Обяснени са системи за откриване на проникване на основата на домакин – 6 най-добри HIDS инструменти прегледани

6 най-добри HIDS инструменти

Какво е HIDS или Host Intrusion Detection System?

HIDS е съкращение за система за откриване на проникване в хост. Той ще следи компютъра / мрежата, на която е инсталиран, търсейки както прониквания, така и злоупотреби. Ако бъде намерен, той ще регистрира дейността и ще уведоми администратора.

HIDS е подобно на използването на интелигентни камери за сигурност във вашия дом; ако натрапник нахлу в къщата ви, камерата ще започне да записва и изпраща сигнал на вашето мобилно устройство.

Ето нашия списък на шестте най-добри HIDS инструменти:

  1. SolarWinds Security Event Manager (БЕЗПЛАТНА ПРОБЛЕМА) Отличен HIDS с цялостно отчитане за спазване на стандартите за сигурност на данните. Работи на Windows сървър, но също така събира данни от Linux и Unix системи.
  2. Papertrail (БЕЗПЛАТЕН ПЛАН) Облачен базиран агрегатор на журнали от SolarWinds в безплатни и платени версии.
  3. Управление на анализатор на журнали за събития ManageEngine (БЕЗПЛАТНА ПРОБА) Този инструмент изследва данните от лог файл от Windows Server или Linux и добавя информация за заплахи от други източници.
  4. OSSEC Безплатен процесор за лог файл, който реализира както базирани на хост, така и мрежови стратегии за откриване. Инсталира се в Windows, Linux, Unix и Mac OS.
  5. Сейгън Безплатна система за откриване на проникване, базирана на хост, която използва стратегии, базирани на подпис и аномалия. Може да работи на Linux, Unix и Mac OS.
  6. Splunk Безплатна хост-базирана система за откриване на проникване с платено издание, която включва и базирани на мрежата методи. Инсталира се в Windows, Linux и Mac OS и thee също е облачна версия.

Откриването на проникване се превърна във важен метод за защита на мрежите, за да се преборят слабостите в сигурността, присъщи на всяка система, която включва човешки елемент. Без значение колко силни са вашите правила за достъп на потребителите, хакерите винаги могат да ги заобиколят, като измамят служител да разкрие идентификационни данни за достъп.

Хакерите с достъп могат да заемат корпоративна система с години, без да бъдат открити. Този тип атака се нарича an Напреднала упорита заплаха (APT). IDS специално имат за цел да изкорени APT.

Инструмент HIDS се фокусира върху наблюдението на лог файлове Повечето приложения генерират журнални съобщения и съхраняването на тези записи във файлове ви позволява да търсите през тях във времето и да забележите индикации за проникване. Един голям проблем при събирането на всяко съобщение в системата ви е, че ще свършите голямо количество данни. Съхраняването на журнални съобщения по подреден начин ви помага да идентифицирате правилния файл за получаване на данни по приложение и дата. И така, първата стъпка в това да може извлечете смислена информация от вашата система за записване е да организирате имената на файлове и структурата на директория на вашия лог файлов сървър.

Следващата стъпка при внедряването на HIDS е да получите автоматизирано откриване. HIDS ще търси чрез лог съобщения за конкретни събития които изглеждат като че ли са регистрирали злонамерена активност. Това е ядрото на HIDS инструмент и методът за откриване, който определя кои записи да се извличат, се задава от политики и a база от правила.

Много HIDS ви позволяват напишете свои собствени правила за генериране на предупреждение. Това, което наистина търсите, когато изберете система за сигурност, е набор от предварително написани правила, които включват експертния опит на експертите по сигурността, които пишат софтуера.

А HIDS е толкова добър, колкото и политиките, които предоставя. Не може да се очаква да сте в крак с всички най-нови вектори за атака, като същевременно отделяте време за ежедневните задачи на вашата работа и няма смисъл да се опитвате да знаете всичко, ако можете да го постигнете експертиза предоставени за вас като HIDS инструмент.

Значението на лог файловете

Обемът на дневниците и съобщенията за събития може да бъде огромен и е изкушаващо просто да ги игнорираме. Въпреки това, рискът от съдебни спорове, предизвикани от разкриване на данни или вреди, които могат да бъдат нанесени на бизнеса чрез загуба на данни означава, че неспазването на данните вече може да съсипе бизнеса ви.

