Здається, що всі сьогодні турбуютьсяз безпекою. Це має сенс при розгляді важливості кібер-злочинності. Організації націлені на хакерів, які намагаються вкрасти їхні дані або заподіяти їм іншу шкоду. Один із способів захистити ІТ-середовище від цих атак - це використання правильних інструментів та систем. Часто перша лінія захисту знаходиться по периметру мережі у вигляді мережевих систем виявлення вторгнень або NIDS. Ці системи аналізують трафік, що надходить на вашмережу з Інтернету, щоб виявити будь-яку підозрілу активність та негайно попередити вас. NIDS настільки популярні, і так багато з них доступні, ніж пошук найкращого для ваших потреб може бути складним починанням. Щоб допомогти вам, ми зібрали цей список найкращих мережевих систем виявлення вторгнень.
Ми розпочнемо свою подорож, ознайомившись ізрізні типи системи виявлення вторгнень. По суті, існує два типи: мережеві та хостові. Ми пояснимо їх відмінності. Системи виявлення вторгнень також відрізняються за методом виявлення, який вони використовують. Деякі з них використовують підпис на основі підпису, а інші покладаються на поведінковий аналіз. Найкращі інструменти використовують комбінацію обох методів виявлення. Ринок насичений як системами виявлення вторгнень, так і системами запобігання вторгнень. Ми вивчимо, чим вони відрізняються і наскільки вони схожі, оскільки важливо зрозуміти відмінність. Нарешті ми розглянемо найкращі мережеві системи виявлення вторгнень та представимо їх найважливіші функції.
Виявлення вторгнень на основі мережі -
Системи виявлення вторгнень є однією з двохтипи. Вони обоє мають однакову мету - швидке виявлення спроб вторгнення або підозрілої активності, що потенційно може призвести до спроб вторгнення, але вони відрізняються місцем розташування точки примусу, яка посилається на те, де проводиться виявлення. Кожен тип інструменту виявлення вторгнень має переваги та недоліки. Немає реального консенсусу щодо того, який із них є кращим. Одні клянуться одним типом, а інші довіряють іншому. Обидва, мабуть, праві. Найкраще рішення чи найбезпечніше - це, мабуть, таке, що поєднує обидва типи.
Мережеві системи виявлення вторгнень (NIDS)
Перший тип системи виявлення вторгнень - ценазивається мережевою системою виявлення вторгнень або NIDS. Ці системи працюють на кордоні мережі, щоб забезпечити виявлення. Вони перехоплюють та досліджують мережевий трафік, шукаючи підозрілі дії, які можуть вказувати на спробу вторгнення, а також шукають відомі схеми вторгнення. Зловмисники часто намагаються використовувати відомі вразливості різних систем, наприклад, надсилаючи неправильно сформовані пакети хостам, змушуючи їх реагувати певним чином, що дозволяє їм бути порушеними. Мережева система виявлення вторгнень, швидше за все, виявить подібну спробу вторгнення.
Деякі стверджують, що виявлення мережевого вторгненняСистеми краще, ніж їх аналог на базі хостів, оскільки вони можуть виявити атаки ще до того, як вони навіть потраплять у ваші системи. Деякі також схильні віддавати перевагу їм, оскільки для їх ефективного захисту не потрібно нічого встановлювати на кожному хості. З іншого боку, вони забезпечують невеликий захист від інсайдерських атак, які, на жаль, зовсім не рідкість. Щоб його виявити, спроба вторгнення зловмисника повинна пройти через NIDS, що це рідко робиться, коли воно походить зсередини. Будь-яка технологія має плюси і мінуси, і це конкретний випадок виявлення вторгнень, ніщо не заважає вам використовувати обидва типи інструментів для максимальної захисту.
Системи виявлення вторгнень в хост (HIDS)
Функціонують системи виявлення вторгнень (HIDS)на рівні хазяїна; ви могли б здогадатися про це з їхнього імені. Наприклад, вони будуть стежити за різними журналами журналів та журналами на предмет ознак підозрілої активності. Ще один спосіб виявити спроби вторгнення - перевірити файли конфігурації системи на наявність несанкціонованих змін. Вони також можуть вивчити ці самі файли на предмет конкретних відомих моделей вторгнення. Наприклад, може бути відомо, що певний метод вторгнення працює, додаючи певний параметр до певного файлу конфігурації. Гарна система виявлення вторгнень на основі господаря це сприйме.
