Panašu, kad šiomis dienomis visi susirūpinęsu saugumu. Atsižvelgiant į kibernetinio nusikalstamumo svarbą, jis prasmingas. Organizacijos yra nukreiptos į įsilaužėlius, bandančius pavogti jų duomenis ar padaryti jiems kitokią žalą. Vienas iš būdų apsaugoti savo IT aplinką nuo šių atakų yra naudojant tinkamus įrankius ir sistemas. Dažnai pirmoji gynybos linija yra tinklo perimetro tinkle veikiančių įsibrovimo aptikimo sistemų arba NIDS pavidalu.. Šios sistemos analizuoja srautą, atvykstantį iš jūsųtinklą iš interneto, kad būtų galima nustatyti bet kokią įtartiną veiklą ir nedelsiant įspėti. NIDS yra tokie populiarūs ir tiek jų yra, nei rasti geriausią jūsų poreikiams gali būti sudėtingas uždavinys. Padėti tau, mes surinkome šį geriausių tinkle esančių įsibrovimo aptikimo sistemų sąrašą.
Savo kelionę pradėsime pažvelgę įskirtingų tipų įsibrovimo aptikimo sistemos. Iš esmės yra dviejų tipų: tinklo ir pagrindinio kompiuterio. Paaiškinsime jų skirtumus. Įsibrovimo aptikimo sistemos taip pat skiriasi naudojamu aptikimo metodu. Kai kurie iš jų taiko parašu pagrįstą metodą, o kiti pasikliauja elgesio analize. Geriausi įrankiai naudoja abu aptikimo būdus. Rinka yra užpildyta tiek įsibrovimų aptikimo, tiek įsibrovimų prevencijos sistemomis. Ištirsime, kuo jie skiriasi ir kuo jie panašūs, nes svarbu suprasti skirtumą. Galiausiai apžvelgsime geriausias tinkle veikiančias įsibrovimo aptikimo sistemas ir pateiksime svarbiausias jų savybes.
Įsibrovimo aptikimas tinkle ir pagrindiniame kompiuteryje
Įsibrovimo aptikimo sistemos yra vienos iš dviejųtipai. Jie abu turi tą patį tikslą - greitai aptikti bandymus įsilaužti ar įtartiną veiklą, galinčią sukelti bandymus įsilaužti, tačiau jie skiriasi vykdymo taško, kuris nurodo aptikimo vietą, vieta. Kiekvienas įsilaužimo aptikimo įrankio tipas turi privalumų ir trūkumų. Nėra tikro sutarimo, kuris iš jų yra priimtinesnis. Kai kurie prisiekia pagal vieną rūšį, o kiti pasitikės tik kitu. Abu turbūt teisūs. Geriausias sprendimas - arba pats saugiausias - tikriausiai yra tas, kuris sujungia abi rūšis.
Tinklo įsibrovimo aptikimo sistemos (NIDS)
Pirmasis įsibrovimo aptikimo sistemos tipas yravadinama tinklo įsibrovimo aptikimo sistema arba NIDS. Šios sistemos veikia tinklo pasienyje, kad užtikrintų aptikimą. Jie perima ir tiria tinklo srautą, ieškodami įtartinos veiklos, kuri galėtų reikšti pasikėsinimą įsibrovimui, taip pat ieško žinomų įsibrovimo būdų. Įsibrovėliai dažnai bando išnaudoti žinomus įvairių sistemų pažeidžiamumus, pavyzdžiui, siųsdami netinkamus paketus kompiuteriams, priversdami juos reaguoti tam tikru būdu, kuris leidžia juos pažeisti. Tinklo įsibrovimo aptikimo sistema greičiausiai aptiks tokio tipo įsibrovimus.
Kai kurie teigia, kad tinklo įsibrovimo aptikimasSistemos yra geresnės nei jų pagrindinės kompiuterio programos, nes jos gali aptikti išpuolius dar prieš pasiekdamos jūsų sistemas. Kai kurie žmonės taip pat linkę į juos, nes, norėdami juos efektyviai apsaugoti, nereikia nieko diegti kiekviename pagrindiniame kompiuteryje. Kita vertus, jie mažai apsaugo nuo viešai neatskleistų išpuolių, kurie, deja, nėra neįprasti. Kad būtų galima aptikti, užpuoliko bandymas įsibrauti turi praeiti per NIDS, kurį jis retai daro, kai kyla iš vidaus. Bet kuri technologija turi ir trūkumų, ir tai yra specifinis įsilaužimo aptikimo atvejis, todėl niekas netrukdo naudoti abiejų tipų įrankius, kad būtų užtikrinta didžiausia apsauga.
