7 geriausios įsibrovimų prevencijos sistemos (IPS)

7 geriausios įsibrovimų prevencijos sistemos


Įsibrovimų prevencijos sistemos, taip pat žinomas kaip IPS, pasiūlyti nuolatinę įmonės duomenų ir IT išteklių apsaugą. Šios apsaugos sistemos veikia organizacijoje ir kompensuoja tradicinių saugumo priemonių, kurias įgyvendina ugniasienės ir antivirusinės sistemos, akląsias vietas..

Apsaugodami savo tinklo ribas, išvengsite daugybės įsilaužėlių atakų. Ugniasienių ir antivirusinių programų diegimas vis dar yra svarbus. Šios apsaugos priemonės tapo labai veiksmingos užkertant kelią kenksmingiems kodams patekti į tinklą. Tačiau jie buvo tokie sėkmingi, kad įsilaužėliai rado kitų būdų, kaip gauti prieigą prie įmonės kompiuterinės infrastruktūros.

Šis įrašas gilinasi į kiekvieną iš žemiau pateiktų įrankių. Jei turite laiko tik santraukai, čia yra mūsų geriausių IPS sąrašas:

  1. „SolarWinds“ saugos įvykių tvarkyklė (NEMOKAMAS PRANEŠIMAS) Šis saugos įrankis naudoja tiek tinklo, tiek pagrindinio kompiuterio įsibrovimo aptikimo metodus ir imasi prevencinių veiksmų. Įdiegiama „Windows Server“.
  2. Splunk Plačiai naudojamos tinklo analizės priemonės, turinčios įsibrovimų prevencijos ypatybes. Galima „Windows“, „Linux“ ir „Cloud“.
  3. Saganas Nemokama įsibrovimų prevencijos sistema, išminuojanti įvykių duomenų žurnalo failus. Diegia „Unix“, „Linux“ ir „Mac OS“, bet gali rinkti žurnalo pranešimus iš „Windows“ sistemų.
  4. OSSEC Atvirojo kodo HIDS saugumas yra labai gerbiamas ir juo laisvai galima naudotis. Veikia „Windows“, „Linux“, „Mac OS“ ir „Unix“, tačiau joje nėra vartotojo sąsajos.
  5. Atvira WIPS-NG Atvirojo kodo komandinės eilutės įrankis, skirtas „Linux“, kuris aptinka įsilaužimą į belaidžius tinklus.
  6. „Fail2Ban“ Nemokamas lengvas IPS, kuris veikia komandinėje eilutėje ir yra prieinamas „Linux“, „Unix“ ir „Mac OS“.
  7. Zeekas Įsibrovimų aptikimo sistema tinkle, veikianti tiesioginio srauto duomenims. Šis įrankis įdiegiamas „Linux“, „Unix“ ir „Mac OS“ ir yra laisvas naudoti.

Saugumo trūkumai

Bet kuri sistema yra tik tokia stipri, kaip silpniausia jos grandis. Daugelyje IT saugumo strategijų, silpnybė slypi žmogiškajame sistemos elemente. Galite priversti vartotojo autentifikavimą naudoti griežtus slaptažodžius, tačiau jei vartotojai užrašo slaptažodžius ir laiko užrašą šalia įrenginio, turinčio prieigą prie tinklo, galite taip pat nesivarginti priversti vartotojo autentifikavimo..

Yra daugybė būdų, kaip įsilaužėliai gali nukreipti dėmesį į įmonės darbuotojus ir apgauti juos atskleisti prisijungimo duomenis.

Sukčiavimas

Sukčiavimas apsimestinis. Visi išmoko atsargiai įspėti el. Laiškus iš bankų ar prekybos platformų, tokių kaip „eBay“, „PayPal“ ar „Amazon“. Sukčiavimo kampanija apima suklastotas internetinis puslapis iš internetinės paslaugos. Įsilaužėlis masiškai siunčia el. Laiškus į visus internete perkamo sąrašo el. Laiškus. Nesvarbu, ar visi šie el. Pašto adresai priklauso mėgdžiojamos paslaugos klientams. Kol keletas žmonių, su kuriais galima susisiekti, turi paskyras apgaulingoje svetainėje, įsilaužėlis turi galimybę.

