Усі хочуть завадити зловмисникам потрапити у власні будинки. Крім того, з аналогічних причин мережеві адміністратори роблять усе можливе, щоб не дозволити зловмисникам потрапити в мережі, якими вони керують. На даний час одним з дуже важливих фондів багатьох організацій вважаються їхні дані. Це настільки важливо, що багато зловмисників йдуть на все, щоб викрасти ці відомості. Вони виконують це, застосовуючи великий спектр методів для отримання недозволеного доступу до мереж і систем. Кількість подібних атак, напевно, зараз експоненціально зросла, і у відповідь на це створюються системи для їх усунення. Ці системи називаються системами усунення вторгнень або IPS. Сьогодні ми будемо розглядати найкращі системи усунення вторгнень, які ми можемо знайти.
> Мы начинаем> Це, зрозуміло, означає, що ми також визначимо, що таке проникнення. Далі ми розглядатимемо різні методи виявлення, які часто застосовують, і коригувальні дії, які вживають після виявлення. Далі ми коротко поговоримо про пасивне запобігання вторгнень. Це статичні заходи, які можуть бути виконані і можуть істотно зменшити кількість спроб вторгнення. Ви можете бути здивовані, виявивши, що деякі з них не мають нічого спільного з комп’ютерами. Власне тоді, коли всі будуть на одній сторінці, ми зможемо нарешті пройти через одні з найкращих систем усунення вторгнень, які ми змогли знайти.
Запобігання вторгнень — що це таке?
Кілька років тому віруси були практично єдиною турботою системних адміністраторів. Віруси досягли точки, коли вони стали настільки популярними, що галузь відповіла розробкою засобів антивірусного захисту. Жоден серйозний і розважливий користувач сьогодні не подумає про запуск комп’ютера без захисту від вірусів. Хоча ми мало чуємо про віруси, вторгнення або несанкціонований доступ до ваших даних з боку зловмисників, це нова загроза. Оскільки дані часто вважаються найважливішим активом організації, корпоративні мережі стали ціллю зловмисних хакерів, які щосили намагаються отримати доступ до даних. Подібно до того, як програмне забезпечення для захисту від вірусів стало відповіддю на поширення вірусів, системи усунення вторгнень є відповіддю на атаки зловмисників.
По суті, системи усунення вторгнень роблять дві речі. По-перше, вони знаходять спроби вторгнення і при знаходженні підозрілої активності застосовують різні методи, щоб зупинити або закрити її. Існує два різні способи виявлення спроб вторгнення. Виявлення на основі сигнатур працює шляхом аналізу даних і мережевого трафіку та пошуку конкретних шаблонів, які пов’язані зі спробами вторгнення. Це схоже на класичні системи захисту від вірусів, засновані на визначеннях вірусів. Виявлення вторгнень на основі сигнатур засноване на сигнатурах або шаблонах вторгнень. Головним мінусом такого способу виявлення вважається те, що він вимагає завантаження відповідних сигнатур у програмне забезпечення. А коли застосовується новий метод атаки, зазвичай відбувається затримка перед оновленням сигнатур атак. Деякі постачальники досить швидко надають актуальні сигнатури атак, тоді як інші набагато повільніше. Частота і швидкість оновлення сигнатур — ключовий фактор, який потрібно брати до уваги під час вибору провайдера.
Виявлення на основі аномалій забезпечує кращий захист від атак нульового дня, які відбуваються до того, як сигнатури виявлення встигли освіжити. Процес шукає аномалії, а не намагається дізнатися знамениті схеми вторгнень. Наприклад, він спрацює, якщо хтось спробує отримати доступ до системи з неправильним паролем кілька разів поспіль, що вважається простою ознакою атаки методом грубої сили. Це тільки один приклад, і зазвичай існує безліч найрізноманітніших підозрілих дій, які можуть викликати спрацьовування цих систем. Обидва методи виявлення мають власні мінуси і плюси. Найкращі інструменти — це ті, які застосовують комбінацію сигнатурного і поведінкового аналізу для кращого захисту.
Виявлення спроб вторгнення — один із перших кроків до їх запобігання. Після виявлення системи усунення вторгнень активно працюють, щоб зупинити виявлену діяльність. Ці системи можуть робити трохи найрізноманітніших коригувальних дій. Вони могли, наприклад, зупинити або деактивувати облікові записи користувачів. Ще одна звичайна дія — закрити вихідну IP-адресу атаки або змінити правила брандмауера. Якщо шкідлива активність походить із конкретного процесу, система усунення може зупинити цей процес. Ще одна популярна реакція — запуск процесу захисту, і в гіршому випадку можна вимкнути всю систему, щоб зменшити потенційний збиток. Ще одне головне завдання систем усунення вторгнень — попереджати адміністраторів, реєструвати захід і повідомляти про будь-яку підозрілу активність.
