7 najboljih sustava za sprječavanje upada (IPS)

7 najboljih sustava za sprječavanje provale


Sustavi za sprječavanje prodora, također poznat kao IPSs, nude stalnu zaštitu podataka i IT resursa vaše tvrtke. Ovi sigurnosni sustavi djeluju unutar organizacije i nadziru slijepe točke u tradicionalnim sigurnosnim mjerama koje provode vatrozidi i antivirusni sustavi.

Zaštita granice vaše mreže spriječit će veliki broj hakerskih napada. Instalacija vatrozida i antivirusa još uvijek je važna. Te mjere zaštite postale su vrlo učinkovite u sprečavanju prodiranja zlonamjernog koda u mrežu. Međutim, bili su toliko uspješni da hakeri su pronašli druge načine da dobiju pristup računalnoj infrastrukturi tvrtke.

Ovaj post postaje dubinski predstavljen na svakom od alata u nastavku. Ako imate vremena samo za sažetak, evo našeg popis najboljih IPS-ova:

  1. Upravitelj sigurnosnih događaja SolarWinds (BESPLATNO ISPITIVANJE) Ovaj sigurnosni alat koristi i mrežne metode i metode za otkrivanje upada zasnovane na mreži i poduzima preventivne radnje. Instalira se na Windows Server.
  2. Splunk Široko korišteni alati za mrežnu analizu sa značajkama prevencije provale. Dostupno za Windows, Linux i Cloud.
  3. Sagan Besplatan sustav za sprečavanje provale koji rudi datoteke dnevnika za podatke o događajima. Instalira se na Unix, Linux i Mac OS, ali može okupljati poruke dnevnika iz Windows sustava.
  4. OSSEC Sigurnost otvorenog koda HIDS sigurnosti veoma je cijenjena i besplatna za upotrebu. Radi u sustavu Windows, Linux, Mac OS i Unix, ali ne uključuje korisničko sučelje.
  5. Otvori WIPS-NG Open-source uslužni naredbeni redak za Linux koji otkriva upad u bežične mreže.
  6. Fail2Ban Besplatni lagani IPS koji se pokreće u naredbenoj liniji i dostupan je za Linux, Unix i Mac OS.
  7. Zeek Mrežni sustav za otkrivanje upada koji djeluje na podacima o prometu uživo. Ovaj se alat instalira na Linuxu, Unixu i Mac OS-u i besplatan je za upotrebu.

Sigurnosne slabosti

Svaki je sustav snažan koliko je njegova najslabija veza. U većini IT sigurnosnih strategija, slabost leži u ljudskom elementu sustava. Autentifikaciju korisnika možete nametnuti snažnim lozinkama, ali ako korisnici zapisuju zaporke i drže bilješku u blizini uređaja koji ima pristup mreži, možda nećete morati gnjaviti provođenjem provjere autentičnosti korisnika..

Mnogo je načina na koje hakeri mogu ciljati zaposlenike tvrtke i navesti ih na otkrivanje podataka o prijavi.

Krađa identiteta

Lažno predstavljanje postalo je uobičajeno. Svi su naučili postati oprezni kod upozoravajuće e-pošte od banaka ili trgovačkih platformi poput eBaya, PayPala ili Amazona. Phishing kampanja uključuje lažna web stranica s internetske usluge. Haker masovno šalje e-poštu svim e-porukama na popisu kupljenim na internetu. Nije važno pripadaju li sve te adrese e-pošte kupcima oponašane usluge. Sve dok neki ljudi do kojih se dođe imaju račune s izmučenom web stranicom, haker ima šansu.

U pokušajima krađe identiteta, žrtvi se prezentira veza unutar e-pošte koji vodi do lažne stranice za prijavu koja izgleda kao uobičajeni zaslon za ulazak oponašane usluge. Kad se žrtva pokuša prijaviti, to korisničko ime i zaporka prelaze u bazu podataka hakera i račun se kompromitira bez da korisnik shvati što se dogodilo..

Spearphishing

Hakeri ciljaju zaposlenike tvrtke s krađu identiteta. Oni također prakticiraju podvodni lov, što je malo sofisticiranije od krađe identiteta. Uz lažno predstavljanje, lažna e-pošta i stranica za prijavu bit će posebno dizajnirane tako da budu slične mjestu tvrtke koja se hakuje, a adrese e-pošte bit će usmjerene posebno na zaposlenike tvrtke. Pokušaji podmetanja lova često se koriste kao prva faza pokušaja provale. Početni prolazak krađe je saznati detalje o nekim zaposlenicima tvrtke.

