7 legjobb behatolás-megelőző rendszer (IPS)

7 legjobb behatolás-megelőző rendszer

Behatolás-megelőző rendszerek, más néven IPSS, folyamatos védelmet nyújt vállalata adat- és IT-erőforrásai számára. Ezek a biztonsági rendszerek a szervezeten belül működnek, és a tűzfalak és antivírus rendszerek által végrehajtott hagyományos biztonsági intézkedések vakterületeit pótolják..

A hálózat határainak védelme megakadályozza a hackerek számát. A tűzfalak és az antivírusok telepítése továbbra is fontos. Ezek a védelmi intézkedések nagyon hatékonnyá váltak a rosszindulatú kódok hálózatba kerülésének megakadályozására. Annyira sikeresek voltak azonban, hogy a hackerek más módon találtak hozzáférést egy vállalat számítástechnikai infrastruktúrájához.

Ez a bejegyzés alaposabban bemutatja az alább bemutatott eszközöket. Ha csak idő áll összefoglalásra, itt van a miénk a legjobb IPS-ek listája:

  1. SolarWinds biztonsági eseménykezelő (ingyenes próbaverzió) Ez a biztonsági eszköz hálózati és host alapú behatolás-észlelési módszereket is használ, és megelőző intézkedéseket hoz. Telepítés a Windows Serverre.
  2. Splunk Széles körben használt hálózati elemző eszközök, amelyek behatolás-megelőző funkciókkal rendelkeznek. Elérhető Windows, Linux és a Cloud szolgáltatásban.
  3. Sagan Ingyenes behatolás-megelőző rendszer, amely bányászik az eseményadatok naplófájljait. Telepíthető Unix, Linux és Mac OS rendszereken, de naplóüzeneteket gyűjthet a Windows rendszerekről.
  4. OSSEC A nyílt forráskódú HIDS biztonságot tiszteletben tartják és szabadon használhatók. Windows, Linux, Mac OS és Unix rendszeren fut, de nem tartalmaz felhasználói felületet.
  5. Nyílt WIPS-NG Nyílt forrású parancssori segédprogram Linux számára, amely érzékeli a behatolást a vezeték nélküli hálózatokba.
  6. fail2ban Ingyenes, könnyű IPS, amely a parancssorban fut és elérhető Linux, Unix és Mac OS rendszerekhez.
  7. Zeek Hálózati alapú behatolás-érzékelő rendszer, amely élő forgalmi adatokkal működik. Ez az eszköz Linuxra, Unixra és Mac OS-re telepíthető, és ingyenesen használható.

Biztonsági gyengeségek

Bármely rendszer csak annyira erős, mint a leggyengébb láncszeme. A legtöbb IT biztonsági stratégiában, a gyengeség a rendszer emberi elemén rejlik. A felhasználói hitelesítést erős jelszavakkal is érvényesítheti, de ha a felhasználók leírják a jelszavakat, és a jegyzetet olyan eszköz közelében tartják, amely rendelkezik hálózati hozzáféréssel, akkor valószínűleg nem is zavarja a felhasználói hitelesítés érvényesítését..

Számos módja van annak, hogy a hackerek megcélozzák egy vállalat alkalmazottjait, és becsapják őket bejelentkezési adataik nyilvánosságra hozatalával.

Adathalászat

Az adathalászat általános. Mindenki megtanulta, hogy óvatossá váljon a bankoktól vagy a kereskedési platformoktól, például az eBay-től, a PayPaltól vagy az Amazontól érkező figyelmeztető e-mailektől. Az adathalász kampány magában foglalja hamis weboldal egy online szolgáltatásból. A hacker tömegesen küld e-maileket az interneten vásárolt listán szereplő összes e-mailre. Nem számít, hogy az összes e-mail cím a utánzott szolgáltatás ügyfeleinek tartozik-e. Mindaddig, amíg a megkeresett embereknek számláik vannak a becsapott webhelyen, addig a hackereknek esélyük van.