Неактивні заходи усунення вторгнень
Хоча системи усунення вторгнень здатні захистити вас від найрізноманітніших типів атак, ніщо не йде в порівняння із застарілими добрими пасивними заходами усунення вторгнень. Наприклад, умова надійних паролів — чудовий спосіб захисту від багатьох вторгнень. Ще одна скромна гарантія — змінити паролі за замовчуванням на вашому комп’ютері. Хоча це менш популярно в корпоративних мережах, хоча це не вважається чимось незвичайним, я дуже часто бачив Інтернет-шлюзи, у яких у всі часи був пароль адміністратора за замовчуванням. Коли доходить справа до паролів, старі паролі — це ще один конкретний крок, який можна зробити для зменшення спроб вторгнення. Будь-який пароль, навіть дуже найкращий, потенційно може бути зламаний, якщо знадобиться багато часу. Період дії паролів гарантує, що паролі будуть змінені до того, як їх буде зламано.
Є тільки варіанти того, що можна зробити для пасивного усунення вторгнень. Ми могли б написати повну статтю про пасивні заходи, які можна здійснити, однак наразі це не наша мета. Натомість наша мета — представити одні з найкращих активних систем усунення вторгнень.
Найкращі системи усунення вторгнень
У нашому списку є комбінація з кількох інструментів, які можна застосовувати для захисту від спроб вторгнення. Більшість включених інструментів є справжніми системами усунення вторгнень, але ми також включаємо інструменти, які, хоча і не продаються як такі, можуть застосовуватися для усунення вторгнень. Наша перша стаття — це приклад. Не забувайте, що насамперед під час вибору інструменту необхідно керуватися вашими конкретними потребами. Отже, давайте подивимося, що може запропонувати кожен із наших найкращих інструментів.
1. Журнал SolarWinds і менеджер подій (Спробувати БЕЗКОШТОВНО)
SolarWinds — ім’я загальне в галузі мережевих технологій. Він має міцну репутацію в галузі створення одних з найкращих інструментів управління системою і мережею. Його флагманський продукт, Network Performance Monitor, незмінно входить до числа найкращих доступних інструментів для моніторингу пропускної здатності мережі. SolarWinds також славиться безліччю безкоштовних інструментів, кожен з яких призначається для певних потреб мережевих адміністраторів. Двома прекрасними прикладами таких безкоштовних інструментів є сервер Kiwi Syslog або TFTP-сервер SolarWinds.
Не дозволяй собі ввести в оману на ім’я Журнал SolarWinds і менеджер подій . Це на порядок вище, ніж ми бачимо. Деякі з розширених функцій цього виробу кваліфікують його як систему виявлення та усунення вторгнень, тоді як інші поміщають його в діапазон SIEM (Security Information and Event Management). Інструмент, наприклад, пропонує кореляцію подій у теперішньому часі та корекцію в теперішньому часі.
>> Спробувати БЕЗКОШТОВНО: Журнал SolarWinds і менеджер подій
Le Журнал SolarWinds і менеджер подій має миттєве виявлення підозрілої активності (функція виявлення вторгнень) і автоматизовані відповіді (функція усунення вторгнень). Цей інструмент також можна застосовувати для розслідування подій судової експертизи та безпеки. Він може застосовуватися для пом’якшення наслідків і відповідності вимогам. Інструмент містить перевірені звіти, які також можна застосовувати для демонстрації відповідності найрізноманітнішим нормативним вимогам, таким як HIPAA, PCI-DSS і SOX. Інструмент також має моніторинг цілісності файлів і моніторинг USB-пристроїв. Усі широкі функції програмного забезпечення роблять його інтегрованою платформою безпеки, а не системою управління подіями та журналами, як вам здається.
Функції усунення вторгнень Журнал SolarWinds і менеджер подій працюють, виконуючи дії, які називаються активними відповідями під час знаходження загроз. Різні відповіді можуть бути пов’язані з конкретними попередженнями. Наприклад, система може записувати дані в таблиці брандмауера, щоб закрити доступ до мережі з початкової IP-адреси, яку було ідентифіковано як таку, що виконує підозрілу активність. Інструмент також може призупиняти облікові записи користувачів, зупиняти або запускати процеси та вимикати системи. Як ви пам’ятаєте, це якраз ті коригувальні заходи, які ми встановили раніше.
