- - 6 beste host-gebaseerde inbraakdetectiesystemen (HIDS) in 2019

6 Beste host-gebaseerde inbraakdetectiesystemen (HIDS) in 2019

Ik zou niet te paranoïde willen klinken, hoewel ikwaarschijnlijk wel, maar cybercriminaliteit is overal. Elke organisatie kan het doelwit worden van hackers die toegang proberen te krijgen tot hun gegevens. Het is daarom van het grootste belang om de zaken in de gaten te houden en ervoor te zorgen dat we niet het slachtoffer worden van deze slechtbedoelde individuen. De allereerste verdedigingslinie is een Inbraakdetectiesysteem. Host-based systemen passen hun detectie op hostniveau toe en detecteren meestal de meeste inbraakpogingen snel en stellen u onmiddellijk op de hoogte zodat u de situatie kunt verhelpen. Met zoveel host-gebaseerde inbraakdetectiebeschikbare systemen, het kiezen van het beste voor uw specifieke situatie kan een uitdaging zijn. Om u duidelijk te laten zien, hebben we een lijst samengesteld met enkele van de beste host-gebaseerde intrusion detection-systemen.

Voordat we de beste tools onthullen, gaan we op een zijspoorkort en bekijk de verschillende soorten inbraakdetectiesystemen. Sommige zijn hostgebaseerd, terwijl andere netwerkgebaseerd zijn. We zullen de verschillen verklaren. We zullen vervolgens de verschillende indringingsdetectiemethoden bespreken. Sommige tools hebben een op handtekeningen gebaseerde aanpak, terwijl andere op zoek zijn naar verdacht gedrag. De beste gebruiken een combinatie van beide. Voordat we verder gaan, zullen we de verschillen uitleggen tussen inbraakdetectie- en inbraakpreventiesystemen, omdat het belangrijk is om te begrijpen waar we naar kijken. We zijn dan klaar voor de essentie van dit bericht, de beste host-gebaseerde intrusion detection-systemen.

Twee soorten inbraakdetectiesystemen

Er zijn in wezen twee soorten inbraakDetectiesystemen. Hoewel hun doel identiek is - het snel detecteren van een inbraakpoging of verdachte activiteit kan leiden tot een inbraakpoging, verschillen ze in de locatie waar deze detectie wordt uitgevoerd. Dit is een concept dat vaak het handhavingspunt wordt genoemd. Elk type heeft voor- en nadelen en in het algemeen is er geen consensus over welke de voorkeur verdient. De beste of veiligste oplossing is waarschijnlijk een oplossing die beide combineert.

Host Intrusion Detection Systems (HIDS)

Het eerste type inbraakdetectiesysteem, dewaar we vandaag in geïnteresseerd zijn, werkt op hostniveau. Je hebt het misschien geraden uit de naam. HIDS controleert bijvoorbeeld verschillende logboekbestanden en dagboeken op tekenen van verdachte activiteit. Een andere manier waarop ze inbraakpogingen detecteren, is door belangrijke configuratiebestanden te controleren op ongeautoriseerde wijzigingen. Ze kunnen ook dezelfde configuratiebestanden onderzoeken op specifieke bekende inbraakpatronen. Het is bijvoorbeeld bekend dat een bepaalde intrusiemethode werkt door een bepaalde parameter toe te voegen aan een specifiek configuratiebestand. Een goed host-gebaseerd inbraakdetectiesysteem zou dat opvangen.

Meestal worden HIDS rechtstreeks op geïnstalleerdde apparaten die ze moeten beschermen. U moet deze op al uw computers installeren. Anderen vereisen alleen het installeren van een lokale agent. Sommigen doen zelfs al hun werk op afstand. Hoe ze ook werken, goede HIDS hebben een gecentraliseerde console waar u de toepassing kunt besturen en de resultaten kunt bekijken.

