Se pare că toată lumea este preocupată în aceste zilecu securitate. Are sens atunci când avem în vedere importanța criminalității cibernetice. Organizațiile sunt vizate de hackeri care încearcă să le fure datele sau să le provoace alte vătămări. O modalitate prin care vă puteți proteja mediul IT împotriva acestor atacuri este prin utilizarea instrumentelor și sistemelor potrivite. Adesea, prima linie de apărare se află la perimetrul rețelei sub forma sistemelor de detectare a intruziunilor bazate pe rețea sau NIDS. Aceste sisteme analizează traficul care vine pe dvs.rețea de pe internet pentru a detecta orice activitate suspectă și pentru a vă avertiza imediat. NIDS-ul este atât de popular și atât de mulți dintre ei sunt disponibili, decât găsirea celui mai potrivit pentru nevoile dvs. poate fi un efort dificil. Sa te ajut, am reunit această listă cu unele dintre cele mai bune sisteme de detectare a intruziunilor bazate în rețea.
Vom începe călătoria noastră aruncând o privire ladiferite tipuri de sistem de detectare a intruziunilor. În esență, există două tipuri: bazat pe rețea și bazat pe gazdă. Vom explica diferențele lor. Sistemele de detectare a intruziunilor diferă, de asemenea, de metoda de detectare pe care o folosesc. Unii dintre ei utilizează o abordare bazată pe semnături, în timp ce alții se bazează pe analiza comportamentală. Cele mai bune instrumente folosesc o combinație de ambele metode de detectare. Piața este saturată atât cu sisteme de detectare a intruziunilor, cât și de prevenire a intruziunilor. Vom explora modul în care diferă și cum sunt la fel, deoarece este important să înțelegem distincția. În cele din urmă, vom examina cele mai bune sisteme de detectare a intruziunilor bazate în rețea și vom prezenta cele mai importante caracteristici ale acestora.
Detecție de intruziune bazată pe rețea și gazdă
Sistemele de detectare a intruziunilor sunt una dintre douătipuri. Amândoi împărtășesc un obiectiv identic - detectarea rapidă a încercărilor de intruziune sau a activității suspecte care pot duce la încercări de intruziune, dar diferă în locația punctului de aplicare care se referă la locul unde se efectuează detectarea. Fiecare tip de instrument de detectare a intruziunilor prezintă avantaje și dezavantaje. Nu există un consens real cu privire la care este preferabil. Unii jură după un tip, în timp ce alții vor avea încredere în celălalt. Ambele au, probabil, dreptate. Cea mai bună soluție - sau cea mai sigură - este probabil cea care combină ambele tipuri.
Sisteme de detectare a intruziunilor de rețea (NIDS)
Primul tip de sistem de detectare a intruziunilor estenumit Network Intrusion Detection System sau NIDS. Aceste sisteme funcționează la granița rețelei pentru a impune detectarea. Ei interceptă și examinează traficul de rețea, căutând activități suspecte care ar putea indica o tentativă de intruziune și, de asemenea, căutând modele cunoscute de intruziune. Intrușii încearcă adesea să exploateze vulnerabilitățile cunoscute ale diferitelor sisteme, de exemplu, trimițând pachete malformate gazdelor, făcându-le să reacționeze într-un mod particular, care le permite să fie încălcate. Un sistem de detectare a intruziunilor în rețea va detecta cel mai probabil acest tip de tentativă de intruziune.
Unii susțin că detecția prin intruziuni în rețeaSistemele sunt mai bune decât omologul lor bazat pe gazdă, deoarece pot detecta atacuri chiar înainte de a ajunge la sistemele dvs. Unii au, de asemenea, tendința de a-i prefera, deoarece nu au nevoie să instaleze nimic pe fiecare gazdă pentru a-i proteja în mod eficient. Pe de altă parte, aceștia oferă puțină protecție împotriva atacurilor privilegiate care, din păcate, nu sunt deloc rareori. Pentru a fi detectat, încercarea de intruziune a unui atacator trebuie să treacă prin NIDS, ceea ce se întâmplă rar atunci când provine din interior. Orice tehnologie are pro și contra și este cazul specific de detectare a intruziunilor, nimic nu te împiedică să folosești ambele tipuri de instrumente pentru protecția finală.
Sisteme de detectare a intruziunilor gazdă (HIDS)
Sistemele de detectare a intruziunilor gazdelor funcționează (HIDS)la nivel de gazdă; poate ai ghicit asta din numele lor. Ei, de exemplu, vor monitoriza diverse fișiere jurnal și jurnale pentru semne de activitate suspectă. Un alt mod în care pot detecta încercările de intruziune este verificând fișierele de configurare a sistemului pentru modificări neautorizate. Ele pot examina, de asemenea, aceste fișiere pentru modele de intruziune cunoscute. De exemplu, se poate cunoaște că o anumită metodă de intruziune funcționează adăugând un anumit parametru la un fișier de configurare specific. Un bun sistem de detectare a intruziunilor bazat pe gazdă ar prinde asta.
