Nie chciałbym zabrzmieć zbyt paranoicznie, chociaż japrawdopodobnie tak, ale cyberprzestępczość jest wszędzie. Każda organizacja może stać się celem hakerów próbujących uzyskać dostęp do swoich danych. Dlatego sprawą najwyższej wagi jest pilnowanie wszystkiego i dopilnowanie, abyśmy nie padli ofiarą tych złych zamiarów. Pierwszą linią obrony jest System wykrywania włamań. Oparte na hoście systemy stosują swoje wykrywanie na poziomie hosta i zazwyczaj szybko wykrywają większość prób włamań i natychmiast powiadamiają cię, abyś mógł naprawić sytuację. Przy tak wielu wykrywaniu włamań opartych na hościedostępne systemy, wybór najlepszego dla konkretnej sytuacji może wydawać się wyzwaniem. Aby pomóc Ci wyraźnie zobaczyć, przygotowaliśmy listę najlepszych systemów wykrywania włamań opartych na hoście.
Zanim ujawnimy najlepsze narzędzia, przejdziemy na boczny torkrótko i spójrz na różne typy systemów wykrywania włamań. Niektóre są oparte na hoście, a inne na sieci. Wyjaśnimy różnice. Następnie omówimy różne metody wykrywania włamań. Niektóre narzędzia mają podejście oparte na sygnaturach, podczas gdy inne szukają podejrzanych zachowań. Najlepsi używają kombinacji obu. Zanim przejdziemy dalej, wyjaśnimy różnice między systemami wykrywania włamań a systemami zapobiegania włamaniom, ponieważ ważne jest, aby zrozumieć, na co patrzymy. Będziemy wtedy przygotowani na istotę tego postu, najlepsze systemy wykrywania włamań oparte na hoście.
Dwa rodzaje systemów wykrywania włamań
Istnieją zasadniczo dwa rodzaje włamańSystemy detekcji. Chociaż ich cel jest identyczny - aby szybko wykryć każdą próbę włamania lub podejrzaną aktywność, która może prowadzić do próby włamania, różnią się one lokalizacją, w której wykrywanie jest przeprowadzane. Jest to koncepcja często nazywana punktem egzekwowania. Każdy typ ma zalety i wady i, ogólnie mówiąc, nie ma zgody co do tego, który z nich jest lepszy. W rzeczywistości najlepszym rozwiązaniem - lub najbezpieczniejszym - jest prawdopodobnie takie, które łączy oba te elementy.
Systemy wykrywania włamań hosta (HIDS)
Pierwszy rodzaj systemu wykrywania włamań,ten, którym jesteśmy dzisiaj zainteresowani, działa na poziomie hosta. Być może zgadłeś z jego nazwy. HIDS sprawdza na przykład różne pliki dziennika i dzienniki pod kątem podejrzanych działań. Innym sposobem wykrywania prób włamań jest sprawdzanie ważnych plików konfiguracyjnych pod kątem nieautoryzowanych zmian. Mogą również sprawdzać te same pliki konfiguracyjne pod kątem określonych znanych wzorców włamań. Na przykład, znana może być metoda określonego włamania, która dodaje określony parametr do określonego pliku konfiguracyjnego. Złapałby to dobry system wykrywania włamań oparty na hoście.
W większości przypadków HIDS są instalowane bezpośrednio naurządzenia, które mają chronić. Będziesz musiał zainstalować je na wszystkich komputerach. Inne będą wymagać jedynie instalacji lokalnego agenta. Niektórzy nawet wykonują całą pracę zdalnie. Bez względu na to, jak działają, dobre HIDS mają scentralizowaną konsolę, w której możesz kontrolować aplikację i przeglądać jej wyniki.
Sieciowe systemy wykrywania włamań (NIDS)
Inny rodzaj systemu wykrywania włamań o nazwieSieciowe systemy wykrywania włamań lub NIDS działają na granicy sieci w celu wymuszenia wykrywania. Używają podobnych metod, jak systemy wykrywania włamań hosta, takie jak wykrywanie podejrzanych działań i wyszukiwanie znanych wzorców włamań. Ale zamiast patrzeć na dzienniki i pliki konfiguracyjne, obserwują ruch sieciowy i sprawdzają każde żądanie połączenia. Niektóre metody włamań wykorzystują znane luki w zabezpieczeniach, wysyłając do hostów specjalnie zniekształcone pakiety, co powoduje, że reagują one w określony sposób, umożliwiając ich naruszenie. System wykrywania włamań do sieci z łatwością wykryłby tego rodzaju próby.