Проблемите със сигурността и защитата на данните вече станаха интегрирани в изискванията на договора и има много стандарти, които индустриите следват сега, за да успокоят заинтересованите страни и да запазят бизнеса си сигурен. Съответствието със стандартите за интегритет на данните включва изисквания за поддръжка на лог файл.

В зависимост от това, кой стандарт прилага вашата компания, ще трябва да съхранявате регистрационни файлове в продължение на няколко години. Така че управлението на файловете в дневника се превърна в важно бизнес изискване. Докато настройвате лог сървър, можете също интегрирайте мерки за сигурност в него, и това прави ХИД.

Защита на лог файл

Поддържането на целостта на лог файл е съществена част от HIDS. Съобщенията на събитията могат да идентифицират проникване и затова файловете на лога са мишени за хакери. Нарушител може да покрие следите си, като манипулира лог файлове за премахване на уличаващи записи. Следователно, лог сървър, който архивира лог файлове и проверява за неоторизирани промени е важно за спазването на стандартите за сигурност на данните.

HIDS системите не могат ефективно да защитават ресурсите на вашата система, ако нейната източник информация е компрометирана. Защитата на лог файловете се разпростира и върху системата за удостоверяване на вашата мрежа. Нито една автоматизирана система за защита на лог файлове не би могла да прави разлика между оторизиран и неоторизиран достъп до лог файлове, без да следи и сигурността на потребителските разрешения.

HIDS срещу NIDS

Системите за откриване на прониквания на основата на домакин не са единствените методи за защита от проникване. Системите за откриване на проникване са разделени на две категории. HIDS е един от тези сектори, а другият е мрежова система за откриване на проникване.

И HIDS, и NIDS изследват системните съобщения. Това представлява едновременно гледане на дневници и съобщения за събития. въпреки това, NIDS също изследва пакетните данни докато минава по мрежи. Правилото, което разделя отговорностите за откриване на проникване между тези две методологии е, че NIDS улавя живи данни за откриване и HIDS изследва записи във файлове.

Предимството на NIDS е, че предлага по-бърза реакция от HIDS. Веднага след като в мрежата се случи подозрително събитие, NIDS трябва да я забележат и да вдигнат сигнал. Хакерите обаче са подли и постоянно настройват методите си, за да избегнат откриването. Някои модели на дейност стават очевидни като злонамерени само когато се разглеждат в по-широк контекст.

Дали е по-добре да си вземете HIDS или NIDS не е голям проблем, защото наистина имате нужда и от двете.

Ключови HIDS атрибути

Анализирайки исторически данни за дейности, HIDS е в състояние да забележи модели на дейност, които се появяват във времето. Въпреки това, дори и в средно големи мрежи, обемите от дневници, генерирани ежедневно, могат да бъдат много големи, затова е важно да изберете ефикасен инструмент за сортиране и търсене.

Вашите HIDS няма да си струва да използвате, ако е твърде бавно. Не забравяйте, че нови записи се натрупват постоянно, така че бързият HIDS често може да бъде по-добър от много добре представен инструмент. Интелигентните системни администратори предпочитат да правят компромиси в представянето, за да постигнат скорост. Въпреки това, HIDS инструмент, който е и бърз и добре представен, е най-добрата сделка от всички.

HIDS и SIEM

Ще срещнете много термина SIEM, когато разследвате мрежовите системи за сигурност. Тази съкращение означава Информация за сигурност и управление на събития. Това е съставен термин, който се развива чрез комбиниране Управление на информацията за сигурността (SIM) и Управление на събития за сигурност (SEM). Управление на информацията за сигурността проверява лог файлове и така е същото като HIDS. Управлението на събития за сигурност следи данните на живо, което го прави еквивалент на NIDS. Ако внедрите хибридна система за откриване на проникване, ще създадете SIEM.

Системи за предотвратяване на проникване

Като система за откриване на проникване, HIDS е важен елемент от мрежовата защита. Той обаче не предоставя цялата функционалност, която ви е необходима, за да защитите данните на вашата компания от кражба или повреда. Вие също трябва да сте в състояние да действат върху информацията, която IDS предоставя.

Санирането на заплахите може да се извърши ръчно. Може да имате на разположение инструменти за управление на мрежата, които ще ви помогнат да блокирате натрапниците. Обаче свързването на откриването и отстраняването заедно създава едно система за предотвратяване на проникване (IPS).

