Сви желе да спрече уљезе од својихкуца. Исто тако - и из сличних разлога, мрежни администратори настоје да спрече уљезе изван мрежа којима управљају. Једно од најважнијих средстава многих данашњих организација су њихови подаци. Толико је важно да ће многи зли људи покушати да украду те податке. То раде користећи огроман низ техника да би стекли неовлаштени приступ мрежама и системима. Чини се да је број таквих напада експоненцијално порастао у последње време и реакцијом се постављају системи који их спречавају. Ти системи се називају системима за спречавање продора или ИПС. Данас имамо преглед најбољих система за спречавање провале који можемо да нађемо.
Почећемо од покушаја да боље дефинишемо штаПревенција против упада је. То, наравно, подразумева да ћемо такође дефинисати шта је упад. Затим ћемо истражити различите методе детекције које се обично користе и које мере санације се предузимају након откривања. Затим ћемо укратко говорити о пасивној превенцији провале. То су статичке мере које се могу применити а које би могле драстично смањити број покушаја упада. Можда ћете бити изненађени када сазнате да неки од њих немају никакве везе са рачунаром. Тек тада, са свима нама на истој страници, моћи ћемо да коначно прегледамо неке од најбољих система за спречавање интрузија које можемо да нађемо.
Превенција против провале - о чему се ради?
Пре много година, вируси су били прилично јединизабринутости системских администратора. Вируси су стигли до тачке у којој су били толико уобичајени да је индустрија реаговала развијањем алата за заштиту од вируса. Данас ниједан озбиљан корисник са правим умом не би помислио да покреће рачунар без заштите од вируса. Док више не чујемо много вируса, нова пријетња - упад или неовлаштени приступ вашим подацима од стране злонамерних корисника. Будући да су подаци често најважније средство организације, корпоративне мреже постале су мета злонамјерних хакера који ће у великој мјери доћи до података. Као што је софтвер за заштиту од вируса био одговор на ширење вируса, Интрусион Превентион Системс је одговор на нападе уљеза.
Системи за спречавање провале углавном раде дваствари. Прво откривају покушаје упада, а када открију сумњиве активности, користе различите методе да га зауставе или блокирају. Постоје два различита начина на које се могу открити покушаји упада. Детекција заснована на потпису анализира мрежни саобраћај и податке и тражи специфичне обрасце повезане са покушајима провале. То је слично традиционалним системима за заштиту од вируса који се ослањају на дефиниције вируса. Откривање упада на основу потписа ослања се на потписе или обрасце упада. Главни недостатак ове методе детекције је тај да јој је потребан одговарајући потпис да би се учитао у софтвер. А када је нова метода напада, обично долази до одлагања пре него што се напади потписа ажурирају. Неки добављачи врло брзо пружају ажуриране потписе напада, док су други много спорији. Колико често и колико брзо се ажурирају потписи важан је фактор који треба узети у обзир при избору добављача.
Откривање на бази аномалије нуди бољу заштитупротив напада нула дана, они који се догађају пре открића потписа имали су прилику да буду ажурирани. Процес тражи аномалије уместо покушаја препознавања познатих образаца упада. На пример, покренуло би се ако неко покуша да приступи систему са погрешном лозинком неколико пута заредом, што је уобичајени знак напада грубе силе. Ово је само пример и обично постоје стотине различитих сумњивих активности које могу покренути ове системе. Обе методе детекције имају своје предности и мане. Најбољи алати су они који користе комбинацију потписа и анализе понашања за најбољу заштиту.
Откривање покушаја провале први је деоспречавања. Једном откривени, системи за спречавање провале активно раде на заустављању откривених активности. Ови системи могу предузети неколико различитих корективних радњи. Они могу, на пример, обуставити или на неки други начин деактивирати корисничке налоге. Друга типична акција је блокирање изворне ИП адресе напада или измена правила заштитног зида. Ако злонамерна активност потиче из одређеног процеса, систем превенције може убити тај процес. Покретање неког поступка заштите још је једна уобичајена реакција и, у најгорим случајевима, читави системи се могу искључити како би се ограничила потенцијална оштећења. Други важан задатак система за спречавање провале је упозоравање администратора, снимање догађаја и пријављивање сумњивих активности.