Priėmėjo įsibrovimo aptikimo sistemos (HIDS)
Veikia pagrindinio kompiuterio įsibrovimo aptikimo sistemos (HIDS)priimančiosios lygiu; jūs galėjote atspėti, kad iš jų vardo. Pavyzdžiui, jie stebės įvairius žurnalų failus ir žurnalus, ar nėra įtartinos veiklos požymių. Kitas būdas, kuriuo jie gali aptikti bandymus įsilaužti, yra patikrinti sistemos konfigūracijos failus, ar nėra neteisėtų pakeitimų. Jie taip pat gali ištirti tuos pačius failus, kad nustatytų konkrečius žinomus įsibrovimo modelius. Pvz., Gali būti žinomas tam tikras įsibrovimo metodas, pridedant tam tikrą parametrą prie konkrečios konfigūracijos bylos. Gera priimančioji įsibrovimo aptikimo sistema tai sugeba.
Nors jų vardas gali priversti jus tai galvotivisi HIDS yra įdiegiami tiesiai į įrenginį, kurį jie skirti apsaugoti, nebūtinai taip yra. Kai kuriuos reikės įdiegti visuose jūsų kompiuteriuose, o kai kuriuose reikės tik įdiegti vietinį agentą. Kai kurie visą savo darbą atlieka nuotoliniu būdu be jokio agento. Nesvarbu, kaip jie veikia, dauguma HIDS turi centralizuotą konsolę, kurioje galite valdyti kiekvieną programos egzempliorių ir peržiūrėti visus rezultatus.
Įsibrovimo aptikimo metodai
Įsibrovimo aptikimo sistemos skiriasi ne tikvykdymo taškas, jie taip pat skiriasi metodu, kurį jie naudoja bandymams įsilaužti. Kai kurie yra pagrįsti parašu, o kiti - anomalija. Pirmieji dirba analizuodami duomenis apie konkrečius modelius, kurie buvo susieti su bandymais įsibrovti. Tai panašu į tradicines apsaugos nuo virusų sistemas, kurios remiasi virusų apibrėžimais. Įsilaužimų aptikimas parašais pagrįstas įsibrovimo parašais ar raštais. Jie lygina užfiksuotus duomenis su įsibrovėlių parašais, kad nustatytų įsibrovimų bandymus. Žinoma, jie neveiks, kol į programinę įrangą nebus įkeltas tinkamas parašas, kuris kartais gali įvykti tik po to, kai bus užpultas tam tikras skaičius mašinų ir įsibrovėlių parašų leidėjai turėjo laiko paskelbti naujus atnaujinimo paketus. Kai kurie tiekėjai veikia gana greitai, kiti galėjo reaguoti tik po kelių dienų. Tai yra pagrindinis šio aptikimo metodo trūkumas.
Anomalija paremtas įsibrovimų aptikimas yra geresnisApsauga nuo nulinės dienos atakų, įvykusių prieš įsilaužimo aptikimo programinę įrangą turėjo galimybę įsigyti tinkamą parašo failą. Jie ieško anomalijų, užuot bandę atpažinti žinomus įsibrovimo modelius. Pvz., Kas nors kelis kartus iš eilės bando prieiti prie sistemos su neteisingu slaptažodžiu, sužadins perspėjimą, nes tai yra dažnas brutalios jėgos išpuolio ženklas. Šios sistemos gali greitai aptikti bet kokią įtartiną veiklą tinkle. Kiekvienas aptikimo metodas turi pranašumų ir trūkumų ir, kaip ir dviejų tipų įrankiai, tikriausiai geriausi įrankiai yra tie, kurie naudoja parašo ir elgesio analizės derinį.
Aptikimas ar prevencija?