Kai bandoma sukčiauti, aukai pateikiama nuoroda el. laiške , kuris nukreipia į suklastotą prisijungimo puslapį, kuris atrodo kaip įprastas mėgdžiojamos paslaugos įėjimo ekranas. Kai auka bando prisijungti, tas vartotojo vardas ir slaptažodis patenka į įsilaužėlio duomenų bazę, o paskyrai pakenkiama, vartotojui nesuprantant, kas nutiko.

Spearphishing

Piratai nukreipia įmonės darbuotojus į sukčiavimo apgaulę. Jie taip pat praktikuoja kalbų mokymąsi, kuris yra šiek tiek sudėtingesnis nei sukčiavimas. Naudojant tarptinklinį ryšį, suklastotas el. Pašto adresas ir prisijungimo puslapis bus specialiai sukurti taip, kad būtų panašūs į nulaužtos įmonės svetainę, o el. Laiškai bus nukreipti specialiai įmonės darbuotojams. Bandymai atlikti žvalgybą dažnai naudojami kaip pirmoji bandymo įsilaužti fazė. Pradinis įsilaužimo dalykas yra sužinoti apie kai kuriuos įmonės darbuotojus.

Doksingas

Žvalgymo etape surinkta informacija gali būti sumaišoma kartu su asmenų tyrimais, nagrinėjant jų socialinės žiniasklaidos puslapius arba apžvelgiant jų karjeros detales. Šis tikslinis tyrimas vadinamas doxxing. Gavusi informaciją, tikslingas įsilaužėlis gali sudaryti pagrindinių verslo dalyvių profilius ir nubrėžti tų žmonių ryšius su kitu įmonės personalu..

„Doxxer“ sieks gauti pakankamai informacijos, kad galėtų sėkmingai imituoti vieną darbuotoją. Turėdamas šią tapatybę, jis gali įgyti kitų pasitikėjimą tiksline įmone. Atlikdamas šiuos triukus, įsilaužėlis gali sužinoti apie įmonės apskaitos darbuotojų, vadovų ir IT palaikymo darbuotojų judėjimą.

Banginių medžioklė

Įsidarbinęs pelnytas įvairių darbuotojų pasitikėjimo, jis gali apgauti prisijungimo duomenis iš bet kurio verslo. Turėdamas daug pasitikėjimo savimi ir žinodamas, kaip žmonės dirba kartu versle, dailininkas net gali pavogti dideles pinigų sumas iš įmonės net neprisijungus prie sistemos; pavedimus dėl netikrų pervedimų galima duoti telefonu. Toks pagrindinio personalo taikymas versle vadinamas banginių medžiokle.

Puolimo strategijos

Piratai išmoko apsimestinių svetainių, sukčiavimo, sukčiavimo ir banginių medžioklės naudodamiesi ugniasienėmis ir antivirusine programine įranga. Jei įsilaužėlis turi administratoriaus slaptažodį, jis gali įdiegti programinę įrangą, nustatyti vartotojo abonementus ir pašalinti saugos procesus ir netrukdomai gausite prieigą prie viso tinklo, jo įrangos, serverių, duomenų bazių ir programų.

Šios naujos atakos strategijos tapo tokios įprastos, kad įmonės saugumo administratoriams reikia planuoti gynybą daryti prielaidą, kad buvo pažeistos sistemų sienų apsaugos priemonės.

Pastaraisiais metais išplitusi nuolatinė grėsmė (APT) tapo įprasta įsilaužėlių strategija. Pagal šį scenarijų, įsilaužėlis gali metų metus praleisti prieigą prie įmonės tinklo, norėdama pasiekti duomenis, naudodama įmonės išteklius VPN aprėpti per įmonės šliuzą. Įsilaužėlis netgi gali naudoti įmonės serverius intensyviai veiklai, pavyzdžiui, kriptovaliutos gavybai.

APT nepastebėta, nes įsilaužėlis yra sistemoje kaip įgaliotasis vartotojas ir jis taip pat būtinai ištrina visus žurnalų įrašus, rodančius jo kenkėjišką veiklą. Šios priemonės reiškia, kad net aptikus įsibrovimą, vis tiek gali būti neįmanoma atsekti įsibrovėlį ir patraukti baudžiamojon atsakomybėn.