Doxxing

Podaci prikupljeni u fazi podmetanja mogu se spojiti s istraživanjem pojedinaca ispitivanjem njihovih stranica društvenih medija ili češanjem kroz pojedinosti o njihovoj karijeri. Ovo ciljano istraživanje naziva se doxxing. Uz prikupljene informacije, ciljani haker može izgraditi profile ključnih igrača u tvrtki i preslikati odnose tih ljudi prema ostalom osoblju tvrtke.

Doxxer će imati za cilj dobiti dovoljno informacija kako bi uspješno oponašao jednog zaposlenika. S ovim identitetom može steći povjerenje drugih u ciljano poduzeće. Pomoću ovih trikova haker može upoznati kretanja računovodstvenog osoblja tvrtke, njenih rukovoditelja i osoblja informatičke podrške..

lov na kitove

Jednom kada je haker zaradio povjerenje različitih članova osoblja, može uočiti detalje o prijavi od bilo koga u poslu. Uz puno samopouzdanja i znanja o načinu na koji ljudi zajedno rade u poslu, izvođač može čak ukrasti velike količine novca od tvrtke, a da se čak ne morate prijaviti u sustav; narudžbe za lažne prijenose mogu se davati putem telefona. Ovakvo ciljanje ključnog osoblja u poslu naziva se kitolovom.

Strategije napada

Hakeri su naučili koristiti phishing, podvodni lov, doxxing i kitolov da bi zaobišli vatrozidove i antivirusni softver. Ako haker ima administrativnu lozinku, može instalirati softver, postaviti korisničke račune i ukloniti sigurnosne procese i nesmetano pristupite cijeloj mreži, njenoj opremi, poslužiteljima, bazama podataka i aplikacijama.

Te su nove strategije napada postale toliko uobičajene da administratori tvrtki za sigurnost moraju to planirati pretpostaviti da su ugrožene granične sigurnosne mjere sustava.

Posljednjih godina napredna uporna prijetnja (APT) postala je uobičajena strategija hakera. U ovom scenariju, haker može provesti godine s pristupom mreži poduzeća, pristupiti podacima po volji, koristeći se resursima tvrtke za pokretanje koji pokrivaju VPN-ove kroz pristupnik tvrtke. Haker može čak koristiti poslužitelje tvrtke za intenzivne aktivnosti kao što je rudarstvo kriptovaluta.

APT-ovi ostaju neotkriveni jer haker je u sustavu kao ovlašteni korisnik a također osigurava brisanje svih zapisa zapisa koji pokazuju njegovu zlonamjernu aktivnost. Ove mjere znače da čak i kada se otkrije uljez, još uvijek može biti nemoguće ući u trag i procesuirati uljeza.

Sustavi za otkrivanje provale

Bitni element sustava za sprečavanje provale je Sustav za otkrivanje provale (IDS). IDS je dizajniran tako da traži neobične aktivnosti. Neke metode otkrivanja oponašaju strategije koje koriste zaštitni zidovi i antivirusni softver. Oni se zovu otkrivanje na temelju potpisa metode. Oni traže obrasce u podacima kako bi uočili poznate pokazatelje aktivnosti uljeza.

Naziva se druga IDS metoda otkrivanje na temelju anomalije. U ovoj strategiji softver za praćenje traži neobične aktivnosti koje ili ne uklapaju u logički obrazac ponašanja korisnika ili softvera ili nemaju smisla ako se ispituju u kontekstu očekivanih dužnosti određenog korisnika. Na primjer, ne biste očekivali da će vidjeti korisnika u odjelu za osoblje koji je prijavljen kako mijenja konfiguraciju mrežnog uređaja..

Uljez ne mora nužno biti autsajder. Možete upasti u područja vaše mreže od strane zaposlenika koji istražuju izvan objekata za koje se očekuje da će im trebati pristup. Drugi problem je sa zaposlenicima koji iskorištavaju njihov ovlašteni pristup podacima i objektima kako bi ih uništili ili ukrali.

Sprečavanje prodora

Sustavi za sprječavanje provale djeluju do maksimuma “bolje ikad nego nikad."U idealnom slučaju, ne biste htjeli da bilo koji strani osoba neovlašteno pristupi vašem sustavu. Međutim, kao što je gore objašnjeno, ovo nije savršen svijet i postoje mnoge kontre zbog kojih hakeri mogu prevariti ovlaštene korisnike u davanju vjerodajnica.

