Liekas, ka šajās dienās visi uztraucasar drošību. Ir jēga apsvērt kibernoziedzības nozīmi. Uz organizācijām vērsti hakeri, kas mēģina nozagt viņu datus vai nodarīt viņiem citu kaitējumu. Viens no veidiem, kā aizsargāt savu IT vidi pret šiem uzbrukumiem, ir pareiza rīku un sistēmu izmantošana. Bieži vien pirmā aizsardzības līnija atrodas tīkla perimetrā, izmantojot uz tīklu balstītas ielaušanās atklāšanas sistēmas vai NIDS.. Šīs sistēmas analizē satiksmi, kas nāk uz jūsu vietnitīklā no interneta, lai atklātu jebkādas aizdomīgas darbības un nekavējoties brīdinātu. NIDS ir tik populāri, un ir pieejams tik daudz no tiem, ka vislabākais jūsu vajadzībām var būt grūts darbs. Palidzet tev, mēs esam apkopojuši sarakstu ar dažām no labākajām tīklā balstītajām ielaušanās atklāšanas sistēmām.
Mēs sāksim savu ceļojumu, apskatotdažādu veidu ielaušanās atklāšanas sistēmas. Būtībā ir divi veidi: tīkla un resursdatora bāzes. Mēs izskaidrosim viņu atšķirības. Ielaušanās atklāšanas sistēmas atšķiras arī pēc to izmantotajām noteikšanas metodēm. Daži no viņiem izmanto uz parakstu balstītu pieeju, bet citi paļaujas uz uzvedības analīzi. Labākie rīki izmanto abu noteikšanas metožu kombināciju. Tirgus ir piesātināts gan ar ielaušanās atklāšanas, gan ar ielaušanās novēršanas sistēmām. Mēs izpētīsim, kā tās atšķiras un kā tās ir līdzīgas, jo ir svarīgi saprast atšķirību. Visbeidzot, mēs pārskatīsim labākās uz tīklu balstītās ielaušanās atklāšanas sistēmas un parādīsim to svarīgākās funkcijas.
Ielaušanās atklāšana uz tīkla vai resursdatora bāzes
Ielaušanās atklāšanas sistēmas ir vienas no divāmveidi. Viņiem abiem ir identisks mērķis - ātri atklāt ielaušanās mēģinājumus vai aizdomīgas darbības, kas potenciāli var izraisīt ielaušanās mēģinājumus, taču tie atšķiras izpildes punkta vietā, kas norāda uz atklāšanu. Katram ielaušanās atklāšanas rīka veidam ir priekšrocības un trūkumi. Nav īstas vienprātības par to, kurš no tiem ir vēlams. Daži zvēr pie viena veida, bet citi uzticas tikai otram. Droši vien abiem ir taisnība. Labākais vai visdrošākais risinājums, iespējams, ir tāds, kas apvieno abus veidus.
Tīkla ielaušanās atklāšanas sistēmas (NIDS)
Pirmais ielaušanās atklāšanas sistēmas tips irko sauc par tīkla ielaušanās atklāšanas sistēmu vai NIDS. Šīs sistēmas darbojas uz tīkla robežas, lai ieviestu atklāšanu. Viņi pārtver un pārbauda tīkla trafiku, meklējot aizdomīgas darbības, kas varētu liecināt par ielaušanās mēģinājumu, kā arī meklē zināmos ielaušanās modeļus. Iebrucēji bieži mēģina izmantot zināmo dažādu sistēmu ievainojamību, piemēram, nosūtot saimniekiem nepareizi veidotas paketes, liekot tām reaģēt īpašā veidā, kas ļauj tos pārkāpt. Tīkla ielaušanās atklāšanas sistēma, visticamāk, atklās šāda veida ielaušanās mēģinājumus.
