 가지 유형의 침입 탐지 시스템
침입에는 본질적으로 두 가지 유형이 있습니다탐지 시스템. 침입 시도 나 의심스러운 활동을 신속하게 탐지하는 목표는 동일하지만 침입 시도로 이어질 수 있지만이 탐지가 수행되는 위치는 다릅니다. 이것은 종종 시행 지점이라고하는 개념입니다. 각 유형에는 장단점이 있으며 일반적으로 어느 쪽이 바람직한 지에 대한 합의가 없습니다. 실제로 최상의 솔루션 또는 가장 안전한 솔루션은 아마도 둘을 결합한 솔루션 일 것입니다.
호스트 침입 탐지 시스템 (HIDS)
침입 탐지 시스템의 첫 번째 유형은우리가 오늘 관심있는 것은 호스트 수준에서 운영됩니다. 당신은 그것의 이름에서 추측했을 것입니다. 예를 들어, HIDS는 의심스러운 활동의 징후가 있는지 다양한 로그 파일 및 저널을 점검합니다. 침입 시도를 탐지하는 또 다른 방법은 중요한 구성 파일에 무단 변경이 있는지 확인하는 것입니다. 알려진 특정 침입 패턴에 대해 동일한 구성 파일을 검사 할 수도 있습니다. 예를 들어, 특정 침입 방법은 특정 구성 파일에 특정 매개 변수를 추가하여 작동하는 것으로 알려져 있습니다. 좋은 호스트 기반 침입 탐지 시스템이이를 포착 할 것입니다.
대부분의 경우 HIDS는보호하려는 기기 모든 컴퓨터에 설치해야합니다. 다른 것들은 로컬 에이전트 만 설치하면됩니다. 일부는 심지어 모든 작업을 원격으로 수행하기도합니다. 작동 방식에 관계없이 우수한 HIDS에는 응용 프로그램을 제어하고 결과를 볼 수있는 중앙 콘솔이 있습니다.
네트워크 침입 탐지 시스템 (NIDS)
또 다른 유형의 침입 탐지 시스템네트워크 침입 탐지 시스템 또는 NIDS는 네트워크 경계에서 작동하여 탐지를 시행합니다. 의심스러운 활동을 탐지하고 알려진 침입 패턴을 찾는 것과 같은 호스트 침입 탐지 시스템과 유사한 방법을 사용합니다. 그러나 로그 및 구성 파일을 보는 대신 네트워크 트래픽을보고 모든 연결 요청을 검사합니다. 일부 침입 방법은 의도적으로 잘못된 패킷을 호스트에 전송하여 알려진 취약성을 악용하여 특정 방식으로 대응하여 침입 할 수 있도록합니다. 네트워크 침입 탐지 시스템은 이러한 종류의 시도를 쉽게 탐지 할 수 있습니다.
어떤 사람들은 NIDS가 HIDS보다 낫다고 주장합니다.시스템에 도달하기 전에도 공격을 탐지합니다. 효과적인 보호를 위해 각 호스트에 설치할 필요가 없기 때문에 선호하는 사람들도 있습니다. 반면에 안타깝게도 내부 공격에 대한 보호 기능은 거의 없습니다. 탐지하려면 공격자가 NIDS를 통과하는 경로를 사용해야합니다. 이러한 이유로 두 가지 유형의 도구를 조합하여 사용하는 것이 가장 좋습니다.
침입 탐지 방법
두 가지 유형의 침입이있는 것처럼탐지 도구에는 침입 시도를 탐지하는 데 주로 사용되는 두 가지 방법이 있습니다. 탐지는 서명 기반이거나 이상 기반 일 수 있습니다. 시그니처 기반 침입 탐지는 침입 시도와 관련된 특정 패턴에 대한 데이터를 분석하여 작동합니다. 이것은 바이러스 정의에 의존하는 기존의 바이러스 보호 시스템과 유사합니다. 마찬가지로 서명 기반 침입 탐지는 침입 서명 또는 패턴에 의존합니다. 이들은 데이터를 침입 시그니처와 비교하여 시도를 식별합니다. 그들의 주요 단점은 적절한 서명이 소프트웨어에 업로드 될 때까지 작동하지 않는다는 것입니다. 불행하게도, 이는 일반적으로 특정 수의 시스템이 공격을 받고 침입 시그니처 게시자가 새로운 업데이트 패키지를 게시 할 시간이있는 경우에만 발생합니다. 일부 공급 업체는 매우 빠르지 만 다른 공급 업체는 며칠 후에 만 대응할 수 있습니다.