Az adathalászati ​​kísérletek során, az áldozat kap egy linket egy e-mailben ami hamis bejelentkezési oldalhoz vezet, amely úgy néz ki, mint a utánozott szolgáltatás szokásos belépési képernyője. Amikor az áldozat megpróbál bejelentkezni, akkor a felhasználónév és jelszó bekerül a hackeres adatbázisába, és a fiók veszélybe kerül, anélkül hogy a felhasználó rájött, mi történt.

Spearphishing

A hackerek adathalász csalásokkal célozzák meg a cég alkalmazottait. Szintén gyakorolnak Spearphishing-ot, ami kissé kifinomultabb, mint az adathalász. A Spearphishing használatával a hamis e-maileket és bejelentkezési oldalakat kifejezetten úgy fogják kialakítani, hogy hasonlítsanak a megtámadott cég webhelyére, és az e-maileket kifejezetten a vállalat alkalmazottaihoz irányítják. A Spearphishing kísérleteket gyakran használják a betörési kísérlet első fázisaként. A hack első lépése az, hogy megismerjék a társaság néhány alkalmazottját.

Doxxing

A karbantartási szakaszban összegyűjtött információkat az egyes személyekkel kapcsolatos kutatásokkal össze lehet keverni a szociális média oldalai megvizsgálásával vagy a karrier részleteinek átfésülésével. Ezt a célzott kutatást doxxing-nek hívják. A megszerzett információkkal a célzott hackerek felépíthetik a vállalkozás kulcsfontosságú szereplőinek profiljait és feltérképezhetik ezen emberek kapcsolatát a társaság többi munkatársával..

A doxxer arra törekszik, hogy elegendő információt szerezzen egy alkalmazott sikeres utánozása érdekében. Ezzel az identitással mások bizalmát szerezheti a megcélzott társaságban. Ezekkel a trükkökkel a hackerek megismerhetik a cég könyvelői, vezetői és informatikai támogató személyzetének mozgásait..

Bálnavadászat

Miután a hacker megszerezte a különféle alkalmazottak bizalmát, becsaphatja a bejelentkezési adatokat az üzleti vállalkozás mindenkiéből. Nagy bizalommal és annak ismeretével, hogy az emberek hogyan működnek együtt egy vállalkozásban, a művész ezt is megteheti ellopni nagy mennyiségű pénzt vállalattól anélkül, hogy be kellene jelentkeznie a rendszerbe; hamis transzfereket megrendelések telefonon is megrendelhetnek. A vállalkozás kulcsfontosságú személyzetének ezt a célzását bálnavadászatnak hívják.

Támadási stratégiák

A hackerek megtanultak az adathalászat, az adathalász, a doxing és a bálnavadászat használatát a tűzfalak és víruskereső szoftverek megkerülésére. Ha egy hackernek van adminisztrátori jelszava, akkor megteheti szoftver telepítése, felhasználói fiókok beállítása és a biztonsági folyamatok eltávolítása és akadálytalanul férjen hozzá a teljes hálózathoz, annak felszereléséhez, kiszolgálóihoz, adatbázisaihoz és alkalmazásaihoz.

Ezek az új támadási stratégiák annyira általánosak, hogy a vállalati biztonsági adminisztrátoroknak meg kell tervezniük a védekezésüket tegyük fel, hogy a rendszerek határbiztonsági intézkedései veszélybe kerültek.

Az utóbbi években a előrehaladott tartós fenyegetés (APT) a hackerek közös stratégiájává vált. Ebben a forgatókönyvben, egy hacker évekig tölti a vállalati hálózathoz való hozzáférést, az adatok igény szerinti elérése, a vállalati erőforrások felhasználásával a VPN-ek lefedése a vállalat átjáróján keresztül. A hacker a vállalat szervereit is felhasználhatja olyan intenzív tevékenységekhez, mint például a kriptovaluta bányászat.

Az APT-ket észrevétlenül hagyják, mert a hacker jogosult felhasználóként van a rendszerben és mindenképpen töröl minden olyan naplóbejegyzést, amely rosszindulatú tevékenységét mutatja be. Ezek az intézkedések azt jelentik, hogy még a behatolás észlelése esetén is lehetetlen nyomon követni és beavatkozni a betolakodó ellen.