Network Intrusion Detection Systems (NIDS)

Een ander type inbraakdetectiesysteem genoemdNetwerkinbraakdetectiesystemen of NIDS werken aan de grens van het netwerk om detectie af te dwingen. Ze gebruiken vergelijkbare methoden als host-inbraakdetectiesystemen, zoals het detecteren van verdachte activiteiten en op zoek naar bekende inbraakpatronen. Maar in plaats van logboeken en configuratiebestanden te bekijken, kijken ze naar netwerkverkeer en onderzoeken ze elke verbindingsaanvraag. Sommige inbraakmethoden misbruiken bekende kwetsbaarheden door doelbewust verkeerd ingedeelde pakketten naar hosts te verzenden, waardoor ze op een bepaalde manier reageren waardoor ze kunnen worden overtreden. Een netwerkinbraakdetectiesysteem zou dit soort pogingen gemakkelijk kunnen detecteren.

Sommigen beweren dat NIDS beter zijn dan HIDS zoals zijdetecteer aanvallen nog voordat ze uw systemen bereiken. Sommigen geven de voorkeur omdat ze niets op elke host hoeven te installeren om ze effectief te beschermen. Aan de andere kant bieden ze weinig bescherming tegen aanvallen van binnenuit, wat helaas helemaal niet ongewoon is. Om te worden gedetecteerd, moet een aanvaller een pad gebruiken dat door de NIDS gaat. Om deze redenen komt de beste bescherming waarschijnlijk voort uit het gebruik van een combinatie van beide soorten gereedschappen.

Inbraakdetectiemethoden

Net zoals er twee soorten inbraak zijndetectietools, er zijn hoofdzakelijk twee verschillende methoden die worden gebruikt om inbraakpogingen te detecteren. Detectie kan op handtekeningen zijn gebaseerd of op afwijkingen zijn gebaseerd. Op handtekeningen gebaseerde inbraakdetectie werkt door gegevens te analyseren voor specifieke patronen die zijn geassocieerd met inbraakpogingen. Dit is vergelijkbaar met traditionele virusbeschermingssystemen die afhankelijk zijn van virusdefinities. Evenzo is op handtekeningen gebaseerde inbraakdetectie gebaseerd op inbraakhandtekeningen of -patronen. Ze vergelijken gegevens met indringingshandtekeningen om pogingen te identificeren. Hun belangrijkste nadeel is dat ze niet werken totdat de juiste handtekeningen in de software zijn geüpload. Helaas gebeurt dit meestal pas nadat een bepaald aantal machines is aangevallen en uitgevers van intrusion signatures de tijd hebben gehad om nieuwe updatepakketten te publiceren. Sommige leveranciers zijn vrij snel, terwijl anderen pas dagen later kunnen reageren.

Op anomalie gebaseerde inbraakdetectie, de anderemethode, biedt een betere bescherming tegen zero-day-aanvallen, diegene die plaatsvinden voordat enige inbraakdetectiesoftware de kans heeft gehad om het juiste handtekeningbestand te verkrijgen. Deze systemen zoeken naar anomalieën in plaats van te proberen bekende indringingspatronen te herkennen. Ze kunnen bijvoorbeeld worden geactiveerd als iemand meerdere keren achter elkaar toegang probeert te krijgen tot een systeem met een verkeerd wachtwoord, een veel voorkomend teken van een brute force-aanval. Verdacht gedrag kan snel worden gedetecteerd. Elke detectiemethode heeft zijn voor- en nadelen. Net als bij de soorten tools zijn de beste tools die een combinatie van handtekening en gedragsanalyse gebruiken voor de beste bescherming.

Detectie versus preventie - een belangrijk onderscheid

We hebben het gehad over inbraakdetectiesystemenmaar velen van jullie hebben misschien gehoord over Intrusion Prevention Systems. Zijn de twee concepten identiek? Het eenvoudige antwoord is nee, omdat de twee soorten tools een ander doel dienen. Er is echter enige overlap tussen hen. Zoals de naam al aangeeft, detecteert het inbraakdetectiesysteem inbraakpogingen en verdachte activiteiten. Wanneer het iets detecteert, activeert het meestal een vorm van waarschuwing of melding. Beheerders moeten vervolgens de nodige stappen ondernemen om de inbraakpoging te stoppen of te blokkeren.