이상 기반 침입 탐지방법은 침입 탐지 소프트웨어가 적절한 서명 파일을 획득하기 전에 발생하는 제로 데이 공격에 대해 더 나은 보호 기능을 제공합니다. 이러한 시스템은 알려진 침입 패턴을 인식하려고 시도하는 대신 이상을 찾습니다. 예를 들어, 누군가가 잘못된 암호로 여러 번 연속으로 시스템에 액세스하려고 시도하면 무차별 대입 공격의 일반적인 표시가 될 수 있습니다. 의심스러운 행동은 빠르게 감지 할 수 있습니다. 각 탐지 방법에는 장단점이 있습니다. 도구 유형과 마찬가지로 최상의 도구는 최상의 보호를 위해 서명과 행동 분석을 조합 한 도구입니다.
탐지 대 예방 – 중요한 구별
침입 탐지 시스템에 대해 논의했습니다그러나 많은 사람들이 침입 방지 시스템에 대해 들어봤을 것입니다. 두 개념이 동일합니까? 두 가지 유형의 도구가 다른 목적을 제공하므로 쉬운 대답은 없습니다. 그러나 그들 사이에 약간의 중복이 있습니다. 이름에서 알 수 있듯이 침입 탐지 시스템은 침입 시도와 의심스러운 활동을 탐지합니다. 무언가를 감지하면 일반적으로 어떤 형태의 경고 또는 알림을 트리거합니다. 그런 다음 관리자는 침입 시도를 중지하거나 차단하는 데 필요한 단계를 수행해야합니다.
침입 방지 시스템 (IPS)은침입이 완전히 발생하지 않도록하십시오. Active IPS에는 침입 시도가 감지 될 때마다 일부 수정 조치를 자동으로 트리거하는 감지 구성 요소가 포함되어 있습니다. 침입 방지는 수동적 일 수도 있습니다. 이 용어는 침입을 방지하기 위해 수행되거나 수행되는 모든 것을 지칭하는 데 사용될 수 있습니다. 예를 들어 암호 강화는 침입 방지 수단으로 생각할 수 있습니다.
최고의 호스트 침입 탐지 도구
우리는 최고의 호스트 기반 시장을 검색했습니다침입 탐지 시스템. 우리가 보유한 것은 진정한 HIDS와 다른 소프트웨어의 조합으로, 침입 탐지 시스템이라고 부르지는 않지만 침입 탐지 구성 요소를 가지고 있거나 침입 시도를 탐지하는 데 사용될 수 있습니다. 최고의 선택을 검토하고 최고의 기능을 살펴 보겠습니다.
1. SolarWinds 로그 및 이벤트 관리자 (무료 시험판)
첫 번째 항목은 일반적인 이름 인 SolarWinds입니다.네트워크 관리 도구 분야에서. 이 회사는 약 20 년 동안 근무 해 왔으며 최고의 네트워크 및 시스템 관리 도구를 제공했습니다. 또한 네트워크 관리자의 특정 요구를 해결하는 많은 무료 도구로 잘 알려져 있습니다. 이러한 무료 도구의 두 가지 훌륭한 예는 Kiwi Syslog 서버와 고급 서브넷 계산기입니다.
두 지마 SolarWinds 로그 및 이벤트 관리자이름은 당신을 바보입니다. 단순한 로그 및 이벤트 관리 시스템 그 이상입니다. 이 제품의 많은 고급 기능이 SIEM (Security Information and Event Management) 범위에 있습니다. 다른 기능은 침입 탐지 시스템으로, 심지어 침입 방지 시스템으로 어느 정도까지 자격이 있습니다. 이 도구는 예를 들어 실시간 이벤트 상관 관계 및 실시간 치료 기능을 갖추고 있습니다.