Niektórzy twierdzą, że NIDS są lepsze niż HIDSwykrywaj ataki nawet zanim dotrą do twoich systemów. Niektórzy wolą je, ponieważ nie wymagają instalowania niczego na każdym hoście, aby skutecznie je chronić. Z drugiej strony zapewniają niewielką ochronę przed atakami z wykorzystaniem informacji poufnych, które niestety nie są wcale rzadkie. Aby zostać wykrytym, atakujący musi użyć ścieżki, która przechodzi przez NIDS. Z tych powodów najlepsza ochrona prawdopodobnie pochodzi z kombinacji obu rodzajów narzędzi.
Metody wykrywania włamań
Tak jak istnieją dwa rodzaje wtargnięcianarzędzia wykrywania, istnieją głównie dwie różne metody wykrywania prób włamań. Wykrywanie może być oparte na sygnaturach lub anomalii. Wykrywanie włamań oparte na sygnaturach polega na analizie danych pod kątem określonych wzorców powiązanych z próbami włamań. Jest to podobne do tradycyjnych systemów ochrony przed wirusami, które opierają się na definicjach wirusów. Podobnie wykrywanie włamań oparte na sygnaturach opiera się na sygnaturach lub wzorcach włamań. Porównują dane z sygnaturami włamań, aby zidentyfikować próby. Ich główną wadą jest to, że nie działają, dopóki odpowiednie podpisy nie zostaną przesłane do oprogramowania. Niestety zwykle dzieje się tak dopiero po zaatakowaniu pewnej liczby maszyn i wydaniu sygnatur włamań, którzy mieli czas na opublikowanie nowych pakietów aktualizacji. Niektórzy dostawcy są dość szybcy, podczas gdy inni mogą zareagować dopiero kilka dni później.
Drugie jest wykrywanie wtargnięcia oparte na anomaliimetoda zapewnia lepszą ochronę przed atakami zero-day, tymi, które zdarzają się, zanim jakiekolwiek oprogramowanie do wykrywania włamań ma szansę uzyskać odpowiedni plik podpisu. Systemy te szukają anomalii zamiast próbować rozpoznać znane wzorce włamań. Na przykład, mogą zostać uruchomione, jeśli ktoś spróbuje uzyskać dostęp do systemu z niewłaściwym hasłem kilka razy z rzędu, co jest powszechną oznaką ataku siłowego. Każde podejrzane zachowanie można szybko wykryć. Każda metoda wykrywania ma swoje zalety i wady. Podobnie jak w przypadku rodzajów narzędzi, najlepszymi narzędziami są te, które wykorzystują połączenie analizy sygnatur i zachowania w celu zapewnienia najlepszej ochrony.
Wykrywanie Vs Zapobieganie - ważne rozróżnienie
Rozmawialiśmy o systemach wykrywania włamańale wielu z was mogło słyszeć o systemach zapobiegania włamaniom. Czy te dwie koncepcje są identyczne? Łatwa odpowiedź brzmi „nie”, ponieważ dwa rodzaje narzędzi służą do różnych celów. Jednak niektóre z nich się pokrywają. Jak sama nazwa wskazuje, system wykrywania włamań wykrywa próby włamań i podejrzane działania. Kiedy coś wykryje, zwykle wywołuje jakąś formę powiadomienia lub powiadomienia. Administratorzy muszą następnie podjąć niezbędne kroki, aby zatrzymać lub zablokować próbę włamania.
Systemy zapobiegania włamaniom (IPS) są stworzone dopowstrzymajcie ingerencje całkowicie. Aktywny IPS zawiera komponent wykrywający, który automatycznie wyzwoli pewne działania naprawcze za każdym razem, gdy zostanie wykryta próba włamania. Zapobieganie włamaniom może być również pasywne. Termin ten może być używany w odniesieniu do wszystkiego, co zostało zrobione lub wprowadzone jako sposób zapobiegania włamaniom. Na przykład wzmocnienie hasła można traktować jako środek zapobiegania włamaniom.
Najlepsze narzędzia do wykrywania włamań hosta
Przeszukaliśmy rynek w celu znalezienia najlepszego hostasystemy wykrywania włamań. Mamy dla Ciebie połączenie prawdziwego HIDS i innego oprogramowania, które, choć nie nazywają się systemami wykrywania włamań, ma element wykrywający włamanie lub może być użyte do wykrywania prób włamań. Przejrzyjmy nasze najpopularniejsze typy i zobaczmy ich najlepsze funkcje.
1. Menedżer dzienników i zdarzeń SolarWinds (Bezpłatny okres próbny)
Nasz pierwszy wpis pochodzi od SolarWinds, popularnej nazwyw dziedzinie narzędzi do administrowania siecią. Firma istnieje od około 20 lat i dostarczyła nam jedne z najlepszych narzędzi do zarządzania siecią i systemem. Dobrze znane jest także wiele bezpłatnych narzędzi, które zaspokajają określone potrzeby administratorów sieci. Dwa świetne przykłady tych bezpłatnych narzędzi to serwer Kiwi Syslog i zaawansowany kalkulator podsieci.
