Parece que todo mundo hoje em dia está preocupadocom segurança. Faz sentido quando se considera a importância da cibercriminalidade. As organizações são alvo de hackers que tentam roubar seus dados ou causar-lhes outros danos. Uma maneira de proteger seu ambiente de TI contra esses ataques é através do uso das ferramentas e sistemas corretos. Freqüentemente, a primeira linha de defesa está no perímetro da rede na forma de sistemas de detecção de intrusão baseados em rede ou NIDS. Esses sistemas analisam o tráfego que chega ao seurede da Internet para detectar qualquer atividade suspeita e alertá-lo imediatamente. Os NIDS são tão populares e muitos deles estão disponíveis. Encontrar o melhor para suas necessidades pode ser um empreendimento desafiador. Para ajudá-lo, reunimos esta lista dos melhores sistemas de detecção de intrusão baseados em rede.
Começaremos nossa jornada dando uma olhada nodiferentes tipos de sistema de detecção de intrusão. Essencialmente, existem dois tipos: baseado em rede e host. Vamos explicar as diferenças deles. Os sistemas de detecção de intrusão também diferem no método de detecção usado. Alguns deles usam uma abordagem baseada em assinaturas, enquanto outros confiam na análise comportamental. As melhores ferramentas usam uma combinação dos dois métodos de detecção. O mercado está saturado com os sistemas de detecção e prevenção de invasões. Vamos explorar como elas diferem e como são semelhantes, pois é importante entender a distinção. Por fim, analisaremos os melhores sistemas de detecção de intrusão baseados em rede e apresentaremos os recursos mais importantes.
Detecção de intrusão baseada em rede versus host
Os sistemas de detecção de intrusão são de um dos doistipos. Ambos compartilham um objetivo idêntico - detectar rapidamente tentativas de invasão ou atividade suspeita potencialmente levando a tentativas de invasão -, mas diferem no local do ponto de execução que se refere ao local em que a detecção é realizada. Cada tipo de ferramenta de detecção de intrusões tem vantagens e desvantagens. Não existe um consenso real sobre qual deles é preferível. Alguns juram por um tipo, enquanto outros só confiam no outro. Ambos provavelmente estão certos. A melhor solução - ou a mais segura - é provavelmente aquela que combina os dois tipos.
Sistemas de detecção de intrusão de rede (NIDS)
O primeiro tipo de sistema de detecção de intrusão échamado Sistema de detecção de intrusão de rede ou NIDS. Esses sistemas funcionam na fronteira da rede para impor a detecção. Eles interceptam e examinam o tráfego de rede, procurando atividades suspeitas que possam indicar uma tentativa de invasão e também procurando padrões conhecidos de invasão. Os invasores geralmente tentam explorar vulnerabilidades conhecidas de vários sistemas, por exemplo, enviando pacotes malformados aos hosts, fazendo-os reagir de uma maneira específica que permite que eles sejam violados. Um sistema de detecção de intrusões de rede provavelmente detectará esse tipo de tentativa de invasão.
Alguns argumentam que a detecção de intrusão de redeOs sistemas são melhores do que seus equivalentes baseados em host, pois podem detectar ataques mesmo antes de chegarem aos seus sistemas. Alguns também tendem a preferi-los porque não precisam instalar nada em cada host para protegê-los efetivamente. Por outro lado, eles fornecem pouca proteção contra ataques internos, que infelizmente não são de todo incomuns. Para ser detectada, a tentativa de invasão de um invasor deve passar pelo NIDS, o que raramente ocorre quando é originário de dentro. Qualquer tecnologia tem prós e contras e, no caso específico de detecção de intrusões, nada impede você de usar os dois tipos de ferramentas para a proteção máxima.
Sistemas de detecção de intrusão de host (HIDS)
Os sistemas de detecção de intrusão de host (HIDS) operamno nível do host; você deve ter adivinhado isso pelo nome deles. Eles irão, por exemplo, monitorar vários arquivos de registro e diários em busca de sinais de atividades suspeitas. Outra maneira de detectar tentativas de invasão é verificar os arquivos de configuração do sistema em busca de alterações não autorizadas. Eles também podem examinar esses mesmos arquivos quanto a padrões de intrusão conhecidos específicos. Por exemplo, um método de intrusão específico pode funcionar, adicionando um determinado parâmetro a um arquivo de configuração específico. Um bom sistema de detecção de intrusões baseado em host capturaria isso.