- 무료 시험판: SolarWinds 로그 및 이벤트 관리자
- 공식 다운로드 링크 : https://www.solarwinds.com/log-event-manager-software/registration
그만큼 SolarWinds 로그 및 이벤트 관리자 의심스러운 순간 탐지 기능활동 (IDS와 유사한 기능) 및 자동 응답 (IPS와 같은 기능). 또한 완화 및 규정 준수 목적으로 보안 이벤트 조사 및 법의학을 수행 할 수 있습니다. 검증 된보고 기능 덕분에이 도구를 사용하여 HIPAA, PCI-DSS 및 SOX 준수 여부를 입증 할 수도 있습니다. 이 도구에는 파일 무결성 모니터링 및 USB 장치 모니터링 기능이있어 로그 및 이벤트 관리 시스템보다 훨씬 통합 된 보안 플랫폼이됩니다.
에 대한 가격 SolarWinds 로그 및 이벤트 관리자 최대 30 개의 모니터링 노드에 대해 $ 4,585에서 시작합니다. 최대 2500 개의 노드에 대한 라이센스를 구매하여 제품의 확장 성을 높일 수 있습니다. 테스트 실행을 위해 제품을 가져 가고 자신에게 적합한 지 직접 확인하고 싶다면 30 일 무료 평가판을 무료로 이용할 수 있습니다.
2. OSSEC
오픈 소스 보안또는 OSSEC, 지금까지 최고의 오픈 소스 호스트 기반입니다침입 탐지 시스템. 이 제품은 IT 보안의 선두 주자이며 최고의 바이러스 보호 제품군 중 하나 인 Trend Micro가 소유하고 있습니다. Unix 계열 운영 체제에 설치하면 소프트웨어는 주로 로그 및 구성 파일에 중점을 둡니다. 중요한 파일의 체크섬을 만들고 주기적으로 유효성을 검사하여 이상한 일이 발생할 때마다 경고합니다. 또한 루트 액세스 권한을 얻는 비정상적인 시도를 모니터링하고 경고합니다. Windows 호스트에서 시스템은 또한 악의적 인 활동의 징후 일 수있는 무단 레지스트리 수정을 감시합니다.
호스트 기반 침입 탐지 시스템이기 때문에 OSSEC 보호하려는 각 컴퓨터에 설치해야합니다. 그러나 중앙 콘솔은 관리가 용이하도록 각 보호 된 컴퓨터의 정보를 통합합니다. 동안 OSSEC 콘솔은 Unix-Like 운영 체제에서만 실행됩니다.Windows 호스트를 보호하기 위해 에이전트를 사용할 수 있습니다. 모든 탐지는 중앙 콘솔에 표시되는 알림을 트리거하며 알림은 전자 메일로도 전송됩니다.
3. 삼하 인
삼하 인 또 다른 잘 알려진 무료 호스트 침입입니다탐지 시스템. IDS 관점에서 주요 기능은 파일 무결성 검사 및 로그 파일 모니터링 / 분석입니다. 그래도 그 이상입니다. 이 제품은 루트킷 탐지, 포트 모니터링, 불량 SUID 실행 파일 탐지 및 숨겨진 프로세스를 수행합니다. 이 도구는 중앙 집중식 로깅 및 유지 관리를 제공하면서 다양한 운영 체제를 실행하는 여러 호스트를 모니터링하도록 설계되었습니다. 하나, 삼하 인 독립 실행 형 응용 프로그램으로도 사용할 수 있습니다단일 컴퓨터. 이 소프트웨어는 주로 Unix, Linux 또는 OS X와 같은 POSIX 시스템에서 실행됩니다. 또한 모니터링 에이전트 만 해당 구성에서 테스트되었지만 Windows에서 POSIX 응용 프로그램을 실행할 수있는 패키지 인 Cygwin에서 Windows에서 실행될 수도 있습니다.
중 하나 삼하 인가장 독특한 기능은 스텔스 모드입니다.잠재적 인 공격자에 의해 탐지되지 않고 실행되도록합니다. 침입자는 탐지되기 전에 시스템에 진입하자마자 인식하는 탐지 프로세스를 신속하게 종료하여 눈에 띄지 않게하는 것으로 알려져 있습니다. 삼하 인 steganographic 기술을 사용하여 프로세스를 다른 프로세스로부터 숨 깁니다. 또한 PGP 키로 중앙 로그 파일 및 구성 백업을 보호하여 변조를 방지합니다.
