7 најбољих система за спречавање упада (ИПС)

7 најбољих система за спречавање провале

Системи за спречавање продора, такође познат као ИПС, нуде сталну заштиту података и ИТ ресурса ваше компаније. Ови безбедносни системи делују у оквиру организације и надокнађују слепе тачке у традиционалним безбедносним мерама које спроводе фиревалл и антивирусни системи.

Заштита границе ваше мреже спречиће велики број хакерских напада. Инсталација заштитних зидова и антивируса још увек је важна. Ове мере заштите постале су веома ефикасне у спречавању продирања злонамерног кода у мрежу. Међутим, били су толико успешни да су хакери су пронашли друге начине да добију приступ рачунарској инфраструктури компаније.

Овај пост добија дубину у сваком од алата у наставку. Ако имате времена само за резиме, ево нашег листа најбољих ИПС-ова:

  1. СоларВиндс Сецурити Евент Манагер (БЕСПЛАТНО ИСПИТИВАЊЕ) Овај сигурносни алат користи и мрежне методе и методе за откривање упада засноване на мрежи и предузима превентивне акције. Инсталира се на Виндовс Сервер.
  2. Сплунк Широко коришћени алати за мрежне анализе који имају карактеристике за спречавање провале. Доступно за Виндовс, Линук и Цлоуд.
  3. Саган Бесплатан систем за спречавање упада који минира датотеке дневника ради података о догађајима. Инсталира се на Уник, Линук и Мац ОС, али може да прикупља поруке дневника из Виндовс система.
  4. ОССЕЦ Сигурност отвореног кода ХИДС безбедност је веома поштована и бесплатна за употребу. Ради у оперативном систему Виндовс, Линук, Мац ОС и Уник, али не укључује корисничко сучеље.
  5. Отворите ВИПС-НГ Отворни програм командне линије за Линук који открива упад у бежичне мреже.
  6. Фаил2Бан Бесплатни лагани ИПС који се покреће у командној линији и доступан је за Линук, Уник и Мац ОС.
  7. Зеек Мрежни систем за откривање упада који ради на подацима о промету уживо. Овај алат се инсталира на Линук, Уник и Мац ОС и може се бесплатно користити.

Сигурносне слабости

Сваки систем је јак колико је његова најслабија веза. У већини ИТ сигурносних стратегија, слабост лежи на људском елементу система. Аутентификацију корисника можете да примените са јаким лозинкама, али ако корисници записују лозинке и држе напомену близу уређаја који има приступ мрежи, можда нећете сметати да примените аутентификацију корисника..

Много је начина на које хакери могу циљати запослене у компанији и навести их на откривање података о пријави.

Пхисхинг

Лажно представљање постало је уобичајено. Сви су научили да буду обазриви на упозоравајуће поруке е-поште од банака или трговачких платформи као што су еБаи, ПаиПал или Амазон. Фисхинг кампања укључује лажна веб страница са интернетског сервиса. Хакер масовно шаље е-пошту свим е-маиловима на листи купљеној на Интернету. Није важно да ли све те адресе е-поште припадају купцима опонашане услуге. Све док неки људи којима се приступа имају рачуне са превареном веб страницом, хакер има шансу.

У покушајима пхисхинга, жртви се представља линк у е-поруци то води до лажне странице за пријаву која изгледа као уобичајени екран за унос опонашане услуге. Кад се жртва покуша пријавити, то корисничко име и лозинка прелазе у базу података хакера и рачун се компромитује без да корисник схвати шта се догодило..

Спеарпхисхинг

Хакери циљају запослене у компанији преваром за крађу идентитета. Такође практикују и подводни лов, што је мало сложеније од пхисхинга. Уз лажно представљање, лажни е-маил и страница за пријаву биће посебно дизајнирани тако да буду попут места компаније која се хакује, а адресе е-поште биће усмерене посебно на запослене у компанији. Покушаји подметања лома често се користе као прва фаза покушаја провале. Почетни пролаз хака је сазнати детаље о неким запосленима у компанији.

Доккинг

Информације прикупљене у фази подметања могу се спојити са истраживањем појединаца испитивањем њихових страница на друштвеним мрежама или чекањем детаља о њиховој каријери. Ово циљано истраживање назива се доккинг. Са прикупљеним информацијама, циљани хакер може изградити профиле кључних играча у послу и пресликати односе тих људи према осталом особљу компаније.

Доккер ће имати за циљ да добије довољно информација како би успешно опонашао једног запосленог. Уз овај идентитет, он може стећи поверење других у циљану компанију. Помоћу ових трикова хакер може да упозна кретања рачуноводственог особља компаније, њених руководилаца и особља за ИТ подршку..