Įsibrovimo aptikimo sistemos

Svarbus įsibrovimų prevencijos sistemų elementas yra: Įsibrovimo aptikimo sistema (IDS). IDS yra skirtas ieškoti neįprastos veiklos. Kai kurie aptikimo metodai imituoja strategijas, kurias naudoja ugniasienės ir antivirusinė programinė įranga. Jie vadinami parašu pagrįstas aptikimas metodai. Jie ieško duomenų modelių, kad nustatytų žinomus įsibrovėlių veiklos rodiklius.

Kviečiamas antrasis IDS
metodas anomalija paremtas nustatymas. Šioje strategijoje stebėjimo programinė įranga ieško neįprastos veiklos, kuri neatitinka vartotojo ar programinės įrangos elgesio loginio modelio, arba kuri neturi prasmės, kai nagrinėjama atsižvelgiant į numatomas konkretaus vartotojo pareigas. Pvz., Jūs nesitikėtumėte, kad personalo skyriuje prisijungę vartotojai matys pakeitusį tinklo įrenginio konfigūraciją..

Įsibrovėlis nebūtinai turi būti pašalinis asmuo. Galite įsibrauti į savo tinklo sritis, jei darbuotojai tyrinėja ne tas patalpas, į kurias jiems turėtų patekti. Kita problema susijusi su darbuotojais, kurie naudojasi įgaliota prieiga prie duomenų ir priemonių norėdami juos sunaikinti ar pavogti.

Įsibrovimų prevencija

Įsibrovimų prevencijos sistemos maksimaliai veikia “geriau vėliau negu niekada.Idealiu atveju nenorėtumėte, kad pašaliniai asmenys neteisėtai patektų į jūsų sistemą. Tačiau, kaip paaiškinta aukščiau, tai nėra tobulas pasaulis ir yra daugybė trūkumų, kuriuos įsilaužėliai gali priversti apgauti įgaliotus vartotojus atiduoti savo įgaliojimus..

Įsibrovimų prevencijos sistemos yra: įsilaužimo aptikimo sistemų plėtiniai. IPS veikia nustačius įtartiną veiklą. Taigi, pastebėjus įsilaužimą, jau galėjo būti padaryta tam tikra žala jūsų sistemos vientisumui.

IPS sugeba atlikti veiksmus, kad sustabdytų grėsmę. Šie veiksmai apima:

  • Žurnalo failų atkūrimas iš saugyklos
  • Sustabdomos vartotojų paskyros
  • IP adresų blokavimas
  • Žudymo procesai
  • Sistemų išjungimas
  • Pradėti procesai
  • Atnaujinami užkardos parametrai
  • Perspėjimas, fiksavimas ir pranešimai apie įtartiną veiklą

Administratoriaus užduočių, kurios leidžia atlikti daugelį šių veiksmų, atsakomybė ne visada aiški. Pvz., Žurnalo failų apsauga šifruojant ir žurnalo failų atsarginių kopijų kūrimas, kad juos būtų galima atkurti suklasifikavus, yra dvi apsaugos nuo grėsmės veikos, paprastai apibrėžtos kaip įsilaužimo aptikimo sistemos užduotys..

Įsibrovimų prevencijos sistemų apribojimai

Bet kurioje IT sistemoje yra daug galimų silpnųjų vietų, tačiau IPS, nors ir labai efektyvi blokuoti įsibrovėlį, yra nėra skirtas pašalinti visas galimas grėsmes. Pvz., Į tipišką IPS neapima programinės įrangos pataisų tvarkymo ar tinklo įrenginių konfigūracijos valdymo. IPS netvarkys vartotojo prieigos politikos ir neleis darbuotojams kopijuoti įmonės dokumentų.

IDS ir IPS siūlo grėsmės ištaisymą tik tada, kai įsibrovėlis jau pradeda veiklą tinkle. Tačiau šios sistemos turėtų būti įdiegtos, kad suteiktų elementą keliose saugumo priemonėse, skirtose apsaugoti informaciją ir išteklius.