4. Fail2Ban
Fail2Ban 무료 오픈 소스 호스트 침입입니다일부 침입 방지 기능이있는 탐지 시스템. 이 소프트웨어 도구는 로그인 시도 실패, 악용 시도 등의 의심스러운 활동 및 이벤트에 대한 로그 파일을 모니터링합니다. 의심스러운 것을 감지 할 때마다 도구의 기본 조치는 로컬 방화벽 규칙을 자동으로 업데이트하여 시스템의 소스 IP 주소를 차단하는 것입니다. 악의적 인 행동. 실제로 이것은 진정한 침입 방지가 아니라 자동 치료 기능이있는 침입 탐지 시스템입니다. 방금 설명한 것은 도구의 기본 동작이지만 이메일 알림 전송과 같은 다른 임의의 동작도 구성 할 수있어보다 "전통적인"침입 탐지 시스템처럼 작동합니다.
Fail2Ban 다양한 사전 제작 필터가 제공됩니다.Apache, SSH, FTP, Postfix 등과 같은 가장 일반적인 서비스 중 일부. 우리가 설명한 것처럼 예방은 호스트의 방화벽 테이블을 수정하여 수행됩니다. 이 도구는 Netfilter, IPtables 또는 TCP Wrapper의 hosts.deny 테이블과 함께 작동 할 수 있습니다. 각 필터는 하나 이상의 작업과 연관 될 수 있습니다.
5. 보좌관
그만큼 고급 침입 탐지 환경또는 보좌관또 다른 무료 호스트 침입 탐지 시스템입니다이것은 주로 루트킷 탐지 및 파일 서명 비교에 중점을 둡니다. 처음 설치할 때이 도구는 시스템 구성 파일에서 일종의 관리 데이터 데이터베이스를 컴파일합니다. 그런 다음이 데이터베이스를 기준으로 사용하여 변경 사항을 비교하고 필요한 경우 롤백 할 수 있습니다.
보좌관 서명 기반 및이상 기반 탐지 체계. 이 도구는 요청시 실행되며 예약되거나 지속적으로 실행되지 않는 도구입니다. 실제로 이것은 제품의 주요 단점입니다. 그러나 GUI 기반이 아니라 명령 행 도구이므로 정기적으로 실행하기 위해 cron 작업을 작성할 수 있습니다. 1 분에 한 번과 같이 도구를 자주 실행하도록 선택하면 거의 실시간 데이터를 얻을 수 있으며 침입 시도가 너무 심해 손상을 입기 전에 대응할 시간이 있습니다.
핵심은 보좌관 데이터 비교 도구 일 뿐이지 만 도움이 필요합니다외부 예약 스크립트 중 일부는 실제 HIDS로 전환 될 수 있습니다. 그러나 이것은 기본적으로 로컬 도구라는 것을 명심하십시오. 중앙 집중식 관리와 멋진 GUI가 없습니다.
6. 사간
우리 목록의 마지막은 사간실제로 로그 분석 시스템에 더 가깝습니다.실제 IDS보다 그러나 IDS와 같은 기능이 있으므로 목록에 추가 할 가치가 있습니다. 이 도구는 설치된 시스템의 로그 파일을 로컬에서 감시하지만 다른 도구와 상호 작용할 수도 있습니다. 예를 들어, Snort의 로그를 분석하여 Snort의 NIDS 기능을 기본적으로 HIDS에 추가 할 수 있습니다. Snort 와만 상호 작용하지 않습니다. 사간 Suricata와 상호 작용할 수 있으며 Oinkmaster 또는 Pulled Pork와 같은 여러 규칙 작성 도구와 호환됩니다.
사간 또한 스크립트 실행 기능이 있습니다일부 수정 스크립트를 개발하는 경우이를 침입 방지 시스템으로 만드십시오. 이 도구는 침입에 대한 유일한 방어 수단으로 사용되지는 않지만 여러 소스의 이벤트를 상관시켜 많은 도구를 통합 할 수있는 시스템의 훌륭한 구성 요소가 될 수 있습니다.
코멘트