Nechcel by som znieť príliš paranoidne, hoci sompravdepodobne áno, ale počítačová kriminalita je všade. Každá organizácia sa môže stať terčom hackerov, ktorí sa snažia získať prístup k ich údajom. Preto je prvotné dávať pozor na veci a zabezpečiť, aby sme sa nestali obeťami týchto neplánovaných jednotlivcov. Úplne prvou obrannou líniou je Systém detekcie narušenia. Host-based systémy používajú detekciu na úrovni hostiteľa a zvyčajne detekujú väčšinu pokusov o prienik rýchlo a okamžite vás upozornia, aby ste mohli situáciu napraviť. S toľkými detekciami narušenia hostiteľaPri výbere toho najlepšieho pre vašu konkrétnu situáciu sa môže zdať výzva. Aby sme vám pomohli jasne vidieť, zostavili sme zoznam niektorých najlepších systémov detekcie narušenia hostiteľa.
Predtým, ako odhalíme najlepšie nástroje, odbočímestručne sa oboznámte s rôznymi typmi systémov detekcie narušenia. Niektoré sú založené na hostiteľovi, zatiaľ čo iné sú založené na sieti. Vysvetlíme si rozdiely. Potom budeme diskutovať o rôznych metódach detekcie narušenia. Niektoré nástroje majú prístup založený na podpise, zatiaľ čo iné hľadajú podozrivé správanie. Tí najlepší používajú kombináciu oboch. Predtým, ako budeme pokračovať, vysvetlíme rozdiely medzi systémami zisťovania a prevencie narušenia, pretože je dôležité porozumieť tomu, na čo sa zameriame. Potom budeme pripravení na podstatu tohto príspevku, najlepších systémov detekcie narušenia hostiteľa.
Dva typy systémov detekcie narušenia
V zásade existujú dva typy narušeniaDetekčné systémy. Aj keď sú ich ciele rovnaké - rýchlo odhaliť akýkoľvek pokus o narušenie alebo podozrivú aktivitu, ktorá by mohla viesť k pokusu o narušenie, líšia sa v mieste, kde sa táto detekcia vykonáva. Toto je koncept, ktorý sa často označuje ako bod presadzovania. Každý typ má svoje výhody a nevýhody a všeobecne neexistuje konsenzus o tom, ktorý z nich je výhodnejší. V skutočnosti je najlepším riešením - alebo najbezpečnejším - pravdepodobne riešenie, ktoré kombinuje obidve.
Systémy detekcie narušenia hostenia (HIDS)
Prvý typ systému na detekciu vniknutiajeden, o ktorý sa dnes zaujímame, pôsobí na hostiteľskej úrovni. Možno ste to uhádli z názvu. HIDS napríklad kontroluje rôzne protokolové súbory a žurnály, či neobsahujú podozrivé aktivity. Ďalším spôsobom, ako zisťujú pokusy o prienik, je kontrola neoprávnených zmien dôležitých konfiguračných súborov. Môžu tiež skontrolovať rovnaké konfiguračné súbory pre konkrétne známe vzory narušenia. Napríklad môže byť známe, že konkrétny spôsob prieniku funguje pridaním určitého parametra do špecifického konfiguračného súboru. Dobrý systém na zisťovanie narušenia hostiteľa by to zachytil.
Väčšinu času sú HIDS nainštalované priamo nazariadenia, ktoré majú chrániť. Budete ich musieť nainštalovať na všetky svoje počítače. Iné budú vyžadovať iba inštaláciu miestneho agenta. Niektorí dokonca robia všetku svoju prácu na diaľku. Bez ohľadu na to, ako fungujú, majú dobré HIDS centralizovanú konzolu, kde môžete ovládať aplikáciu a zobrazovať jej výsledky.
Systémy detekcie narušenia siete (NIDS)
Iný typ systému detekcie narušenia zvanýSystémy detekcie neoprávneného vniknutia do siete (NIDS) pracujú na hranici siete, aby vynútili detekciu. Používajú podobné metódy ako systémy detekcie narušenia hostiteľa, napríklad zisťovanie podozrivých aktivít a hľadanie známych vzorov narušenia. Namiesto sledovania protokolov a konfiguračných súborov však sledujú sieťovú prevádzku a skúmajú všetky požiadavky na pripojenie. Niektoré metódy narušenia zneužívajú známe zraniteľné miesta tým, že posielajú hostiteľom zámerne chybné pakety, vďaka čomu reagujú určitým spôsobom, ktorý umožňuje ich porušenie. Systém detekcie narušenia siete by ľahko odhalil tento druh pokusu.