Deși numele lor te-ar putea duce să crezi astatoate HIDS sunt instalate direct pe dispozitivul pe care sunt menite să îl protejeze, nu este neapărat cazul. Unele vor trebui să fie instalate pe toate calculatoarele, în timp ce altele vor necesita instalarea unui agent local. Unii chiar își fac toată munca de la distanță fără niciun agent. Indiferent de modul în care funcționează, majoritatea HIDS au o consolă centralizată, unde puteți controla fiecare instanță a aplicației și vizualiza toate rezultatele.
Metode de detectare a intruziunilor
Sistemele de detectare a intruziunilor nu diferă doar de lapunctul de aplicare, ele diferă, de asemenea, prin metoda pe care o folosesc pentru a detecta încercările de intruziune. Unele au la bază semnătura, în timp ce altele sunt bazate pe anomalii. Primele lucrează analizând datele pentru tiparele specifice care au fost asociate cu încercările de intruziune. Acest lucru este similar cu sistemele tradiționale de protecție împotriva virusurilor care se bazează pe definițiile virusului. Detectarea bazată pe intruziune bazată pe semnături se bazează pe semnături sau modele de intruziune. Ei compară datele capturate cu semnăturile de intruziune pentru a identifica încercările de intruziune. Desigur, nu vor funcționa până când semnătura corespunzătoare nu va fi încărcată pe software, care poate avea loc uneori doar după ce un anumit număr de mașini au fost atacate și editorii de semnături de intruziune au avut timp să publice noi pachete de actualizare. Unii furnizori sunt destul de rapizi, în timp ce alții ar putea reacționa doar zile mai târziu. Acesta este dezavantajul principal al acestei metode de detectare.
Depistarea intruziunilor bazate pe anomalii oferă o îmbunătățireprotecție împotriva atacurilor de zi zero, cele care se întâmplă înainte ca orice software de detectare a intruziunilor să fi avut șansa de a achiziționa fișierul de semnătură corespunzător. Ei caută anomalii în loc să încerce să recunoască tiparele de intruziune cunoscute. De exemplu, cineva care încearcă să acceseze un sistem cu o parolă greșită de mai multe ori la rând ar declanșa o alertă, deoarece acesta este un semn comun al unui atac de forță brută. Aceste sisteme pot detecta rapid orice activitate suspectă în rețea. Fiecare metodă de detectare are avantaje și dezavantaje și la fel ca în cazul celor două tipuri de instrumente, cele mai bune instrumente sunt probabil cele care utilizează o combinație de semnătură și analiză de comportament.
Detectarea sau prevenirea?
Unii oameni tind să se confunde între eisisteme de detectare a intruziunilor și de prevenire a intruziunilor. Deși sunt strâns legate, nu sunt identice, deși există o anumită funcție care se suprapune între cele două. După cum sugerează și numele, sistemele de detectare a intruziunilor detectează încercări de intruziune și activități suspecte. Când detectează ceva, de obicei, declanșează o formă de alertă sau notificare. Apoi, revine administratorilor măsurile necesare pentru a opri sau bloca încercarea de intruziune.
Sistemele de prevenire a intruziunilor (IPS) fac un pasmai departe și poate opri intruziunile să nu se întâmple cu totul. Sistemele de prevenire a intruziunilor includ o componentă de detecție - echivalentă funcțional cu un sistem de detectare a intruziunilor - care va declanșa unele acțiuni de remediere automată ori de câte ori este detectată o tentativă de intruziune. Nu este necesară nicio intervenție umană pentru a opri tentativa de intruziune. Prevenirea intruziunilor se poate referi, de asemenea, la orice este făcut sau pus în aplicare ca un mod de prevenire a intruziunilor. De exemplu, întărirea parolelor sau blocarea intrusului pot fi considerate măsuri de prevenire a intruziunilor.
Cele mai bune instrumente de detectare a intruziunilor din rețea
Am căutat cel mai bine pe piațăSisteme de detectare a intruziunilor bazate pe rețea. Lista noastră conține un amestec de sisteme adevărate de detectare a intruziunilor bazate pe gazdă și alte programe software care au o componentă de detecție a intruziunilor bazată pe rețea sau care pot fi utilizate pentru a detecta tentative de intruziune. Fiecare dintre instrumentele noastre recomandate poate ajuta la detectarea încercărilor de intruziune în rețeaua dvs.
