Cele mai bune 7 sisteme de prevenire a intruziunilor (IPS)

7 cele mai bune sisteme de prevenire a intruziunilor


Sisteme de prevenire a intruziunilor, de asemenea cunoscut ca si IPSS, oferi protecție continuă pentru datele și resursele IT ale companiei tale. Aceste sisteme de securitate funcționează în cadrul organizației și compensează punctele nevăzute în măsurile tradiționale de securitate implementate de firewall-uri și sisteme antivirus.

Protejarea graniței rețelei tale va împiedica un număr mare de atacuri de hackeri. Instalarea firewall-urilor și antivirusului este încă importantă. Aceste măsuri de protecție au devenit foarte eficiente pentru a preveni intrarea codului rău intenționat într-o rețea. Cu toate acestea, au avut atât de mult succes încât hackerii au găsit alte modalități de a avea acces la infrastructura de calcul a unei companii.

Acest post intră în profunzime pe fiecare dintre instrumentele prezentate mai jos. Dacă aveți timp doar pentru un rezumat, aici este nostru lista celor mai bune IP-uri:

  1. Manager de evenimente de securitate SolarWinds (TRIAL GRATUIT) Acest instrument de securitate folosește atât metode de detectare a intruziunilor bazate pe rețea, cât și bazate pe gazdă și ia măsuri preventive. Se instalează pe Windows Server.
  2. Splunk Instrumente de analiză de rețea utilizate pe scară largă, care au funcții de prevenire a intruziunilor. Disponibil pentru Windows, Linux și în Cloud.
  3. Sagan Sistem gratuit de prevenire a intruziunilor care exploatează fișierele de jurnal pentru datele evenimentelor. Se instalează pe Unix, Linux și Mac OS, dar pot aduna mesaje de jurnal din sistemele Windows.
  4. OSSEC Securitatea Open Source HIDS este extrem de respectată și de utilizat. Funcționează pe Windows, Linux, Mac OS și Unix, dar nu include o interfață de utilizator.
  5. Deschide WIPS-NG Utilitară pentru linia de comandă open-source pentru Linux care detectează intruziunea în rețelele wireless.
  6. fail2ban IPS ușor gratuit care rulează pe linia de comandă și este disponibil pentru Linux, Unix și Mac OS.
  7. Zeek Sistem de detectare a intruziunilor bazat pe rețea, care operează pe date de trafic în direct. Acest instrument se instalează pe Linux, Unix și Mac OS și este liber de utilizat.

Punctele slabe de securitate

Orice sistem este la fel de puternic ca veriga sa cea mai slabă. În majoritatea strategiilor de securitate IT, slăbiciunea constă în elementul uman al sistemului. Puteți impune autentificarea utilizatorului cu parole puternice, dar dacă utilizatorii notează parole și păstrează nota aproape de un dispozitiv care are acces la rețea, este posibil să nu vă deranjeze aplicarea autentificării utilizatorului.

Există mai multe modalități prin care hackerii pot viza angajații unei companii și îi pot păcăli să dezvăluie detaliile de autentificare.

Phishingul

Phishingul a devenit comun. Toată lumea a învățat să se preocupe de e-mailurile de avertizare de la bănci sau platforme de tranzacționare precum eBay, PayPal sau Amazon. O campanie de phishing implică o pagină Web falsă de la un serviciu online. Hackerul trimite mesaje electronice în masă tuturor e-mailurilor dintr-o listă cumpărată pe internet. Nu contează dacă toate aceste adrese de e-mail aparțin clienților serviciului mimat. Atâta timp cât unii dintre utilizatorii au conturi cu site-ul trucat, atunci hackerul are o șansă.

În încercările de phishing, victimei i se prezintă un link în cadrul unui e-mail care duce la o pagină de autentificare falsă care arată ca ecranul de intrare obișnuit al serviciului mimat. Când victima încearcă să se autentifice, numele de utilizator și parola intră în baza de date a hackerului și contul este compromis fără ca utilizatorul să realizeze ce s-a întâmplat.

Pescuit cu sulita

Hackerii vizează angajații companiei cu escrocherii de phishing. De asemenea, practică spearphishing, care este ceva mai sofisticat decât phishingul. Cu spearphishing, e-mailurile false și pagina de conectare vor fi concepute special pentru a fi ca site-ul companiei hacked, iar e-mailurile vor fi direcționate special către angajații companiei. Încercările de scufundare sunt adesea folosite ca faza a unei tentative de rupere. Trecerea inițială a unui hack este să aflați detalii despre unii dintre angajații unei companii.