Daži apgalvo, ka tīkla ielaušanās atklāšanaSistēmas ir labākas nekā viņu resursdatoru bāzes, jo tās var atklāt uzbrukumus pat pirms nokļūšanas jūsu sistēmās. Daži mēdz dot priekšroku arī tiem, jo, lai tos efektīvi aizsargātu, katrā saimniekdatorā nav jāinstalē kaut kas. No otras puses, tie nodrošina nelielu aizsardzību pret iekšējās informācijas uzbrukumiem, kas diemžēl nepavisam nav retums. Lai tiktu atklāts, uzbrucēja ielaušanās mēģinājumam ir jāiet cauri NIDS, ko tas reti dara, kad tas nāk no iekšienes. Jebkurai tehnoloģijai ir plusi un mīnusi, un tas ir īpašs ielaušanās atklāšanas gadījums, un tas nekas neliedz jums izmantot abus rīku veidus, lai nodrošinātu maksimālu aizsardzību.
Saimnieka ielaušanās atklāšanas sistēmas (HIDS)
Darbojas saimniekdatora ielaušanās detektēšanas sistēmas (HIDS)mītnes līmenī; jūs, iespējams, uzminējāt, ka no viņu vārda. Viņi, piemēram, uzraudzīs dažādus žurnālfailus un žurnālus, lai atrastu aizdomīgas darbības pazīmes. Vēl viens veids, kā viņi var atklāt ielaušanās mēģinājumus, ir pārbaudīt, vai sistēmas konfigurācijas failos nav neautorizētu izmaiņu. Viņi var arī pārbaudīt šos pašus failus, lai noteiktu konkrētus zināmus ielaušanās modeļus. Piemēram, var būt zināms, ka darbojas konkrēta ielaušanās metode, pievienojot noteiktam parametram noteiktu konfigurācijas failu. Laba uz resursdatoriem balstīta ielaušanās atklāšanas sistēma to panāktu.
Lai gan viņu vārds varētu likt jums domāt par tovisi HIDS tiek uzstādīti tieši ierīcē, kurai tie paredzēti, lai aizsargātu, tas ne vienmēr tā ir. Daži būs jāinstalē visos jūsu datoros, savukārt dažos būs jāinstalē tikai vietējais aģents. Daži pat visu savu darbu veic attālināti, bez aģenta. Neatkarīgi no tā, kā tie darbojas, lielākajai daļai HIDS ir centralizēta konsole, kurā varat kontrolēt katru lietojumprogrammas gadījumu un apskatīt visus rezultātus.
Ielaušanās atklāšanas metodes
Ielaušanās atklāšanas sistēmas atšķiras ne tikai arizpildes punkts, tie atšķiras arī pēc metodes, kuru viņi izmanto, lai atklātu ielaušanās mēģinājumus. Daži ir balstīti uz parakstu, bet citi - uz anomālijām. Pirmie strādā, analizējot datus par īpašiem modeļiem, kas saistīti ar ielaušanās mēģinājumiem. Tas ir līdzīgi tradicionālajām vīrusu aizsardzības sistēmām, kas balstās uz vīrusu definīcijām. Parakstu balstīta ielaušanās atklāšana balstās uz ielaušanās parakstiem vai modeļiem. Viņi salīdzina sagūstītos datus ar ielaušanās parakstiem, lai identificētu ielaušanās mēģinājumus. Protams, tie nedarbosies, kamēr programmatūrā netiks augšupielādēts pareizs paraksts, kas dažkārt var notikt tikai pēc tam, kad ir uzbrukuši noteiktam skaitam mašīnu un ielaušanās parakstu izdevējiem ir bijis laiks publicēt jaunus atjauninājumu pakotnes. Daži piegādātāji rīkojas diezgan ātri, citi varēja reaģēt tikai dienas vēlāk. Tas ir šīs noteikšanas metodes galvenais trūkums.
Uz anomālijām balstīta ielaušanās atklāšana nodrošina labāku darbībuaizsardzība pret nulles dienas uzbrukumiem, tiem, kas notiek pirms jebkuras ielaušanās atklāšanas programmatūras ir bijusi iespēja iegūt pareizu paraksta failu. Viņi meklē anomālijas, nevis mēģina atpazīt zināmos ielaušanās modeļus. Piemēram, kāds, kurš vairākas reizes pēc kārtas mēģina piekļūt sistēmai ar nepareizu paroli, izsauks brīdinājumu, jo tā ir izplatīta brutāla spēka uzbrukuma pazīme. Šīs sistēmas var ātri atklāt jebkādas aizdomīgas darbības tīklā. Katrai noteikšanas metodei ir priekšrocības un trūkumi, un tāpat kā divu veidu rīki, labākie rīki, iespējams, ir tie, kas izmanto paraksta un uzvedības analīzes kombināciju.