Intrusion Prevention Systems (IPS) zijn gemaakt omvoorkomen dat intrusies helemaal gebeuren. Actieve IPS bevat een detectiecomponent die automatisch enige herstelactie zal activeren wanneer een inbraakpoging wordt gedetecteerd. Inbraakpreventie kan ook passief zijn. De term kan worden gebruikt om te verwijzen naar alles wat wordt gedaan of ingevoerd als een manier om inbraken te voorkomen. Wachtwoordverharding kan bijvoorbeeld worden gezien als een maatregel tegen inbraakpreventie.

De beste host inbraakdetectietools

We hebben de markt doorzocht op basis van de beste host-basedinbraakdetectiesystemen. Wat we voor u hebben is een mix van echte HIDS en andere software die, hoewel ze zichzelf geen inbraakdetectiesystemen noemen, een inbraakdetectiecomponent hebben of kunnen worden gebruikt om inbraakpogingen te detecteren. Laten we onze topkeuzes bekijken en hun beste functies bekijken.

1. SolarWinds Log & Event Manager (Gratis proefversie)

Onze eerste inzending is van SolarWinds, een veel voorkomende naamop het gebied van netwerkbeheertools. Het bedrijf bestaat al ongeveer 20 jaar en heeft ons enkele van de beste hulpmiddelen voor netwerk- en systeembeheer gebracht. Het is ook bekend vanwege de vele gratis tools die tegemoetkomen aan enkele specifieke behoeften van netwerkbeheerders. Twee geweldige voorbeelden van deze gratis tools zijn de Kiwi Syslog Server en de Advanced Subnet Calculator.

Laat het niet SolarWinds Log & Event ManagerDe naam houdt je voor de gek. Het is veel meer dan alleen een log- en eventbeheersysteem. Veel van de geavanceerde functies van dit product vallen onder het bereik SIEM (Security Information and Event Management). Andere functies kwalificeren het als een inbraakdetectiesysteem en zelfs, tot op zekere hoogte, als een inbraakpreventiesysteem. Deze tool biedt bijvoorbeeld realtime correlatie van gebeurtenissen en realtime remediëring.

Schermafbeelding Logboek en gebeurtenisbeheer van SolarWinds

  • GRATIS PROEF: SolarWinds Log & Event Manager
  • Officiële downloadlink: https://www.solarwinds.com/log-event-manager-software/registration

De SolarWinds Log & Event Manager beschikt over onmiddellijke detectie van verdachteactiviteit (een IDS-achtige functionaliteit) en geautomatiseerde responsen (een IPS-achtige functionaliteit). Het kan ook onderzoek naar beveiligingsgebeurtenissen en forensisch onderzoek uitvoeren voor zowel beperkende als nalevingsdoeleinden. Dankzij de audit-bewezen rapportage kan de tool ook worden gebruikt om aan te tonen dat wordt voldaan aan onder andere HIPAA, PCI-DSS en SOX. De tool heeft ook bestandsintegriteitsbewaking en USB-apparaatbewaking, waardoor het veel meer een geïntegreerd beveiligingsplatform is dan alleen een log- en eventbeheersysteem.

Prijzen voor de SolarWinds Log & Event Manager begint bij $ 4.585 voor maximaal 30 bewaakte knooppunten. Licenties voor maximaal 2500 knooppunten kunnen worden gekocht, waardoor het product zeer schaalbaar is. Als u het product wilt uitproberen en zelf wilt kijken of het geschikt is voor u, is er een gratis proefversie van 30 dagen beschikbaar.

2. OSSEC

Open source-beveiligingof OSSEC, is veruit de toonaangevende op open source gebaseerde hostinbraakdetectiesysteem. Het product is eigendom van Trend Micro, een van de toonaangevende namen op het gebied van IT-beveiliging en maker van een van de beste suites voor virusbescherming. Wanneer geïnstalleerd op Unix-achtige besturingssystemen, richt de software zich voornamelijk op log- en configuratiebestanden. Het maakt controlesommen van belangrijke bestanden en valideert deze periodiek, zodat u wordt gewaarschuwd wanneer er iets vreemds gebeurt. Het zal ook elke abnormale poging om root-toegang te krijgen controleren en waarschuwen. Op Windows-hosts houdt het systeem ook oog voor onbevoegde registerwijzigingen die een teken kunnen zijn van kwaadwillende activiteit.