Doxxing

Informațiile colectate în faza de pescuit pot fi combinate împreună cu cercetarea indivizilor prin examinarea paginilor lor de socializare sau combaterea detaliilor despre carieră. Această cercetare vizată se numește doxxing. Cu informațiile strânse, un hacker vizat poate construi profiluri de jucători-cheie într-o afacere și poate face legătura între relațiile acestor persoane și personalul companiei..

Doxxerul va urmări să obțină suficiente informații pentru a imita cu succes un angajat. Cu această identitate, el poate câștiga încrederea altora în compania vizată. Prin aceste trucuri, hackerul poate cunoaște mișcările personalului de contabilitate al companiei, ale directorilor și ai personalului său de asistență IT..

Vânătoarea de balene

Odată ce hackerul a câștigat încrederea diverșilor membri ai personalului, poate păcăli detalii de autentificare din partea oricui din afacere. Cu multă încredere și cunoașterea modului în care oamenii lucrează împreună într-o afacere, un artist con poate chiar fura sume mari de bani de la o companie fără să fie nevoie să vă autentificați în sistem; comenzile pentru transferuri false se pot da la telefon. Această vizare a personalului cheie într-o afacere se numește balenă.

Strategii de atac

Hackerii au învățat să folosească phishing, spearphishing, doxxing și balenă pentru a obține firewall-uri și software antivirus. Dacă un hacker are parola de administrare, el poate instalați software, configurați conturi de utilizator și eliminați procesele de securitate și obțineți acces la întreaga rețea, echipamentele sale, serverele, bazele de date și aplicațiile fără restricții.

Aceste noi strategii de atac au devenit atât de comune încât administratorii de securitate ai companiei trebuie să planifice apărarea presupunem că măsurile de securitate la granița sistemelor au fost compromise.

În ultimii ani, amenințare persistentă avansată (APT) a devenit o strategie comună pentru hackeri. În acest scenariu, un hacker poate petrece ani întregi cu acces la o rețea a companiei, accesarea datelor dorite, folosirea resurselor companiei pentru a rula acoperirea VPN-urilor prin gateway-ul companiei. Hackerul poate folosi chiar și serverele companiei pentru activități intensive, cum ar fi extragerea criptomonedelor.

APT-urile sunt nedetectate deoarece hackerul se află în sistem ca utilizator autorizat de asemenea, se asigură că șterge orice înregistrări de jurnal care arată activitatea lui rău intenționată. Aceste măsuri înseamnă că, chiar și atunci când este detectată intruziunea, poate fi încă imposibil de urmărit și de urmărit penal intrusul.

Sisteme de detectare a intruziunilor

Un element esențial al sistemelor de prevenire a intruziunilor este Sistem de detectare a intruziunilor (IDS). Un IDS este conceput pentru a căuta o activitate neobișnuită. Unele metode de detectare imită strategiile folosite de firewall-uri și software antivirus. Acestea sunt numite detectarea pe bază de semnătura metode. Ei caută modele în date pentru a identifica indicatorii cunoscuți ai activității intrusilor.

O a doua metodă IDS este apelată detectarea pe bază de anomalii. În această strategie, software-ul de monitorizare caută activități neobișnuite care nu corespund modelului logic al comportamentului utilizatorului sau al software-ului sau care nu au sens atunci când sunt examinate în contextul îndatoririlor preconizate ale unui anumit utilizator. De exemplu, nu vă așteptați să vedeți un utilizator din Departamentul de personal conectat ca modificând configurația unui dispozitiv de rețea.

Un intrus nu trebuie neapărat să fie un străin. Puteți obține intruziune în zonele rețelei dvs., de către angajații care explorează dincolo de facilitățile la care este de așteptat să aibă acces. O altă problemă o reprezintă angajații care își exploatează accesul autorizat la date și facilități pentru a le distruge sau fura.

Prevenirea intruziunilor

Sistemele de prevenire a intruziunilor funcționează la maxim „mai bine mai tarziu decat niciodata.„În mod ideal, nu ați dori ca niciun străin să obțină acces neautorizat la sistemul dvs. Cu toate acestea, așa cum am explicat mai sus, aceasta nu este o lume perfectă și există multe contrarize pe care hackerii le pot trage pentru a păcăli utilizatorii autorizați să le ofere acreditările..