Хоча їх ім'я може привести вас до цьогоусі HIDS встановлюються безпосередньо на пристрої, який вони мають захищати, це не обов'язково. Деякі потрібно буде встановити на всіх ваших комп'ютерах, а деякі потребуватимуть лише встановлення локального агента. Деякі навіть роблять всю свою роботу віддалено, без агента. Незалежно від того, як вони функціонують, більшість HIDS має централізовану консоль, де ви можете контролювати кожен екземпляр програми та переглядати всі результати.
Методи виявлення вторгнень
Системи виявлення вторгнень не відрізняються лише один від одноготочки примусу, вони також відрізняються за методом, який вони використовують для виявлення спроб вторгнення. Деякі засновані на підписах, а інші - на основі аномалії. Перші працюють, аналізуючи дані для конкретних зразків, які були пов'язані з спробами вторгнення. Це схоже на традиційні системи захисту від вірусів, які спираються на визначення вірусів. Визначення вторгнення на основі підпису покладається на підписи або шаблони вторгнення. Вони порівнюють захоплені дані з підписами проникнення для виявлення спроб вторгнення. Звичайно, вони не працюватимуть, поки належне підпис не буде завантажено на програмне забезпечення, що іноді може статися лише після нападу певної кількості машин та видавців підписів про вторгнення встигли опублікувати нові пакети оновлення. Деякі постачальники проходять досить швидко, тоді як інші могли реагувати лише через кілька днів. Це головний недолік цього методу виявлення.
Виявлення вторгнення на основі аномалії забезпечує кращезахист від атак з нульовим днем, тих, що стають перед будь-яким програмним забезпеченням для виявлення вторгнень, отримав шанс придбати належний файл підписів. Вони шукають аномалії, а не намагаються розпізнати відомі схеми вторгнення. Наприклад, хтось, хто намагається отримати доступ до системи з неправильним паролем кілька разів поспіль, викликає попередження, оскільки це звичайна ознака нападу грубої сили. Ці системи можуть швидко виявити будь-яку підозрілу активність у мережі. Кожен метод виявлення має переваги та недоліки, і, як і у двох інструментів, найкращі інструменти - це, мабуть, ті, що використовують комбінацію аналізу підписів та поведінки.
Виявлення чи профілактика?
Деякі люди зазвичай плутаються між собоюсистеми виявлення вторгнень та запобігання вторгнень. Незважаючи на те, що вони тісно пов'язані між собою, вони не є тотожними, хоча між ними є певна функціональність. Як випливає з назви, системи виявлення вторгнень виявляють спроби вторгнення та підозрілі дії. Коли вони щось виявляють, вони зазвичай викликають певну форму попередження чи сповіщення. Потім адміністратори повинні вжити необхідних заходів для зупинки або блокування спроби вторгнення.
Системи запобігання вторгнень (IPS) мають один крокдалі і може зупинити вторгнення взагалі. Системи запобігання вторгнень включають в себе компонент виявлення, який функціонально еквівалентний системі виявлення вторгнень, який запускатиме автоматичну корективну дію кожного разу, коли буде виявлена спроба вторгнення. Не потрібно втручання людини для припинення спроби вторгнення. Профілактика вторгнень може також позначати все, що робиться чи встановлюється як спосіб запобігання інтрузії. Наприклад, загартовування паролем або блокування зловмисників можна розглядати як заходи запобігання вторгнень.
Найкращі мережеві засоби виявлення вторгнень
Ми шукали найкращий ринокМережеві системи виявлення вторгнень. У нашому списку міститься поєднання справжніх Host-систем виявлення вторгнень та іншого програмного забезпечення, яке містить мережевий компонент виявлення вторгнень або яке може бути використане для виявлення спроб вторгнення. Кожен з наших рекомендованих інструментів може допомогти виявити спроби вторгнення у вашу мережу.