Пасивне мере спречавања упада
Док системи за спречавање провале могу да заштитеВи против бројних врста напада, ништа не може бити добро, старомодне мере пасивне превенције. На примјер, изрицање јаких лозинки је одличан начин заштите од многих упада. Друга једноставна мера заштите је промена задатих лозинки за опрему. Иако је ређе у корпоративним мрежама - иако то није нечувено - видео сам пречесто Интернет приступнике који су и даље имали задану администраторску лозинку. Док се ради о лозинки, старење лозинке је још један конкретан корак који се може предузети ради смањења покушаја провале. Свака лозинка, па и најбоља, на крају може бити пробијена, с обзиром на довољно времена. Старење лозинке осигурава да се лозинке промене пре него што су пробијене.
Било је само примера шта се може учинитипасивно спречавају упад. Могли бисмо написати читав пост о томе које се пасивне мере могу успоставити, али то нам данас није циљ. Наш циљ је уместо тога представити неке од најбољих активних система за спречавање провале.
Најбољи системи за спречавање продора
Наша листа садржи комбинацију различитих алата који могукористи се за заштиту од покушаја провале. Већина укључених алата су прави системи за спречавање провале, али такође укључује и алате који се, иако се не продају као такви, могу користити за спречавање упада. Наш први унос је један такав пример. Имајте на уму да, више од свега, ваш избор алата који ћете користити треба бити вођен оним што су ваше специфичне потребе. Дакле, погледајмо шта сваки од наших најбољих алата може понудити.
1. СоларВиндс Лог & Евент Манагер (БЕСПЛАТНА РЕКЛАМА)
СоларВиндс је познато име у мрежиадминистрација. Ужива у солидној репутацији за прављење неких од најбољих алата за мрежу и администрацију система. Његов водећи производ, Нетворк Перформанце Монитор константно сврстава међу најбоље доступне мрежне алате за праћење пропусности. СоларВиндс је такође познат по бројним бесплатним алатима, који се баве специфичним потребама мрежних администратора. Киви Сислог Сервер или СоларВиндс ТФТП сервер два су одлична примера ових бесплатних алата.
Не дозволите СоларВиндс Лог & Евент МанагерЗаваравам те именом. Постоји много више од тога што среће око. Неке од напредних функција овог производа класификују га као систем за откривање и спречавање провале, док га други стављају у опсег безбедносних информација и управљања догађајима (СИЕМ). Алат, на пример, садржи корелацију догађаја у стварном времену и санацију у реалном времену.
- БЕСПЛАТНА РЕКЛАМА: СоларВиндс Лог & Евент Манагер
- Званична веза за преузимање: https://www.solarwinds.com/log-event-manager-software/registration
Тхе СоларВиндс Лог & Евент Манагер хвали се тренутним откривањем сумњивихактивност (функционалност откривања провале) и аутоматизовани одговори (функционалност спречавања провале). Овај алат се такође може користити за обављање истрага безбедносних догађаја и форензике. Може се користити у сврху ублажавања и поштовања прописа. Алат садржи извештаје потврђене ревизијом, који се такође могу користити за доказивање усклађености са различитим регулаторним оквирима као што су ХИПАА, ПЦИ-ДСС и СОКС. Алат такође има надзор над интегритетом датотека и надзор УСБ уређаја. Све напредне карактеристике софтвера чине га више интегрисаном заштитном платформом него само системом за управљање дневницима и догађајима у који би вам име могло поверовати.
Функције спречавања провале према СоларВиндс Лог & Евент Манагер функционише спровођењем акција под називом АктивноОдговори кад год се открију претње. Различити одговори могу се повезати са одређеним упозорењима. На пример, систем може писати у табеле заштитног зида како би блокирао мрежни приступ изворној ИП адреси која је идентификована као обављање сумњивих активности. Алат такође може обуставити корисничке налоге, зауставити или покренути процесе и искључити системе. Сећате се како су то управо мере санације које смо раније идентификовали.
Цене за СоларВиндс Лог & Евент Манагер варира у зависности од броја надзираних чворова. Цене почињу од 4,585 УСД за до 30 надгледаних чворова и лиценце за до 2500 чворова могу се купити што чини производ високо скалабилним. Ако желите да тестирате производ на пробни рад и уверите се да ли је то за вас, на располагању вам је бесплатно 30-дневно пробно обележје.