Embora o nome deles possa levar você a pensar quetodos os HIDS são instalados diretamente no dispositivo que devem proteger, não é necessariamente o caso. Alguns precisarão ser instalados em todos os seus computadores, enquanto outros exigirão apenas a instalação de um agente local. Alguns até fazem todo o seu trabalho remotamente sem agente. Não importa como eles operem, a maioria dos HIDS possui um console centralizado, no qual você pode controlar todas as instâncias do aplicativo e visualizar todos os resultados.
Métodos de detecção de intrusão
Os sistemas de detecção de intrusão não diferem apenas porNo ponto de imposição, eles também diferem pelo método usado para detectar tentativas de invasão. Alguns são baseados em assinaturas, enquanto outros são baseados em anomalias. Os primeiros funcionam analisando dados para padrões específicos que foram associados a tentativas de invasão. Isso é semelhante aos sistemas tradicionais de proteção contra vírus, que dependem das definições de vírus. A detecção de intrusão baseada em assinatura depende de assinaturas ou padrões de intrusão. Eles comparam dados capturados com assinaturas de intrusão para identificar tentativas de invasão. Obviamente, eles não funcionarão até que a assinatura adequada seja carregada no software, o que às vezes pode acontecer apenas após um certo número de máquinas ter sido atacado e os editores de assinaturas de invasão tiveram tempo para publicar novos pacotes de atualização. Alguns fornecedores são bastante rápidos, enquanto outros só podem reagir dias depois. Essa é a principal desvantagem desse método de detecção.
A detecção de intrusão baseada em anomalias fornece melhorproteção contra ataques de dia zero, aqueles que acontecem antes que qualquer software de detecção de intrusão tenha a chance de adquirir o arquivo de assinatura adequado. Eles procuram anomalias em vez de tentar reconhecer padrões de intrusão conhecidos. Por exemplo, alguém tentando acessar um sistema com uma senha errada várias vezes seguidas acionaria um alerta, pois esse é um sinal comum de um ataque de força bruta. Esses sistemas podem detectar rapidamente qualquer atividade suspeita na rede. Cada método de detecção tem vantagens e desvantagens e, assim como nos dois tipos de ferramentas, as melhores ferramentas provavelmente são aquelas que utilizam uma combinação de análise de assinatura e comportamento.
Detecção ou prevenção?
Algumas pessoas tendem a ficar confusas entresistemas de detecção e prevenção de intrusões. Embora estejam intimamente relacionados, não são idênticos, embora exista alguma sobreposição de funcionalidade entre os dois. Como o nome sugere, os sistemas de detecção de intrusão detectam tentativas de invasão e atividades suspeitas. Quando detectam algo, normalmente acionam alguma forma de alerta ou notificação. Cabe aos administradores tomar as medidas necessárias para interromper ou bloquear a tentativa de invasão.
Sistemas de prevenção de intrusões (IPS) dão um passoainda mais e pode impedir que intrusões aconteçam completamente. Os sistemas de prevenção de intrusões incluem um componente de detecção - que é funcionalmente equivalente a um sistema de detecção de intrusões - que acionará alguma ação corretiva automática sempre que uma tentativa de intrusão for detectada. Nenhuma intervenção humana é necessária para interromper a tentativa de invasão. A prevenção de intrusões também pode se referir a qualquer coisa que seja feita ou implementada como forma de impedir invasões. Por exemplo, o fortalecimento de senha ou o bloqueio de invasores podem ser considerados medidas de prevenção contra invasões.
As melhores ferramentas de detecção de intrusão de rede
Pesquisamos no mercado o melhorSistemas de detecção de intrusão baseados em rede. Nossa lista contém uma combinação de verdadeiros sistemas de detecção de intrusões baseados em host e outros softwares que possuem um componente de detecção de intrusões na rede ou que podem ser usados para detectar tentativas de invasão. Cada uma das nossas ferramentas recomendadas pode ajudar a detectar tentativas de invasão na sua rede.