1. SolarWinds Threat Monitor - IT Ops Edition (Demo GRATUIT)
SolarWinds este un nume comun în domeniulinstrumente de administrare a rețelei Compania este de aproximativ 20 de ani și ne-a adus unele dintre cele mai bune instrumente de administrare a rețelei și a sistemelor. Produsul său emblematic, Network Performance Monitor, înregistrează constant printre instrumentele de top de monitorizare a lățimii de bandă a rețelei. SolarWinds face, de asemenea, instrumente gratuite excelente, fiecare adresându-se unei nevoi specifice a administratorilor de rețea. Kiwi Syslog Server și Advanced Subnet Calculator sunt două exemple bune ale acestora.
Pentru detectarea intruziunilor bazate pe rețea, SolarWinds oferă Monitorul amenințărilor - IT Ops Edition. Contrar majorității celorlalte instrumente SolarWinds, acest lucruunul este un serviciu bazat pe cloud și nu un software instalat local. Pur și simplu te abonezi la el, îl configurezi și începe să urmărești mediul tău pentru încercări de intruziune și alte câteva tipuri de amenințări. Monitorul amenințărilor - IT Ops Edition combină mai multe instrumente. Are detecție de intruziune bazată pe rețea și gazdă, precum și centralizare și corelație a jurnalului și informații de securitate și gestionare a evenimentelor (SIEM). Este o suită de monitorizare foarte amănunțită a amenințărilor.
- DEMO GRATUIT: SolarWinds Threat Monitor - IT Ops Edition
- Link oficial de descărcare: https://www.solarwinds.com/threat-monitor/registration
În Monitorul amenințărilor - IT Ops Edition este mereu actualizat, actualizându-se constantinformații despre amenințare din mai multe surse, inclusiv baze de date IP și Domeniul Reputației. Acesta urmărește atât amenințările cunoscute, cât și cele necunoscute. Instrumentul dispune de răspunsuri inteligente automatizate pentru remedierea rapidă a incidentelor de securitate, oferindu-i unele caracteristici de prevenire a intruziunilor.
Caracteristicile de alertare ale produsului sunt destul de mariimpresionant. Există alarme multi-condiționate, corelate încrucișate, care funcționează împreună cu motorul de răspuns activ al instrumentului și ajută la identificarea și rezumarea evenimentelor importante. Sistemul de raportare este la fel de bun ca alertarea sa și poate fi utilizat pentru a demonstra conformitatea prin utilizarea șabloanelor de raport pre-construite. În mod alternativ, puteți crea rapoarte personalizate pentru a se potrivi cu exactitate nevoilor companiei.
Prețuri pentru SolarWinds Threat Monitor - IT Ops Edition începe de la 4 500 USD până la 25 de noduri cu 10 zilede index. Puteți contacta SolarWinds pentru o ofertă detaliată, adaptată nevoilor dvs. specifice. Iar dacă preferați să vedeți produsul în acțiune, puteți solicita o demonstrație gratuită de la SolarWinds.
2. sforăit
sforăit este cu siguranță cel mai cunoscut NIDS cu sursă deschisă. Dar sforăit este de fapt mai mult decât un instrument de detectare a intruziunilor. Este, de asemenea, un sniffer de pachete și un jurnal de pachete și are și alte câteva funcții. Deocamdată, ne vom concentra asupra funcțiilor de detectare a intruziunilor instrumentului, deoarece acesta este subiectul acestei postări. Configurarea produsului amintește de configurarea unui firewall. Este configurat folosind reguli. Puteți descărca regulile de bază din sforăit site-ul web și utilizați-le așa cum este sau personalizați-le pentru nevoile dvs. specifice. De asemenea, vă puteți abona sforăit reguli pentru a obține automat toate cele mai recente reguli pe măsură ce evoluează sau pe măsură ce sunt descoperite noi amenințări.
Fel este foarte amănunțit și chiar regulile sale de bază potdetectați o mare varietate de evenimente, cum ar fi scanările porturilor sigure, atacurile de revărsare a tamponului, atacurile CGI, sondele SMB și amprentarea sistemelor de operare. Practic nu există nicio limită la ceea ce puteți detecta cu acest instrument și ceea ce detectează depinde exclusiv de setul de reguli pe care îl instalați. În ceea ce privește metodele de detectare, unele dintre regulile de bază ale snortului sunt bazate pe semnături, în timp ce altele sunt bazate pe anomalie. Prin urmare, snortul vă poate oferi tot ce este mai bun din ambele lumi.