И двете стратегии за откриване на проникване и предотвратяване на проникване работят при предположението, че нито една защитна стена или антивирусна система не е безпогрешна. IDS е втората линия на отбрана и много експерти по сигурността на ИТ предупреждават за това никой не трябва да разчита на стратегия за защита на мрежата в нейните граници защото всяка система за сигурност може да бъде подкопана от грешки на потребителите или злонамерени дейности на служителите.

„Система за предотвратяване на проникване“ е малко погрешно, тъй като IPS прекъсва нарушенията на сигурността, след като бъдат открити, вместо да направи система толкова водонепроницаема, че на първо място да не може да възникне проникване..

Разширена защита от заплахи

Друг термин, който може да видите при адресиране на напреднали постоянни заплахи, е ATP. Това означава Advanced Advanced Threat Protection. В основната си форма ATP система е същата като IDS. Въпреки това, някои доставчици на ATP подчертават информацията за заплаха като определяща характеристика на техните системи. Интелектът за заплаха също е част от дефиницията на IDS и SIEM система.

В HIDS информацията за заплахата се основава на базата от правила за термини за търсене на данни и системни тестове, които идентифицират злонамерена дейност. Това може да се предостави под формата на кодирани проверки или регулируеми правила, зададени като политики. Интелигентността на заплахата също може да бъде формулирана в IDS чрез AI. Въпреки това, стратегиите за формиране на политики на автоматизирани системи могат да бъдат толкова всеобхватни, колкото правилата за извеждане твърдо свързани с тях при създаването им.

АТП доставчиците подчертават своите централни услуги за осведомяване за заплахи като определяща характеристика. Тези услуги се предлагат или като допълнителен абонамент за ATP софтуера или са включени в покупната цена. Това е елемент за споделяне на информация, който дава възможност на доставчика на софтуер ATP да разпространява нови политики и правила за откриване въз основа на успешното идентифициране на нови вектори за атака от други организации. Някои доставчици на HIDS включват тази услуга, а някои HIDS се поддържат от потребителски общности, които споделят нови политики за откриване. Въпреки това доставчиците на HIDS не са толкова силни по отношение на този елемент на разпространение на заплахата от услугите си, колкото доставчиците на ATP.

Методи за откриване на HIDS

Както HIDS, така и NIDS могат да бъдат разделени на две подкатегории според методите им за откриване. Това са:

  • Откриване на аномалия
  • Детекция на базата на подпис

Няма пряко картографиране между NIDS и HIDS за нито една от тези две стратегии. Тоест не може да се каже, че NIDS разчита повече на един от тези методи, а HIDS е свързан с другата методология на откриване. И HIDS и NIDS могат да използват една или и двете от тези стратегии за откриване.

ХИД със стратегия, базирана на подпис, работи по същия начин като антивирусните системи; базиран на подпис NIDS работи като защитна стена. Тоест подходът, базиран на подписа, търси модели в данните. Защитната стена търси ключови думи, видове пакети и активност на протокола при входящ и изходящ мрежов трафик, докато NIDS извършва същите проверки на трафик, пътуващ в мрежата. Антивирусната програма ще търси конкретни битови модели или ключови думи в програмните файлове, а HIDS прави същото за лог файлове.

Аномалията би било неочаквано поведение от страна на потребител или процес. Пример за това е един и същ потребител, влизащ в мрежата от Лос Анджелис, Хонконг и Лондон, всички в един и същи ден. Друг пример е, ако процесорите на сървъра изведнъж започнаха да работят усилено в 2:00 сутринта. HIDS базирана на аномалия ще прегледа файлове на дневници за записи на тези необичайни дейности; базиран на аномалия NIDS би се опитал да забележи тези нередности, тъй като те се случват.

Както и при избора между HIDS и NIDS, решението дали да се премине към откриване на базата на подпис или IDS на базата на аномалия се решава, като отидете и за двете.

Препоръчителни HIDS инструменти

Можете да стесните търсенето на базирана на хост система за откриване на прониквания, като прочетете нашите препоръки. Този списък представлява най-доброто от породата за всеки аспект на HIDS.

Ще намерите безплатни инструменти в списъка, някои от които имат много лоши потребителски интерфейси, но го направиха в списъка, тъй като имат много бързи скорости на обработка на данни. В списъка ще намерите и инструменти, които включват общи процедури за управление на файлове в лога и са специално написани, за да се съобразят с добре познатите стандарти за сигурност на данните. Други инструменти са изчерпателни и ви дават всичко необходимо за HIDS както в задния, така и в интерфейса.