1. Monitor de ameaças SolarWinds - Edição IT Ops (Demo GRÁTIS)
SolarWinds é um nome comum no campo deferramentas de administração de rede. A empresa existe há cerca de 20 anos e nos trouxe algumas das melhores ferramentas de administração de redes e sistemas. Seu principal produto, o Network Performance Monitor, pontua consistentemente entre as principais ferramentas de monitoramento de largura de banda da rede. O SolarWinds também oferece excelentes ferramentas gratuitas, cada uma abordando uma necessidade específica dos administradores de rede. O Kiwi Syslog Server e a Calculadora de sub-rede avançada são dois bons exemplos disso.
Para detecção de intrusão baseada em rede, a SolarWinds oferece o Monitor de ameaças - Edição de operações de TI. Ao contrário da maioria das outras ferramentas SolarWinds, esteum é um serviço baseado em nuvem e não um software instalado localmente. Você simplesmente assina, configura e começa a observar seu ambiente em busca de tentativas de invasão e mais alguns tipos de ameaças. o Monitor de ameaças - Edição de operações de TI combina várias ferramentas. Ele possui detecção de intrusão baseada em rede e host, além de centralização e correlação de log, além de gerenciamento de informações e eventos de segurança (SIEM). É um conjunto de monitoramento de ameaças muito completo.
- DEMO GRÁTIS: Monitor de ameaças SolarWinds - Edição IT Ops
- Link para download oficial: https://www.solarwinds.com/threat-monitor/registration
o Monitor de ameaças - Edição de operações de TI está sempre atualizado, sendo atualizado constantementeinteligência de ameaças de várias fontes, incluindo IP e bancos de dados de reputação de domínio. Ele observa ameaças conhecidas e desconhecidas. A ferramenta apresenta respostas inteligentes e automatizadas para remediar rapidamente incidentes de segurança, oferecendo alguns recursos semelhantes a prevenção de intrusões.
Os recursos de alerta do produto são bastanteimpressionante. Existem alarmes multicondicionais e correlacionados que funcionam em conjunto com o mecanismo de resposta ativa da ferramenta e ajudam a identificar e resumir eventos importantes. O sistema de relatórios é tão bom quanto seus alertas e pode ser usado para demonstrar conformidade usando modelos de relatório pré-criados existentes. Como alternativa, você pode criar relatórios personalizados para atender com precisão às suas necessidades de negócios.
Preços para o Monitor de ameaças SolarWinds - Edição IT Ops começam em US $ 4 500 para até 25 nós com 10 diasdo índice. Você pode entrar em contato com a SolarWinds para obter uma cotação detalhada adaptada às suas necessidades específicas. E se você preferir ver o produto em ação, pode solicitar uma demonstração gratuita da SolarWinds.
2. Snort
Snort é certamente o NIDS de código aberto mais conhecido. Mas Snort é realmente mais do que uma ferramenta de detecção de intrusões. É também um farejador de pacotes e um registrador de pacotes, além de outras funções. Por enquanto, vamos nos concentrar nos recursos de detecção de intrusão da ferramenta, pois este é o assunto desta postagem. A configuração do produto é uma reminiscência da configuração de um firewall. É configurado usando regras. Você pode baixar regras básicas a partir do Snort site e use-os como estão ou personalize-os de acordo com suas necessidades específicas. Você também pode assinar Snort regras para obter automaticamente todas as regras mais recentes à medida que evoluem ou à medida que novas ameaças são descobertas.
Ordenar é muito completo e até suas regras básicas podemdetecte uma ampla variedade de eventos, como varreduras de portas furtivas, ataques de estouro de buffer, ataques de CGI, análises de SMB e impressões digitais do SO. Praticamente não há limite para o que você pode detectar com esta ferramenta e o que ela detecta depende exclusivamente do conjunto de regras que você instala. Quanto aos métodos de detecção, algumas das regras básicas do Snort são baseadas em assinaturas, enquanto outras são baseadas em anomalias. O Snort pode, portanto, oferecer o melhor dos dois mundos.