2. Сплунк
Сплунк је вероватно један од најпопуларнијих система за спречавање провале. Доступан је у неколико различитих издања у којима се налазе различите сетове значајки. Сплунк Ентерприсе СецуритиИли Сплунк ЕС, како се често назива - оно што вам је потребно за истинску превенцију провале. Софтвер прати податке вашег система у реалном времену, тражећи рањивости и знакове ненормалне активности.
Сигурносни одговор један је од јаких производаодијела и шта га чини системом за превенцију провале. Користи оно што добављач назива оквир адаптивног одговора (АРФ). Интегрише се са опремом више од 55 добављача сигурности и може извести аутоматизирано реагирање, убрзавајући ручне задатке. Ова комбинација ако аутоматизована санација и ручна интервенција могу вам дати најбоље шансе да брзо стекнете предност. Алат има једноставан и нескладан кориснички интерфејс, што доноси победничко решење. Остале занимљиве заштитне карактеристике укључују функцију „Нотаблес“ која приказује упозорења која се могу прилагодити кориснику и „Инвестигатор Ассет“ („Испитивач имовине“) за означавање злонамерних активности и спречавање даљих проблема.
Сплунк Ентерприсе СецуритиИнформације о ценама нису лако доступне. Морате да се обратите компанији Сплунк за продају да бисте добили детаљну цену. Ово је одличан производ за који је доступна бесплатна проба.
3. Саган
Саган је у основи бесплатан систем за откривање провале. Међутим, алат који има могућности извршавања скрипте може га сврстати у категорију система за спречавање провале. Саган открива покушаје упада кроз надзор датотека датотека. Такође можете комбиновати Саган са Снорт-ом који може да напаја свој излаз Саган дајући алату неке мрежне могућности за откривање провале. Заправо, Саган може да прими улаз из многих других алата као што су Бро или Сурицата, комбинујући могућности неколико алата за најбољу могућу заштиту.
Има улов за СаганМогућности извршавања скрипти. Морате написати скрипте за санацију. Иако се овај алат можда не може најбоље користити као ваша једина одбрана од провале, могао би да буде кључна компонента система који укључује неколико алата корелирањем догађаја из различитих извора, што вам даје најбоље од многих производа.
Док Саган може се инсталирати само на Линук, Уник и Мац ОС,може да се повеже на Виндовс системе да би добио своје догађаје. Остале занимљиве карактеристике Сагана укључују праћење локације ИП адресе и дистрибуирану обраду.
4. ОССЕЦ
Сигурност отвореног кода, или ОССЕЦ, један је од водећих хост-база са отвореним кодомСистем за откривање провале. Укључујемо га на нашу листу из два разлога. Његова популарност је таква да смо морали да је укључимо, посебно имајући у виду да алат омогућава одређивање радњи које се изводе аутоматски кад се покрену одређена упозорења, што му даје неке могућности за спречавање продора. ОССЕЦ је у власништву компаније Тренд Мицро, једног од водећих имена у ИТ безбедности и произвођача једног од најбољих апартмана за заштиту од вируса.
Када се инсталирају на оперативне системе сличне Унику,софтвер за откривање првенствено се фокусира на датотеке дневника и конфигурације. Ствара контролне суме важних датотека и периодично их проверава, упозоравајући вас или покрећући корективну акцију кад год се догоди нешто чудно. Такође ће пратити и упозоравати на сваки ненормалан покушај да се добије роот приступ. У оперативном систему Виндовс такође води рачуна о неовлашћеним изменама у регистру јер би оне могле бити знак за злонамјерну активност. Свако откривање покренуће упозорење које ће се приказати на централизованој конзоли, док ће се обавештења такође слати е-поштом.
ОССЕЦ је систем заштите од провале од стране домаћина. Као такав, он се мора инсталирати на сваки рачунар који желите да заштитите. Међутим, централизована конзола обједињује податке са сваког заштићеног рачунара ради лакшег управљања. Тхе ОССЕЦ конзола ради само на Уник-Лике оперативним системима, али доступан је агент који штити Виндовс хостове. Алтернативно, други алати као што су Кибана или Граилог могу се користити као предњи део алата.
