การรักษาความปลอดภัยเป็นหัวข้อที่น่าสนใจและมีมานานแล้วในขณะที่ หลายปีที่ผ่านมาไวรัสเป็นปัญหาเดียวของผู้ดูแลระบบ ไวรัสเป็นสิ่งที่พบเห็นได้ทั่วไปและเป็นเครื่องมือป้องกันไวรัสที่น่าประหลาดใจ ทุกวันนี้แทบจะไม่มีใครคิดว่าจะใช้คอมพิวเตอร์ที่ไม่มีการป้องกัน อย่างไรก็ตามการบุกรุกคอมพิวเตอร์หรือการเข้าถึงข้อมูลของคุณโดยผู้ใช้ที่ไม่ได้รับอนุญาตถือเป็น“ การคุกคาม” เครือข่ายได้กลายเป็นเป้าหมายของแฮ็กเกอร์ที่มีเจตนาร้ายจำนวนมากซึ่งจะพยายามอย่างเต็มที่เพื่อเข้าถึงข้อมูลของคุณ การป้องกันที่ดีที่สุดของคุณจากภัยคุกคามประเภทนี้คือการตรวจจับการบุกรุกหรือระบบการป้องกัน วันนี้เรากำลังตรวจสอบเครื่องมือตรวจจับการบุกรุกที่ดีที่สุดสิบรายการฟรี
ก่อนที่เราจะเริ่มต้นเราจะหารือเกี่ยวกับวิธีการตรวจจับการบุกรุกที่แตกต่างกันที่ใช้งานอยู่ เช่นเดียวกับที่มีหลายวิธีที่ผู้บุกรุกสามารถเข้าสู่เครือข่ายของคุณได้มีหลายวิธี จากนั้นเราจะพูดถึงสองประเภทหลักของระบบตรวจจับการบุกรุก: การตรวจจับการบุกรุกเครือข่ายและการตรวจจับการบุกรุกโฮสต์ ก่อนที่เราจะดำเนินการต่อเราจะอธิบายความแตกต่างระหว่างการตรวจจับการบุกรุกและการป้องกันการบุกรุก และในที่สุดเราจะให้ความคิดเห็นสั้น ๆ เกี่ยวกับเครื่องมือตรวจจับการบุกรุกที่ดีที่สุดสิบประการที่เราพบได้ฟรี
วิธีการตรวจจับการบุกรุก
โดยทั่วไปมีวิธีการสองวิธีที่แตกต่างกันตรวจจับความพยายามในการบุกรุก มันอาจเป็นลายเซ็นหรือตามปกติ มาดูกันว่ามันต่างกันอย่างไร การตรวจจับการบุกรุกโดยใช้ลายเซ็นทำงานโดยการวิเคราะห์ข้อมูลสำหรับรูปแบบเฉพาะที่เกี่ยวข้องกับการพยายามบุกรุก คล้ายกับระบบป้องกันไวรัสแบบดั้งเดิมที่ใช้คำจำกัดความของไวรัส ระบบเหล่านี้จะเปรียบเทียบข้อมูลกับรูปแบบการบุกรุกเพื่อระบุความพยายาม ข้อเสียเปรียบหลักของพวกเขาคือพวกเขาจะไม่ทำงานจนกว่าจะมีการอัพโหลดลายเซ็นที่ถูกต้องไปยังซอฟต์แวร์ซึ่งโดยทั่วไปจะเกิดขึ้นหลังจากมีการโจมตีเครื่องจำนวนหนึ่ง
การตรวจจับการบุกรุกตามความผิดปกติให้การป้องกันที่ดีขึ้นจากการโจมตีแบบ zero-day ที่เกิดขึ้นก่อนซอฟต์แวร์ตรวจจับการบุกรุกใด ๆ มีโอกาสที่จะได้รับไฟล์ลายเซ็นที่เหมาะสม แทนที่จะพยายามจดจำรูปแบบการบุกรุกที่รู้จักสิ่งเหล่านี้จะค้นหาความผิดปกติแทน ตัวอย่างเช่นพวกเขาจะตรวจพบว่ามีคนพยายามเข้าถึงระบบด้วยรหัสผ่านที่ไม่ถูกต้องหลายครั้งซึ่งเป็นสัญญาณทั่วไปของการโจมตีที่ดุร้าย ในขณะที่คุณอาจเดาวิธีการตรวจสอบแต่ละวิธีมีข้อดี นี่คือเหตุผลที่เครื่องมือที่ดีที่สุดมักจะใช้ทั้งสองอย่างร่วมกันเพื่อการป้องกันที่ดีที่สุด