Behatolásjelző rendszerek

A behatolás-megelőző rendszerek alapvető eleme a Behatolásérzékelő rendszer (IDS). Az IDS-t szokatlan tevékenységek keresésére tervezték. Néhány észlelési módszer utánozza a tűzfalak és az antivírus szoftverek által alkalmazott stratégiákat. Ezeket hívják aláírás-alapú észlelés mód. Az adatok mintáit keresik, hogy észleljék a betolakodók tevékenységének ismert mutatóit.

Egy második IDS módszert hívnak anomália-alapú észlelés. Ebben a stratégiában a megfigyelő szoftver olyan szokatlan tevékenységeket keres, amelyek vagy nem felelnek meg a felhasználó vagy a szoftver viselkedésének logikai mintájának, vagy amelyeknek nincs értelme az adott felhasználó várható feladataival összefüggésben vizsgálva. Például nem számíthat arra, hogy a Személyzeti Osztályban egy felhasználó bejelentkezettként megváltoztatja a hálózati eszköz konfigurációját.

A betolakodónak nem feltétlenül kell kívülállónak lennie. Behatolhat a hálózat egyes területeibe, ha az alkalmazottak feltárják azokat a létesítményeket, amelyek elérésétől számítanak. Egy másik probléma az alkalmazottak körében merül fel, akik az adatokhoz és létesítményekhez való engedélyezett hozzáférésüket kihasználják, hogy elpusztítsák vagy ellopják őket.

Behatolás megelőzése

A behatolás-megelőző rendszerek a lehető legjobban működnekjobb később, mint soha."Ideális esetben nem szeretné, ha kívülállók jogosulatlanul hozzáférnének a rendszeréhez. Amint azonban a fentiekben kifejtettük, ez nem egy tökéletes világ, és számos hátrány van arra, hogy a hackerek megkísérelhetik megcsapni az engedélyezett felhasználókat arra, hogy megadják a hitelesítő adataikat..

Konkrétan, a behatolás-megelőző rendszerek: a behatolás-érzékelő rendszerek kiterjesztései. Az IPS akkor működik, ha a gyanús tevékenységet azonosították. Tehát, a behatolás észlelésének idején már előfordulhat, hogy a rendszer integritásában károsodtak.

Az IPS képes végrehajtani a fenyegetés leállítására szolgáló intézkedéseket. Ezek a tevékenységek magukban foglalják:

  • A naplófájlok visszaállítása a tárolóból
  • A felhasználói fiókok felfüggesztése
  • IP-címek blokkolása
  • Ölési folyamatok
  • A rendszerek leállítása
  • A folyamatok indítása
  • A tűzfal beállításainak frissítése
  • Riasztás, rögzítés és gyanús tevékenységek jelentése

Az adminisztrációs feladatok felelőssége, amelyek lehetővé teszik a legtöbb ilyen műveletet, nem mindig egyértelmű. Például a naplófájlok titkosítással történő védelme és a naplófájlok biztonsági másolatának készítése annak érdekében, hogy azok visszaélés után visszaállíthatók legyenek, két fenyegetés elleni védelmi tevékenység, amelyeket általában behatolás-észlelési rendszer feladatokként határoznak meg..

A behatolás-megelőző rendszerek korlátozásai

Bármely informatikai rendszerben sok potenciális gyengeség található, de az IPS jóllehet megakadályozza a betolakodókat nem az összes potenciális veszély elhárítására szolgál. Például egy tipikus IPS nem tartalmazza a szoftver javításkezelését vagy a hálózati eszközök konfigurációs vezérlését. Az IPS nem kezeli a felhasználói hozzáférési irányelveket, és nem akadályozza meg az alkalmazottakat a vállalati dokumentumok másolásában.

Az IDS-k és az IPS-k csak akkor kínálnak fenyegetések orvoslását, ha a betolakodók már megkezdték tevékenységüket a hálózaton. Ezeket a rendszereket azonban be kell telepíteni, hogy az információ és az erőforrások védelmére szolgáló biztonsági intézkedések sorozatában elemet biztosítsanak.