Китолов

Једном када је хакер стекао поверење различитих чланова особља, може извући детаље о пријави од било кога у послу. Са пуно самопоуздања и знања о начину на који људи раде у послу заједно, извођач може чак краду велике количине новца од компаније, а да се чак и не пријавите у систем; налози за лажне трансфере могу се давати преко телефона. Ово циљање кључног особља у послу назива се китоловом.

Нападне стратегије

Хакери су научили да користе пхисхинг, подводни лов, доккинг и китовање да би заобишли фиревалл и антивирусни софтвер. Ако хакер има административну лозинку, може инсталирајте софтвер, подесите корисничке налоге и уклоните сигурносне процесе и несметано приступите целој мрежи, њеној опреми, серверима, базама података и апликацијама.

Те нове стратегије напада постале су толико уобичајене да администратори безбедности предузећа морају да планирају одбрану Претпоставимо да су мере безбедности на граници система угрожене.

Последњих година напредна упорна претња (ПОГОДАН) постала је уобичајена стратегија за хакере. У овом сценарију, хакер може провести године у приступу мрежи компаније, приступање подацима по вољи, коришћењем ресурса компаније за покретање покривања ВПН-ова кроз приступник компаније. Хакер може чак да користи сервере компаније за интензивне активности као што је рударство крипто валуте.

АПТ-ови остају неоткривени јер хакер је у систему као овлашћени корисник а такође осигурава брисање свих записа евиденције који показују његову злонамерну активност. Ове мере значе да чак и када се открије проваљивање, уљез и даље може бити немогуће ући у траг и процесуирати га.

Системи за откривање провале

Суштински елемент система за спречавање провале је Систем за откривање провале (ИДС). ИДС је дизајниран тако да тражи необичне активности. Неки методи откривања опонашају стратегије које користе заштитни зидови и антивирусни софтвер. Они се зову откривање на основу потписа методе. Они траже обрасце у подацима како би уочили познате показатеље активности уљеза.

Позвана је друга ИДС метода откривање засновано на аномалији. У овој стратегији софтвер за праћење тражи необичне активности које или не уклапају у логички образац понашања корисника или софтвера или немају смисла ако се испитају у контексту очекиваних обавеза одређеног корисника. На пример, не бисте очекивали да ће у одељењу за особље бити пријављен корисник који мења конфигурацију мрежног уређаја.

Уљез не мора нужно бити аутсајдер. Можете упасти у подручја ваше мреже од стране запослених који истражују објекте до којих се очекује да им треба приступ. Други проблем је са запосленима који искоришћавају овлашћени приступ подацима и објектима како би их уништили или украли.

Спречавање продора

Системи за спречавање упада раде максимално „боље икад него никад.„У идеалном случају, не бисте желели да било ко страна има неовлашћени приступ вашем систему. Међутим, као што је горе објашњено, ово није савршен свет и постоје многи недостаци које хакери могу преварити да би преварили овлашћене кориснике у давању поверљивости.

Конкретно, постоје системи за спречавање провале проширења на системе за откривање провале. ИПС делују након што је откривена сумњива активност. Дакле, можда је већ било оштећења интегритета вашег система до тренутка када је примећен упад.

ИПС је у стању да изводи акције за искључивање претње. Ове акције укључују:

  • Враћање датотека дневника из складишта
  • Обустава корисничке налоге
  • Блокирање ИП адреса
  • Процеси убијања
  • Искључивање система
  • Покретање процеса
  • Ажурирање поставки заштитног зида
  • Упозорење, снимање и пријављивање сумњивих активности

Одговорност административних задатака који омогућавају многе од тих акција није увек јасна. На примјер, заштита датотека дневника шифрирањем и израда сигурносних копија датотека дневника тако да се могу обновити након неовлаштеног напада су двије активности заштите пријетњи које се обично дефинирају као задаци система откривања провале.

Ограничења система за спречавање провале

Постоји много потенцијалних слабости у било којем ИТ систему, али ИПС, иако је веома ефикасан у блокирању уљеза, је није дизајниран да затвори све потенцијалне претње. На пример, типични ИПС не укључује управљање софтверским закрпама или контролу конфигурације за мрежне уређаје. ИПС неће управљати правилима о приступу корисницима нити спречавати запослене да копирају корпоративне документе.

ИДС-ови и ИПС-ови нуде санацију претњи тек када је уљез већ започео активности на мрежи. Међутим, ти би системи требали бити инсталирани како би пружили елемент у низу сигурносних мјера ради заштите информација и ресурса.

Препоручени системи за спречавање провале

Тренутно је на располагању изузетно велики број ИПС алата. Многи од њих су бесплатни. Међутим, требаће вам много времена да проучите и испробате сваки поједини ИПС на тржишту. Због тога смо саставили овај водич за системе за спречавање провале.