Ціна Журнал SolarWinds і менеджер подій варіюється залежно від кількості відстежуваних вузлів. Ціна починається з 4 американських доларів за до 585 відстежуваних вузлів, і можна вибрати ліцензії до 30 вузлів, що забезпечує високу масштабованість продукту. Якщо ви хочете спробувати продукт і переконатися, чи підходить він вам, Спроба безкоштовно повні 30 днів доступний .
2. Splunk
Splunk можливо, одна з найбільш популярних систем усунення вторгнень. Він поставляється в декількох різних редакціях з різними наборами функцій. Splunk корпоративна безпека, ou Splunk ES, як його іноді називають, це те, що вам необхідно для справжнього усунення вторгнень. Програма відстежує дані вашої системи в реальному часі, виявляючи вразливості та ознаки аномальної активності.
> >Застосовує те, що провайдер називає платформою адаптивної відповіді (ARF). Він інтегрується з командами більш ніж 55 провайдерів безпеки і може виконувати автоматизовану відповідь, прискорюючи ручні завдання. Ця комбінація автоматизованої санітарії та ручного втручання може дати вам найкращий шанс швидко перемогти. Інструмент має простий і зрозумілий інтерфейс користувача, що робить його безпрограшним рішенням. Інші чудові захисні функції включають "Відому" функцію, яка відображає користувацькі попередження, що налаштовуються користувачем, і "Аналізатор фондів" для повідомлення про зловмисну активність і усунення подальших проблем.
. інформація про ціни Безпека підприємства Splunk недоступні. Вам доведеться зв’язатися з відділом продажів Splunk для отримання детальної пропозиції. Це чудовий продукт, для якого доступна безкоштовна пробна версія.
3. Саган
Саган по суті, це безкоштовна система виявлення вторгнень. Однак інструмент із можливостями створення сценаріїв може помістити його в категорію "Системи усунення вторгнень". Саган знаходить спроби вторгнення, відстежуючи файли журналів. Ви також можете поєднувати Саган зі Snort, який може відправити власний висновок на Саган, надаючи інструменту можливості виявлення вторгнень на основі мережі. Насправді, Саган може отримувати інформацію від багатьох інших інструментів, наприклад як Bro або Suricata, об’єднуючи можливості різних інструментів для найкращого захисту.
> Однак, є пастка в ле можливості скрипта Саган . Вам потрібно написати сценарії виправлення. Хоча цей інструмент не можна застосовувати для єдиного захисту від вторгнень, він може бути ключовою частиною системи, що з’єднує кілька інструментів шляхом зіставлення подій з різних джерел, що надає вам найкраще з багатьох продуктів.
Незважаючи на те, що Саган можна встановити тільки в Linux, Unix і Mac OS, він підключається до систем Windows для отримання власних подій. Інші цікаві функції Sagan включають відстеження розташування IP-адрес і розподілену обробку.
4. OSSEC
Безпека з відкритим вихідним кодом або OSSEC , вважається однією з провідних систем виявлення вторгнень на базі хостів з відкритим вихідним кодом. Ми включаємо його в наш список з двох причин. Його затребуваність така, що нам знадобилося включити його, тим паче що інструмент дає можливість вказувати дії, які робляться автоматично під час спрацьовування конкретних попереджень, що дає йому можливості усунення вторгнень. OSSEC є власністю фірми Trend Micro, однієї зі знаменитих компаній у сфері комп’ютерної безпеки і творця одного з найкращих пакетів для захисту від вірусів.
> Когда> Створює контрольні суми для важливих файлів і іноді перевіряє їх, застерігаючи вас або ініціюючи коригувальні дії постійно, коли відбувається щось незрозуміле. Він теж відстежуватиме і попереджатиме про будь-які ненормальні спроби отримати root-доступ. У Windows система також шукає недозволені зміни реєстру, оскільки вони можуть бути явною ознакою зловмисної активності. Будь-яке виявлення викличе попередження, яке відображатиметься на централізованій консолі, а сповіщення також буде надіслано електронною поштою.