ระบบตรวจจับการบุกรุกสองประเภท
เช่นเดียวกับวิธีการตรวจจับที่แตกต่างกันนอกจากนี้ยังมีระบบตรวจจับการบุกรุกสองประเภทหลัก พวกเขาต่างกันเป็นส่วนใหญ่ในตำแหน่งที่ตรวจจับการบุกรุกไม่ว่าจะในระดับโฮสต์หรือระดับเครือข่าย ที่นี่อีกครั้งแต่ละคนมีข้อดีและวิธีแก้ปัญหาที่ดีที่สุด - หรือปลอดภัยที่สุด - อาจใช้ทั้งคู่
ระบบตรวจจับการบุกรุกของโฮสต์ (HIDS)
ระบบตรวจจับการบุกรุกชนิดแรกดำเนินการในระดับโฮสต์ เช่นสามารถตรวจสอบไฟล์บันทึกต่าง ๆ เพื่อดูว่ามีกิจกรรมที่น่าสงสัยหรือไม่ นอกจากนี้ยังสามารถทำงานได้โดยการตรวจสอบไฟล์การกำหนดค่าที่สำคัญสำหรับการเปลี่ยนแปลงที่ไม่ได้รับอนุญาต นี่คือสิ่งที่ HIDS ที่ใช้ความผิดปกติจะทำ ในทางกลับกันระบบที่ใช้ลายเซ็นจะดูไฟล์บันทึกและการกำหนดค่าเดียวกัน แต่จะมองหารูปแบบการบุกรุกที่รู้จัก ตัวอย่างเช่นวิธีการบุกรุกโดยเฉพาะอาจทำงานได้โดยการเพิ่มสตริงที่แน่นอนลงในไฟล์การตั้งค่าเฉพาะซึ่ง IDS ที่อิงกับลายเซ็นจะตรวจจับ
อย่างที่คุณจินตนาการไว้ HIDS จะถูกติดตั้งโดยตรงบนอุปกรณ์ที่พวกเขาตั้งใจจะปกป้องดังนั้นคุณจะต้องติดตั้งลงในคอมพิวเตอร์ทุกเครื่องของคุณ อย่างไรก็ตามระบบส่วนใหญ่มีคอนโซลส่วนกลางที่คุณสามารถควบคุมแต่ละอินสแตนซ์ของแอปพลิเคชันได้
ระบบตรวจจับการบุกรุกเครือข่าย (NIDS)
ระบบตรวจจับการบุกรุกเครือข่ายหรือ NIDSทำงานที่ชายแดนเครือข่ายของคุณเพื่อบังคับใช้การตรวจจับ พวกเขาใช้วิธีการที่คล้ายกันเป็นระบบตรวจจับการบุกรุกโฮสต์ แน่นอนแทนที่จะมองเป็นไฟล์บันทึกและการกำหนดค่าพวกเขาดูเครือข่ายจราจรเช่นคำขอการเชื่อมต่อ มีการทราบวิธีการบุกรุกบางอย่างเพื่อหาช่องโหว่โดยการส่งแพ็คเก็ตที่มีรูปแบบไม่ถูกต้องไปยังโฮสต์ทำให้พวกมันตอบสนองในรูปแบบเฉพาะ ระบบตรวจจับการบุกรุกเครือข่ายสามารถตรวจจับสิ่งเหล่านี้ได้อย่างง่ายดาย
บางคนโต้แย้งว่า NIDS ดีกว่า HIDSตามที่พวกเขาตรวจจับการโจมตีก่อนที่จะถึงคอมพิวเตอร์ของคุณ พวกเขายังดีกว่าเพราะพวกเขาไม่ต้องการอะไรที่จะติดตั้งบนคอมพิวเตอร์แต่ละเครื่องเพื่อปกป้องพวกเขาได้อย่างมีประสิทธิภาพ ในทางกลับกันพวกเขาให้ความคุ้มครองเพียงเล็กน้อยจากการโจมตีโดยใช้วงในซึ่งไม่น่าแปลกใจเลย นี่เป็นอีกกรณีหนึ่งที่การป้องกันที่ดีที่สุดมาจากการใช้เครื่องมือทั้งสองประเภทร่วมกัน
การป้องกันการตรวจจับการบุกรุก Vs