Konkretno, jesu sustavi za sprečavanje provale proširenja na sustave za otkrivanje provale. IPS djeluju nakon što je otkrivena sumnjiva aktivnost. Dakle, možda je već bilo oštećenja integriteta vašeg sustava do trenutka kada je provalio upad.

IPS može izvoditi radnje za isključivanje prijetnje. Ove akcije uključuju:

  • Vraćanje datoteka dnevnika iz pohrane
  • Obustava korisničkih računa
  • Blokiranje IP adresa
  • Procesi ubijanja
  • Isključivanje sustava
  • Pokretanje procesa
  • Ažuriranje postavki vatrozida
  • Upozorenje, snimanje i prijavljivanje sumnjivih aktivnosti

Odgovornost administrativnih zadataka koji omogućuju mnoge od tih akcija nije uvijek jasna. Na primjer, zaštita datoteka dnevnika šifriranjem i izrada sigurnosnih kopija datoteka dnevnika kako bi se mogle vratiti nakon neovlaštenja dvije su aktivnosti zaštite prijetnji koje se obično definiraju kao zadaci sustava otkrivanja provale.

Ograničenja sustava za sprečavanje provale

Postoje mnoge potencijalne slabosti u bilo kojem informacijskom sustavu, ali IPS, iako je vrlo učinkovit u blokiranju uljeza, je nije osmišljen da zatvori sve potencijalne prijetnje. Na primjer, tipični IPS ne uključuje softversko upravljanje zakrpama ili kontrolu konfiguracije za mrežne uređaje. IPS neće upravljati pravilima o pristupu korisnicima niti sprečavati zaposlenike da kopiraju korporativne dokumente.

IDS-ovi i IPS-ovi nude uklanjanje prijetnji samo kad je uljez već započeo aktivnosti na mreži. Međutim, ti bi sustavi trebali biti instalirani kako bi pružili element u nizu sigurnosnih mjera zaštite podataka i resursa.

Preporučeni sustavi za sprječavanje provale

Trenutno je na raspolaganju nevjerojatno velik broj IPS alata. Mnogi od njih su besplatni. Međutim, trebalo bi vam dugo da proučite i isprobate svaki pojedini IPS na tržištu. Zbog toga smo sastavili ovaj vodič za sustave za zaštitu od provale.

1. SolarWinds Security Event Manager (BESPLATNO ISPITIVANJE)

Solarwinds Dnevnik i Upravitelj događaja

Upravitelj sigurnosnih događaja SolarWinds kontrolira pristup datotekama dnevnika, kao što ime sugerira. Međutim, alat također ima mogućnosti nadzora mreže. Softverski paket ne uključuje uslugu nadgledanja mreže, ali ovu mogućnost možete dodati pomoću besplatnog alata Snort za prikupljanje mrežnih podataka. Ova postavka vam daje dvije perspektive provale. Postoje dvije kategorije strategije otkrivanja koje koriste IDS-ovi: mrežni i domaćinski.

Sustav za otkrivanje upada na osnovi domaćina pregledava zapise sadržane u datotekama dnevnika; mrežni sustav otkriva događaje u živim podacima.

Upute za otkrivanje znakova upada uključuju se u softverski paket SolarWinds - oni se nazivaju pravila korelacije događaja. Možete napustiti sustav da samo ručno otkriva upad i blokira prijetnje. Također možete aktivirati IPS funkcije SolarWinds Security Event Manager da se ispravljanje prijetnji automatski izvrši.

IPS odjeljak SolarWinds Security Event Manager provodi akcije kada se otkriju prijetnje. Ti se tijekovi rada nazivaju Aktivni odgovori. Odgovor se može povezati s određenim upozorenjem. Na primjer, alat može pisati u tablice vatrozida kako bi blokirao mrežni pristup IP adresi koja je identificirana kao obavljanje sumnjivih radnji na mreži. Možete i obustaviti korisničke račune, zaustaviti ili pokrenuti procese i zatvoriti hardver ili cijeli sustav.

Upravitelj sigurnosnih događaja SolarWinds može se instalirati samo na Windows Server. Međutim, njegovi izvori podataka nisu ograničeni na zapisnike sustava Windows - oni također mogu prikupiti podatke o prijetnji Unix i Linux sustavi povezani na host Windows sustav putem mreže. Možeš dobiti 30-dnevno besplatno probno razdoblje od Upravitelj sigurnosnih događaja SolarWinds da ga sami testirate.

