Zdá sa, že sa to týka všetkýchs bezpečnosťou. Dáva to zmysel, keď sa zvažuje dôležitosť počítačovej kriminality. Na organizácie sa zameriavajú hackeri, ktorí sa snažia ukradnúť ich údaje alebo im spôsobiť iné škody. Jedným zo spôsobov, ako zabezpečiť svoje IT prostredie pred týmito útokmi, je použitie správnych nástrojov a systémov. Prvá obranná línia je často na okraji siete vo forme sieťových detekčných systémov alebo NIDS., Tieto systémy analyzujú prichádzajúci prenossieť z internetu na zistenie podozrivých aktivít a okamžité upozornenie. NIDS sú tak populárne a toľko z nich sú k dispozícii, ako nájsť to najlepšie pre vaše potreby môže byť náročné úsilie. Pomôcť ti, zostavili sme tento zoznam niektorých najlepších sieťových detekčných systémov založených na sieťach.
Svoju cestu začneme tým, že sa pozrieme narôzne typy systému detekcie narušenia. V zásade existujú dva typy: sieťové a hostiteľské. Vysvetlíme ich rozdiely. Systémy detekcie narušenia sa tiež líšia metódou detekcie, ktorú používajú. Niektoré z nich používajú prístup založený na podpise, zatiaľ čo iné sa spoliehajú na analýzu správania. Najlepšie nástroje používajú kombináciu oboch metód detekcie. Trh je nasýtený systémami na detekciu a prevenciu narušenia. Preskúmame, ako sa líšia a aké sú podobné, pretože je dôležité porozumieť tomuto rozdielu. Nakoniec preskúmame najlepšie sieťové detekčné systémy a predstavíme ich najdôležitejšie funkcie.
Detekcia narušenia pomocou siete a hostiteľa
Systémy detekcie narušenia sú jedným z dvochTypy. Obaja majú rovnaký cieľ - rýchlo odhaliť pokusy o prienik alebo podozrivú aktivitu, ktorá potenciálne môže viesť k pokusom o prienik - ale líšia sa umiestnením miesta výkonu, ktoré odkazuje na miesto, kde sa detekcia vykonáva. Každý typ nástroja na detekciu narušenia má svoje výhody a nevýhody. Neexistuje skutočný konsenzus o tom, ktorý z nich je výhodnejší. Niektorí prisahajú jedným typom, zatiaľ čo iní dôverujú iba druhému. Obaja majú pravdepodobne pravdu. Najlepším riešením - alebo najbezpečnejším - je pravdepodobne riešenie, ktoré kombinuje oba typy.
Systémy detekcie narušenia siete (NIDS)
Prvý typ systému detekcie narušenia jenazýva sa systém detekcie narušenia siete alebo NIDS. Tieto systémy pracujú na hranici siete, aby vynútili detekciu. Zachytávajú a skúmajú sieťový prenos, hľadajú podozrivé činnosti, ktoré by mohli naznačovať pokus o prienik, a tiež hľadajú známe vzorce narušenia. Votrelci sa často snažia zneužívať známe zraniteľné miesta rôznych systémov, napríklad posielaním chybne formátovaných paketov na hostiteľa, vďaka čomu reagujú konkrétnym spôsobom, ktorý im umožňuje ich porušenie. Systém detekcie narušenia siete pravdepodobne odhalí tento druh pokusu o narušenie.
Niektorí tvrdia, že detekcia narušenia sieteSystémy sú lepšie ako ich protějšky založené na hostiteľovi, pretože dokážu odhaliť útoky ešte predtým, ako sa dostanú k vašim systémom. Niektorí ich tiež uprednostňujú, pretože na ich účinnú ochranu nevyžadujú inštaláciu žiadneho hostiteľa na každého hostiteľa. Na druhej strane poskytujú malú ochranu pred útokmi zasvätených osôb, ktoré, žiaľ, nie sú vôbec neobvyklé. Aby sa mohol útočník zistiť, musí sa pokúsiť o prienik útočníkom cez NIDS, ktoré zriedka robí, keď pochádza zvnútra. Každá technológia má svoje výhody a nevýhody a je to špecifický prípad detekcie narušenia. Nič vás nezastaví od použitia oboch typov nástrojov na dosiahnutie maximálnej ochrany.
Systémy detekcie narušenia hostenia (HIDS)
Fungujú systémy detekcie narušenia hostenia (HIDS)na úrovni hostiteľa; možno ste to uhádli zo svojho mena. Budú napríklad sledovať rôzne protokolové súbory a žurnály, či neobsahujú známky podozrivej činnosti. Ďalším spôsobom, ako môžu zistiť pokusy o prienik, je kontrola neoprávnených zmien v konfiguračných súboroch systému. Môžu tiež preskúmať tie isté súbory na konkrétne známe vzory narušenia. Napríklad môže byť známe, že konkrétny spôsob prieniku funguje pridaním určitého parametra do špecifického konfiguračného súboru. Dobrý systém zisťovania narušenia hostiteľa by to pochopil.