OSSEC це захисна система від вторгнень на основі хоста. Таким чином, він зобов’язаний бути встановлений на кожному комп’ютері, який ви хочете захистити. Однак централізована консоль з’єднує інформацію з кожного захищеного комп’ютера для спрощення адміністрування. La консоль OSSEC працює тільки в Unix-подібних операційних системах, але доступний агент для захисту хостів Windows. Як альтернативу можна застосовувати інші інструменти, наприклад Kibana або Graylog, в якості інтерфейсу з цим інструментом.
5. Відкрити WIPS-NG
Ми не були впевнені, чи варто включати Відкрити WIPS NG до нашого списку. Детальніше про це трохи пізніше. Таке сталося насамперед завдяки тому, що це один із деяких продуктів, призначених спеціально для бездротових мереж. Відкрити WIPS NG "WIPS" означає "Система усунення вторгнень у бездротові мережі" — є інструментом із відкритим вихідним кодом, який складається з трьох центральних елементів. Перш за все, датчик. Це дурний процес, який просто захоплює бездротовий трафік і відправляє його на сервер для аналізу. Як ви, мабуть, здогадалися, наступний елемент — це сервер. Об’єднуйте дані з усіх датчиків, аналізуйте зібрану інформацію і реагуйте на атаки. Цей компонент вважається серцем системи. Нарешті, є елемент Інтерфейс, він являє собою графічний інтерфейс, який ви застосовуєте для управління сервером і відображення інформації про загрози, які виявлені у вашій бездротовій мережі.
Головна причина, з якої ми сумніваємося, перед тим як включати Відкрити WIPS NG в нашому списку є те, що, як би добре він не був, не всім подобається розробник продукту. Його розробив той самий розробник, що й Aircrack NG, засіб відстеження бездротових пакетів і зловмисник паролів, який вважається частиною набору інструментів кожного хакера WiFi. Це відкриває дискусію про етику розробників і лякає деяких користувачів. З іншого боку, досвід розробників можна розглядати як свідчення їхніх обширних знань у сфері безпеки Вай-фай.
6. Fail2Ban
Fail2Ban — відносно популярна безкоштовна система виявлення вторгнень на хост із функціями усунення вторгнень. Програмне забезпечення працює, відстежуючи файли системного журналу на предмет підозрілих подій, наприклад як спроби входу в систему або пошук із застосуванням експлойтів. Коли система знаходить щось сумнівне, вона автоматично оновлює правила локального брандмауера, щоб закрити вихідну IP-адресу зловмисної поведінки. Це, зрозуміло, означає, що на локальному комп’ютері запущено процес брандмауера. Це основний мінус засобу. Але можна налаштувати будь-яку іншу довільну дію, наприклад запуск сценарію виправлення або надсилання сповіщень по email.
> Fail2Ban > Як ми вже сказали, ле дії корекція робляться шляхом зміни таблиць брандмауера хоста. Fail2Ban підтримує Netfilter, IPtables або таблицю hosts.deny оболонки TCP. Кожен фільтр може бути пов’язаний з однією або кількома діями. Разом фільтри та дії називаються в’язницею.
7. Монітор мережевої безпеки Bro
Le Bro Монітор мережевої безпеки — ще одна безкоштовна система виявлення вторгнень у мережу з функціональністю IPS. Він функціонує у 2 етапи: спочатку він записує трафік, а потім проводить аналіз його. Цей інструмент працює на кількох рівнях аж до рівня програми, що забезпечує краще виявлення спроб роздільного вторгнення. Модуль аналізу продукту складається з 2-ух елементів. Перший елемент називається обробником подій, і його мета — відстежувати тригерні події, наприклад TCP-з’єднання або HTTP-запити. Потім події аналізуються сценаріями політики, другим елементом. Завдання сценаріїв політики — вирішити, чи подавати тривогу, чи робити дії, чи ігнорувати захід. Це можливість запуску дії, яку дає Монітор мережевої безпеки Bro його функціональність IPS.
> > Монітор мережевої безпеки Bro має певні обмеження. Він відстежуватиме лише активність HTTP, DNS і FTP, а ще відстежуватиме трафік SNMP. Але це добре, оскільки SNMP широко застосовується для моніторингу мережі, не звертаючи уваги на серйозні дірки в безпеці. SNMP не має вбудованого захисту і застосовує незашифрований трафік. А оскільки протокол можна застосовувати для зміни налаштувань, зловмисники можуть легко скористатися ним. Продукт теж відстежуватиме зміни конфігурації пристрою та пастки SNMP. Його можна поставити в Unix, Linux та OS X, однак він недоступний для Windows, що, можливо, вважається його головним мінусом. В іншому це занадто крутий інструмент, який потрібно спробувати.