Ajánlott behatolás-megelőző rendszerek

Jelenleg figyelemre méltóan sok IPS eszköz érhető el. Ezek közül sok ingyenes. Azonban hosszú időbe telik, ha tanulmányozni és kipróbálni szeretne minden egyes IPS-t a piacon. Ez az oka annak, hogy összeállítottuk ezt az útmutatót a behatolás-megelőző rendszerekhez.

1. A SolarWinds biztonsági eseménykezelője (INGYENES PRÓBAVERZIÓ)

Solarwinds Napló- és eseménykezelő

Az SolarWinds biztonsági eseménykezelő vezérli a naplófájlokhoz való hozzáférést, ahogy a neve is sugallja. Az eszköznek ugyanakkor van hálózati figyelési képessége is. A szoftvercsomag nem tartalmaz hálózati megfigyelő szolgáltatást, de ezt a képességet hozzáadhatja az ingyenes Snort eszköz segítségével a hálózati adatgyűjtéshez. Ez a beállítás két szempontból ad behatolást. Az IDS-k kétféle észlelési stratégiát használnak: hálózati és host alapú.

A gazdagép-behatolás-észlelő rendszer megvizsgálja a naplófájlokban található rekordokat; a hálózati alapú rendszer eseményeket észlel az élő adatokban.

A behatolás jeleinek felismerésére vonatkozó utasításokat a SolarWinds szoftvercsomag tartalmazza - ezeket eseménykorrelációs szabályoknak hívják. Választhat úgy is, hogy elhagyja a rendszert, hogy csak észlelje a behatolást, és manuálisan blokkolja a fenyegetéseket. A SolarWinds Security Event Manager IPS funkcióit is aktiválhatja, hogy a fenyegetések orvoslását automatikusan elvégezzék.

A SolarWinds Security Event Manager IPS szakasza veszélyek észlelésekor végrehajtja a műveleteket. Ezeket a munkafolyamatokat hívják Aktív válaszok. A válasz összekapcsolható egy adott riasztással. Az eszköz például írhat tűzfalatáblákba, hogy blokkolja a hálózathoz való hozzáférést egy olyan IP-címhez, amelyet a hálózaton gyanús tevékenységekként azonosítottak. Felfüggesztheti a felhasználói fiókokat, leállíthatja vagy elindíthatja a folyamatokat, és leállíthatja a hardvert vagy a teljes rendszert.

A SolarWinds Security Event Manager csak a következőkre telepíthető Windows Server. Adatforrásai azonban nem korlátozódnak a Windows naplókra - a fenyegetésekkel kapcsolatos információkat is gyűjthetik innen Unix és Linux a hálózaton keresztül a gazda Windows rendszerhez csatlakoztatott rendszerek. Tudod kapni egy 30 napos ingyenes próbaverzió a SolarWinds biztonsági eseménykezelő hogy kipróbálhassa.

SolarWinds biztonsági eseménykezelőTöltse le a 30 napos ingyenes próbaverziót

2. Splunk

Splunk
A Splunk egy hálózati forgalom elemző, amely behatolás-észlelési és IPS képességekkel rendelkezik. A Splunk négy kiadása van:

  • Splunk Free
  • Splunk Light (30 napos ingyenes próbaverzió)
  • Splunk Enterprise (60 napos ingyenes próbaverzió)
  • Splunk Cloud (15 napos ingyenes próbaverzió)

Az összes verzió, kivéve a Splunk Cloud, fut ablakok és Linux. A Splunk Cloud elérhető a Szoftver mint szolgáltatás (SaaS) alapon az interneten keresztül. A Splunk IPS funkcióit csak az Enterprise és a Cloud kiadások tartalmazzák. Az érzékelő rendszer mind hálózati forgalomban, mind naplófájlokban működik. Az észlelési módszer rendellenességeket keres, amelyek a váratlan viselkedés mintái.

Magasabb szintű biztonság érhető el, ha a Splunk Enterprise Security kiegészítőt választja. Ez hétnapos ingyenes próbaverzió alatt érhető el. Ez a modul továbbfejleszti a rendellenességek észlelésének szabályait az AI segítségével, és több végrehajtható műveletet tartalmaz a behatolás helyrehozására.