Rekomenduojamos įsilaužimo prevencijos sistemos

Šiuo metu yra nepaprastai daug IPS įrankių. Daugelis iš jų yra nemokami. Tačiau jums prireiks daug laiko, kad galėtumėte mokytis ir išbandyti kiekvieną rinkoje esantį IPS. Štai kodėl mes sukūrėme šį įsibrovimo prevencijos sistemų vadovą.

1. „SolarWinds“ saugos įvykių tvarkyklė (NEMOKAMAS BANDYMAS)

„Solarwinds Log and Event Manager“

„SolarWinds“ saugos įvykių tvarkyklė kontroliuoja prieigą prie žurnalo failų, kaip rodo pavadinimas. Tačiau įrankis taip pat turi tinklo stebėjimo galimybes. Į programinės įrangos paketą neįtraukta tinklo stebėjimo priemonė, tačiau šią galimybę galite pridėti naudodami nemokamą įrankį „Snort“ tinklo duomenims rinkti. Ši sąranka suteikia jums dvi įsibrovimo perspektyvas. IDS naudojamos dvi aptikimo strategijų kategorijos: tinklo ir pagrindinio kompiuterio.

Pagrindinio kompiuterio įsibrovimų aptikimo sistema tiria įrašus, esančius žurnalų failuose; tinkle pagrįsta sistema aptinka įvykius tiesioginiuose duomenyse.

Instrukcijos aptikti įsibrovimo požymius pridedamos prie „SolarWinds“ programinės įrangos paketo - jos vadinamos įvykių koreliacijos taisyklėmis. Galite pasirinkti palikti sistemą norėdami tiesiog aptikti įsibrovimus ir blokuoti grėsmes rankiniu būdu. Taip pat galite suaktyvinti „SolarWinds“ saugos įvykių tvarkyklės IPS funkcijas, kad automatiškai atliktumėte grėsmės ištaisymą.

„SolarWinds“ saugos įvykių tvarkytuvo IPS skiltis įgyvendina veiksmus, kai aptinkama grėsmė. Šios darbo eigos vadinamos Aktyvūs atsakymai. Atsakymą galima susieti su konkrečiu perspėjimu. Pvz., Įrankis gali rašyti į ugniasienės lenteles, kad užblokuotų tinklo prieigą prie IP adreso, kuris buvo identifikuotas kaip tinkle atliekantis įtartinus veiksmus. Taip pat galite sustabdyti vartotojo abonementus, sustabdyti ar pradėti procesus ir uždaryti aparatinę įrangą arba visą sistemą.

„SolarWinds“ saugos įvykių tvarkytuvą galima įdiegti tik „Windows Server“. Tačiau jos duomenų šaltiniai nėra vien tik „Windows“ žurnalai - ji taip pat gali rinkti informaciją apie grėsmę iš „Unix“ ir „Linux“ sistemos, prijungtos prie pagrindinės „Windows“ sistemos per tinklą. Jūs galite gauti 30 dienų nemokamas bandymas„SolarWinds“ saugos įvykių tvarkyklė išbandyti tai sau.

„SolarWinds“ saugos įvykių tvarkytuvėAtsisiųsti 30 dienų nemokamą bandomąją versiją

2. Splunk

Splunk
„Splunk“ yra tinklo srauto analizatorius, turintis įsibrovimo aptikimo ir IPS galimybes. Yra keturi „Splunk“ leidimai:

  • „Splunk Free“
  • „Splunk Light“ (nemokama 30 dienų bandomoji versija)
  • „Splunk Enterprise“ (60 dienų nemokamas bandymas)
  • „Splunk Cloud“ (nemokama 15 dienų bandomoji versija)

Visos versijos, išskyrus „Splunk Cloud“, veikia „Windows“ ir „Linux“. „Splunk Cloud“ galima Programinė įranga kaip paslauga („SaaS“) internete. „Splunk“ IPS funkcijos yra įtrauktos tik į „Enterprise“ ir „Cloud“ leidimus. Aptikimo sistema veikia ir tinklo sraute, ir žurnalo failuose. Aptikimo metodu ieškoma anomalijų, kurios yra netikėto elgesio modeliai.

Aukštesnį saugumo lygį galima pasiekti pasirinkus „Splunk Enterprise Security“ priedą. Tai galima įsigyti nemokamai per septynias dienas. Šis modulis patobulina anomalijų aptikimo taisykles su AI ir apima daugiau vykdytinų įsibrovimų ištaisymo veiksmų.