Kai kurie žmonės linkę susipainiotiįsibrovimų aptikimo ir įsibrovimų prevencijos sistemos. Nors jie yra glaudžiai susiję, jie nėra tapatūs, nors tarp jų yra tam tikrų funkcijų persidengimo. Kaip rodo pavadinimas, įsibrovimų aptikimo sistemos aptinka bandymus įsilaužti ir įtartiną veiklą. Kai ką nors aptinka, jie paprastai suaktyvina tam tikros formos perspėjimą ar pranešimą. Administratoriai turi imtis reikiamų veiksmų, kad sustabdytų ar užblokuotų bandymą įsilaužti.
Įsibrovimo prevencijos sistemos (IPS) eina vienu žingsniutoliau ir gali visiškai sustabdyti įsibrovimus. Įsibrovimų prevencijos sistemos apima aptikimo komponentą, kuris funkciškai yra lygiavertis įsibrovimo aptikimo sistemai, kuris suaktyvins automatinius taisomuosius veiksmus, kai bus aptiktas įsibrovimų bandymas. Žmogaus įsikišimas nėra būtinas norint sustabdyti įsibrovimą. Įsibrovimų prevencija taip pat gali reikšti bet ką, kas padaryta ar įdiegta kaip įsibrovimų prevencijos būdas. Pavyzdžiui, slaptažodžių sukietėjimas arba įsibrovėlių blokavimas gali būti laikomi įsibrovimų prevencijos priemonėmis.
Geriausi tinklo įsibrovimo aptikimo įrankiai
Mes ieškojome geriausios rinkosĮsibrovimo aptikimo sistemos tinkle. Mūsų sąraše yra tikrosios kompiuterio įsibrovimo aptikimo sistemos ir kitos programinės įrangos, turinčios tinklo įsibrovimo aptikimo komponentą arba kurią galima naudoti norint aptikti įsibrovimus, derinys. Kiekvienas mūsų rekomenduojamas įrankis gali padėti aptikti bandymus įsilaužti į jūsų tinklą.
1. „SolarWinds Threat Monitor“ - „IT Ops“ leidimas (NEMOKAMA demonstracinė versija)
„SolarWinds“ yra įprastas vardastinklo administravimo įrankiai. Bendrovei buvo maždaug 20 metų ir ji mums pateikė keletą geriausių tinklo ir sistemos administravimo įrankių. Jos pavyzdinis produktas - „Network Performance Monitor“ - nuolatos patenka į populiariausių tinklo pralaidumo stebėjimo įrankių sąrašą. „SolarWinds“ taip pat sukuria puikius nemokamus įrankius, kurių kiekvienas patenkina specifinį tinklo administratorių poreikį. „Kiwi Syslog Server“ ir išplėstinis potinklio skaičiuoklė yra du geri pavyzdžiai.
Įsibrovimų aptikimui tinkle „SolarWinds“ siūlo Grėsmių monitorius - „IT Ops“ leidimas. Priešingai nei dauguma kitų „SolarWinds“ įrankių, taiviena iš jų yra debesyje paremta paslauga, o ne vietoje įdiegta programinė įranga. Jūs tiesiog jį užsiprenumeruojate, sukonfigūruojate ir jis pradeda stebėti jūsų aplinką, ar nėra bandymų įsilaužti ir dar kelių rūšių grėsmių. Grėsmių monitorius - „IT Ops“ leidimas sujungia keletą įrankių. Jis turi tiek tinklo, tiek pagrindinio kompiuterio įsibrovimo aptikimą, taip pat žurnalo centralizavimą ir koreliaciją, taip pat saugos informaciją ir įvykių valdymą (SIEM). Tai labai kruopštus grėsmių stebėjimo rinkinys.
- NEMOKAMAS DEMO: „SolarWinds Threat Monitor“ - „IT Ops“ leidimas
- Oficiali atsisiuntimo nuoroda: https://www.solarwinds.com/threat-monitor/registration
Į Grėsmių monitorius - „IT Ops“ leidimas visada yra atnaujinamas, nuolat atnaujinamasgrėsmės žvalgyba iš kelių šaltinių, įskaitant IP ir domenų reputacijos duomenų bazes. Jis stebi žinomas ir nežinomas grėsmes. Įrankis pasižymi automatizuotomis intelektualiosiomis reakcijomis, leidžiančiomis greitai pašalinti saugumo įvykius, suteikiant jai keletą įsibrovimų prevencijos funkcijų.