3. Sagan

Sagan screenshot

Sagan az egy behatolás-érzékelő rendszer amelynek parancsfájl-végrehajtási lehetőségei vannak. A műveletek és a riasztások összekapcsolásának képessége ezt IPS-vé teszi. A Sagan fő észlelési módszerei a naplófájlok megfigyelését foglalják magukban, ami azt jelenti, hogy ez egy host alapú behatolás-észlelési rendszer. Ha a Snort-ot is telepíti, és a csomag-szippantóból kiadja a kimenetet a Sagan-ba, hálózati alapú észlelési lehetőségeket is beszerezhet ebből az eszközből. Alternatív megoldásként a következővel gyűjtött hálózati adatokat is megadhatja Zeek (korábban Bro) vagy suricata a szerszámba. A Sagan adatcserét folytathat más Snort-kompatibilis eszközökkel, ideértve a Snorby, Squil, Anaval, és BÁZIS.

Sagan telepíti a készüléket Unix, Linux, és Mac operációs rendszer. Ugyanakkor képes arra, hogy eseménykapcsolati üzeneteket is felvegyen a csatlakoztatott csatornákról ablakok rendszereket. Az extra szolgáltatások közé tartozik az IP-cím helymeghatározása és az elosztott feldolgozás.

4. OSSEC

OSSEC képernyőképe

Az OSSEC egy nagyon népszerű IPS rendszer. A detektálási módszerei a naplófájlok vizsgálatán alapulnak, ami a host alapú behatolásérzékelő rendszer. Ennek az eszköznek a neve „Nyílt forráskódú HIDS biztonság”(Annak ellenére, hogy nincs„ H ”jel).

Az a tény, hogy ez egy nyílt forráskódú projekt, nagyszerű, mert azt is jelenti, hogy a szoftver szabadon használható. Annak ellenére, hogy nyílt forráskódú, az OSSEC valójában egy társaság tulajdonában áll: Trend Micro. Az ingyenes szoftver használatának hátránya, hogy nem kap támogatást. Az eszközt széles körben használják, és az OSSEC felhasználói közösség remek hely arra, hogy tippeket és trükköket kapjon a rendszer használatához. Ha azonban nem akarja kockáztatni, hogy hivatásos tanácsokra támaszkodik vállalati szoftverében, akkor vásárolhat professzionális támogatási csomag a Trend Micro-től.

Az OSSEC észlelési szabályait 'politikák.'Megírhatja saját házirendjét, vagy ingyenesen beszerezheti azok csomagját a felhasználói közösségből. Lehetőség van olyan műveletek meghatározására is, amelyeket automatikusan végre kell hajtani, amikor speciális figyelmeztetések merülnek fel.

Az OSSEC fut Unix, Linux, Mac operációs rendszer, és ablakok. Ennek az eszköznek nincs felhasználói felülete, de kezelheti felületével Kibana vagy Graylog.

5. Nyissa meg a WIPS-NG-t

Az OpenWIPS-NG képernyőképe

Ha kifejezetten IPS-re van szüksége a vezeték nélküli rendszerekhez, akkor meg kell próbálnia az Open WIPS-NG-t. Ez egy ingyenes eszköz amely felismeri a behatolást, és lehetővé teszi az automatikus válaszok beállítását.

A nyílt WIPS-NG egy nyílt forráskódú projekt. A szoftver csak futtatható Linux. Az eszköz kulcseleme vezeték nélküli csomag-szippantó. A szippantó elem egy érzékelő, amely adatgyűjtőként és megoldások átadójaként is működik blokkolja a behatolást. Ez egy nagyon hozzáértő eszköz, mert ugyanazok az emberek tervezték, akik írták Aircrack-NG, amely hackeres eszközként ismert.

Az eszköz további elemei egy kiszolgálóprogram, amely futtatja az észlelési szabályokat, és egy felület. Az irányítópulton láthatja a wifi-hálózati információkat és a lehetséges problémákat. Beállíthat olyan tevékenységeket is, amelyek automatikusan beindulnak, ha behatolás észlelhető.