Niektorí tvrdia, že NIDS sú lepšie ako HIDSodhaliť útoky ešte predtým, ako sa dostanú k vašim systémom. Niektorí ich uprednostňujú, pretože na ich účinnú ochranu nevyžadujú inštaláciu na každom hostiteľovi. Na druhej strane poskytujú malú ochranu pred útokmi zasvätených osôb, ktoré, žiaľ, nie sú vôbec neobvyklé. Útočník musí byť detekovaný tak, že použije cestu, ktorá prechádza NIDS. Z týchto dôvodov najlepšia ochrana pravdepodobne pochádza z kombinácie oboch typov nástrojov.
Metódy detekcie narušenia
Rovnako ako existujú dva typy vniknutiadetekčných nástrojov, existujú hlavne dve rôzne metódy používané na detekciu pokusov o prienik. Detekcia môže byť založená na podpise alebo môže byť založená na anomálii. Detekcia narušenia na základe podpisu funguje tak, že analyzuje údaje na špecifické vzorce, ktoré sú spojené s pokusmi o prienik. Je to podobné tradičným systémom ochrany vírusov, ktoré sa spoliehajú na definície vírusov. Podobne detekcia narušenia založená na podpisoch sa spolieha na podpisy alebo vzory narušenia. Na identifikáciu pokusov porovnávajú údaje s podpismi prieniku. Ich hlavnou nevýhodou je, že nefungujú, kým sa do softvéru nenahrajú správne podpisy. Nanešťastie sa to zvyčajne stáva až po útoku na určitý počet počítačov a vydavatelia podpisov prieniku mali čas na zverejnenie nových aktualizačných balíkov. Niektorí dodávatelia sú pomerne rýchle, zatiaľ čo iní mohli reagovať iba o niekoľko dní neskôr.
Detekcia narušenia na základe anomálie, druhámetóda, poskytuje lepšiu ochranu pred útokmi v nultý deň, ktoré sa vyskytujú predtým, ako mal akýkoľvek softvér na detekciu narušenia šancu získať správny podpisový súbor. Tieto systémy hľadajú anomálie namiesto toho, aby sa pokúšali rozpoznať známe vzory vniknutia. Mohli by sa napríklad spustiť, ak sa niekto pokúsil niekoľkokrát za sebou získať prístup do systému s nesprávnym heslom, čo je bežný znak útoku hrubou silou. Akékoľvek podozrivé správanie možno rýchlo zistiť. Každá metóda detekcie má svoje výhody a nevýhody. Rovnako ako u typov nástrojov, aj tie najlepšie nástroje sú tie, ktoré využívajú najlepšiu ochranu kombináciou analýzy podpisov a správania.
Prevencia detekcie Vs - dôležitý rozdiel
Diskutovali sme o systémoch detekcie narušeniaale mnohí z vás už možno počuli o systémoch prevencie pred narušením. Sú tieto dva pojmy totožné? Ľahká odpoveď nie je, pretože dva typy nástrojov slúžia inému účelu. Medzi nimi však existuje určité prekrývanie. Ako už názov napovedá, detekčný systém detekuje pokusy o prienik a podozrivé aktivity. Keď niečo zistí, zvyčajne spustí určitú formu varovania alebo oznámenia. Správcovia potom musia podniknúť potrebné kroky na zastavenie alebo blokovanie pokusu o prienik.
Sú vyrobené systémy prevencie pred prienikom (IPS)zastaviť vniknutie vôbec. Aktívne IPS zahŕňajú detekčnú súčasť, ktorá automaticky spustí určité nápravné opatrenia vždy, keď sa zistí pokus o prienik. Prevencia prieniku môže byť tiež pasívna. Tento výraz sa môže používať na označenie všetkého, čo sa robí alebo zavádza ako spôsob, ako zabrániť vniknutiu. Napríklad tvrdenie hesla možno považovať za opatrenie na zabránenie vniknutiu.
Najlepšie nástroje na detekciu narušenia hostiteľa
Hľadali sme na trhu najlepší host-basedsystémy detekcie narušenia. Máme pre vás kombináciu pravých HIDS a iného softvéru, ktorý hoci sa nepovažuje za systémy detekcie narušenia, má súčasť na detekciu narušenia alebo ju možno použiť na detekciu pokusov o narušenie. Pozrime sa na naše najlepšie tipy a pozrime sa na ich najlepšie vlastnosti.
1. Správca protokolov a udalostí SolarWinds (Skúška zadarmo)
Náš prvý záznam je od spoločnosti SolarWinds, všeobecného názvuv oblasti nástrojov na správu siete. Spoločnosť existuje už asi 20 rokov a priniesla nám niektoré z najlepších nástrojov na správu siete a systému. Známe je aj množstvo bezplatných nástrojov, ktoré riešia niektoré špecifické potreby správcov siete. Dva skvelé príklady týchto bezplatných nástrojov sú server Kiwi Syslog Server a kalkulačka Advanced Subnet Calculator.