3. Saganas

Sagano ekrano kopija

Saganas yra nemokama įsilaužimo aptikimo sistema kuris turi scenarijaus vykdymo galimybes. Priemonė sujungti veiksmus su perspėjimais daro tai IPS. Pagrindiniai „Sagan“ aptikimo metodai yra žurnale esančių failų stebėjimas, o tai reiškia, kad tai yra kompiuterio įsibrovimų aptikimo sistema. Jei taip pat įdiegsite „Snort“ ir tieksite išvestį iš to paketinio „sniffer“ į „Sagan“, iš šio įrankio taip pat gausite tinklu pagrįstas aptikimo galimybes. Arba galite pateikti tinklo duomenis, surinktus naudojant Zeekas (buvusi Bro) arba Surikata į įrankį. „Sagan“ taip pat gali keistis duomenimis su kitomis „Snort“
suderinamomis priemonėmis, įskaitant Snorby, Squil, Anaval, ir BAZĖ.

Saganas diegia „Unix“, „Linux“, ir „Mac OS“. Tačiau ji taip pat gali pasiimti įvykio pranešimus iš prisijungę „Windows“ sistemos. Papildomos funkcijos apima IP adreso vietos nustatymą ir paskirstytą apdorojimą.

4. OSSEC

OSSEC ekrano kopija

OSSEC yra labai populiari IPS sistema. Jo aptikimo metodai yra pagrįsti žurnalo failų nagrinėjimu, todėl tai yra a įsilaužimo aptikimo sistema. Šio įrankio pavadinimas reiškia „Atviro kodo HIDS saugumas“(Nepaisant to, kad ten nėra„ H “).

Tai, kad tai yra atvirojo kodo projektas, yra puiku, nes tai taip pat reiškia, kad programine įranga galima laisvai naudotis. Nepaisant atviro kodo, OSSEC iš tikrųjų priklauso įmonei: „Trend Micro“. Nemokamos programinės įrangos naudojimo neigiamas dalykas yra tas, kad negaunate palaikymo. Įrankis yra plačiai naudojamas, o OSSEC vartotojų bendruomenė yra puiki vieta gauti patarimų ir gudrybių apie sistemos naudojimą. Tačiau jei nenorite rizikuoti mėgėjų patarimais dėl savo įmonės programinės įrangos, galite nusipirkti profesionalios pagalbos paketas iš „Trend Micro“.

OSSEC aptikimo taisyklės vadinamos „politika.„Iš vartotojų bendruomenės galite rašyti savo politiką arba nemokamai gauti jos pakuočių. Taip pat galima nurodyti veiksmus, kurie turėtų būti įgyvendinami automatiškai, kai atsiranda specialūs įspėjimai.

OSSEC veikia „Unix“, „Linux“, „Mac OS“, ir „Windows“. Nėra šio įrankio priekinio krašto, tačiau galite su juo susieti Kibana arba „Greylog“.

5. Atvira WIPS-NG

„OpenWIPS-NG“ ekrano kopija

Jei jums konkrečiai reikia IPS belaidėms sistemoms, turėtumėte išbandyti „Open WIPS-NG“. Tai yra nemokamas įrankis kuris aptinka įsibrovimą ir leis nustatyti automatinius atsakymus.

Atvira WIPS-NG yra atvirojo kodo projektas. Programinė įranga gali būti paleista tik naudojant „Linux“. Pagrindinis įrankio elementas yra belaidis paketų snifferis. Sniffer elementas yra jutiklis, kuris veikia ir kaip duomenų rinkėjas, ir kaip sprendimų siųstuvas blokuoti įsilaužimą. Tai labai kompetentinga priemonė, nes ją sukūrė tie patys žmonės, kurie rašė „Aircrack-NG“, kuris yra gerai žinomas kaip įsilaužėlių įrankis.

Kiti įrankio elementai yra serverio programa, vykdanti aptikimo taisykles, ir sąsaja. Informacijos suvestinėje galite pamatyti „Wi-Fi“ tinklo informaciją ir galimas problemas. Taip pat galite nustatyti veiksmus, kad automatiškai įsijungtų, kai aptinkama įsibrovėlė.