3. Suricata
Suricata nu este doar un sistem de detectare a intruziunilor. De asemenea, are unele caracteristici de prevenire a intruziunilor. De fapt, acesta este anunțat ca un ecosistem complet de monitorizare a securității rețelei. Unul dintre cele mai bune atuuri ale instrumentului este modul în care funcționează până la nivelul aplicației. Acest lucru îl face un sistem hibrid bazat pe rețea și gazdă, care permite instrumentului să detecteze amenințări care ar putea trece neobservate de alte instrumente.
Suricata este o adevărată detectare a intruziunilor bazată pe rețeaSistemul și nu funcționează numai la nivelul aplicației. Acesta va monitoriza protocoale de rețea de nivel inferior precum TLS, ICMP, TCP și UDP. Instrumentul înțelege și decodează protocoale la nivel superior, cum ar fi HTTP, FTP sau SMB și poate detecta încercări de intruziune ascunse în cereri altfel normale. Instrumentul oferă, de asemenea, capabilități de extragere a fișierelor, permitând administratorilor să examineze orice fișier suspect.
SuricataArhitectura de aplicații este destul de inovatoare. Instrumentul își va distribui volumul de lucru pe mai multe nuclee și fire de procesare pentru cele mai bune performanțe. Dacă este nevoie, poate descărca chiar și o parte din procesarea sa pe placa grafică. Aceasta este o caracteristică excelentă atunci când utilizați instrumentul de pe servere, deoarece cardul lor grafic este de obicei subutilizat.
4. Bro Monitor de securitate pentru rețea
În Bro Network Monitor Security, un alt sistem gratuit de detectare a intruziunilor din rețea. Instrumentul funcționează în două etape: înregistrarea traficului și analiza traficului. La fel ca Suricata, Bro Network Monitor Security operează la mai multe straturi până la nivelul aplicației. Aceasta permite o mai bună detectare a încercărilor de intruziune divizată. Bro Network Monitor SecurityModulul de analiză este format din două elemente. Primul element se numește motor de evenimente și urmărește declanșarea evenimentelor, cum ar fi conexiunile net TCP sau cererile HTTP. Evenimentele sunt apoi analizate de scripturile de politică, al doilea element, care decid dacă declanșează sau nu o alarmă și / sau lansează o acțiune. Posibilitatea de a lansa o acțiune oferă Bro Network Monitor Security unele funcționalități asemănătoare IPS.
În Bro Network Monitor Security vă va permite să urmăriți activitatea HTTP, DNS și FTPde asemenea, va monitoriza traficul SNMP. Acesta este un lucru bun, deoarece SNMP este adesea utilizat pentru monitorizarea rețelei, dar nu este un protocol sigur. Și având în vedere că poate fi folosit și pentru modificarea configurațiilor, acesta ar putea fi exploatat de utilizatorii rău intenționat. Instrumentul vă va permite, de asemenea, să urmăriți modificările de configurare ale dispozitivului și capcana SNMP. Poate fi instalat pe Unix, Linux și OS X, dar nu este disponibil pentru Windows, acesta fiind probabil dezavantajul principal.
5. Ceapa de securitate
Este greu de definit ce anume Ceapa de securitate este. Nu este doar un sistem de detecție sau prevenire a intruziunilor. Este, în realitate, o distribuție Linux completă, cu accent pe detectarea intruziunilor, monitorizarea securității întreprinderii și gestionarea jurnalului. Ca atare, poate economisi administratorii mult timp. Include multe instrumente, dintre care doar am revizuit. Ceapa de securitate include Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner și multe altele. Pentru a facilita configurarea, distribuția este inclusă cu un asistent de configurare ușor de utilizat, ceea ce vă permite să vă protejați organizația în câteva minute. Dacă ar trebui să descriem Ceapa de securitate într-o singură frază, am spune că este cuțitul armatei elvețiene pentru securitatea IT a întreprinderii.
Unul dintre cele mai interesante lucruri în acest sensinstrument este că primiți totul într-o simplă instalare. Pentru detectarea intruziunilor, instrumentul vă oferă instrumente de detectare a intruziunilor bazate pe rețea și gazdă. Pachetul combină, de asemenea, instrumente care utilizează o abordare bazată pe semnătura și instrumente bazate pe anomalie. Mai mult, veți găsi o combinație de instrumente bazate pe text și GUI. Există într-adevăr un amestec excelent de instrumente de securitate. Există un dezavantaj principal pentru ceapa de securitate. Cu atât de multe instrumente incluse, configurarea lor se poate dovedi a fi o sarcină considerabilă. Cu toate acestea, nu trebuie să folosiți și să configurați toate instrumentele. Nu aveți libertatea de a alege doar pe cei pe care îi folosiți. Chiar dacă utilizați doar câteva instrumente incluse, ar fi probabil o opțiune mai rapidă decât instalarea lor separat.
Comentarii