1. SolarWinds Threat Monitor - IT Ops Edition (БЕЗКОШТОВНА демонстрація)
SolarWinds - загальна назва в областіінструменти мережевого адміністрування Компанія існує вже близько 20 років і запропонувала нам найкращі інструменти мережевого та системного адміністрування. Його флагманський продукт, Network Monitor Monitor, стабільно забиває серед найкращих інструментів контролю пропускної здатності мережі. SolarWinds також пропонує чудові безкоштовні інструменти, кожен з яких відповідає конкретним потребам мережевих адміністраторів. Сервер Kiwi Syslog і Розширений калькулятор підмережі - два хороших приклади цього.
Для мережевого виявлення вторгнень SolarWinds пропонує це Threat Monitor - IT Ops Edition. На відміну від більшості інших інструментів SolarWinds, цеодин - хмарний сервіс, а не локально встановлене програмне забезпечення. Ви просто підписуєтесь на нього, налаштовуєте його, і він починає переглядати ваше оточення для спроб вторгнення та ще кількох типів загроз. The Threat Monitor - IT Ops Edition поєднує кілька інструментів. Він має як мережеве, так і хост-виявлення вторгнень, а також централізацію та кореляцію журналів, а також інформацію про безпеку та управління подіями (SIEM). Це дуже ретельний набір моніторингу загроз.
- БЕЗКОШТОВНА ДЕМО: SolarWinds Threat Monitor - IT Ops Edition
- Офіційне посилання для завантаження: https://www.solarwinds.com/threat-monitor/registration
The Threat Monitor - IT Ops Edition завжди в курсі, постійно оновлюєтьсярозвідки про загрози з різних джерел, включаючи бази даних IP та домену репутації. Він спостерігає за відомими та невідомими загрозами. Інструмент має автоматизовані інтелектуальні реакції на швидке усунення аварійних ситуацій із безпекою, надаючи йому деякі функції, схожі на попередження вторгнення.
Особливості сповіщення продукту доситьвражаюче. Існують багато умовні, перехресні кореляційні сигнали тривоги, які працюють разом із механізмом активного реагування інструменту та допомагають визначити та узагальнити важливі події. Система звітування настільки ж хороша, як і її оповіщення, і її можна використовувати для демонстрації відповідності за допомогою наявних заздалегідь створених шаблонів звітів. Крім того, ви можете створювати спеціальні звіти, щоб точно відповідати вашим потребам бізнесу.
Ціни на SolarWinds Threat Monitor - IT Ops Edition починати від $ 4 500 до 25 вузлів за 10 днівіндексу. Ви можете зв'язатися з SolarWinds за детальною пропозицією, адаптованою до ваших потреб. І якщо ви віддаєте перевагу бачити продукт у дії, ви можете запитати безкоштовну демонстраційну версію від SolarWinds.
2. Хрип
Хрип це, безумовно, найвідоміший СНІД з відкритим кодом. Але Хрип насправді більше, ніж інструмент виявлення вторгнень. Це також sniffer пакетів та реєстратор пакетів, він також пакує кілька інших функцій. Зараз ми зосередимось на особливостях виявлення вторгнень у інструменті, оскільки це тема цієї публікації. Налаштування продукту нагадує налаштування брандмауера. Він налаштований за допомогою правил. Ви можете завантажити базові правила з Хрип веб-сайт і використовувати їх як є або налаштувати їх під ваші конкретні потреби. Ви також можете підписатися на Хрип правила для автоматичного отримання всіх останніх правил у міру їх розвитку або в міру виявлення нових загроз.
Сортувати дуже ретельний і навіть його основні правила можутьвиявити найрізноманітніші події, такі як сканування портів невидимки, атаки переповнення буфера, CGI-атаки, SMB-зонди та відбитки пальців на ОС. Практично немає обмежень щодо того, що ви можете виявити за допомогою цього інструменту та того, що він виявляє, залежить виключно від встановленого вами правила. Що стосується методів виявлення, деякі основні правила Snort засновані на підписі, а інші - на основі аномалії. Таким чином, фронт може дати вам найкраще з обох світів.