Mai exact, sistemele de prevenire a intruziunilor sunt extensii la sistemele de detectare a intruziunilor. IPS acționează odată identificată o activitate suspectă. Deci, este posibil să fi existat deja unele daune aduse integrității sistemului dvs. în momentul în care intrarea a fost detectată.

IPS este capabil să efectueze acțiuni pentru a opri amenințarea. Aceste acțiuni includ:

  • Restaurarea fișierelor jurnal din stocare
  • Suspendarea conturilor de utilizator
  • Blocarea adreselor IP
  • Procesele de ucidere
  • Oprirea sistemelor
  • Pornirea proceselor
  • Actualizarea setărilor firewall-ului
  • Alertare, înregistrare și raportare a activităților suspecte

Răspunderea sarcinilor de administrator care fac posibile multe dintre aceste acțiuni nu este întotdeauna clară. De exemplu, protecția fișierelor jurnal cu criptare și copierea de siguranță a fișierelor jurnal, astfel încât acestea să poată fi restabilite după alterare sunt două activități de protecție împotriva amenințărilor, care sunt de obicei definite drept sarcini ale sistemului de detectare a intruziunilor.

Limitarea sistemelor de prevenire a intruziunilor

Există multe puncte potențiale de slăbiciune în orice sistem IT, dar un IPS, deși foarte eficient pentru blocarea intrusilor, este nu este conceput pentru a închide toate amenințările potențiale. De exemplu, un IPS tipic nu include gestionarea corecțiilor software sau controlul configurației pentru dispozitivele de rețea. IPS nu va gestiona politicile de acces ale utilizatorilor și nu va împiedica angajații să copieze documente corporative.

ID-urile și IPS-urile oferă remedierea amenințărilor numai după ce un intrus a început deja activitățile într-o rețea. Cu toate acestea, aceste sisteme ar trebui instalate pentru a oferi un element într-o serie de măsuri de securitate pentru protejarea informațiilor și resurselor.

Sisteme recomandate de prevenire a intruziunilor

Există un număr remarcabil de mare de instrumente IPS disponibile în acest moment. Multe dintre acestea sunt gratuite. Cu toate acestea, v-ar lua mult timp pentru a studia și a încerca fiecare IPS de pe piață. Acesta este motivul pentru care am creat acest ghid pentru sistemele de prevenire a intruziunilor.

1. Manager de evenimente de securitate SolarWinds (ÎNCERCARE GRATUITĂ)

Solarwinds Log and Event Manager

Manager de evenimente de securitate SolarWinds controlează accesul la fișierele jurnal, după cum sugerează numele. Cu toate acestea, instrumentul are și capacități de monitorizare a rețelei. Pachetul software nu include o facilitate de monitorizare a rețelei, dar puteți adăuga această capacitate utilizând instrumentul gratuit, Snort pentru colectarea datelor de rețea. Această configurație vă oferă două perspective asupra intrusiei. Există două categorii de strategii de detectare utilizate de IDS-uri: bazat pe rețea și bazat pe gazdă.

Un sistem de detectare a intruziunilor bazat pe gazdă examinează înregistrările conținute în fișierele jurnal; sistemul bazat pe rețea detectează evenimente în date live.

Instrucțiunile de detectare a semnelor de intruziune sunt incluse cu pachetul software SolarWinds - acestea se numesc reguli de corelare a evenimentelor. Puteți alege să părăsiți sistemul pentru a detecta doar intruziunea și bloca amenințările manual. De asemenea, puteți activa funcțiile IPS ale SolarWinds Security Event Manager pentru a obține remedierea amenințărilor automat.

Secțiunea IPS din SolarWinds Security Event Manager implementează acțiuni atunci când sunt detectate amenințări. Aceste fluxuri de lucru sunt numite Răspunsuri active. Un răspuns poate fi legat de o alertă specifică. De exemplu, instrumentul poate scrie în tabelele de firewall pentru a bloca accesul rețelei la o adresă IP care a fost identificată ca executând acte suspecte în rețea. Puteți, de asemenea, să suspendați conturile de utilizator, să opriți sau să începeți procesele și să opriți hardware-ul sau întregul sistem.

Administratorul de evenimente de securitate SolarWinds poate fi instalat doar pe Windows Server. Cu toate acestea, sursele de date ale acestuia nu se limitează la jurnalele Windows - pot colecta și informații despre amenințări Unix și Linux sisteme conectate la sistemul Windows gazdă prin rețea. Poți obține un proces gratuit de 30 de zile din Manager de evenimente de securitate SolarWinds pentru a-l testa singur.