Atklāšana vai novēršana?
Daži cilvēki mēdz sajauktielaušanās atklāšanas un ielaušanās novēršanas sistēmas. Lai arī tie ir cieši saistīti, tie nav identiski, kaut arī starp tiem ir kāda funkcionalitāte, kas daļēji pārklājas. Kā norāda nosaukums, ielaušanās atklāšanas sistēmas atklāj ielaušanās mēģinājumus un aizdomīgas darbības. Atklājot kaut ko, viņi parasti izsauc kāda veida brīdinājumu vai paziņojumu. Pēc tam administratoriem jāveic nepieciešamās darbības, lai apturētu vai bloķētu ielaušanās mēģinājumu.
Ielaušanās novēršanas sistēmas (IPS) iet vienā solītālāk un var apturēt uzmākšanos vispār. Ielaušanās novēršanas sistēmās ir ietverts atklāšanas komponents, kas funkcionāli ir līdzvērtīgs ielaušanās atklāšanas sistēmai, un tas iedarbina automātiskas koriģējošas darbības ikreiz, kad tiek atklāts ielaušanās mēģinājums. Lai apturētu ielaušanās mēģinājumu, nav nepieciešama cilvēka iejaukšanās. Ielaušanās novēršana var attiekties arī uz jebko, kas tiek darīts vai ieviests kā veids, kā novērst ielaušanos. Piemēram, paroles nostiprināšanu vai iebrucēju bloķēšanu var uzskatīt par ielaušanās novēršanas pasākumiem.
Labākie tīkla ielaušanās atklāšanas rīki
Mēs esam meklējuši labāko tirgūUz tīklu balstītas ielaušanās atklāšanas sistēmas. Mūsu sarakstā ir iekļautas patiesas resursdatoros balstītas ielaušanās atklāšanas sistēmas un cita programmatūra, kurai ir uz tīklu balstīta ielaušanās atklāšanas sastāvdaļa vai kuru var izmantot, lai atklātu ielaušanās mēģinājumus. Katrs no mūsu ieteiktajiem rīkiem var palīdzēt atklāt ielaušanās mēģinājumus jūsu tīklā.
1. SolarWinds draudu monitors - IT Ops izdevums (BEZMAKSAS demonstrācija)
SolarWinds ir plaši pazīstams nosaukums jomātīkla administrēšanas rīki. Uzņēmums darbojas apmēram 20 gadus un ir atnesis mums dažus no labākajiem tīkla un sistēmu administrēšanas rīkiem. Tās vadošais produkts - tīkla veiktspējas monitors - ir konsekventi atzīts par vienu no labākajiem tīkla joslas platuma uzraudzības rīkiem. SolarWinds arī nodrošina lieliskus bezmaksas rīkus, katrs no tiem risina tīkla administratoru īpašās vajadzības. Kiwi Syslog serveris un uzlabotais apakštīkla kalkulators ir divi labi to piemēri.
Tīkla ielaušanās atklāšanai SolarWinds piedāvā Draudu monitors - IT Ops izdevums. Pretstatā vairumam citu SolarWinds rīku, tasviens ir mākoņa arhitektūras pakalpojums, nevis lokāli instalēta programmatūra. Jūs to vienkārši abonējat, konfigurējat, un tas sāk novērot jūsu vides uzlaušanas mēģinājumus un vēl dažus draudus. Draudu monitors - IT Ops izdevums apvieno vairākus instrumentus. Tam ir gan tīkla, gan resursdatora ielaušanās atklāšana, kā arī žurnālu centralizācija un korelācija, kā arī drošības informācija un notikumu pārvaldība (SIEM). Tas ir ļoti rūpīgs draudu uzraudzības komplekts.