Nie pozwól Menedżer dzienników i zdarzeń SolarWindsImię cię zwiedzie. To znacznie więcej niż tylko system zarządzania logami i zdarzeniami. Wiele zaawansowanych funkcji tego produktu umieszcza go w zakresie informacji o bezpieczeństwie i zarządzania zdarzeniami (SIEM). Inne funkcje kwalifikują go jako system wykrywania włamań, a nawet, w pewnym stopniu, jako system zapobiegania włamaniom. To narzędzie oferuje na przykład korelację zdarzeń w czasie rzeczywistym i środki zaradcze w czasie rzeczywistym.
- BEZPŁATNA WERSJA PRÓBNA: Menedżer dzienników i zdarzeń SolarWinds
- Oficjalny link do pobrania: https://www.solarwinds.com/log-event-manager-software/registration
The Menedżer dzienników i zdarzeń SolarWinds umożliwia natychmiastowe wykrycie podejrzanegoaktywność (funkcjonalność podobna do IDS) i automatyczne odpowiedzi (funkcjonalność podobna do IPS). Może także przeprowadzać dochodzenie w sprawie zdarzeń bezpieczeństwa i kryminalistykę, zarówno w celu ograniczenia ryzyka, jak i zapewnienia zgodności. Dzięki sprawdzonemu raportowaniu raport może być również wykorzystywany do wykazania zgodności między innymi z HIPAA, PCI-DSS i SOX. Narzędzie ma również monitorowanie integralności plików i monitorowanie urządzeń USB, co czyni go bardziej zintegrowaną platformą bezpieczeństwa niż tylko systemem zarządzania dziennikami i zdarzeniami.
Ceny za Menedżer dzienników i zdarzeń SolarWinds zaczyna się od 4585 USD za maksymalnie 30 monitorowanych węzłów. Można kupić licencje na maksymalnie 2500 węzłów, dzięki czemu produkt jest wysoce skalowalny. Jeśli chcesz wziąć produkt na próbę i przekonać się, czy jest on odpowiedni dla Ciebie, dostępna jest bezpłatna 30-dniowa wersja próbna.
2. OSSEC
Bezpieczeństwo Open Sourcelub OSSEC, jest zdecydowanie wiodącym hostem typu open sourcesystem wykrywania włamań. Produkt jest własnością Trend Micro, jednej z wiodących marek w dziedzinie bezpieczeństwa IT i twórcy jednego z najlepszych pakietów ochrony antywirusowej. Oprogramowanie zainstalowane w systemach operacyjnych typu Unix koncentruje się przede wszystkim na plikach dziennika i konfiguracyjnych. Tworzy sumy kontrolne ważnych plików i okresowo je sprawdza, ostrzegając cię, gdy wydarzy się coś dziwnego. Będzie także monitorować i ostrzegać o wszelkich nietypowych próbach uzyskania dostępu do konta root. Na hostach Windows system monitoruje również nieautoryzowane modyfikacje rejestru, które mogą wskazywać na złośliwą aktywność.
Dzięki temu, że jest to oparty na hoście system wykrywania włamań, OSSEC musi być zainstalowany na każdym komputerze, który chcesz chronić. Jednak scentralizowana konsola konsoliduje informacje z każdego chronionego komputera w celu łatwiejszego zarządzania. Podczas OSSEC konsola działa tylko w systemach operacyjnych typu Unix,dostępny jest agent do ochrony hostów Windows. Każde wykrycie spowoduje wyświetlenie ostrzeżenia, które zostanie wyświetlone na scentralizowanej konsoli, a powiadomienia zostaną również wysłane pocztą e-mail.
3. Samhain
Samhain to kolejna dobrze znana intruzja hostasystem detekcji. Jego główne cechy, z punktu widzenia IDS, to sprawdzanie integralności plików oraz monitorowanie / analiza plików dziennika. Ale robi o wiele więcej. Produkt wykona wykrywanie rootkitów, monitorowanie portów, wykrywanie nieuczciwych plików wykonywalnych SUID i ukrytych procesów. Narzędzie zostało zaprojektowane do monitorowania wielu hostów z różnymi systemami operacyjnymi, zapewniając jednocześnie scentralizowane rejestrowanie i konserwację. Jednak, Samhain może być również używany jako samodzielna aplikacja napojedynczy komputer. Oprogramowanie działa przede wszystkim w systemach POSIX, takich jak Unix, Linux lub OS X. Można go również uruchomić w systemie Windows pod Cygwin, pakietem umożliwiającym uruchamianie aplikacji POSIX w systemie Windows, chociaż w tej konfiguracji przetestowano tylko agenta monitorowania.