Manager de evenimente de securitate SolarWinds Descărcați încercarea GRATUITĂ de 30 de zile

2. Splunk

Splunk
Splunk este un analizator de trafic de rețea care are detectare de intruziuni și capabilități IPS. Există patru ediții ale Splunk:

  • Splunk Free
  • Splunk Light (încercare gratuită de 30 de zile)
  • Splunk Enterprise (încercare gratuită de 60 de zile)
  • Splunk Cloud (proces gratuit de 15 zile)

Toate versiunile, cu excepția Splunk Cloud rulează ferestre și Linux. Splunk Cloud este disponibil pe un Sistem de operare ca serviciu (SaaS) bazat pe internet. Funcțiile IPS ale Splunk sunt incluse doar în edițiile Enterprise și Cloud. Sistemul de detectare funcționează atât pe traficul de rețea, cât și pe fișierele jurnal. Metoda de detectare caută anomalii, care sunt modele de comportament neașteptat.

Un nivel mai mare de securitate poate fi obținut prin opțiunea pentru suplimentul Splunk Enterprise Security. Aceasta este disponibilă pentru o probă gratuită de șapte zile. Acest modul îmbunătățește regulile de detectare a anomaliilor cu AI și include mai multe acțiuni executabile pentru remedierea intruziunilor.

3. Sagan

Captură de ecran Sagan

Sagan este un sistem gratuit de detectare a intruziunilor care are capabilități de execuție a scriptului. Facilitatea de a conecta acțiunile la alerte face din aceasta un IPS. Principalele metode de detectare a Sagan implică monitorizarea fișierelor jurnal, ceea ce înseamnă că acesta este un sistem de detectare a intruziunilor bazat pe gazdă. Dacă instalați și Snort și fluxul de ieșire din snifferul respectiv al pachetului în Sagan, veți obține facilități de detectare bazate pe rețea de la acest instrument. În mod alternativ, puteți alimenta datele de rețea colectate cu Zeek (fosta Bro) sau Suricata în instrument. De asemenea, Sagan poate schimba date cu alte instrumente compatibile cu Snort, inclusiv Snorby, Squil, Anaval, și BAZA.

Sagan se instalează Unix, Linux, și Mac OS. Cu toate acestea, este de asemenea capabil să preia mesaje de la evenimente conectate ferestre sisteme. Funcțiile suplimentare includ urmărirea locației adresei IP și procesarea distribuită.

4. OSSEC

Captură de ecran OSSEC

OSSEC este un sistem IPS foarte popular. Metodele sale de detectare se bazează pe examinarea fișierelor jurnal, ceea ce îl face un sistem de detectare a intruziunilor bazat pe gazdă. Numele acestui instrument înseamnă „Securitate HIDS Open Source”(În ciuda lipsei unui„ H ”acolo).

Faptul că acesta este un proiect open source este excelent, deoarece înseamnă, de asemenea, că software-ul este liber de utilizat. În ciuda faptului că este open source, OSSEC este deținut de fapt de o companie: Trend Micro. Dezavantajul folosirii software-ului gratuit este că nu primiți asistență. Instrumentul este utilizat pe scară largă, iar comunitatea de utilizatori OSSEC este un loc minunat pentru a primi sfaturi și trucuri în utilizarea sistemului. Cu toate acestea, dacă nu doriți să riscați să vă bazați pe sfaturi pentru amatori pentru software-ul companiei dvs., puteți cumpăra un pachet de sprijin profesional de la Trend Micro.

Normele de detectare a OSSEC se numesc „politici.„Puteți să vă scrieți propriile politici sau să primiți gratuit pachete din comunitatea utilizatorilor. De asemenea, este posibil să specificați acțiunile care ar trebui să fie implementate automat atunci când apar avertizări specifice.

OSSEC continuă Unix, Linux, Mac OS, și ferestre. Nu există un front end pentru acest instrument, dar îl puteți interfața cu acesta Kibana sau Graylog.

5. Deschideți WIPS-NG

Captura de ecran OpenWIPS-NG

Dacă aveți nevoie de un IPS special pentru sisteme wireless, ar trebui să încercați Open WIPS-NG. Acesta este un instrument gratuit care va detecta intruziunea și vă va permite să setați răspunsuri automate.