- BEZMAKSAS DEMO: SolarWinds draudu monitors - IT Ops izdevums
- Oficiālā lejupielādes saite: https://www.solarwinds.com/threat-monitor/registration
Uz Draudu monitors - IT Ops izdevums vienmēr ir atjaunināta, pastāvīgi atjauninātadraudu izlūkošana no vairākiem avotiem, ieskaitot IP un domēna reputācijas datu bāzes. Tas novēro gan zināmus, gan nezināmus draudus. Rīks piedāvā automatizētas inteliģentās reakcijas, lai ātri novērstu drošības incidentus, piešķirot tam dažas ielaušanās novēršanai līdzīgas funkcijas.
Produkta trauksmes funkcijas ir diezganiespaidīgi. Ir daudznosacījumu, savstarpēji korelētas trauksmes, kas darbojas kopā ar rīka aktīvās reakcijas motoru un palīdz identificēt un apkopot svarīgus notikumus. Ziņošanas sistēma ir tikpat laba kā tās brīdināšana, un to var izmantot, lai pierādītu atbilstību, izmantojot esošās iepriekš izveidotās ziņojumu veidnes. Varat arī izveidot pielāgotus pārskatus, lai tie precīzi atbilstu jūsu biznesa vajadzībām.
Cenas par SolarWinds draudu monitors - IT Ops izdevums sākums no 4 500 USD līdz 25 mezgliem ar 10 dienāmindeksa. Varat sazināties ar SolarWinds, lai iegūtu sīkāku cenu, kas pielāgota jūsu īpašajām vajadzībām. Un, ja jūs vēlaties redzēt produktu darbībā, varat pieprasīt bezmaksas demonstrāciju no SolarWinds.
2. Snort
Snort noteikti ir pazīstamākais atvērtā koda NIDS. Bet Snort patiesībā ir kas vairāk par ielaušanās atklāšanas rīku. Tas ir arī pakešu snifferis un pakešu reģistrētājs, un tas iesaiņo arī dažas citas funkcijas. Pagaidām mēs koncentrēsimies uz rīka ielaušanās atklāšanas funkcijām, jo tas ir šī ziņojuma temats. Produkta konfigurēšana atgādina ugunsmūra konfigurēšanu. Tas ir konfigurēts, izmantojot kārtulas. Pamata noteikumus var lejupielādēt no Snort vietni un izmantojiet tās tādas, kādas tās ir, vai pielāgojiet tās savām īpašajām vajadzībām. Jūs varat arī abonēt Snort kārtulas, lai automātiski iegūtu visus jaunākos noteikumus to attīstības laikā vai atklājot jaunus draudus.
Kārtot ir ļoti rūpīgs, un to pat var pamatnoteikumiatklāt dažādus notikumus, piemēram, slepenu portu skenēšanu, bufera pārpildes uzbrukumus, CGI uzbrukumus, SMB zondes un OS pirkstu nospiedumu noņemšanu. Praktiski nav ierobežojumu tam, ko varat noteikt ar šo rīku, un tā, ko tas nosaka, ir atkarīgs tikai no instalēto kārtulu kopas. Kas attiecas uz noteikšanas metodēm, daži no Snort pamatnoteikumiem ir balstīti uz parakstu, bet citi - uz anomālijām. Snort var dot jums labāko no abām pasaulēm.
3. Surikata
Surikata ir ne tikai ielaušanās atklāšanas sistēma. Tam ir arī dažas ielaušanās novēršanas funkcijas. Faktiski tā tiek reklamēta kā pilnīga tīkla drošības uzraudzības ekosistēma. Viens no labākajiem rīka ieguvumiem ir tas, kā tas darbojas līdz pat lietojumprogrammas slānim. Tas padara to par hibrīdu tīkla un resursdatoru sistēmu, kas ļauj rīkam atklāt draudus, kurus citi rīki, iespējams, nepamanīs.
Surikata ir patiesa tīklā balstīta ielaušanās atklāšanaSistēma, un tā darbojas ne tikai lietojumprogrammu slānī. Tas uzraudzīs zemāka līmeņa tīkla protokolus, piemēram, TLS, ICMP, TCP un UDP. Rīks arī saprot un dekodē augstākā līmeņa protokolus, piemēram, HTTP, FTP vai SMB, un var atklāt ielaušanās mēģinājumus, kas paslēpti citādi parastos pieprasījumos. Šim rīkam ir arī failu ieguves iespējas, kas administratoriem ļauj pārbaudīt visus aizdomīgos failus.