5. Отворите ВИПС-НГ
Нисмо били превише сигурни да ли би требало да укључимо Отворите ВИПС НГ на нашој листи. Више о томе у трену. Направио је то углавном зато што је један једини производ који посебно циља бежичне мреже. Отворите ВИПС НГ- где ВИПС означава бежични упадСистем превенције - алат је отвореног кода који се састоји од три главне компоненте. Прво, ту је сензор. Ово је глуп процес који једноставно хвата бежични саобраћај и шаље га на анализу. Као што вероватно погађате, следећа компонента је сервер. Обједињује податке са свих сензора, анализира прикупљене податке и реагује на нападе. Ова компонента је срце система. На крају, али не најмање битно, компонента интерфејса је ГУИ који користите за управљање сервером и приказивање информација о претњама које постоје на вашој бежичној мрежи.
Главни разлог зашто смо оклевали пре него што смо укључили Отворите ВИПС НГ на нашој листи то је, колико год добро било, несвима се свиђа програмер производа. То је од истог развојног програмера као што је Аирцрацк НГ, бежични снаффер пакет и крекер за лозинку који је део сваког пакета алата за ВиФи хакер. Ово отвара расправу о етици програмера и чини неке кориснике опрезнима. С друге стране, позадина програмера може се посматрати као доказ његовог дубоког знања о Ви-Фи безбедности.
6. Фаил2Бан
Фаил2Бан је релативно популаран упад бесплатног домаћинасистем детекције са функцијама за спречавање провале. Софтвер делује тако што надгледа системске датотеке дневника ради сумњивих догађаја као што су неуспели покушаји пријаве или експлоатације. Када систем открије нешто сумњиво, реагује аутоматски ажурирањем правила локалног ватрозида како би блокирао изворну ИП адресу злонамерног понашања. То, наравно, подразумева да се неки заштитни зид покреће на локалној машини. Ово је основни недостатак алата. Међутим, свака друга произвољна радња - попут извршавања неке корективне скрипте или слања обавештења путем е-поште - може се конфигурирати.
Фаил2Бан испоручује се са неколико унапред уграђених детекцијаокидачи који се називају филтри и покривају неке од најчешћих сервиса као што су Апацхе, Цоурриер, ССХ, ФТП, Постфик и многи други. Као што смо рекли, акције санације се изводе модификацијом табела заштитног зида главног рачунала. Фаил2Бан подржава Нетфилтер, ИПтаблес или хост.дени табелу ТЦП Враппер-а. Сваки филтар може бити повезан са једном или више радњи. Заједно, филтери и акције се називају затвором.
7. Бро Нетворк Монитор сигурности
Тхе Бро Нетворк Монитор сигурности је још једна бесплатна детекција упада у мрежусистем са ИПС-овом функционалношћу. Ради у двије фазе, прво евидентира промет, а затим га анализира. Овај алат дјелује на више слојева до апликацијског слоја што омогућава боље откривање сплит покушаја провале. Анализа производа се састоји од два елемента. Први елемент назива се Евент Енгине и његова сврха је праћење покретања догађаја као што су ТЦП везе или ХТТП захтјеви. Догађаји се затим анализирају скриптама политике, други елемент. Задатак скрипти смерница је да одлучи да ли ће активирати аларм, покренути акцију или игнорисати догађај. То је могућност покретања акције која даје Бро Нетворк Монитор сигурности његова ИПС функционалност.
Тхе Бро Нетворк Монитор сигурности има одређена ограничења. Пратиће само ХТТП, ДНС и ФТП активност и надгледаће СНМП саобраћај. То је добра ствар, јер се СНМП често користи за надгледање мреже упркос озбиљним сигурносним пропустима. СНМП има једва уграђену безбедност и користи нешифровани саобраћај. А будући да се протокол може користити за модификовање конфигурација, злонамјерни корисници га могу лако искористити. Производ ће такође водити рачуна о променама конфигурације уређаја и СНМП замкама. Може се инсталирати на Уник, Линук и ОС Кс, али није доступан за Виндовс, што је можда и његов главни недостатак. У супротном, ово је веома занимљиво средство које је вредно исплатити.
Коментари