Ich meno by vás mohlo viesť k tomu, aby ste si to myslelivšetky HIDS sú nainštalované priamo na zariadení, ktoré majú chrániť, nie je to nevyhnutne prípad. Niektoré budú musieť byť nainštalované na všetkých počítačoch, zatiaľ čo niektoré budú vyžadovať iba inštaláciu miestneho agenta. Niektorí dokonca robia všetku svoju prácu na diaľku bez agenta. Bez ohľadu na to, ako fungujú, väčšina HIDS má centralizovanú konzolu, kde môžete ovládať každú inštanciu aplikácie a zobrazovať všetky výsledky.
Metódy detekcie narušenia
Systémy detekcie narušenia sa nelíšia iba tým, žemiesto výkonu, líšia sa tiež metódou, ktorú používajú na detekciu pokusov o prienik. Niektoré sú založené na podpise, zatiaľ čo iné sú založené na anomálii. Prvé fungujú tak, že analyzujú údaje na špecifické vzorce, ktoré sa spájajú s pokusmi o prienik. Je to podobné tradičným systémom ochrany vírusov, ktoré sa spoliehajú na definície vírusov. Detekcia narušenia založená na podpise sa spolieha na podpisy alebo vzory narušenia. Porovnávajú zachytené údaje s podpismi narušenia, aby identifikovali pokusy o prienik. Samozrejme, že nebudú fungovať, kým sa nenahrá riadny podpis do softvéru, ktorý sa môže niekedy stať až po útoku na určitý počet počítačov a vydavatelia podpisov prieniku mali čas na zverejnenie nových aktualizačných balíkov. Niektorí dodávatelia sú pomerne rýchle, zatiaľ čo iní mohli reagovať iba o niekoľko dní neskôr. Toto je primárna nevýhoda tejto metódy detekcie.
Lepšia je detekcia vniknutia na základe anomálieochrana proti útokom v nultý deň, proti tým, ktoré sa vyskytnú predtým, ako mal ktorýkoľvek softvér na detekciu narušenia šancu získať správny podpisový súbor. Hľadajú anomálie namiesto toho, aby sa pokúšali rozpoznať známe vzory vniknutia. Napríklad niekto, kto sa pokúša niekoľkokrát za sebou získať prístup do systému s nesprávnym heslom, by spustil varovanie, pretože ide o bežný znak útoku hrubou silou. Tieto systémy dokážu rýchlo zistiť akúkoľvek podozrivú aktivitu v sieti. Každá metóda detekcie má svoje výhody a nevýhody a rovnako ako pri týchto dvoch typoch nástrojov, najlepšie nástroje sú pravdepodobne tie, ktoré používajú kombináciu analýzy podpisov a správania.
Detekcia alebo prevencia?
Niektorí ľudia majú tendenciu sa medzi nimi zamieňaťsystémy na detekciu a prevenciu narušenia. Aj keď spolu úzko súvisia, nie sú identické, aj keď medzi nimi existuje určité prekrývanie funkcií. Ako už názov napovedá, systémy detekcie narušenia zisťujú pokusy o prienik a podozrivé aktivity. Keď niečo zistia, zvyčajne spustia nejakú formu varovania alebo oznámenia. Je potom na správcoch, aby podnikli potrebné kroky na zastavenie alebo zablokovanie pokusu o prienik.
Systémy prevencie pred prienikom (IPS) idú o krok ďalejďalej a môže zabrániť vniknutiu všetkých útokov. Systémy prevencie prieniku obsahujú detekčný komponent - ktorý je funkčne ekvivalentný systému detekcie narušenia - ktorý spustí akúkoľvek automatickú nápravu vždy, keď sa zistí pokus o prienik. Na zastavenie pokusu o prienik sa nevyžaduje zásah človeka. Prevencia prieniku sa môže vzťahovať aj na všetko, čo sa robí alebo zavádza ako spôsob prevencie prienikov. Za opatrenia na zabránenie vniknutia sa môže považovať napríklad tvrdenie hesla alebo blokovanie narušiteľa.
Najlepšie nástroje na detekciu narušenia siete
Hľadali sme to najlepšie na trhuSieťové detekčné systémy. Náš zoznam obsahuje kombináciu pravých hostiteľských systémov detekcie narušenia a iného softvéru, ktorý obsahuje sieťovú detekciu narušenia alebo ktorá sa môže použiť na detekciu pokusov o narušenie. Každý z našich odporúčaných nástrojov môže pomôcť odhaliť pokusy o prienik do vašej siete.
