Bu günlerde herkes endişeli görünüyorgüvenlik ile. Siber suçluluğun önemi göz önüne alındığında mantıklıdır. Kuruluşlar, verilerini çalmaya veya başka zararlara neden olmaya çalışan bilgisayar korsanları tarafından hedeflenir. BT ortamınızı bu saldırılara karşı korumanın bir yolu doğru araçların ve sistemlerin kullanılmasıdır. Genellikle, ilk savunma hattı ağın Ağı Saldırı Tespit Sistemleri veya NIDS şeklinde ağın çevresindedir.. Bu sistemler, sitenize gelen trafiği analiz eder.herhangi bir şüpheli etkinliği tespit etmek ve sizi hemen uyarmak için NIDS çok popüler ve birçoğu ihtiyaçlarınız için en iyisini bulmaktan çok daha zorlayıcı bir çaba olabilir. Sana yardım etmek için, ağ tabanlı en iyi İzinsiz Giriş Tespiti Sistemlerinin bazılarının listesini oluşturduk.
Yolculuğumuza bir göz atarak başlayacağız.farklı türde Saldırı Tespit Sistemi. Temel olarak, iki tür vardır: ağ tabanlı ve ana bilgisayar tabanlı. Farklılıklarını açıklayacağız. Saldırı Tespit Sistemleri kullandıkları tespit yöntemine göre de farklılık gösterir. Bazıları imzaya dayalı bir yaklaşım kullanırken diğerleri davranışsal analize dayanmaktadır. En iyi araçlar, her iki algılama yönteminin bir kombinasyonunu kullanır. Pazar hem izinsiz giriş tespiti hem de izinsiz giriş önleme sistemleri ile doymuştur. Ayrımı anlamak önemli olduğu için nasıl farklı olduklarını ve birbirlerine nasıl benzediklerini keşfedeceğiz. Son olarak, en iyi Ağ Tabanlı Saldırı Tespit Sistemlerini inceleyip en önemli özelliklerini sunacağız.
Ağ - Ana Bilgisayar Tabanlı Saldırı Tespiti
Saldırı Tespit Sistemleri iki sistemden biridirtürleri. İkisi de aynı hedefi paylaşır - saldırı girişimlerini veya potansiyel olarak izinsiz giriş denemelerine yol açan şüpheli etkinlikleri tespit etmek için - ancak tespitin gerçekleştirildiği yeri gösteren uygulama noktasının bulunduğu yerde farklılık gösterir. Her bir saldırı tespit aracının avantajları ve dezavantajları vardır. Hangisinin tercih edileceğine dair gerçek bir fikir birliği yoktur. Bazıları bir tür yemin ederken diğerleri sadece diğerine güvenir. Her ikisi de muhtemelen haklı. En iyi çözüm - ya da en güvenli - muhtemelen her iki türü de birleştiren çözümdür.
Ağ Saldırı Tespit Sistemleri (NIDS)
İlk Saldırı Tespit Sistemi tipiAğ Saldırı Tespit Sistemi veya NIDS denir. Bu sistemler algılamayı zorunlu kılmak için ağın sınırında çalışır. Ağ trafiğini keser ve inceler, izinsiz giriş denemesini gösterebilecek şüpheli etkinlikler ararlar ve ayrıca bilinen izinsiz giriş modellerini ararlar. Davetsiz misafirler genellikle çeşitli sistemlerin bilinen güvenlik açıklarından yararlanarak örneğin ana bilgisayarlara hatalı biçimlendirilmiş paketler göndererek, bunların ihlal edilmelerine olanak tanıyan belirli bir şekilde tepki vermelerini sağlar. Ağ Saldırı Tespit Sistemi büyük olasılıkla bu tür saldırı girişimlerini algılayacaktır.