SurikataLietojumprogrammu arhitektūra ir diezgan inovatīva. Rīks sadalīs savu darba slodzi pa vairākiem procesora kodoliem un pavedieniem, lai panāktu vislabāko veiktspēju. Vajadzības gadījumā tas pat daļu apstrādes var izkraut grafiskajā kartē. Šī ir lieliska īpašība, ja rīku izmanto serveros, jo parasti viņu grafiskā karte netiek pietiekami izmantota.
4. Bro Tīkla drošības monitors
Uz Bro tīkla drošības monitors, vēl viena bezmaksas tīkla ielaušanās atklāšanas sistēma. Rīks darbojas divās fāzēs: trafika reģistrēšana un trafika analīze. Tāpat kā Suricata, Bro tīkla drošības monitors darbojas vairākos slāņos līdz pat lietojumprogrammas slānim. Tas ļauj labāk atklāt sadalītus ielaušanās mēģinājumus. Bro tīkla drošības monitorsAnalīzes modulis sastāv no diviem elementiem. Pirmo elementu sauc par notikumu motoru, un tas izseko palaišanas notikumus, piemēram, neto TCP savienojumus vai HTTP pieprasījumus. Notikumus pēc tam analizē, izmantojot politikas skriptus, otro elementu, kas izlemj, vai izraisīt trauksmes signālu un / vai sākt darbību. Iespēja sākt darbību dod Bro tīkla drošības monitors dažas IPS līdzīgas funkcijas.
Uz Bro tīkla drošības monitors ļaus izsekot HTTP, DNS un FTP darbībāmun tas arī uzraudzīs SNMP trafiku. Tā ir laba lieta, jo SNMP bieži izmanto tīkla uzraudzībai, taču tas nav drošs protokols. Tā kā to var izmantot arī konfigurāciju modificēšanai, ļaunprātīgi lietotāji to varētu izmantot. Šis rīks arī ļaus jums novērot ierīces konfigurācijas izmaiņas un SNMP slazdus. To var instalēt Unix, Linux un OS X, bet tas nav pieejams operētājsistēmai Windows, kas, iespējams, ir tā galvenais trūkums.
5. Drošības sīpols
Ir grūti definēt, kas Drošības sīpols ir. Tā nav tikai ielaušanās atklāšanas vai novēršanas sistēma. Patiesībā tas ir pilnīgs Linux izplatīšana ar uzsvaru uz ielaušanās atklāšanu, uzņēmuma drošības uzraudzību un žurnālu pārvaldību. Tādējādi administratoriem var ietaupīt daudz laika. Tajā ir iekļauti daudzi rīki, no kuriem dažus mēs tikko esam pārskatījuši. Drošības sīpolā ietilpst Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner un citas. Lai atvieglotu iestatīšanu, izplatīšana ir komplektā ar ērti lietojamu iestatīšanas vedni, kas dažu minūšu laikā ļauj jums aizsargāt organizāciju. Ja mums būtu jāapraksta Drošības sīpols vienā teikumā mēs teiktu, ka tas ir Šveices armijas uzņēmuma IT drošības nazis.
Viena no visinteresantākajām lietām šajā jautājumārīks ir tāds, ka jūs visu iegūstat vienā vienkāršā instalācijā. Ielaušanās detektēšanai rīks sniedz jums gan tīkla, gan resursdatora ielaušanās atklāšanas rīkus. Pakete apvieno arī rīkus, kas izmanto uz parakstu balstītu pieeju, un rīkus, kas balstās uz anomālijām. Turklāt jūs atradīsit teksta un GUI rīku kombināciju. Tur tiešām ir lielisks drošības rīku sajaukums. Drošības sīpoliem ir viens galvenais trūkums. Izmantojot tik daudz iekļauto rīku, to visu konfigurēšana var izrādīties ievērojams uzdevums. Tomēr jums nav jāizmanto un jākonfigurē - visi rīki. Jūs varat izvēlēties tikai tos, kurus izmantot. Pat ja jūs izmantojat tikai dažus komplektā iekļautos rīkus, tā, visticamāk, būs ātrāka iespēja, nekā tos instalēt atsevišķi.
Komentāri