1. SolarWinds Security Event Manager (БЕЗПЛАТЕН ПРОБЕН ПЕРИОД)

Журнал и мениджър на соларни дупки

SolarWinds създаде HIDS, който има автоматизирани възможности за отстраняване, превръщайки това в система за предотвратяване на проникване, Сигурността Мениджър на събития.  Инструментът включва доклади за одит на съответствието, за да ви помогне да следите PCI DSS, SOX, HIPAA, ISO, NCUA, FISMA, FERPA, GLBA, NERC CIP, GPG13 и DISA STIG.

Функциите за защита на лог файлове, които са вградени в тази програма, включват криптиране при транзит и съхранение и наблюдение на контролната сума на папки и файлове. Можеш пренасочване на лог съобщения и архивиране или архивиране на цели папки и файлове. Така че, функциите за управление на лог файловете и целостта на този инструмент са изключителни.

Инструментът непрекъснато ще наблюдава вашите журнални файлове, включително тези, които все още са отворени за нови записи. Не е необходимо да издавате заявки ръчно, защото мениджърът на събитията по сигурността ще повдига сигнали автоматично всеки път, когато се установи предупредително състояние. В рамките на пакета има и инструмент за анализ, който ви позволява да извършвате ръчни проверки на целостта на данните и навлизане на място с човешко око.

Въпреки че този софтуер ще се инсталира само на Windows Server, той ще събира данни от дневника от други операционни системи, включително Linux и Unix. Можеш да получиш 30-дневен безплатен пробен период на мениджъра на събитията за сигурност на SolarWinds.

SolarWinds Security Event ManagerDownload 30-дневна БЕЗПЛАТНА пробна версия

2. Papertrail (БЕЗПЛАТЕН ПЛАН) 

Снимка на Papertrail

SolarWinds работи a Облачна услуга за управление на журнали, наречена Papertrail. Това е лог агрегатор който централизира съхранението на вашия лог файл. Papertrail може да управлява Журнали за събития в Windows, Syslog съобщения, Лог файлове на сървъра Apache, Съобщения на програмата Ruby on Rails, и известия за рутер и защитна стена. Съобщенията могат да се гледат на живо на таблото на системата, докато преминават към лог файлове. Освен че управлява лог файлове, инструментът включва аналитични помощни програми.

Данните от дневника се криптират както при транзит, така и в покой, а достъпът до лог файлове се защитава чрез удостоверяване. Вашите файлове се съхраняват на сървъра Papertrail и SolarWinds се грижи за архивирането и архивирането, така че можете да спестите пари от закупуване, управление и поддържане на файлови сървъри.

Papertrail наема както аномалията, така и методите за откриване на базата на подпис и се възползвате от актуализации на правилата, научени от заплахи, насочени към други клиенти на Papertrail. Можете също така да сглобите свои собствени правила за откриване.

SolarWinds предлага Papertrail при абонамент с редица планове, най-ниската от които е безплатна.

SolarWinds Papertrail Log AggregatorРегистрирайте се за БЕЗПЛАТЕН план тук

3. Управление на анализатора на дневници на ManageEngine (БЕЗПЛАТНА ПРОБА)

Управление на анализатор на дневници на ManageEngine

Управление на анализатора на дневници на ManageEngine е едновременно HIDS и NIDS. Модулът за управление на журнала събира и съхранява Syslog и SNMP съобщения. Метаданните за всяко съобщение на Syslog също се съхраняват.

Регистрационните файлове са защитени както от компресия, така и от криптиране, а достъпът е защитен чрез удостоверяване. Резервните копия могат да бъдат възстановени автоматично когато анализаторът открие фалшифициране на лог файл.

Таблото за управление е персонализирано и различни екрани и функции могат да бъдат разпределени на различни потребителски групи. Отчитането включва одит за съответствие за PCI DSS, FISMA и HIPAA. Можете също да активирате сигнали за съответствие на системата.

Анализът на журнала на събитията работи Windows или Linux и може да се интегрира с инструментите за управление на инфраструктурата на ManageEngine. А Безплатно издание на този инструмент е достъпен, като позволява до 5 източника на журнал. Можете също да изтеглите 30-дневен безплатен пробен период от Премиум издание. За повече опции за цените можете свържете се с техния търговски екип.