Bazıları Ağ İzinsiz Giriş TespitiSistemler, sistemlerinize ulaşmadan önce bile saldırıları tespit edebildikleri için ana bilgisayar tabanlı rakiplerinden daha iyidir. Bazıları da onları tercih etme eğilimindedir, çünkü her bir ana bilgisayara etkili bir şekilde korumak için herhangi bir şey yüklemeleri gerekmez. Öte yandan, ne yazık ki hiç de nadir olmayan içeriden gelen saldırılara karşı çok az koruma sağlarlar. Tespit edilmesi için, bir saldırganın izinsiz giriş denemesi, içeriden kaynaklanırken nadiren yaptığı NIDS'ten geçmelidir. Herhangi bir teknolojinin artıları ve eksileri vardır ve izinsiz giriş tespiti için özel bir durumdur, hiçbir şey sizi üstün koruma için her iki aracı da kullanmanızı engellemez.
Konak Saldırı Tespit Sistemleri (HIDS)
Ana Bilgisayar İzinsiz Giriş Tespit Sistemleri (HIDS) çalışırkonak düzeyinde; bunu isminden tahmin etmiş olabilirsiniz. Örneğin, şüpheli etkinlik belirtileri için çeşitli günlük dosyalarını ve günlükleri izleyeceklerdir. İzinsiz giriş denemelerini saptayabilmelerinin başka bir yolu da sistem yapılandırma dosyalarını yetkisiz değişiklikler olup olmadığını denetlemektir. Aynı dosyaları bilinen belirli saldırı kalıpları için de inceleyebilirler. Örneğin, belirli bir izinsiz giriş yönteminin belirli bir yapılandırma dosyasına belirli bir parametre eklenerek çalıştığı bilinmektedir. İyi bir Host tabanlı Saldırı Tespit Sistemi bunu yakalar.
Her ne kadar isimleri sizi düşünmenizetüm HIDS doğrudan korumak istedikleri cihaza kurulur, durum böyle olmayabilir. Bazılarının tüm bilgisayarlarınıza yüklenmesi gerekirken bazılarının yalnızca yerel bir aracı yüklemesi gerekir. Hatta bazıları tüm işlerini ajan olmadan uzaktan yaparlar. Nasıl çalışırlarsa çalışsın, çoğu HIDS, uygulamanın her örneğini kontrol edebileceğiniz ve tüm sonuçları görüntüleyebileceğiniz merkezi bir konsola sahiptir.
Saldırı Tespit Yöntemleri
Saldırı tespit sistemleri yalnızcazorlama noktası, saldırı girişimlerini tespit etmek için kullandıkları yöntemle de farklılık gösterir. Bazıları imza tabanlıdır, bazıları ise anomali tabanlıdır. Birincisi, izinsiz giriş denemeleriyle ilişkili belirli kalıplar için verileri analiz ederek çalışır. Bu, virüs tanımlarına dayanan geleneksel virüs koruma sistemlerine benzer. İmza tabanlı izinsiz giriş tespiti izinsiz giriş imzalarına veya kalıplarına dayanır. İzinsiz giriş denemelerini tanımlamak için yakalanan verileri izinsiz giriş imzalarıyla karşılaştırırlar. Elbette, yazılıma uygun imza yüklenene kadar çalışmayacaklar, bu da bazen sadece belirli sayıda makineye saldırıldıktan ve saldırı imzalarının yayıncılarının yeni güncelleme paketleri yayınlamak için zamanları olduğunda ortaya çıkabilir. Bazı tedarikçiler oldukça hızlıdır, diğerleri ise sadece günler sonra tepki verebilirdi. Bu, bu algılama yönteminin birincil dezavantajıdır.
Anomali tabanlı saldırı tespit daha iyi sağlarsıfır gün saldırılarına karşı koruma, herhangi bir saldırı tespit yazılımından önce gerçekleşenlerin uygun imza dosyasını alma şansı olmuştur. Bilinen saldırı kalıplarını tanımaya çalışmak yerine anomaliler ararlar. Örneğin, arka arkaya birkaç kez yanlış parolaya sahip bir sisteme erişmeye çalışan biri, bir kaba kuvvet saldırısının ortak bir işareti olduğu için bir uyarıyı tetikler. Bu sistemler ağdaki şüpheli etkinlikleri hızla algılayabilir. Her algılama yönteminin avantajları ve dezavantajları vardır ve iki araç türünde olduğu gibi, en iyi araçlar muhtemelen imza ve davranış analizinin bir kombinasyonunu kullananlardır.