Schermafbeelding van OSSEC-dashboard

Omdat het een host-gebaseerd inbraakdetectiesysteem is, OSSEC moet worden geïnstalleerd op elke computer die u wilt beschermen. Een gecentraliseerde console consolideert echter wel informatie van elke beveiligde computer voor eenvoudiger beheer. Terwijl de OSSEC console werkt alleen op Unix-achtige besturingssystemen,een agent is beschikbaar om Windows-hosts te beschermen. Elke detectie activeert een waarschuwing die op de gecentraliseerde console wordt weergegeven, terwijl meldingen ook per e-mail worden verzonden.

3. Samhain

Samhain is een andere bekende gratis host-inbraakdetectie systeem. De belangrijkste kenmerken, vanuit IDS-oogpunt, zijn controle van de bestandsintegriteit en bewaking / analyse van logbestanden. Het doet echter veel meer dan dat. Het product zal rootkit-detectie, poortbewaking, detectie van frauduleuze SUID-uitvoerbare bestanden en verborgen processen uitvoeren. De tool is ontworpen om meerdere hosts met verschillende besturingssystemen te bewaken en tegelijkertijd gecentraliseerde logging en onderhoud te bieden. Echter, Samhain kan ook worden gebruikt als een zelfstandige toepassing opeen enkele computer. De software draait voornamelijk op POSIX-systemen zoals Unix, Linux of OS X. Het kan ook worden uitgevoerd op Windows onder Cygwin, een pakket waarmee POSIX-applicaties op Windows kunnen worden uitgevoerd, hoewel alleen de monitoring agent in die configuratie is getest.

Samhain IDS-schermafbeelding

Een van de SamhainDe meest unieke functie is de stealth-modus dieHiermee kan het worden uitgevoerd zonder te worden gedetecteerd door potentiële aanvallers. Van indringers is bekend dat ze detectieprocessen die ze herkennen snel uitschakelen zodra ze een systeem binnenkomen voordat ze worden gedetecteerd, waardoor ze onopgemerkt blijven. Samhain gebruikt steganografische technieken om zijn processen voor anderen te verbergen. Het beschermt ook zijn centrale logboekbestanden en configuratieback-ups met een PGP-sleutel om geknoei te voorkomen.

4. fail2ban

fail2ban is een gratis en open-source host-inbraakdetectiesysteem dat ook enkele inbraakpreventiemogelijkheden biedt. De softwaretool controleert logbestanden op verdachte activiteiten en gebeurtenissen zoals mislukte inlogpogingen, misbruik zoeken, enz. De standaardactie van de tool, wanneer het iets verdachts detecteert, is om automatisch de lokale firewallregels bij te werken om het bron-IP-adres van de kwaadaardig gedrag. In werkelijkheid is dit geen echte inbraakpreventie, maar eerder een inbraakdetectiesysteem met automatische herstelfuncties. Wat we zojuist hebben beschreven, is de standaardactie van het hulpprogramma, maar alle andere willekeurige acties, zoals het verzenden van e-mailmeldingen, kunnen ook worden geconfigureerd, waardoor het zich meer als een "klassieker" indringingsdetectiesysteem gedraagt.

Fail2Ban Screenshot

fail2ban wordt aangeboden met verschillende vooraf gebouwde filters voorenkele van de meest voorkomende services zoals Apache, SSH, FTP, Postfix en nog veel meer. Preventie, zoals we hebben uitgelegd, wordt uitgevoerd door de firewalltabellen van de host te wijzigen. De tool kan werken met Netfilter, IPtables of de hosts.deny-tabel van TCP Wrapper. Elk filter kan aan een of meerdere acties worden gekoppeld.