3. Суріката
Суріката це не лише система виявлення вторгнень. Він також має деякі функції запобігання вторгнень. Фактично, вона рекламується як повна екосистема моніторингу безпеки мережі. Одним з найкращих ресурсів інструменту є те, як він працює до рівня додатка. Це робить його гібридною мережевою та хост-системою, яка дозволяє інструменту виявляти загрози, які, ймовірно, не помітять інших інструментів.
Суріката є справжньою мережевою системою виявлення вторгненьСистема працює не лише на рівні додатків. Він буде контролювати мережеві протоколи нижчого рівня, такі як TLS, ICMP, TCP та UDP. Інструмент також розуміє та розшифровує протоколи вищого рівня, такі як HTTP, FTP або SMB і може виявляти спроби вторгнення, заховані в звичайних запитах. Інструмент також має можливості вилучення файлів, що дозволяє адміністраторам перевірити будь-який підозрілий файл.
СурікатаАрхітектура додатків досить інноваційна. Інструмент розподілить своє навантаження на декілька процесорних ядер і потоків для найкращої продуктивності. Якщо це потрібно, він може навіть завантажити частину своєї обробки на відеокарту. Це відмінна особливість при використанні інструменту на серверах, оскільки їх графічна карта зазвичай не використовується.
4. Брат Монітор безпеки мережі
The Монітор безпеки мережі Bro, інша безкоштовна мережа виявлення вторгнень в мережу. Інструмент працює у дві фази: ведення журналу руху та аналіз трафіку. Так само, як Суріката, Монітор безпеки мережі Bro працює на декількох шарах вгору на рівні додатка. Це дозволяє краще виявити розбиті спроби вторгнення. The Монітор безпеки мережі BroМодуль аналізу складається з двох елементів. Перший елемент називається двигуном подій, і він відстежує запускаючі події, такі як чисті TCP-з'єднання або HTTP-запити. Потім події аналізуються сценаріями політики, другим елементом, який вирішує, чи слід спрацювати тривогу та / або запустити дію. Можливість запуску дії дає Монітор безпеки мережі Bro деякий IPS-подібний функціонал.
The Монітор безпеки мережі Bro дозволить вам відстежувати активність HTTP, DNS та FTPі він також буде контролювати трафік SNMP. Це добре, тому що SNMP часто використовується для моніторингу мережі, але це не захищений протокол. А оскільки він також може використовуватися для зміни конфігурацій, його можуть використовувати шкідливі користувачі. Інструмент також дозволить вам спостерігати за змінами конфігурації пристрою та захопленнями SNMP. Він може бути встановлений на Unix, Linux та OS X, але він недоступний для Windows, що, мабуть, є його головним недоліком.
5. Цибуля безпеки
Важко визначити, що таке Цибуля безпеки є. Це не просто система виявлення та запобігання вторгнень. Насправді це повний дистрибутив Linux з акцентом на виявлення вторгнень, моніторинг безпеки підприємства та управління журналами. Таким чином, це може заощадити адміністраторів багато часу. Він включає багато інструментів, деякі з яких ми лише переглянули. Безпечний лук включає Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner тощо. Щоб полегшити налаштування, дистрибутив поєднується з простим майстром налаштування, що дозволяє захистити вашу організацію протягом декількох хвилин. Якби нам довелося описати Цибуля безпеки в одному реченні ми би сказали, що це нож швейцарської армії ІТ-безпеки підприємства.
Одна з найцікавіших речей про цеІнструмент полягає в тому, що ви отримуєте все за одну просту установку. Для виявлення вторгнень інструмент надає інструменти для виявлення вторгнень на основі мережі та хоста. У пакеті також поєднуються інструменти, що використовують підпис на основі підпису, та інструменти, засновані на аномалії. Крім того, ви знайдете комбінацію текстових та графічних інструментів. Дійсно чудовий інструмент безпеки. Є один головний недолік у безпеці цибулі. Якщо так багато інструментів включено, їх налаштування може виявитись важливим завданням. Однак вам не потрібно використовувати та налаштовувати всі інструменти. Ви можете вибрати лише ті, якими ви користуєтесь. Навіть якщо ви використовуєте лише пару включених інструментів, це, швидше за все, буде швидшим варіантом, ніж установка їх окремо.
Коментарі