Tespit mi Önleme mi?
Bazı insanlar arasında kafa karışıklığı varsaldırı tespit ve saldırı önleme sistemleri. Bunlar birbirleriyle yakından ilişkili olsa da, ikisi arasında bazı işlevler çakışmasına rağmen aynı değildirler. Adından da anlaşılacağı gibi, saldırı tespit sistemleri saldırı girişimlerini ve şüpheli etkinlikleri tespit eder. Bir şey algıladıklarında, genellikle bir tür uyarı veya bildirim tetiklerler. İzinsiz giriş denemesini durdurmak veya engellemek için gerekli adımları atmak yöneticilere kalmıştır.
İzinsiz Giriş Önleme Sistemleri (IPS) bir adım ilerlerayrıca saldırıların tamamen olmasını engelleyebilir. İzinsiz Giriş Önleme Sistemleri, bir izinsiz giriş teşebbüsü algılandığında bazı otomatik iyileştirme eylemlerini tetikleyecek olan bir İzinsiz Giriş Tespit Sistemine işlevsel olarak eşdeğer olan bir algılama bileşeni içerir. Saldırı girişimini durdurmak için hiçbir insan müdahalesine gerek yoktur. İzinsiz giriş önleme, izinsiz girişleri önlemenin bir yolu olarak yapılan veya uygulanan herhangi bir şeyi de ifade edebilir. Örneğin, parola sertleştirme veya davetsiz misafir kilitleme, izinsiz giriş önleme önlemleri olarak düşünülebilir.
En İyi Ağ Saldırı Tespit Araçları
Piyasayı en iyiler için araştırdıkAğ Tabanlı Saldırı Tespit Sistemleri. Listemiz, gerçek bir Host tabanlı Saldırı Tespit Sistemi ve ağ tabanlı bir saldırı tespit bileşenine sahip olan veya saldırı girişimlerini tespit etmek için kullanılabilen diğer yazılımların bir karışımını içerir. Önerilen araçlarımızın her biri, ağınızdaki saldırı girişimlerinin algılanmasına yardımcı olabilir.
1. SolarWinds Tehdit Monitörü - IT Ops Sürümü (Ücretsiz demo)
SolarWinds,ağ yönetim araçları. Şirket yaklaşık 20 yıldır var ve bize en iyi ağ ve sistem yönetim araçlarından bazılarını getirdi. Amiral gemisi ürünü Ağ Performans İzleyicisi, en iyi ağ bant genişliği izleme araçları arasında tutarlı bir şekilde puan alır. SolarWinds ayrıca her biri belirli bir ağ yöneticisi ihtiyacını karşılayan mükemmel ücretsiz araçlar yapar. Kiwi Syslog Sunucusu ve Gelişmiş Alt Ağ Hesaplayıcısı bunlara iki güzel örnektir.
Ağ tabanlı izinsiz giriş tespiti için, SolarWinds Tehdit Monitörü - IT Ops Sürümü. Diğer SolarWinds araçlarının aksine, bubunlardan biri yerel olarak kurulmuş bir yazılım yerine bulut tabanlı bir hizmettir. Sadece abone olun, yapılandırın ve izinsiz giriş denemeleri ve birkaç tehdit türü için ortamınızı izlemeye başlar. Tehdit Monitörü - IT Ops Sürümü çeşitli araçları birleştirir. Hem ağ hem de ana bilgisayar tabanlı İzinsiz Giriş Tespiti'nin yanı sıra günlük merkezileştirmesi ve korelasyonu ve Güvenlik Bilgileri ve Olay Yönetimi'ne (SIEM) sahiptir. Bu çok kapsamlı bir tehdit izleme paketidir.

- ÜCRETSİZ DEMO: SolarWinds Tehdit Monitörü - IT Ops Sürümü
- Resmi indirme linki: https://www.solarwinds.com/threat-monitor/registration
Bu Tehdit Monitörü - IT Ops Sürümü her zaman güncel, sürekli güncelleniyorIP ve Domain Reputation veritabanları dahil olmak üzere birden çok kaynaktan gelen istihbaratı tehdit eder. Hem bilinen hem de bilinmeyen tehditleri izler. Araç, güvenlik saldırılarını hızlı bir şekilde gidermek için otomatik saldırılara sahiptir ve bu da izinsiz giriş önleme benzeri özellikler sunar.