ManageEngine Event Log Analyzer Изтеглете 30-дневна БЕЗПЛАТНА пробна версия

4. OSSEC

OSSEC екран

OSSEC е безплатен HIDS с отворен код произведени от Trend Micro. Той също така включва функции за мониторинг на системата, които обикновено се приписват на NIDS. Това е много ефективен процесор на данни от лог файл, но не идва с потребителски интерфейс. Повечето потребители поставят Kibana или Graylog отпред на OSSEC.

Този инструмент ще ви организира съхранението на файлове и ще предпази файловете от подправяне. Откриването на проникване се основава на аномалия и се осъществява чрез „политики.”Тези набори от правила могат да бъдат закупени безплатно от общността на потребителите.

Софтуерът за OSSEC може да бъде инсталиран на Windows, Linux, Unix, или Mac OS. Той следи Журнали за събития в Windows а също и регистъра. Той ще пази root акаунта на Linux, Unix, и Mac OS. Поддръжката е достъпна безплатно от общността на активните потребители или можете да платите на Trend Micro за професионален пакет за поддръжка.

5. Саган

Снимка на Саган

Саган е а безплатно HIDS който се инсталира на Unix, Linux, и Mac OS. Способен е да събира Дневник на събитията в Windows съобщения, въпреки че не се работи на Windows. Можете да разпределите обработката на Sagan, за да поддържате режийните разходи на светлината на процесора на вашия лог сървър. Системата използва както аномалията, така и методите за откриване на базата на подпис.

Можете да настроите действията да се извършват автоматично, когато бъде открит проникване. Инструментът има няколко уникални функции, които липсват някои от по-известните HIDS. Те включват IP геолокационно съоръжение което ще ви позволи да повдигате сигнали, когато дейностите на различни IP адреси се проследяват до един и същ географски източник. Инструментът също ви позволява да зададете свързани с времето правила за задействане на сигнали. Системата е написана за съвместима с сумтене, която е система за откриване на мрежа, която дава възможности на Saga NIDS, когато се комбинира с мрежов колектор за данни. Саган включва средство за изпълнение на скрипт което прави това IPS.

6. Плуване

Splunk

Splunk предлага както HIDS, така и NIDS функции. Основният пакет на този инструмент е безплатен за използване и не включва никакви сигнали за данни, основани на мрежата, така че това е чист HIDS. Ако търсите HIDS базирана на аномалия, това е много добър вариант. Обажда се горното издание на Splunk Splunk Enterprise и има версия на софтуер за услуга (SaaS), която се нарича Обвит облак. Между безплатната версия и Enterprise Edition седи Прелята светлина, което има някои ограничения за обслужване. Има и онлайн версия на Splunk Light, наречена Залял лек облак.

Splunk има функции за автоматизация на работния процес, които го превръщат в система за предотвратяване на проникване. Този модул се нарича Адаптивна рамка за операции и тя свързва автоматизирани скриптове, за да задейства сигнали. Автоматизирането на решенията на откритите проблеми е достъпно само при по-високо платените опции на Splunk.

Таблото за управление на Splunk е много привлекателно с визуализации на данни като линейни графики и диаграми на пай. Системата включва анализатор на данни във всички издания на Splunk. Това ви позволява да преглеждате записи, да ги обобщавате, сортирате и търсите, и да ги представяте в графики.

Всички нива на Splunk работят на Windows, Linux и macOS. Можете да получите 30-дневна безплатна пробна версия на Splunk Light, 60-дневна безплатна пробна версия на Splunk Enterprise и 15-дневна безплатна пробна версия на Splunk Cloud.

Избор на HIDS

На пазара има толкова много инструменти за управление на журнали с възможности за анализ, че можете да прекарате много дълго време, оценявайки всичките си HIDS възможности. Със списъка в това ръководство, сега имате много от направените изследвания и следващата стъпка е да се съсредоточите върху тези инструменти, които работят в операционната система на вашия сървър. Ако искате да използвате услуги, базирани на облак, тогава Papertrail и Splunk Cloud би трябвало да ви интересуват най-много.

За щастие, всички инструменти в нашия списък са безплатни за използване или са достъпни на безплатни изпитания, така че можете да инсталирате няколко кандидати, които да ги управляват през крачките им, без финансов риск.

В момента оперирате ли HIDS? За коя система избрахте? Смятате ли, че е важно да платите за инструмент или сте щастливи, че използвате безплатна програма? Оставете съобщение в Коментари раздел по-долу и споделете своя опит с общността.

Изображение: IT сигурност от Pixabay. Публичен домейн.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

54 + = 58

Adblock
detector