Produkto įspėjamosios funkcijos yra gana gerosįspūdingas. Yra daugialypės, kryžminės koreliacijos, kurios veikia kartu su įrankio aktyviojo reagavimo varikliu ir padeda nustatyti bei apibendrinti svarbius įvykius. Ataskaitų teikimo sistema yra tokia pati gera, kaip ir jos perspėjimas, ir ją galima naudoti norint įrodyti atitiktį naudojant esamus iš anksto paruoštus ataskaitų šablonus. Arba galite sukurti pasirinktines ataskaitas, kad tiksliai atitiktų jūsų verslo poreikius.
Kainos už „SolarWinds Threat Monitor“ - „IT Ops“ leidimas pradžia nuo 4 500 USD iki 25 mazgų su 10 dienųrodyklės. Norėdami gauti išsamią kainą, pritaikytą jūsų specifiniams poreikiams, galite susisiekti su „SolarWinds“. Ir jei norite pamatyti produktą veikiantį, galite paprašyti nemokamos demonstracinės versijos iš „SolarWinds“.
2. Užkandžiaukite
Užkandžiaukite yra tikrai geriausiai žinomas atvirojo kodo NIDS. Bet Užkandžiaukite iš tikrųjų yra daugiau nei įsibrovimų aptikimo įrankis. Tai taip pat yra paketų snifferis ir paketų kaupiklis, taip pat pakuojantis keletą kitų funkcijų. Kol kas daugiausia dėmesio skirsime įrankio įsibrovimų aptikimo funkcijoms, nes tai yra šio įrašo tema. Produkto konfigūravimas primena ugniasienės konfigūravimą. Jis sukonfigūruotas naudojant taisykles. Pagrindines taisykles galite atsisiųsti iš Užkandžiaukite svetainę ir naudokite ją tokią, kokia yra, arba tinkinkite pagal savo specifinius poreikius. Taip pat galite užsiprenumeruoti Užkandžiaukite taisykles, kad būtų automatiškai gaunamos visos naujausios taisyklės, kai jos tobulėja ar atsiranda naujų grėsmių.
Rūšiuoti yra labai kruopštus ir netgi pagrindinės taisyklės gali tai padarytiaptikti daugybę įvairių įvykių, tokių kaip slaptas prievadų nuskaitymas, buferio perpildymo išpuoliai, CGI išpuoliai, SMB zondai ir OS pirštų atspaudai. Tai, ką galite aptikti naudodami šį įrankį, praktiškai neriboja, o tai, ką jis nustato, priklauso tik nuo jūsų įdiegtų taisyklių rinkinio. Kalbant apie aptikimo metodus, kai kurios pagrindinės „Snort“ taisyklės yra paremtos parašu, o kitos - anomalijomis. Taigi knarkimas gali duoti jums geriausius iš abiejų pasaulių.
3. Surikata
Surikata yra ne tik įsibrovimo aptikimo sistema. Jis taip pat turi keletą įsibrovimų prevencijos funkcijų. Tiesą sakant, ji reklamuojama kaip visa tinklo saugumo stebėjimo ekosistema. Vienas iš geriausių įrankio pranašumų yra tai, kaip jis veikia iki pat programos sluoksnio. Tai daro ją hibridine tinklo ir pagrindinio kompiuterio sistema, leidžiančia įrankiui aptikti grėsmes, kurių kiti įrankiai greičiausiai nepastebėtų.
Surikata yra tikras tinklo įsibrovimo aptikimasSistema ir ji veikia ne tik programų lygmenyje. Tai stebės žemesnio lygio tinklo protokolus, tokius kaip TLS, ICMP, TCP ir UDP. Įrankis taip pat supranta ir iššifruoja aukštesnio lygio protokolus, tokius kaip HTTP, FTP ar SMB, ir gali aptikti įsibrovimų bandymus, paslėptus kituose įprastuose prašymuose. Įrankis taip pat pasižymi failų išgavimo galimybėmis, leidžiančiomis administratoriams ištirti įtartinus failus.