มีเครื่องมือสองประเภทที่แตกต่างกันในโลกป้องกันการบุกรุก: ระบบตรวจจับการบุกรุกและระบบป้องกันการบุกรุก แม้ว่ามันจะมีจุดประสงค์ที่แตกต่างกัน แต่มักจะมีการซ้อนทับกันระหว่างเครื่องมือสองชนิด ตามชื่อของมันหมายถึงการตรวจจับการบุกรุกจะตรวจจับความพยายามในการบุกรุกและกิจกรรมที่น่าสงสัยโดยทั่วไป เมื่อใดก็ตามที่เป็นเช่นนั้นโดยปกติจะเรียกสัญญาณเตือนหรือการแจ้งเตือนบางประเภท จากนั้นขึ้นอยู่กับผู้ดูแลระบบเพื่อดำเนินการตามขั้นตอนที่จำเป็นเพื่อหยุดหรือบล็อกความพยายามนี้
ระบบป้องกันการบุกรุกในทางกลับกันทำงานที่หยุดการโจมตีไม่ให้เกิดขึ้นโดยสิ้นเชิง ระบบป้องกันการบุกรุกส่วนใหญ่จะมีส่วนประกอบการตรวจจับที่จะทริกเกอร์การกระทำเมื่อมีการตรวจพบการบุกรุก แต่การป้องกันการบุกรุกก็สามารถแฝงตัวได้เช่นกัน คำนี้สามารถใช้เพื่ออ้างถึงขั้นตอนใด ๆ ที่ถูกนำมาใช้เพื่อป้องกันการบุกรุก เราสามารถคิดถึงมาตรการต่างๆเช่นการชุบแข็งด้วยรหัสผ่านเป็นต้น
เครื่องมือตรวจจับการบุกรุกที่ดีที่สุดฟรี
ระบบตรวจจับการบุกรุกอาจมีราคาแพงแพงมาก. โชคดีที่มีตัวเลือกฟรีจำนวนมากให้เลือก เราได้ค้นหาอินเทอร์เน็ตเพื่อหาเครื่องมือซอฟต์แวร์ตรวจจับการบุกรุกที่ดีที่สุด เราพบค่อนข้างน้อยและเรากำลังจะทบทวนสิบที่ดีที่สุดที่เราสามารถหาได้ในเวลาสั้น ๆ
1. OSSEC
OSSEC ซึ่งย่อมาจาก Open Source Security คือโดยไกลระบบการตรวจจับการบุกรุกโฮสต์โอเพนซอร์สชั้นนำ OSSEC เป็นเจ้าของโดย Trend Micro หนึ่งในผู้นำด้านความปลอดภัยด้านไอที ซอฟต์แวร์เมื่อติดตั้งบนระบบปฏิบัติการแบบ Unix จะเน้นที่ไฟล์บันทึกและไฟล์กำหนดค่าเป็นหลัก มันสร้างการตรวจสอบไฟล์สำคัญและตรวจสอบความถูกต้องเป็นระยะแจ้งเตือนคุณหากมีสิ่งผิดปกติเกิดขึ้น นอกจากนี้ยังจะตรวจสอบและจับความพยายามแปลก ๆ ที่ได้รับการเข้าถึงราก บน Windows ระบบยังคอยจับตาดูการแก้ไขรีจิสตรีโดยไม่ได้รับอนุญาต
OSSEC เป็นระบบตรวจจับการบุกรุกโฮสต์จำเป็นต้องติดตั้งในคอมพิวเตอร์แต่ละเครื่องที่คุณต้องการป้องกัน อย่างไรก็ตามจะรวมข้อมูลจากคอมพิวเตอร์แต่ละเครื่องที่ได้รับการป้องกันไว้ในคอนโซลเดียวเพื่อการจัดการที่ง่ายขึ้น ซอฟต์แวร์ทำงานบนระบบ Unix-Like เท่านั้น แต่มีเอเจนต์พร้อมที่จะปกป้องโฮสต์ Windows เมื่อระบบตรวจพบบางอย่างการแจ้งเตือนจะปรากฏขึ้นบนคอนโซลและการแจ้งเตือนจะถูกส่งทางอีเมล
2. Snort