Ürünün uyarı özellikleri oldukçaetkileyici. Aracın Aktif Yanıt motoruyla birlikte çalışan ve önemli olayların tanımlanmasına ve özetlenmesine yardımcı olan çok koşullu, çapraz korelasyonlu alarmlar vardır. Raporlama sistemi uyarısı kadar iyidir ve önceden oluşturulmuş mevcut rapor şablonlarını kullanarak uyumluluğu göstermek için kullanılabilir. Alternatif olarak, iş gereksinimlerinize tam olarak uyacak şekilde özel raporlar oluşturabilirsiniz.
Fiyatları SolarWinds Tehdit Monitörü - IT Ops Sürümü 10 gün boyunca 25 düğüme kadar 4500 TL'den başlayındizin. Özel ihtiyaçlarınıza uyarlanmış ayrıntılı bir teklif için SolarWinds ile iletişime geçebilirsiniz. Ürünü iş başında görmeyi tercih ederseniz, SolarWinds'ten ücretsiz bir demo talep edebilirsiniz.
2. homurdanma
homurdanma kesinlikle en iyi bilinen açık kaynaklı NIDS. Fakat homurdanma aslında bir saldırı tespit aracından daha fazlasıdır. Ayrıca bir paket dinleyicisi ve bir paket kaydedici ve birkaç başka işlevi de paketliyor. Şimdilik, bu yayının konusu olduğu için aracın izinsiz giriş algılama özelliklerine odaklanacağız. Ürünün yapılandırılması, bir güvenlik duvarının yapılandırılmasını anımsatır. Kurallar kullanılarak yapılandırılır. Temel kuralları homurdanma web sitesini olduğu gibi kullanın veya özel ihtiyaçlarınıza göre özelleştirin. Ayrıca abone olabilirsiniz homurdanma geliştikçe veya yeni tehditler keşfedildikçe en son kuralları otomatik olarak almak için kurallar.

Çeşit çok kapsamlı ve temel kuralları bilegizli port taramaları, arabellek taşması saldırıları, CGI saldırıları, SMB probları ve OS parmak izi gibi çok çeşitli olayları tespit eder. Bu araçla neleri algılayabileceğiniz konusunda neredeyse hiçbir sınır yoktur ve algıladığı şey yalnızca yüklediğiniz kural kümesine bağlıdır. Tespit yöntemlerine gelince, temel Snort kurallarının bazıları imza tabanlıdır, diğerleri ise anomali tabanlıdır. Snort, bu nedenle, size her iki dünyanın en iyisini verebilir.
3. Suricata
Suricata yalnızca bir Saldırı Tespit Sistemi değildir. Ayrıca bazı İzinsiz Giriş Önleme özellikleri de vardır. Aslında, tam bir ağ güvenliği izleme ekosistemi olarak ilan edilir. Aracın en iyi varlıklarından biri, uygulama katmanına kadar nasıl çalıştığıdır. Bu, onu, aracın diğer araçlar tarafından fark edilmeyecek tehditleri tespit etmesini sağlayan karma bir ağ ve ana bilgisayar tabanlı bir sistem haline getirir.

Suricata ağ tabanlı gerçek bir saldırı tespitidirSistem ve yalnızca uygulama katmanında çalışmaz. TLS, ICMP, TCP ve UDP gibi alt düzey ağ protokollerini izleyecektir. Araç ayrıca HTTP, FTP veya SMB gibi daha üst düzey protokolleri anlar ve deşifre eder ve normal isteklerde gizlenen saldırı girişimlerini algılayabilir. Araç ayrıca, yöneticilerin şüpheli dosyaları incelemesine izin veren dosya çıkarma özelliklerine de sahiptir.