Nedovoľte, aby Správca protokolov a udalostí SolarWindsMeno ťa zmiasť. Je to oveľa viac než len systém na správu protokolov a udalostí. Mnoho pokročilých funkcií tohto produktu ho zaradilo do radu bezpečnostných informácií a správy udalostí (SIEM). Ostatné vlastnosti ho označujú ako systém detekcie narušenia a do istej miery dokonca ako systém prevencie pred narušením. Tento nástroj obsahuje napríklad koreláciu udalostí v reálnom čase a nápravu v reálnom čase.
- SKÚŠKA ZADARMO: Správca protokolov a udalostí SolarWinds
- Odkaz na stiahnutie: https://www.solarwinds.com/log-event-manager-software/registration
Na Správca protokolov a udalostí SolarWinds má okamžitú detekciu podozrivýchaktivita (funkcia podobná IDS) a automatizované odpovede (funkcia podobná IPS). Môže tiež vykonávať vyšetrovanie bezpečnostných udalostí a forenznú analýzu na účely zmiernenia a súladu. Vďaka auditom overenému vykazovaniu sa tento nástroj môže použiť aj na preukázanie súladu s HIPAA, PCI-DSS a SOX. Tento nástroj má tiež monitorovanie integrity súborov a monitorovanie zariadení USB, vďaka čomu je oveľa viac integrovanou bezpečnostnou platformou ako len systém správy protokolov a udalostí.
Ceny za Správca protokolov a udalostí SolarWinds začína na 4 585 $ pre až 30 monitorovaných uzlov. Licencie až pre 2500 uzlov je možné zakúpiť, vďaka čomu je produkt vysoko škálovateľný. Ak si chcete produkt vziať na skúšobnú jazdu a presvedčte sa sami, či je pre vás to pravé, máte k dispozícii bezplatnú plnohodnotnú 30-dňovú skúšobnú verziu.
2. OSSEC
Open Source Securityalebo OSSEC, je zďaleka popredným hostiteľským serverom s otvoreným zdrojomsystém detekcie narušenia. Produkt vlastní spoločnosť Trend Micro, jedna z vedúcich mien v oblasti IT bezpečnosti a výrobca jedného z najlepších antivírusových programov. Pri inštalácii na operačné systémy podobné Unixu sa softvér zameriava predovšetkým na protokolové a konfiguračné súbory. Vytvára kontrolné súčty dôležitých súborov a pravidelne ich potvrdzuje, upozorní vás vždy, keď sa stane niečo čudné. Bude tiež monitorovať a upozorňovať na akýkoľvek neobvyklý pokus o získanie prístupu root. Na počítačoch so systémom Windows tiež systém dohliada na neoprávnené zmeny v registroch, ktoré by mohli byť znakom škodlivej činnosti.
Keďže je to systém na detekciu narušenia hostiteľa, OSSEC musí byť nainštalovaný na každom počítači, ktorý chcete chrániť. Centralizovaná konzola však konsoliduje informácie z každého chráneného počítača pre ľahšiu správu. Kým OSSEC konzola funguje iba na operačných systémoch typu Unix,agent je k dispozícii na ochranu hostiteľov Windows. Akákoľvek detekcia spustí výstrahu, ktorá sa zobrazí na centralizovanej konzole, zatiaľ čo oznámenia sa budú posielať aj e-mailom.
3. Samhain
Samhain je ďalšie dobre známe narušenie hostiteľadetekčný systém. Jeho hlavnými rysmi z hľadiska IDS sú kontrola integrity súborov a monitorovanie / analýza protokolových súborov. Urobí to však oveľa viac. Produkt bude vykonávať detekciu rootkitov, monitorovanie portov, detekciu nečestných spustiteľných súborov SUID a skrytých procesov. Tento nástroj bol navrhnutý na sledovanie viacerých hostiteľov, ktorí prevádzkujú rôzne operačné systémy a zároveň poskytujú centralizované protokolovanie a údržbu. Avšak, Samhain môže byť tiež použitý ako samostatná aplikácia najeden počítač. Softvér pracuje predovšetkým na systémoch POSIX, ako sú Unix, Linux alebo OS X. Môže tiež bežať na Windows v rámci balíka Cygwin, balíka, ktorý umožňuje spúšťanie aplikácií POSIX v systéme Windows, hoci v tejto konfigurácii bol testovaný iba monitorovací agent.