1. Monitor hrozieb SolarWinds - vydanie IT Ops (Ukážka ZDARMA)
SolarWinds je všeobecný názov v polinástroje na správu siete. Spoločnosť je už asi 20 rokov a priniesla nám niektoré z najlepších nástrojov na správu siete a systému. Jeho vlajkový produkt, Network Performance Monitor, neustále patrí medzi špičkové nástroje na monitorovanie šírky pásma siete. SolarWinds tiež vytvára vynikajúce bezplatné nástroje, pričom každý z nich rieši špecifickú potrebu správcov siete. Dva dobré príklady z nich sú Kiwi Syslog Server a Advanced Subnet Calculator.
Pre detekciu vniknutia do siete ponúka SolarWinds Monitor hrozieb - vydanie IT Ops, Na rozdiel od väčšiny ostatných nástrojov SolarWindsjedna je skôr cloudová služba než lokálne nainštalovaný softvér. Jednoducho sa prihlásite na odber, nakonfigurujete ho a začne sledovať vaše prostredie na pokusy o prienik a niekoľko ďalších druhov hrozieb. Monitor hrozieb - vydanie IT Ops kombinuje niekoľko nástrojov. Má detekciu narušenia v sieti aj hostiteľa, ako aj centralizáciu a koreláciu protokolov a bezpečnostné informácie a správu udalostí (SIEM). Je to veľmi dôkladný balík na sledovanie hrozieb.
- DEMO ZDARMA: Monitor hrozieb SolarWinds - vydanie IT Ops
- Odkaz na stiahnutie: https://www.solarwinds.com/threat-monitor/registration
Na Monitor hrozieb - vydanie IT Ops je vždy aktuálny a neustále sa aktualizujeinteligenciu hrozieb z viacerých zdrojov vrátane databáz IP a domén. Sleduje známe aj neznáme hrozby. Nástroj obsahuje automatizované inteligentné reakcie na rýchlu nápravu bezpečnostných incidentov a poskytuje tak niektoré funkcie podobné prevencii.
Výstražné funkcie produktu sú celkom bežnépôsobivé. Existujú multi-podmienené, vzájomne prepojené alarmy, ktoré pracujú v spojení s nástrojom aktívnej reakcie nástroja a pomáhajú pri identifikácii a sumarizácii dôležitých udalostí. Systém podávania správ je rovnako dobrý ako jeho varovanie a môže sa použiť na preukázanie súladu s použitím existujúcich vopred pripravených šablón výkazov. Prípadne môžete vytvoriť vlastné prehľady, ktoré presne zodpovedajú vašim obchodným potrebám.
Ceny za internet Monitor hrozieb SolarWinds - vydanie IT Ops začnite na 4 500 $ až 25 uzlov s 10 dňamiindexu. Ak chcete získať podrobnú ponuku prispôsobenú vašim špecifickým potrebám, môžete kontaktovať spoločnosť SolarWinds. A ak uprednostňujete vidieť produkt v akcii, môžete požiadať spoločnosť SolarWinds o bezplatné ukážku.
2. opäť normálne
opäť normálne je určite najznámejší NIDS s otvoreným zdrojom. ale opäť normálne je v skutočnosti viac než len nástroj na detekciu narušenia. Je to tiež identifikátor paketov a záznamník paketov a obsahuje aj niekoľko ďalších funkcií. Zatiaľ sa sústredíme na funkcie detekcie prieniku tohto nástroja, pretože toto je predmetom tohto príspevku. Konfigurácia produktu pripomína konfiguráciu brány firewall. Konfiguruje sa pomocou pravidiel. Základné pravidlá si môžete stiahnuť z internetu opäť normálne a používajte ich tak, ako sú, alebo ich prispôsobte vašim konkrétnym potrebám. Môžete sa tiež prihlásiť na odber opäť normálne pravidlá na automatické získanie všetkých najnovších pravidiel pri ich vývoji alebo objavení nových hrozieb.
druh je veľmi dôkladný a dokonca aj jeho základné pravidlá môžudetekovať širokú škálu udalostí, ako sú skenovanie tajných portov, útoky s pretečením vyrovnávacej pamäte, útoky CGI, sondy SMB a snímanie odtlačkov operačných systémov. To, čo môžete zistiť pomocou tohto nástroja, nie je prakticky nijaké a to, čo zistí, závisí výlučne od nainštalovanej sady pravidiel. Pokiaľ ide o metódy detekcie, niektoré zo základných pravidiel Snort sú založené na podpise, zatiaľ čo iné sú založené na anomálii. Snort vám preto môže dať to najlepšie z oboch svetov.
3. Šurice
Šurice nie je iba systém detekcie narušenia. Má tiež niektoré funkcie prevencie prieniku. V skutočnosti je inzerovaný ako kompletný ekosystém monitorovania sieťovej bezpečnosti. Jedným z najlepších prínosov nástroja je to, ako funguje až po aplikačnú vrstvu. Vďaka tomu je hybridný systém založený na sieti a hostiteľovi, ktorý umožňuje nástroju zistiť hrozby, ktoré by pravdepodobne iné nástroje nevšimli.