SolarWinds Security Event ManagerReloading 30-dnevna BESPLATNA probna verzija

2. Splunk

Splunk
Splunk je analizator mrežnog prometa koji ima mogućnost otkrivanja provale i IPS mogućnosti. Postoje četiri izdanja Splunka:

  • Splunk Free
  • Splunk Light (30-dnevno besplatno probno razdoblje)
  • Splunk Enterprise (60-dnevno besplatno probno razdoblje)
  • Splunk Cloud (15-dnevno besplatno probno razdoblje)

Sve verzije, osim Splunk Cloud-a, pokreću se Windows i Linux. Oblak splunk dostupan je na Software-as-a-Service (SaaS) osnova putem interneta. Splunkove IPS funkcije uključene su samo u Enterprise i Cloud izdanja. Sustav za otkrivanje djeluje i na mrežnom prometu i na datotekama dnevnika. Metoda otkrivanja traži anomalije koje su obrasci neočekivanog ponašanja.

Viša razina sigurnosti može se postići izborom za dodatak Splunk Enterprise Security. Ovo je dostupno u besplatnoj probnoj verziji od sedam dana. Ovaj modul poboljšava pravila otkrivanja anomalije s AI i uključuje više izvršnih radnji za uklanjanje provale.

3. Sagan

Saganova snimka zaslona

Sagan je besplatni sustav otkrivanja provale koji ima mogućnosti izvršavanja skripti. Mogućnost povezivanja radnji s upozorenjima ovo čini IPS. Glavne Saganove metode otkrivanja uključuju nadgledanje datoteka dnevnika, što znači da je ovo sustav za otkrivanje upada koji se zasniva na hostu. Ako u Sagan instalirate i Snort i izlaz za feed iz tog njuška paketa, od ovog alata također ćete dobiti mrežne uređaje za otkrivanje. Alternativno, možete hraniti mrežne podatke prikupljene pomoću Zeek (ranije Bro) ili Suricata u alat. Sagan također može razmjenjivati ​​podatke s drugim Snort kompatibilnim alatima, uključujući Snorby, Squil, Anaval, i BAZA.

Sagan se instalira na Unix, Linux, i Mac OS. Međutim, također može preuzeti spojene poruke događaja Windows sustavi. Dodatne značajke uključuju traženje lokacije IP adrese i distribuiranu obradu.

4. OSSEC

OSSEC snimka zaslona

OSSEC je vrlo popularan IPS sustav. Metode otkrivanja temelje se na ispitivanju datoteka zapisa što ga čini a sustav za otkrivanje upada na osnovi domaćina. Naziv ovog alata znači "Sigurnost otvorenog koda HIDS(Uprkos nedostatku oznake "H").

Činjenica da je ovo projekt otvorenog koda je sjajna jer ujedno znači da je softver slobodan za upotrebu. Iako je open source, OSSEC je zapravo u vlasništvu tvrtke: Trend Micro. Loša strana korištenja besplatnog softvera je što nemate podršku. Alat se široko koristi, a OSSEC zajednica korisnika je sjajno mjesto za dobivanje savjeta i trikova o korištenju sustava. Međutim, ako ne želite riskirati oslanjajući se na amaterske savjete za softver vaše tvrtke, možete kupiti profesionalni paket podrške iz tvrtke Trend Micro.

Pravila otkrivanja OSSEC-a nazivaju se "politika."Možete napisati vlastita pravila ili besplatno dobiti pakete njih iz korisničke zajednice. Također je moguće navesti radnje koje bi se trebale provoditi automatski kada se pojave specifična upozorenja.

OSSEC pokreće Unix, Linux, Mac OS, i Windows. Za ovaj alat ne postoji prednji kraj, ali možete ga sučelje Kibana ili Graylog.

5. Otvorite WIPS-NG

Snimka zaslona OpenWIPS-NG

Ako vam posebno treba IPS za bežične sustave, pokušajte Open WIPS-NG. Ovo je besplatni alat koji će otkriti upad i omogućiti vam postavljanje automatskih odgovora.