1. СоларВиндс Сецурити Евент Манагер (БЕСПЛАТНА РЕКЛАМА)

Соларвиндс Лог и Евент Манагер

Тхе СоларВиндс Сецурити Евент Манагер контролише приступ датотекама дневника, као што и име сугерира. Међутим, алат такође има могућности за надгледање мреже. Софтверски пакет не укључује услугу надгледања мреже, али ту могућност можете додати користећи бесплатан алат Снорт за прикупљање мрежних података. Ово подешавање вам пружа две перспективе о упаду. Постоје две категорије стратегија откривања које користе ИДС: мрежни и хостирани.

Систем за откривање упада на основу домаћина прегледава записе садржане у датотекама дневника; мрежни систем детектује догађаје у живим подацима.

Упутства за откривање знакова упада су укључена у софтверски пакет СоларВиндс - они се називају правила корелације догађаја. Можете да напустите систем да само ручно открива упад и блокира претње. Такође можете да активирате ИПС функције СоларВиндс Сецурити Евент Манагер да се исправљање претњи аутоматски изврши.

ИПС одељак СоларВиндс Сецурити Евент Манагер спроводи акције када се открију претње. Ти се токови рада називају Активни одговори. Одговор се може повезати са одређеним упозорењем. На пример, алат може писати у табеле заштитног зида како би блокирао приступ мрежи ИП адреси која је идентификована као обављање сумњивих радњи на мрежи. Такође можете да обуставите корисничке налоге, зауставите или покренете процесе и искључите хардвер или цео систем.

СоларВиндс Сецурити Евент Манагер може се инсталирати само на Виндовс Сервер. Међутим, њени извори података нису ограничени на евиденције оперативног система Виндовс - такође могу да прикупљају информације о претњи Уник и Линук системима повезаним са хост системом Виндовс преко мреже. Можете добити 30-дневно бесплатно пробно време од СоларВиндс Сецурити Евент Манагер да га тестирате сами.

СоларВиндс Сецурити Евент МанагерПреузмите 30-дневну БЕСПЛАТНУ пробну верзију

2. Сплунк

Сплунк
Сплунк је анализатор мрежног саобраћаја који има могућност детекције провале и ИПС могућности. Постоје четири издања Сплунка:

  • Сплунк Фрее
  • Сплунк Лигхт (30-дневно бесплатно пробно време)
  • Сплунк Ентерприсе (60-дневно бесплатно пробно време)
  • Сплунк Цлоуд (15-дневно бесплатно пробно време)

Све верзије, осим Сплунк Цлоуд-а раде на Виндовс и Линук. Сплунк Цлоуд је доступан на Софтвер као услуга (СааС) основа путем интернета. Сплунк-ове ИПС функције укључене су само у Ентерприсе и Цлоуд издања. Систем детекције делује и на мрежном саобраћају и на датотекама дневника. Метода откривања тражи аномалије, које су обрасци неочекиваног понашања.

Виши ниво сигурности може се постићи избором за додатак Сплунк Ентерприсе Сецурити. Ово је доступно на бесплатној пробној верзији од седам дана. Овај модул побољшава правила откривања аномалије помоћу АИ и укључује више извршних радњи за санацију упада.

3. Саган

Саган снимак екрана

Саган је бесплатан систем за откривање провале која има могућности извршавања скрипта. Могућност повезивања акција са упозорењима ово чини ИПС. Главни методи откривања Саган-а укључују надгледање датотека дневника, што значи да је ово систем за детекцију упада на основу домаћина. Ако инсталирате Снорт и излаз из овог њушка за пакет у Саган, од овог алата ћете добити и мрежне уређаје за откривање. Алтернативно, можете хранити мрежне податке прикупљене помоћу Зеек (раније Бро) или Сурицата у алат. Саган такође може да размењује податке са другим Снорт компатибилним алатима, укључујући Снорби, Скуил, Анавал, и БАЗА.

Саган се инсталира на Уник, Линук, и Мац ОС. Међутим, такође може да преузме поруке догађаја са повезане Виндовс системи. Додатне функције укључују праћење локације ИП адресе и дистрибуирану обраду.

4. ОССЕЦ

Скриншот ОССЕЦ-а

ОССЕЦ је веома популаран ИПС систем. Методе његовог откривања заснивају се на испитивању датотека дневника, што га чини а систем за откривање упада на основу домаћина. Назив ове алатке значи „Опен Соурце ХИДС безбедност'(Упркос недостатку' Х 'тамо).

Чињеница да је ово пројекат отвореног кода је сјајна јер такође значи да је софтвер слободан за употребу. Иако је опен соурце, ОССЕЦ је у ствари у власништву компаније: Тренд Мицро. Лоша страна коришћења бесплатног софтвера је та што немате подршку. Алат се широко користи и ОССЕЦ заједница корисника је сјајно место за добијање савета и трикова о коришћењу система. Међутим, ако не желите да се ризикујете да се ослоните на аматерске савете за софтвер ваше компаније, можете да купите професионални пакет подршке од Тренд Мицро.