Šurice je skutočnou detekciou narušenia sieteSystém a nefunguje iba na aplikačnej vrstve. Bude monitorovať sieťové protokoly nižšej úrovne ako TLS, ICMP, TCP a UDP. Nástroj tiež rozumie a dekóduje protokoly vyššej úrovne, ako napríklad HTTP, FTP alebo SMB, a dokáže zistiť pokusy o prienik skryté v inak normálnych požiadavkách. Nástroj tiež obsahuje možnosti extrakcie súborov, ktoré správcom umožňujú preskúmať akýkoľvek podozrivý súbor.
ŠuriceArchitektúra aplikácií je celkom inovatívna. Nástroj rozdelí svoje pracovné zaťaženie do niekoľkých jadier procesorov a vlákien pre najlepší výkon. Ak je to potrebné, môže dokonca niektoré časti spracovania spracovať na grafickú kartu. Toto je vynikajúca funkcia, keď sa nástroj používa na serveroch, pretože ich grafická karta je zvyčajne nedostatočne využívaná.
4. bro Monitor zabezpečenia siete
Na Monitor zabezpečenia siete Bro, ďalší bezplatný systém detekcie narušenia siete. Tento nástroj funguje v dvoch fázach: zaznamenávanie a analýza prenosu. Rovnako ako Suricata, Monitor zabezpečenia siete Bro pracuje vo viacerých vrstvách až po aplikačnú vrstvu. To umožňuje lepšiu detekciu pokusov o prienik rozdelených do jednotlivých častí. Monitor zabezpečenia siete BroAnalytický modul pozostáva z dvoch prvkov. Prvý prvok sa nazýva mechanizmus udalostí a sleduje spúšťacie udalosti, ako sú čisté pripojenia TCP alebo HTTP požiadavky. Udalosti sú potom analyzované skriptmi politík, druhým prvkom, ktorý rozhoduje o spustení alarmu a / alebo o začatí akcie. Možnosť začať konanie poskytuje Monitor zabezpečenia siete Bro niektoré funkcie podobné IPS.
Na Monitor zabezpečenia siete Bro vám umožní sledovať aktivity HTTP, DNS a FTPa bude tiež sledovať prenos SNMP. Je to dobrá vec, pretože protokol SNMP sa často používa na monitorovanie siete, nie je to však bezpečný protokol. A keďže sa dá použiť aj na modifikáciu konfigurácií, môžu ju zneužívať škodliví používatelia. Tento nástroj vám tiež umožní sledovať zmeny konfigurácie zariadenia a SNMP pasce. Môže byť nainštalovaný na Unixe, Linuxe a OS X, ale nie je dostupný pre Windows, čo je asi jeho hlavná nevýhoda.
5. Bezpečnostná cibuľa
Je ťažké definovať, čo Bezpečnostná cibuľa je. Nejde iba o systém detekcie alebo prevencie narušenia. V skutočnosti je to úplná distribúcia systému Linux so zameraním na detekciu narušenia, monitorovanie podnikovej bezpečnosti a správu protokolov. Preto môže správcom ušetriť veľa času. Obsahuje veľa nástrojov, z ktorých niektoré sme práve skontrolovali. Cibuľa zabezpečenia zahŕňa Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner a ďalšie. Na uľahčenie nastavenia je distribúcia dodávaná s ľahko použiteľným sprievodcom nastavením, ktorý vám umožní chrániť vašu organizáciu v priebehu niekoľkých minút. Keby sme museli opísať Bezpečnostná cibuľa v jednej vete by sme povedali, že je to švajčiarsky armádny nôž podnikovej IT bezpečnosti.
Jedna z najzaujímavejších vecínástroj je, že dostanete všetko v jednej jednoduchej inštalácii. Pre detekciu narušenia vám tento nástroj poskytne nástroje na zisťovanie narušenia založené na sieti aj hostiteľovi. Balík tiež kombinuje nástroje, ktoré používajú prístup založený na podpise, a nástroje, ktoré sú založené na anomálii. Ďalej nájdete kombináciu textových a GUI nástrojov. Existuje naozaj vynikajúca kombinácia bezpečnostných nástrojov. Existuje jedna primárna nevýhoda bezpečnostnej cibule. S toľkými zahrnutými nástrojmi sa ich konfigurácia môže ukázať ako veľká úloha. Nemusíte však používať ani konfigurovať všetky nástroje. Môžete si vybrať iba tie, ktoré chcete použiť. Aj keď použijete iba niekoľko zahrnutých nástrojov, pravdepodobne by to bola rýchlejšia možnosť ako ich inštalácia osobitne.
Komentáre