6. „Fail2Ban“

„Fail2ban“ ekrano kopija

„Fail2Ban“ yra lengvas IPS variantas. Tai nemokamas įrankis aptinka įsilaužimą priimančiojo metodai, o tai reiškia, kad jis patikrina žurnalų failus, ar nėra neteisėtos veiklos požymių. Tarp automatinių atsakymų, kuriuos įrankis gali įgyvendinti, yra IP adreso draudimas. Šie draudimai paprastai trunka tik keletą minučių, tačiau blokavimo periodą galite koreguoti naudingumo priemonės prietaisų skydelyje. Aptikimo taisyklės vadinamos „filtraiIr galite susieti ištaisymo veiksmas su kiekvienu iš jų. Šis filtro ir veiksmo derinys vadinamas „kalėjimas.'

„Fail2Ban“ galima įdiegti „Unix“, „Linux“, ir „Mac OS“.

7. Zeekas

Bro ekrano kopija

Zeekas (anksčiau vadinta „Bro untill 2019“) yra dar viena puiki nemokama IPS. Ši programinė įranga įdiegiama „Linux“, „Unix“, ir „Mac OS“. Zeek naudoja tinklu grįstų įsibrovimų aptikimo metodai. Stebėdamas tinklo kenkėjišką veiklą, „Zeek“ taip pat pateikia statistinius duomenis apie tinklo įrenginių ir eismo analizė.

„Zeek“ aptikimo taisyklės veikia Taikymo sluoksnis, o tai reiškia, kad ji gali aptikti parašai per paketus. Zeek taip pat turi susijusios su anomalijomis aptikimo taisyklės. Zeeko darbo aptikimo etapą vykdo „renginio variklis.Tai užrašo paketus ir įtartinus įvykius. Politikos scenarijai saugomuose įrašuose ieškoti įsibrovėlių veiklos požymių. Galite rašyti savo strategijos scenarijus, tačiau jie taip pat pridedami prie „Zeek“ programinės įrangos.

Taip pat žiūrėti į tinklo srautą, Zeek stebės prietaiso konfigūraciją. Tinklo anomalijos ir netaisyklingas tinklo įrenginių elgesys stebimi stebint SNMP spąstai. Kaip ir įprastas tinklo srautas, „Zeek“ atkreipia dėmesį į HTTP, DNS ir FTP veiklą. Įrankis taip pat įspės jus, jei aptinka prievado nuskaitymą, tai yra įsilaužėlių metodas, naudojamas neteisėtai prieigai prie tinklo.

Pasirinkite įsibrovimų prevencijos sistemą

Kai perskaitysite IPS įrankių apibrėžimus mūsų sąraše, jūsų pirmoji užduotis bus susiaurinkite pasirinkimą pagal serverio, kuriame ketinate įdiegti savo saugos programinę įrangą, operacinę sistemą.

Prisiminti, šie sprendimai nepakeičia užkardų ir antivirusinės programinės įrangos - jie teikia apsaugą tose vietose, kurių šie tradiciniai sistemos saugumo metodai negali stebėti.

Jūsų biudžetas bus dar vienas lemiantis veiksnys. Dauguma šiame sąraše esančių įrankių yra nemokami.

Tačiau rizika būti teisiamam jei įsilaužėliai suvokia kliento, tiekėjo ir darbuotojų duomenis, saugomus jūsų įmonės IT sistemoje, praras savo įmonę daug pinigų. Atsižvelgiant į tai, išlaidos įsilaužimo prevencijos sistemai nėra tokios didelės.

Atlikite savo turimų įgūdžių auditą. Jei neturite darbuotojų, kurie galėtų atlikti techninę užduotį nustatyti aptikimo taisykles, jums greičiausiai būtų geriau pasirinkti įrankį, kuris yra profesionaliai palaikomas..

Ar šiuo metu vykdote įsilaužimo prevencijos sistemą? Kurį naudojate? Ar galvojate pereiti prie kitokio IPS? Palikite komentarą Komentarai žemiau, kad pasidalytumėte savo patirtimi su bendruomene.

Vaizdas: „Hacker Attack“ kaukė iš „Pixabay“. Viešas domenas.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

+ 46 = 55

map