SurikataProgramų architektūra yra gana novatoriška. Įrankis paskirstys savo darbo krūvį per keletą procesoriaus branduolių ir gijų, kad pasiektų geriausią našumą. Jei reikia, jis gali net dalį perdirbimo perkelti į vaizdo plokštę. Tai yra puiki funkcija, kai įrankis naudojamas serveriuose, nes jų vaizdo plokštė paprastai naudojama nepakankamai.
4. Bro Tinklo saugos monitorius
Į „Bro“ tinklo saugos monitorius, dar viena nemokama tinklo įsibrovimo aptikimo sistema. Įrankis veikia dviem etapais: srauto registravimas ir eismo analizė. Kaip ir Suricata, „Bro“ tinklo saugos monitorius veikia keliuose sluoksniuose iki taikymo sluoksnio. Tai leidžia geriau aptikti padalijimo įsibrovimus. „Bro“ tinklo saugos monitoriusAnalizės modulis sudarytas iš dviejų elementų. Pirmasis elementas vadinamas įvykių varikliu ir seka suveikiančius įvykius, tokius kaip grynieji TCP ryšiai ar HTTP užklausos. Po to įvykiai analizuojami strategijos scenarijais - antruoju elementu, kuris nusprendžia, ar sukelti pavojaus signalą ir (arba) pradėti veiksmą. Galimybė pradėti veiksmą suteikia: „Bro“ tinklo saugos monitorius kai kurios IPS tipo funkcijos.
Į „Bro“ tinklo saugos monitorius leis jums stebėti HTTP, DNS ir FTP veikląjis taip pat stebės SNMP srautą. Tai yra geras dalykas, nes SNMP dažnai naudojamas tinklo stebėjimui, tačiau tai nėra saugus protokolas. Kadangi tai taip pat gali būti naudojama konfigūracijoms modifikuoti, ją gali išnaudoti kenksmingi vartotojai. Įrankis taip pat leis jums stebėti įrenginio konfigūracijos pokyčius ir SNMP gaudykles. Jį galima įdiegti „Unix“, „Linux“ ir „OS X“, tačiau jis negalimas „Windows“, o tai, ko gero, yra pagrindinis trūkumas.
5. Saugumo svogūnai
Sunku apibrėžti, kas Saugumo svogūnai yra. Tai nėra tik įsilaužimo aptikimo ar prevencijos sistema. Tai iš tikrųjų yra visas „Linux“ paskirstymas, daugiausia dėmesio skiriant įsibrovimų aptikimui, įmonės saugos stebėjimui ir žurnalų valdymui. Iš esmės tai gali sutaupyti administratoriams daug laiko. Tai apima daugybę įrankių, iš kurių kai kuriuos ką tik peržiūrėjome. Saugumo svogūnams priklauso „Elasticsearch“, „Logstash“, „Kibana“, „Snort“, „Suricata“, „Bro“, „OSSEC“, „Sguil“, „Squert“, „NetworkMiner“ ir kt. Kad visa tai būtų lengviau nustatyti, paskirstymas yra susietas su lengvai naudojamu sąrankos vedliu, kuris leidžia apsaugoti jūsų organizaciją per kelias minutes. Jei turėtume apibūdinti Saugumo svogūnai vienu sakiniu mes pasakytume, kad tai yra Šveicarijos armijos peilis, užtikrinantis įmonės IT saugumą.
Vienas įdomiausių dalykų apie taiįrankis yra tas, kad viską gausite per vieną paprastą diegimą. Įsibrovimo aptikimui įrankis suteikia tiek tinklo, tiek pagrindinio kompiuterio įsibrovimo aptikimo įrankius. Pakuotėje taip pat derinami įrankiai, kuriuose naudojamas parašu pagrįstas požiūris, ir įrankiai, pagrįsti anomalijomis. Be to, rasite teksto ir GUI įrankių derinį. Yra tikrai puikus saugumo priemonių derinys. Yra vienas pagrindinis saugumo svogūno trūkumas. Turint tiek daug įrankių, sukonfigūruoti juos visus gali būti nelengva užduotis. Tačiau jums nereikia naudoti ir konfigūruoti - visų įrankių. Galite pasirinkti tik tuos, kuriuos naudosite. Net jei naudosite tik porą pridedamų įrankių, greičiausiai tai būtų greitesnis pasirinkimas, nei diegiant juos atskirai.
Komentarai