เหมือนกับ OSSEC คือ HIDS โอเพ่นซอร์สอันดับต้น ๆSnort เป็น NIDS แบบโอเพ่นซอร์สชั้นนำ Snort เป็นมากกว่าเครื่องมือตรวจจับการบุกรุก นอกจากนี้ยังเป็นแพ็คเก็ตดมกลิ่นและตัวบันทึกแพ็คเก็ต แต่สิ่งที่เราสนใจในตอนนี้คือคุณสมบัติการตรวจจับการบุกรุกของ Snort ค่อนข้างคล้ายกับไฟร์วอลล์ Snort ถูกกำหนดค่าโดยใช้กฎ สามารถดาวน์โหลดกฎพื้นฐานได้จากเว็บไซต์ Snort และปรับแต่งตามความต้องการเฉพาะของคุณ คุณยังสามารถสมัครสมาชิกกฎ Snort เพื่อให้แน่ใจว่าคุณได้รับกฎล่าสุดตามที่ได้รับการพัฒนาเมื่อมีการระบุภัยคุกคามใหม่ ๆ
กฎ Snort พื้นฐานสามารถตรวจจับได้หลากหลายของเหตุการณ์เช่นการสแกนพอร์ตที่ซ่อนตัวการโจมตีบัฟเฟอร์ล้นการโจมตี CGI โพรบ SMB และการพิมพ์ลายนิ้วมือ OS การตรวจสอบการติดตั้ง Snort ของคุณขึ้นอยู่กับกฎที่คุณติดตั้งไว้เท่านั้น กฎพื้นฐานบางข้อเสนอนั้นใช้ลายเซ็นในขณะที่กฎอื่น ๆ นั้นใช้ความผิดปกติ การใช้ Snort ช่วยให้คุณได้รับสิ่งที่ดีที่สุดทั้งสองโลก
3. Suricata
Suricata โฆษณาตัวเองว่าเป็นการบุกรุกระบบตรวจจับและป้องกันและเป็นระบบนิเวศการตรวจสอบความปลอดภัยเครือข่ายที่สมบูรณ์ หนึ่งในข้อได้เปรียบที่ดีที่สุดของ Snort คือเครื่องมือนี้ทำงานได้จนถึงเลเยอร์ของแอปพลิเคชัน วิธีนี้ช่วยให้เครื่องมือสามารถตรวจจับภัยคุกคามที่อาจไม่มีใครสังเกตเห็นในเครื่องมืออื่น ๆ โดยแบ่งเป็นหลายแพ็กเก็ต
แต่ Suricata ไม่ได้ทำงานกับแอปพลิเคชันเท่านั้นชั้น. นอกจากนี้ยังจะตรวจสอบโปรโตคอลระดับล่างเช่น TLS, ICMP, TCP และ UDP เครื่องมือนี้ยังเข้าใจโปรโตคอลเช่น HTTP, FTP หรือ SMB และสามารถตรวจจับการบุกรุกที่ซ่อนอยู่ในคำขอปกติอื่น ๆ นอกจากนี้ยังมีความสามารถในการแตกไฟล์เพื่ออนุญาตให้ผู้ดูแลระบบตรวจสอบไฟล์ที่น่าสงสัยด้วยตนเอง
สถาปัตยกรรมที่ชาญฉลาด Suricata ทำดีมากและมันจะกระจายภาระงานของมันในหลายแกนประมวลผลและกระทู้เพื่อประสิทธิภาพที่ดีที่สุด มันสามารถลดการประมวลผลลงในการ์ดกราฟิกได้ นี่เป็นคุณสมบัติที่ยอดเยี่ยมบนเซิร์ฟเวอร์เนื่องจากการ์ดแสดงผลของพวกเขาส่วนใหญ่ไม่ทำงาน
4. การตรวจสอบความปลอดภัยเครือข่าย Bro
ถัดไปในรายการของเราคือผลิตภัณฑ์ที่เรียกว่า Broตรวจสอบความปลอดภัยเครือข่ายระบบตรวจจับการบุกรุกเครือข่ายอื่นฟรี Bro ดำเนินการในสองขั้นตอน: การบันทึกและวิเคราะห์การจราจร เช่นเดียวกับ Suricata Bro ทำงานที่ชั้นแอปพลิเคชันทำให้สามารถตรวจจับการบุกรุกแบบแยกได้ดีขึ้น ดูเหมือนว่าทุกอย่างจะมาพร้อมกับ Bro และโมดูลการวิเคราะห์ประกอบด้วยสององค์ประกอบ สิ่งแรกคือเอ็นจินเหตุการณ์ซึ่งติดตามเหตุการณ์ที่ทริกเกอร์เช่นการเชื่อมต่อ TCP สุทธิหรือการร้องขอ HTTP เหตุการณ์นั้นจะถูกวิเคราะห์เพิ่มเติมโดยสคริปต์นโยบายซึ่งตัดสินใจว่าจะกระตุ้นการแจ้งเตือนหรือไม่และเริ่มดำเนินการทำให้ Bro เป็นการป้องกันการบุกรุกเพิ่มเติมจากระบบตรวจจับ