Jeden z SamhainNajunikátnejšou vlastnosťou je jej stealth režim, ktorýumožňuje jej spustenie bez toho, aby ho odhalili potenciálni útočníci. Je známe, že votrelci rýchlo zabíjajú detekčné procesy, ktoré rozpoznajú, hneď ako vstúpia do systému pred tým, ako boli odhalení, čo im umožňuje zostať nepovšimnuté. Samhain používa steganografické techniky na skrytie svojich procesov pred ostatnými. Chráni tiež svoje centrálne protokolové súbory a zálohy konfigurácie pomocou kľúča PGP, aby sa zabránilo neoprávnenému zásahu.
4. fail2ban
fail2ban je bezplatné a otvorené otvorenie hostiteľadetekčný systém, ktorý obsahuje aj niektoré možnosti prevencie prieniku. Softvérový nástroj monitoruje protokolové súbory na podozrivé aktivity a udalosti, ako sú pokusy o prihlásenie neúspešné, hľadanie zneužitia atď. Predvolenou akciou tohto nástroja je vždy, keď zistí niečo podozrivé, automaticky aktualizovať pravidlá miestnej brány firewall, aby blokovala zdrojovú adresu IP škodlivé správanie. V skutočnosti nejde o skutočnú prevenciu prieniku, ale skôr o systém detekcie prieniku s funkciami automatickej nápravy. Práve sme opísali predvolenú akciu nástroja, ale je možné nakonfigurovať aj ľubovoľnú akciu - napríklad odosielanie e-mailových upozornení - tak, aby sa chovala ako „klasickejší“ systém detekcie narušenia.
fail2ban je ponúkaný s rôznymi preddefinovanými filtrami preniektoré z najbežnejších služieb ako Apache, SSH, FTP, Postfix a mnoho ďalších. Prevencia, ako sme už vysvetlili, sa vykonáva úpravou tabuliek brány firewall hostiteľa. Tento nástroj môže pracovať s programami Netfilter, IPtables alebo tabuľkou hosts.deny TCP Wrapper. Každý filter môže byť spojený s jednou alebo viacerými akciami.
5. AIDE
Na Pokročilé prostredie detekcie narušeniaalebo AIDE, je ďalší bezplatný systém detekcie narušenia hostiteľaTáto sa zameriava hlavne na detekciu rootkitov a porovnávanie podpisov súborov. Pri prvom nainštalovaní tento nástroj zostaví druh databázy správcovských údajov z konfiguračných súborov systému. Táto databáza sa potom môže použiť ako základná línia, s ktorou je možné porovnávať každú zmenu a prípadne ju vrátiť späť.
AIDE využíva podpis aj podpisdetekčné schémy založené na anomálii. Jedná sa o nástroj, ktorý sa spúšťa na požiadanie a nie je naplánovaný alebo nepretržite beží. Toto je vlastne hlavná nevýhoda tohto produktu. Keďže však ide skôr o nástroj príkazového riadku než o rozhranie GUI, je možné vytvoriť úlohu cron, ktorá ho bude spúšťať v pravidelných intervaloch. Ak sa rozhodnete nástroj spúšťať často - napríklad raz za minútu - budete mať takmer údaje v reálnom čase a budete mať čas na reakciu skôr, ako akýkoľvek pokus o prienik príliš ďaleko spôsobí veľké škody.
V jadre AIDE je iba nástroj na porovnávanie údajov, ale s pomocouz niekoľkých externých naplánovaných skriptov, môže sa zmeniť na skutočné HIDS. Nezabúdajte však, že v zásade ide o miestny nástroj. Nemá centralizované riadenie a žiadne vymyslené GUI.
6. Sagan
Posledný na našom zozname je Sagan, čo je vlastne skôr systém na analýzu protokolovako skutočné IDS. Má však niektoré funkcie podobné IDS, a preto si zaslúži miesto na našom zozname. Nástroj lokálne sleduje protokolové súbory systému, v ktorom je nainštalovaný, ale môže tiež interagovať s inými nástrojmi. Mohlo by to napríklad analyzovať Snortove denníky, čím by sa efektívne pridala funkčnosť NIDS zo Snoretu do toho, čo je v podstate HIDS. So Snortom nebude iba komunikovať. Sagan môže tiež komunikovať so Suricata a je kompatibilný s niekoľkými nástrojmi na tvorbu pravidiel, ako sú Oinkmaster alebo Pulled Pork.
Sagan má tiež funkcie na vykonávanie skriptov, ktoré môžuurobte z neho hrubý systém prevencie prienikov, ak vytvoríte nejaké sanačné skripty. Aj keď tento nástroj pravdepodobne nebude použitý ako vaša jediná obrana proti vniknutiu, môže to byť vynikajúca súčasť systému, ktorý dokáže začleniť veľa nástrojov koreláciou udalostí z rôznych zdrojov.
Komentáre