3. Suricata
Suricata não é apenas um sistema de detecção de intrusões. Ele também possui alguns recursos de prevenção de intrusões. De fato, é anunciado como um ecossistema completo de monitoramento de segurança de rede. Um dos melhores ativos da ferramenta é como ela funciona até a camada do aplicativo. Isso o torna um sistema híbrido baseado em rede e host, que permite que a ferramenta detecte ameaças que provavelmente passariam despercebidas por outras ferramentas.
Suricata é uma verdadeira detecção de intrusão baseada em redeSistema e não funciona apenas na camada do aplicativo. Ele monitorará os protocolos de rede de nível inferior, como TLS, ICMP, TCP e UDP. A ferramenta também entende e decodifica protocolos de nível superior, como HTTP, FTP ou SMB e pode detectar tentativas de invasão ocultas em solicitações normais. A ferramenta também possui recursos de extração de arquivos, permitindo que os administradores examinem qualquer arquivo suspeito.
SuricataA arquitetura de aplicativos da empresa é bastante inovadora. A ferramenta distribuirá sua carga de trabalho por vários núcleos e threads de processador para obter o melhor desempenho. Se necessário, ele pode até descarregar parte de seu processamento na placa de vídeo. Esse é um ótimo recurso ao usar a ferramenta em servidores, pois sua placa gráfica geralmente é subutilizada.
4. Mano Monitor de segurança de rede
o Monitor de segurança de rede Bro, outro sistema gratuito de detecção de intrusões de rede. A ferramenta opera em duas fases: registro de tráfego e análise de tráfego. Assim como Suricata, Monitor de segurança de rede Bro opera em várias camadas na camada de aplicação. Isso permite uma melhor detecção de tentativas de intrusão divididas. o Monitor de segurança de rede BroO módulo de análise é composto por dois elementos. O primeiro elemento é chamado de mecanismo de eventos e rastreia eventos acionadores, como conexões TCP líquidas ou solicitações HTTP. Os eventos são então analisados por scripts de política, o segundo elemento, que decide se deve ou não acionar um alarme e / ou iniciar uma ação. A possibilidade de iniciar uma ação dá ao Monitor de segurança de rede Bro algumas funcionalidades do tipo IPS.
o Monitor de segurança de rede Bro permitirá rastrear a atividade HTTP, DNS e FTPe também monitorará o tráfego SNMP. Isso é bom porque o SNMP é frequentemente usado para monitoramento de rede, mas não é um protocolo seguro. E, como também pode ser usado para modificar configurações, pode ser explorado por usuários mal-intencionados. A ferramenta também permitirá que você assista alterações na configuração do dispositivo e SNMP Traps. Ele pode ser instalado no Unix, Linux e OS X, mas não está disponível para Windows, o que talvez seja sua principal desvantagem.
5. Cebola de Segurança
É difícil definir o que o Cebola de Segurança é. Não é apenas um sistema de detecção ou prevenção de intrusões. Na verdade, é uma distribuição completa do Linux, com foco na detecção de intrusões, monitoramento de segurança corporativa e gerenciamento de logs. Como tal, pode economizar muito tempo aos administradores. Inclui muitas ferramentas, algumas das quais acabamos de revisar. O Security Onion inclui Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner e muito mais. Para facilitar a configuração, a distribuição é fornecida com um assistente de instalação fácil de usar, permitindo proteger sua organização em questão de minutos. Se tivéssemos que descrever o Cebola de Segurança em uma frase, diríamos que é o canivete suíço da segurança corporativa de TI.
Uma das coisas mais interessantes sobre issoferramenta é que você obtém tudo em uma instalação simples. Para a detecção de intrusões, a ferramenta fornece ferramentas de detecção de intrusões baseadas em rede e em host. O pacote também combina ferramentas que usam uma abordagem baseada em assinaturas e ferramentas baseadas em anomalias. Além disso, você encontrará uma combinação de ferramentas baseadas em texto e GUI. Existe realmente uma excelente combinação de ferramentas de segurança. Há uma desvantagem principal na cebola de segurança. Com tantas ferramentas incluídas, configurá-las todas pode se tornar uma tarefa considerável. No entanto, você não precisa usar e configurar todas as ferramentas. Você é livre para escolher apenas aqueles que deseja usar. Mesmo se você usar apenas algumas das ferramentas incluídas, provavelmente seria uma opção mais rápida do que instalá-las separadamente.
Comentários