Bro จะช่วยให้คุณติดตาม HTTP, DNS และ FTPกิจกรรมตลอดจนตรวจสอบปริมาณการใช้งาน SNMP สิ่งนี้เป็นสิ่งที่ดีเพราะในขณะที่ SNMP มักใช้สำหรับการตรวจสอบเครือข่าย แต่มันไม่ใช่โปรโตคอลที่ปลอดภัย Bro ยังให้คุณดูการเปลี่ยนแปลงการกำหนดค่าอุปกรณ์และ SNMP Traps Bro สามารถติดตั้งบน Unix, Linux, และ OS X แต่ไม่สามารถใช้งานได้กับ Windows อาจเป็นข้อเสียเปรียบหลัก
5. เปิด WIPS NG
Open WIPS NG ทำไว้ในรายชื่อของเราเป็นหลักเพราะเป็นเครือข่ายเดียวที่กำหนดเป้าหมายเป็นเครือข่ายไร้สายโดยเฉพาะ Open WIPS NG - โดยที่ WIPS หมายถึง Wireless Intrusion Prevention System— เป็นเครื่องมือโอเพ่นซอร์สซึ่งประกอบด้วยสามองค์ประกอบหลัก อย่างแรกคือมีเซ็นเซอร์ซึ่งเป็นอุปกรณ์ใบ้ที่จับสัญญาณทราฟฟิกไร้สายและส่งไปยังเซิร์ฟเวอร์เพื่อทำการวิเคราะห์ ถัดไปคือเซิร์ฟเวอร์ หนึ่งนี้รวบรวมข้อมูลจากเซ็นเซอร์ทั้งหมดวิเคราะห์ข้อมูลที่รวบรวมและตอบสนองต่อการโจมตี มันเป็นหัวใจของระบบ สุดท้าย แต่ไม่ท้ายสุดคือองค์ประกอบของอินเตอร์เฟสซึ่งเป็น GUI ที่คุณใช้ในการจัดการเซิร์ฟเวอร์และแสดงข้อมูลเกี่ยวกับภัยคุกคามบนเครือข่ายไร้สายของคุณ
ไม่ใช่ทุกคนที่ชอบ Open WIPS NG ผลิตภัณฑ์นี้มาจากนักพัฒนาเดียวกันกับ Aircrack NG ซึ่งเป็นตัวดักจับแพ็คเก็ตไร้สายและแครกเกอร์รหัสผ่านที่เป็นส่วนหนึ่งของชุดเครื่องมือแฮ็กเกอร์ WiFi ทุกตัว ในทางกลับกันเมื่อพิจารณาถึงเบื้องหลังของเขาเราสามารถสันนิษฐานได้ว่านักพัฒนาซอฟต์แวร์รู้เรื่องความปลอดภัยของ Wi-Fi ค่อนข้างน้อย
6. Samhain
Samhain เป็นระบบตรวจจับการบุกรุกโฮสต์ฟรีซึ่งให้การตรวจสอบความสมบูรณ์ของไฟล์และการตรวจสอบ / วิเคราะห์ไฟล์บันทึก นอกจากนี้ผลิตภัณฑ์ยังทำการตรวจจับรูทคิท, การตรวจสอบพอร์ต, การตรวจจับไฟล์เอ็กซีคิวต์ของ rogue SUID และกระบวนการที่ซ่อนอยู่ เครื่องมือนี้ได้รับการออกแบบมาเพื่อตรวจสอบระบบหลายระบบด้วยระบบปฏิบัติการที่หลากหลายพร้อมการบันทึกและบำรุงรักษาแบบรวมศูนย์ อย่างไรก็ตาม Samhain ยังสามารถใช้เป็นแอปพลิเคชันแบบสแตนด์อโลนบนคอมพิวเตอร์เครื่องเดียว Samhain สามารถทำงานบนระบบ POSIX เช่น Unix Linux หรือ OS X นอกจากนี้ยังสามารถทำงานบน Windows ภายใต้ Cygwin แม้ว่าจะมีเพียงเอเจนต์การตรวจสอบและไม่ใช่เซิร์ฟเวอร์ที่ได้รับการทดสอบในการกำหนดค่านั้น