Otvoreni WIPS-NG je an projekt otvorenog koda. Softver se može pokrenuti samo dalje Linux. Ključni element alata je njuškalo za bežični paket. Snaffer element je senzor, koji djeluje i kao sakupljač podataka i kao prijenosnik rješenja blokiranje upada. Ovo je vrlo kompetentno sredstvo jer su ga dizajnirali isti ljudi koji su pisali Aircrack-NG, koji je dobro poznat kao hakerski alat.

Ostali elementi alata su poslužiteljski program koji pokreće pravila otkrivanja i sučelje. Informacije o WiFi mreži i potencijalni problemi mogu se vidjeti na nadzornoj ploči. Možete postaviti i akcije za automatsko pokretanje kada se otkrije upad.

6. Fail2Ban

Snimka zaslona Fail2ban

Fail2Ban je lagana IPS opcija. Ovaj besplatni alat otkriva upad od strane metode utemeljene na domaćinu, što znači da pregledava datoteke dnevnika radi znakova neovlaštenih aktivnosti. Među automatiziranim odgovorima koje alat može primijeniti je zabrana IP adrese. Te zabrane obično traju samo nekoliko minuta, ali možete prilagoditi razdoblje blokiranja na nadzornoj ploči uslužnog programa. Pravila otkrivanja nazivaju se "filteriI možete se pridružiti akcija sanacije sa svakim od njih. Ta kombinacija filtra i radnje naziva se "zatvor.”

Fail2Ban se može instalirati na Unix, Linux, i Mac OS.

7. Zeek

Snimka zaslona Bro

Zeek (prethodno se zvao Bro untill 2019) je još jedan sjajan besplatni IPS. Ovaj se softver instalira na Linux, Unix, i Mac OS. Zeek koristi mrežne metode otkrivanja provale. Tijekom praćenja mreže radi zlonamjernih aktivnosti, Zeek vam također daje statističke podatke o performansama mrežnih uređaja i prometna analiza.

Pravila detekcije Zeeka djeluju na Sloj aplikacije, što znači da je u stanju otkriti potpisi preko paketa. Zeek također ima bazu podataka anomalija vezanih uz pravila otkrivanja. Faza otkrivanja Zeekovog rada provodi se putemmotor događaja.Ovo piše pakete i sumnjive događaje koje treba podnijeti u spis. Skripte pravila pretražite pohranjene zapise za znakove uljeza. Možete napisati vlastite skripte pravila, ali one su uključene u softver Zeek.

Kao i gledanje na mrežni promet, Zeek će pripaziti na konfiguracije uređaja. Mrežne anomalije i nepravilno ponašanje mrežnih uređaja prate se nadgledanjem SNMP zamke. Kao i redoviti mrežni promet, Zeek obraća pažnju na HTTP, DNS i FTP aktivnost. Alat će vas također upozoriti ako otkrije skeniranje portova, a to je hakerska metoda koja se koristi za dobivanje neovlaštenog pristupa mreži.

Odaberite sustav za sprečavanje provale

Kad pročitate definicije IPS alata na našem popisu, vaš prvi zadatak bit će suzite izbor prema operativnom sustavu poslužitelja na koji namjeravate instalirati svoj sigurnosni softver.

Zapamtiti, Ova rješenja ne zamjenjuju vatrozidove i antivirusni softver - pružaju zaštitu na područjima koja tradicionalne sigurnosne metode sustava ne mogu gledati.

Vaš će proračun biti još jedan odlučujući faktor. Većina alata na ovom popisu je besplatna za korištenje.

Međutim, rizici će biti tuženi ako hakeri dobiju podatke o klijentima, dobavljačima i zaposlenicima pohranjenim u IT sustavu vaše tvrtke, izgubit će vašu tvrtku puno novca. U tom kontekstu, troškovi plaćanja za sustav za sprečavanje provale nisu toliko veliki.

Napravite reviziju vještina koje posjedujete na licu mjesta. Ako nemate osoblja koje bi se moglo baviti tehničkim zadatkom postavljanja pravila otkrivanja, vjerojatno bi bilo bolje da odaberete alat koji je profesionalno podržan.

Imate li trenutno sustav za sprečavanje provale? Koje koristite? Razmišljate li o prelasku na drugi IPS? Ostavite komentar u komentari odjeljak u nastavku za dijeljenje svog iskustva sa zajednicom.

Slika: Hacker Attack maska ​​iz Pixabaja. Javna domena.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me

About the author

Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.

Leave a Reply

Your email address will not be published. Required fields are marked *

4 + 4 =