Open WIPS-NG este un an proiect open source. Software-ul poate fi rulat numai Linux. Elementul cheie al instrumentului este un sniffer de pachete wireless. Elementul sniffer este un senzor, care funcționează atât ca un colector de date, cât și un transmițător de soluții intruziune de bloc. Acesta este un instrument foarte competent, deoarece a fost conceput de aceiași oameni care au scris Aircrack-NG, care este binecunoscut ca instrument de hacker.

Alte elemente ale instrumentului sunt un program server, care execută regulile de detectare și o interfață. Puteți vedea informații despre rețea wifi și probleme potențiale pe tabloul de bord. De asemenea, puteți seta acțiuni pentru a începe automat atunci când este detectată o intruziune.

6. Fail2Ban

Captura de ecran Fail2ban

Fail2Ban este o opțiune IPS ușoară. Acest instrument gratuit detectează intruziunea prin metode bazate pe gazdă, ceea ce înseamnă că examinează fișierele jurnal pentru semnele unor activități neautorizate. Printre răspunsurile automate pe care instrumentul le poate implementa se numără interzicerea adreselor IP. De obicei, aceste interdicții durează doar câteva minute, dar puteți ajusta perioada de blocare în tabloul de bord al utilității. Regulile de detecție se numesc „filtre”Și vă puteți asocia o acțiune de remediere cu fiecare dintre ei. Această combinație de filtru și acțiune se numește „temniță.“

Fail2Ban poate fi instalat pe Unix, Linux, și Mac OS.

7. Zeek

Captura de ecran a lui Bro

Zeek (anterior numit Bro untill 2019) este un alt mare IPS gratuit. Acest software se instalează pe Linux, Unix, și Mac OS. Zeek folosește metode de detectare a intruziunilor bazate pe rețea. În timp ce urmăriți rețeaua pentru activități dăunătoare, Zeek vă oferă, de asemenea, statistici privind performanța dispozitivelor dvs. de rețea și analiza traficului.

Normele de detectare a Zeek funcționează la Strat de aplicație, ceea ce înseamnă că este capabil să detecteze semnături de-a lungul pachetelor. Zeek are de asemenea o bază de date anomalie legate reguli de detectare. Etapa de detectare a activității lui Zeek este realizată de „motor de evenimente.„Aceasta scrie pachete și evenimente suspecte de fișiere. Scripturi de politici căutați prin înregistrările stocate pentru a găsi semne ale unei activități intruse. Puteți scrie propriile scripturi de politici, dar sunt incluse și cu software-ul Zeek.

La fel ca și traficul de rețea, Zeek va urmări configurațiile dispozitivului. Anomaliile de rețea și comportamentul neregulat al dispozitivelor de rețea sunt urmărite prin monitorizarea Capcane SNMP. Pe lângă traficul de rețea obișnuit, Zeek acordă atenție activității HTTP, DNS și FTP. Instrumentul vă va avertiza, de asemenea, dacă detectează scanarea porturilor, care este o metodă hacker folosită pentru a obține acces neautorizat la o rețea.

Selectați un sistem de prevenire a intruziunilor

Când citiți definițiile instrumentelor IPS din lista noastră, prima sarcină va fi aceea restrângeți-vă selecția conform sistemului de operare al serverului pe care intenționați să instalați software-ul de securitate.

Tine minte, aceste soluții nu înlocuiesc firewall-urile și software-ul antivirus - asigură protecție în zonele pe care aceste metode tradiționale de securitate ale sistemului nu le pot urmări.

Bugetul dvs. va fi un alt factor decisiv. Majoritatea instrumentelor din această listă sunt gratuite.

Cu toate acestea, riscurile de a fi trimis în judecată dacă hackerii pun mâna pe datele clientului, furnizorului și angajaților stocate pe sistemul informatic al companiei tale, va pierde companiei o mulțime de bani. În acest context, costul plății pentru un sistem de prevenire a intruziunilor nu este atât de mare.

Efectuați un audit al abilităților pe care le aveți la fața locului. Dacă nu aveți niciun personal care să se ocupe de sarcina tehnică de stabilire a regulilor de detectare, atunci probabil că ar fi mai bine să selectați un instrument care este acceptat profesional.

În prezent, folosiți un sistem de prevenire a intruziunilor? Ce folosești? Vă gândiți să treceți la un IPS diferit? Lasă un comentariu în Comentarii secțiunea de mai jos pentru a împărtăși experiența dvs. cu comunitatea.

Image: Hacker Attack Mask de la Pixabay. Domeniu public.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me

About the author

Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.

Leave a Reply

Your email address will not be published. Required fields are marked *

99 − = 98