Правила за откривање ОССЕЦ-а се називају „политике.„Можете да напишете сопствене смернице или да их бесплатно добијете од пакета корисника. Могуће је одредити и акције које би требало аутоматски да се спроведу када се појаве специфична упозорења.

ОССЕЦ ради Уник, Линук, Мац ОС, и Виндовс. За овај алат не постоји предњи крај, али можете га повезати Кибана или Граилог.

5. Отворите ВИПС-НГ

Снимка екрана ОпенВИПС-НГ

Ако вам посебно треба ИПС за бежичне системе, покушајте Опен ВИПС-НГ. Ово је бесплатан алат који ће открити упад и омогућити вам да поставите аутоматске одговоре.

Отворени ВИПС-НГ је ан пројекат отвореног кода. Софтвер се може покренути само Линук. Кључни елемент алата је њушка за бежични пакет. Снаффер елемент је сензор, који ради и као сакупљач података и као предајник решења блокирање упада. Ово је веома компетентно средство јер су га дизајнирали исти људи који су писали Аирцрацк-НГ, који је добро познат као хакерско средство.

Остали елементи алата су серверски програм који покреће правила откривања и интерфејс. Информације о ВиФи мрежи и потенцијални проблеми могу се видети на командној табли. Такође можете подесити акције за аутоматско покретање када се открије упад.

6. Фаил2Бан

Снимка екрана Фаил2бан

Фаил2Бан је лагана ИПС опција. Ово бесплатан алат открива упад од стране методе засноване на домаћину, што значи да прегледава датотеке дневника ради знакова неовлаштених активности. Међу аутоматским одговорима које алат може имплементирати је забрана ИП адресе. Ове забране обично трају само неколико минута, али можете подесити период блокирања на контролној табли услужног програма. Правила за откривање се називају „филтериИ можете да се повежете акција санације са сваким од њих. Та комбинација филтра и радње назива се „затвор.'

Фаил2Бан се може инсталирати на Уник, Линук, и Мац ОС.

7. Зеек

Скриншот за Бро

Зеек (раније се звао Бро до краја 2019.) је још један сјајан бесплатни ИПС. Овај софтвер се инсталира на Линук, Уник, и Мац ОС. Зеек користи мрежне методе детекције упада. Док прати мрежу због злонамерних активности, Зеек вам такође даје статистику о перформансама мрежних уређаја и анализа саобраћаја.

Правила детекције Зеека делују на локацији Апликацијски слој, што значи да је у стању да открије потписа преко пакета. Зеек такође има базу података аномалије правила детекције Фаза откривања Зеековог рада проводи се путем „мотор догађаја.Ово пише пакете и сумњиве догађаје које треба да поднесете. Скрипте политике претражите похрањене записе ради знакова уљеза. Можете да напишете сопствене скрипте политике, али су такође укључене у софтвер Зеек.

Као и сагледавање мрежног саобраћаја, Зеек ће припазити на конфигурације уређаја. Мрежне аномалије и неправилно понашање мрежних уређаја прате се надгледањем СНМП замке. Као и редован мрежни саобраћај, Зеек обраћа пажњу на ХТТП, ДНС и ФТП активност. Алат ће вас такође упозорити ако открије скенирање портова, што је хакерски метод који се користи за добијање неовлашћеног приступа мрежи.

Изаберите систем за спречавање провале

Када прочитате дефиниције ИПС алата на нашој листи, ваш први задатак ће бити сузите избор према оперативном систему сервера на који намеравате да инсталирате свој безбедносни софтвер.

Запамтити, ова решења не замењују фиревалл и антивирусни софтвер - пружају заштиту у областима које традиционалне методе безбедности система не могу да прате.

Ваш буџет ће бити још један одлучујући фактор. Већина алата на овој листи је бесплатна за употребу.

Међутим, ризици због тужбе ако хакери добију податке о клијентима, добављачима и запосленима који се чувају у ИТ систему ваше компаније, изгубиће вашу компанију много новца. У том контексту, трошкови плаћања система за спречавање упада нису толико велики.

Урадите ревизију вештина које поседујете на лицу места. Ако немате особља које би могло да се бави техничким задатком постављања правила за откривање, вероватно би било боље да одаберете алат који је професионално подржан.

Да ли тренутно управљате системом за спречавање упада? Које користите? Да ли размишљате о преласку на други ИПС? Оставите коментар у Коментари одељак испод да бисте поделили своје искуство са заједницом.

Слика: Хацкер Аттацк маска из Пикабаја. Јавни домен.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

3 + 1 =

Adblock
detector