หนึ่งในคุณลักษณะที่โดดเด่นที่สุดของ Samhain คือโหมดซ่อนตัวซึ่งช่วยให้สามารถเรียกใช้โดยไม่ถูกตรวจพบโดยผู้โจมตีในที่สุด บ่อยครั้งที่ผู้บุกรุกฆ่ากระบวนการตรวจจับที่พวกเขารับรู้ทำให้ไม่สามารถสังเกตเห็นได้ Samhain ใช้ซูรินาเมเพื่อซ่อนกระบวนการจากคนอื่น นอกจากนี้ยังปกป้องไฟล์บันทึกกลางและการสำรองข้อมูลการกำหนดค่าด้วยคีย์ PGP เพื่อป้องกันการปลอมแปลง
7. Fail2Ban
Fail2Ban คือการบุกรุกโฮสต์ฟรีที่น่าสนใจระบบตรวจจับที่มีคุณสมบัติการป้องกันบางอย่าง เครื่องมือนี้ทำงานโดยการตรวจสอบล็อกไฟล์สำหรับเหตุการณ์ที่น่าสงสัยเช่นการพยายามล็อกอินที่ล้มเหลวหาประโยชน์ ฯลฯ เมื่อตรวจพบสิ่งที่น่าสงสัยมันจะอัพเดตกฎไฟร์วอลล์ในเครื่องโดยอัตโนมัติเพื่อบล็อกที่อยู่ IP ต้นทางของพฤติกรรมที่เป็นอันตราย นี่คือการกระทำเริ่มต้นของเครื่องมือ แต่สามารถกำหนดค่าการกระทำตามอำเภอใจอื่น ๆ เช่นการส่งอีเมลแจ้งเตือน
ระบบมาพร้อมกับตัวกรองที่สร้างไว้ล่วงหน้าต่างๆสำหรับบริการทั่วไปเช่น Apache, Courrier, SSH, FTP, Postfix และอีกมากมาย การป้องกันจะดำเนินการโดยการปรับเปลี่ยนตารางไฟร์วอลล์ของโฮสต์ เครื่องมือสามารถทำงานกับ Netfilter, IPtables หรือตาราง hosts.deny ของ TCP Wrapper แต่ละตัวกรองสามารถเชื่อมโยงกับหนึ่งหรือหลายการกระทำ ร่วมกันตัวกรองและการกระทำที่เรียกว่าคุก
8. ผู้ช่วย
AIDE เป็นตัวย่อสำหรับการบุกรุกขั้นสูงตรวจจับสภาพแวดล้อม ระบบตรวจจับการบุกรุกโฮสต์ฟรีส่วนใหญ่มุ่งเน้นไปที่การตรวจจับรูทคิทและการเปรียบเทียบลายเซ็นไฟล์ เมื่อคุณติดตั้ง AIDE ครั้งแรกมันจะรวบรวมฐานข้อมูลข้อมูลผู้ดูแลระบบจากไฟล์กำหนดค่าของระบบ สิ่งนี้จะถูกใช้เป็นพื้นฐานในการเปรียบเทียบการเปลี่ยนแปลงใด ๆ และในที่สุดก็ทำการย้อนกลับหากจำเป็น
AIDE ใช้ทั้งแบบอิงลายเซ็นและแบบผิดปกติการวิเคราะห์ที่ทำงานตามความต้องการและไม่ได้กำหนดเวลาหรือทำงานอย่างต่อเนื่องนี่เป็นข้อเสียเปรียบหลักของผลิตภัณฑ์นี้ อย่างไรก็ตาม AIDE เป็นเครื่องมือบรรทัดคำสั่งและสามารถสร้างงาน CRON เพื่อรันในช่วงเวลาปกติ และหากคุณเรียกใช้บ่อยมากเช่นทุก ๆ นาทีคุณจะได้รับข้อมูลเสมือนจริง หัวใจหลักของ AIDE คืออะไรนอกจากเครื่องมือเปรียบเทียบข้อมูล ต้องสร้างสคริปต์ภายนอกเพื่อให้เป็น HIDS จริง
9. หัวหอมความปลอดภัย