6. Fail2Ban

Fail2ban képernyőképe

A Fail2Ban egy könnyű IPS opció. Ez ingyenes eszköz észleli a behatolást gazda-alapú módszerek, ami azt jelenti, hogy megvizsgálja a naplófájlokat a jogosulatlan tevékenységek jeleire. Az eszköz által végrehajtott automatikus válaszok között szerepel a következő egy IP-cím tilalma. Ezek a tilalmak általában csak néhány percig tartnak, de a blokkolási periódust a segédprogram irányítópultján módosíthatják. Az észlelési szabályokat „szűrőkÉs társulhat kármentesítési intézkedés mindegyikükkel. A szűrő és a művelet kombinációját „börtön.”

A Fail2Ban telepíthető Unix, Linux, és Mac operációs rendszer.

7. Zeek

Bro screenshot

Zeek (korábban Bro untill 2019-ig hívták) egy másik nagyszerű lehetőség ingyenes IPS. Ez a szoftver telepítve van Linux, Unix, és Mac operációs rendszer. Zeek használja hálózati alapú behatolás-észlelési módszerek. Miközben a hálózatot rosszindulatú tevékenységekkel követi nyomon, a Zeek statisztikákat is szolgáltat a hálózati eszközök és a forgalom elemzése.

A Zeek észlelési szabályai a Alkalmazási réteg, ami azt jelenti, hogy képes felismerni aláírások a csomagok között. A Zeeknek is van adatbázisa a anomália kapcsolatos felderítési szabályok. A Zeek munkájának észlelési szakaszát a „esemény motor.Ez csomagokat és gyanús eseményeket ír be a fájlba. Házirend-szkriptek keresse meg a tárolt nyilvántartásokat a betolakodó tevékenység jeleire. Írhat saját házirend-szkripteket, de ezek szintén megtalálhatók a Zeek szoftverben.

A hálózati forgalom áttekintése mellett, Zeek figyelemmel kíséri az eszközkonfigurációkat. A hálózati rendellenességeket és a hálózati eszközök szabálytalan viselkedését nyomon lehet követni Az SNMP csapdák. A szokásos hálózati forgalom mellett a Zeek a HTTP, DNS és FTP tevékenységekre is figyelmet fordít. Az eszköz arra is figyelmeztet, ha portszkennelést észlel, amely egy hacker módszer a hálózathoz való jogosulatlan hozzáférés megszerzésére..

Válasszon egy behatolás-megelőző rendszert

Ha elolvassa a listánkban szereplő IPS eszközök meghatározásait, akkor az első feladat a következő szűkítse le választását annak a kiszolgálónak az operációs rendszerétől függően, amelyre a biztonsági szoftvert telepíteni kívánja.

Emlékezik, ezek a megoldások nem helyettesítik a tűzfalakat és az antivírus szoftvereket - védelmet nyújtanak azokon a területeken, amelyeket ezek a hagyományos rendszerbiztonsági módszerek nem képesek megfigyelni.

Költségvetése lesz egy másik döntő tényező. A listán szereplő eszközök többsége ingyenesen használható.

Azonban a beperelés kockázata ha a hackerek megkapták a vállalati IT-rendszeren tárolt ügyfelek, szállítók és alkalmazottak adatait, sok pénzt veszít a vállalatának. Ebben az összefüggésben a behatolás-megakadályozó rendszer fizetésének költsége nem olyan nagy.

Végezzen ellenőrzést a helyszínen meglévő készségeiről. Ha nincs olyan munkatársa, aki képes lenne kezelni az észlelési szabályok felállításának technikai feladatát, akkor valószínűleg jobb lenne olyan eszközt kiválasztani, amelyet profi módon támogat.

Jelenleg működik egy behatolás-megelőző rendszer? Melyiket használod? Gondolsz egy másik IPS-re váltásra? Hagy egy megjegyzést a Hozzászólások az alábbiakban megoszthatja tapasztalatait a közösséggel.

Kép: Hacker Attack Mask a Pixabay-től. Közösségi terület.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

31 + = 37

Adblock
detector