Suricata’Nin uygulama mimarisi oldukça yenilikçi. Araç, en iyi performans için iş yükünü birkaç işlemci çekirdeği ve iş parçacığı üzerinde dağıtacaktır. Gerekirse, işleminin bir kısmını grafik kartına bile boşaltabilir. Grafik kartı genellikle yetersiz kullanıldığı için aracı sunucularda kullanırken bu harika bir özelliktir.
4. kanka Ağ Güvenliği İzleyicisi
Bu Bro Ağ Güvenliği İzleyicisi, başka bir ücretsiz ağ saldırı tespit sistemi. Araç iki aşamada çalışır: trafik kaydı ve trafik analizi. Tıpkı Suricata gibi, Bro Ağ Güvenliği İzleyicisi uygulama katmanının üstündeki birden çok katmanda çalışır. Bu, bölünmüş saldırı girişimlerinin daha iyi tespit edilmesini sağlar. Bro Ağ Güvenliği İzleyicisi’In analiz modülü iki unsurdan oluşur. İlk öğeye olay motoru denir ve net TCP bağlantıları veya HTTP istekleri gibi tetikleyici olayları izler. Olaylar daha sonra bir alarmı tetikleyip tetiklememeye ve / veya bir eylem başlatmaya karar veren ikinci öğe olan politika komut dosyaları tarafından analiz edilir. Bir eylem başlatma olasılığı, Bro Ağ Güvenliği İzleyicisi bazı IPS benzeri işlevler.

Bu Bro Ağ Güvenliği İzleyicisi HTTP, DNS ve FTP etkinliğini izlemenize olanak tanırve ayrıca SNMP trafiğini de izleyecektir. Bu iyi bir şeydir, çünkü SNMP genellikle ağ izleme için kullanılır, ancak güvenli bir protokol değildir. Yapılandırmaları değiştirmek için de kullanılabileceğinden, kötü niyetli kullanıcılar tarafından kullanılabilir. Araç ayrıca cihaz yapılandırma değişikliklerini ve SNMP Tuzaklarını izlemenize izin verir. Unix, Linux ve OS X üzerine kurulabilir, ancak belki de ana dezavantajı olan Windows için mevcut değildir.
5. Güvenlik Soğanı
Ne tanımlamak zor Güvenlik Soğanı dır-dir. Sadece bir saldırı tespit veya önleme sistemi değildir. Gerçekte, saldırı tespitine, kurumsal güvenlik izlemeye ve günlük yönetimine odaklanan eksiksiz bir Linux dağıtımıdır. Bu nedenle, yöneticilere çok zaman kazandırabilir. Bazıları henüz gözden geçirdiğimiz birçok araç içerir. Güvenlik Soğanı Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner ve daha fazlasını içerir. Her şeyi ayarlamayı kolaylaştırmak için dağıtım, kuruluşunuzu birkaç dakika içinde korumanıza izin veren kullanımı kolay bir kurulum sihirbazı ile birlikte gelir. Açıklamak gerekirse Güvenlik Soğanı bir cümleyle, bunun kurumsal BT güvenliğinin İsviçre Ordusu bıçağı olduğunu söyleyebiliriz.

Bununla ilgili en ilginç şeylerden biriaracı, her şeyi basit bir kurulumda elde etmenizdir. İzinsiz Giriş Tespiti için, araç hem Ağ hem de Ana Bilgisayar Tabanlı İzinsiz Giriş Tespiti araçlarını verir. Paket ayrıca, imza tabanlı bir yaklaşım kullanan araçları ve anomali tabanlı araçları da birleştirir. Ayrıca, metin tabanlı ve GUI araçlarının bir kombinasyonunu bulacaksınız. Gerçekten mükemmel bir güvenlik aracı karışımı var. Güvenlik Soğanının birincil dezavantajı vardır. Bu kadar çok sayıda araçla, hepsini yapılandırmak önemli bir görev olabilir. Ancak, tüm araçları kullanmanız ve yapılandırmanız gerekmez. Yalnızca kullanacağınız kişileri seçmekte özgürsünüz. Birlikte verilen araçlardan sadece bir kaçını kullansanız bile, muhtemelen bunları ayrı olarak yüklemekten daha hızlı bir seçenek olacaktır.
Yorumlar