Security Onion เป็นสัตว์ร้ายที่น่าสนใจช่วยคุณประหยัดเวลาได้มาก นี่ไม่ใช่แค่ระบบตรวจจับการบุกรุกหรือการป้องกัน Security Onion เป็นการกระจาย Linux ที่สมบูรณ์โดยมุ่งเน้นที่การตรวจจับการบุกรุกการตรวจสอบความปลอดภัยขององค์กรและการจัดการบันทึก มีเครื่องมือมากมายที่เราเพิ่งตรวจสอบ ตัวอย่างเช่น Security Onion มี Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner และอื่น ๆ ทั้งหมดนี้มาพร้อมกับวิซาร์ดการตั้งค่าที่ใช้งานง่ายช่วยให้คุณสามารถปกป้ององค์กรของคุณได้ภายในไม่กี่นาที คุณสามารถนึกถึง Security Onion ในฐานะเป็น Swiss Army ของความปลอดภัยด้านไอทีระดับองค์กร
สิ่งที่น่าสนใจที่สุดเกี่ยวกับเครื่องมือนี้คือให้คุณได้ทุกสิ่งในการติดตั้งง่าย ๆ เพียงครั้งเดียว และคุณจะได้รับทั้งเครื่องมือตรวจจับการบุกรุกเครือข่ายและโฮสต์ มีเครื่องมือที่ใช้วิธีการที่ใช้ลายเซ็นและบางอย่างที่ใช้ความผิดปกติ การกระจายยังมีการรวมกันของเครื่องมือข้อความและ GUI มีการผสมผสานที่ยอดเยี่ยมของทุกสิ่ง แน่นอนว่าข้อเสียเปรียบคือคุณได้รับสิ่งต่างๆมากมายซึ่งการกำหนดค่าทั้งหมดอาจใช้เวลาสักครู่ แต่คุณไม่จำเป็นต้องใช้เครื่องมือทั้งหมด คุณสามารถเลือกได้เฉพาะคนที่คุณชอบ
10. เซแกน
เซแกนเป็นระบบวิเคราะห์ล็อกมากกว่าจริง ๆดีกว่า IDS จริง แต่มีคุณสมบัติบางอย่างที่เหมือนกับ IDS ที่เราคิดว่าสมควรรวมไว้ในรายการของเรา เครื่องมือนี้สามารถดูบันทึกท้องถิ่นของระบบที่ติดตั้ง แต่สามารถโต้ตอบกับเครื่องมืออื่น ๆ ตัวอย่างเช่นสามารถวิเคราะห์บันทึกของ Snort ได้อย่างมีประสิทธิภาพเพิ่มฟังก์ชัน NIDS บางอย่างให้กับ HIDS และมันจะไม่โต้ตอบกับ Snort มันสามารถโต้ตอบกับ Suricata ได้เช่นกันและเข้ากันได้กับเครื่องมือสร้างกฎหลายอย่างเช่น Oinkmaster หรือ Pulled Pork
เซแกนยังมีความสามารถในการประมวลผลสคริปต์ทำให้มันเป็นระบบป้องกันการบุกรุกที่ดิบ เครื่องมือนี้อาจไม่ถูกใช้เพื่อป้องกันการบุกรุก แต่เพียงผู้เดียวของคุณ แต่มันจะเป็นองค์ประกอบที่ยอดเยี่ยมของระบบที่สามารถรวมเครื่องมือจำนวนมากโดยเชื่อมโยงเหตุการณ์จากแหล่งต่าง ๆ
ข้อสรุป
ระบบตรวจจับการบุกรุกเป็นเพียงส่วนหนึ่งมีเครื่องมือมากมายที่จะช่วยผู้ดูแลระบบเครือข่ายและระบบในการตรวจสอบการทำงานที่เหมาะสมของสภาพแวดล้อม เครื่องมือใด ๆ ที่กล่าวถึงที่นี่ยอดเยี่ยม แต่เครื่องมือแต่ละอย่างมีจุดประสงค์ที่แตกต่างกันเล็กน้อย สิ่งที่คุณเลือกจะขึ้นอยู่กับความชอบส่วนบุคคลและความต้องการเฉพาะเป็นส่วนใหญ่
ความคิดเห็น