5. ASSISTENT

De Geavanceerde inbraakdetectieomgevingof ASSISTENT, is een ander gratis host inbraakdetectiesysteemDeze richt zich voornamelijk op rootkitdetectie en vergelijking van bestandskenmerken. Wanneer u het voor het eerst installeert, zal het hulpprogramma een soort database met beheerdersgegevens samenstellen uit de configuratiebestanden van het systeem. Deze database kan vervolgens worden gebruikt als een basislijn waarmee elke wijziging kan worden vergeleken en eventueel kan worden teruggedraaid.

AIDE Screenshot

ASSISTENT maakt gebruik van zowel op handtekeningen gebaseerd alsop anomalie gebaseerde detectieschema's. Dit is een tool die op aanvraag wordt uitgevoerd en niet gepland of continu wordt uitgevoerd. Dit is zelfs het grootste nadeel van het product. Omdat het echter een opdrachtregelprogramma is en niet op basis van een GUI, kan er een cron-taak worden gemaakt om deze met regelmatige tussenpozen uit te voeren. Als u ervoor kiest om het hulpprogramma vaak uit te voeren, zoals elke minuut, krijgt u bijna realtime gegevens en hebt u tijd om te reageren voordat een inbraakpoging te ver is gegaan en veel schade heeft aangericht.

In de kern ASSISTENT is slechts een hulpmiddel om gegevens te vergelijken, maar met de hulpvan een paar externe geplande scripts kan het worden omgezet in een echte HIDS. Houd er echter rekening mee dat dit in wezen een lokaal hulpmiddel is. Het heeft geen gecentraliseerd beheer en geen chique GUI.

6. Sagan

Als laatste op onze lijst staat Sagan, wat eigenlijk meer een loganalysesysteem isdan een echte IDS. Het heeft echter een aantal IDS-achtige functies en daarom verdient het een plaats op onze lijst. De tool controleert lokaal de logbestanden van het systeem waar het is geïnstalleerd, maar kan ook samenwerken met andere tools. Het zou bijvoorbeeld de logs van Snort kunnen analyseren, waardoor de NIDS-functionaliteit van Snort effectief wordt toegevoegd aan wat in wezen een HIDS is. Het zal niet alleen communiceren met Snort. Sagan kan ook communiceren met Suricata en het is compatibel met verschillende tools voor het bouwen van regels, zoals Oinkmaster of Pulled Pork.

Sagan Screenshot

Sagan heeft ook scriptuitvoermogelijkheden die dat kunnenmaak er een ruw indringingspreventiesysteem van, op voorwaarde dat u enkele remediëringsscripts ontwikkelt. Hoewel dit hulpprogramma waarschijnlijk niet als uw enige verdediging tegen inbraak wordt gebruikt, kan het een geweldig onderdeel van een systeem zijn dat veel hulpprogramma's kan bevatten door gebeurtenissen uit verschillende bronnen te correleren.

Lees ook

Voer netwerkbeveiligingsaudit uit met Nmap Security Scanner
Windows Hosts bewerken en herstellen Bestand- en blokkeer websites met Host Mechanic
SolarWinds Threat Monitor - REVIEW 2019 (geavanceerde bedreigingsdetectie en monitoring)
SolarWinds Log & Event Manager vs Splunk - Een vergelijkende review
Remote Access Trojans (RAT's) - Wat zijn ze en hoe te beschermen tegen hen?
7 Beste inbraakpreventiesystemen (IPS) voor 2019
Netwerkgebaseerde inbraakdetectiesystemen: 5 beste NIDS-tools om te gebruiken
6 beste beveiligingsinformatie en Event Management (SIEM) tools die het bekijken waard zijn in 2019
14 beste netwerkbeveiligingstools voor veiligere omgevingen in 2019
Top 10 inbraakdetectietools: uw beste gratis opties voor 2019
De ultieme gids voor netwerkbeveiliging - inclusief essentiële hulpmiddelen
Ok Google-detectie toevoegen aan alle schermen op uw apparaat [Geen root]

Comments