Jeden z SamhainNajbardziej unikalną cechą jest tryb ukrycia, którypozwala na uruchomienie bez wykrycia przez potencjalnych napastników. Intruzi znani są z tego, że szybko zabijają rozpoznane procesy, gdy tylko wchodzą do systemu, zanim zostaną wykryte, co pozwala im pozostać niezauważonymi. Samhain wykorzystuje techniki steganograficzne, aby ukryć swoje procesy przed innymi. Chroni także swoje centralne pliki dziennika i kopie zapasowe konfiguracji za pomocą klucza PGP, aby zapobiec manipulacjom.
4. Fail2Ban
Fail2Ban jest wtargnięciem hosta za darmo i typu open sourcesystem wykrywania, który oferuje również pewne funkcje zapobiegania włamaniom. Narzędzie monitoruje pliki dziennika pod kątem podejrzanych działań i zdarzeń, takich jak nieudane próby logowania, wyszukiwanie exploitów itp. Domyślnym działaniem narzędzia, gdy tylko wykryje coś podejrzanego, jest automatyczna aktualizacja lokalnych reguł zapory sieciowej w celu zablokowania źródłowego adresu IP złośliwe zachowanie. W rzeczywistości nie jest to prawdziwe zapobieganie włamaniom, ale raczej system wykrywania włamań z funkcjami automatycznego usuwania. To, co właśnie opisaliśmy, jest domyślną akcją narzędzia, ale każde inne arbitralne działanie - takie jak wysyłanie powiadomień e-mail - można również skonfigurować, dzięki czemu zachowuje się jak bardziej „klasyczny” system wykrywania włamań.
Fail2Ban jest oferowany z różnymi gotowymi filtrami dlaniektóre z najbardziej popularnych usług, takich jak Apache, SSH, FTP, Postfix i wiele innych. Jak wyjaśniliśmy, zapobieganie odbywa się poprzez modyfikację tabel zapory hosta. Narzędzie może współpracować z Netfilter, IPtables lub tabelą hosts.deny programu TCP Wrapper. Każdy filtr może być powiązany z jedną lub wieloma czynnościami.
5. AIDE
The Zaawansowane środowisko wykrywania włamańlub AIDE, to kolejny darmowy system wykrywania włamań hostaTen koncentruje się głównie na wykrywaniu rootkitów i porównywaniu sygnatur plików. Podczas pierwszej instalacji narzędzie skompiluje rodzaj bazy danych danych administracyjnych z plików konfiguracyjnych systemu. Ta baza danych może być następnie wykorzystana jako punkt odniesienia, z którym można porównać każdą zmianę i ewentualnie wycofać ją w razie potrzeby.
AIDE korzysta zarówno z podpisów, jak ischematy wykrywania oparte na anomaliach. Jest to narzędzie, które jest uruchamiane na żądanie i nie jest planowane ani stale uruchomione. W rzeczywistości jest to główna wada tego produktu. Ponieważ jednak jest to narzędzie wiersza polecenia, a nie oparte na interfejsie GUI, można utworzyć zadanie cron, aby uruchamiać je w regularnych odstępach czasu. Jeśli zdecydujesz się na częste uruchamianie tego narzędzia - na przykład raz na minutę - będziesz mieć prawie dane w czasie rzeczywistym i będziesz mieć czas na reakcję, zanim jakakolwiek próba włamania zajdzie zbyt daleko i spowoduje znaczne szkody.
U podstaw AIDE jest tylko narzędziem do porównywania danych, ale z pomocąz kilku zaplanowanych zewnętrznych skryptów można go przekształcić w prawdziwy HIDS. Pamiętaj jednak, że jest to zasadniczo narzędzie lokalne. Nie ma scentralizowanego zarządzania i nie ma fantazyjnego GUI.
6. Sagan
Ostatni na naszej liście jest Sagan, który w rzeczywistości jest bardziej systemem analizy dziennikówniż prawdziwy IDS. Ma jednak pewne cechy podobne do IDS i dlatego zasługuje na miejsce na naszej liście. Narzędzie lokalnie obserwuje pliki dziennika systemu, w którym jest zainstalowane, ale może także wchodzić w interakcje z innymi narzędziami. Może na przykład analizować dzienniki Snorta, skutecznie dodając funkcjonalność Snorta do Snorta do tego, co zasadniczo jest HIDS. Nie będzie po prostu oddziaływać na Snorta. Sagan może również współpracować z Suricata i jest kompatybilny z kilkoma narzędziami do budowania reguł, takimi jak Oinkmaster lub Pulled Pork.
Sagan ma również możliwości wykonywania skryptów, które mogąuczyń go prymitywnym systemem zapobiegania włamaniom, pod warunkiem, że opracujesz kilka skryptów naprawczych. Chociaż to narzędzie prawdopodobnie nie będzie używane jako jedyna ochrona przed włamaniami, może być świetnym składnikiem systemu, który może zawierać wiele narzędzi poprzez korelowanie zdarzeń z różnych źródeł.
Komentarze