9 nejlepších nástrojů pro detekci narušení na bázi sítě (NIDS)

9 nejlepších nástrojů NIDS


Co je to NIDS / Network Intrusion Detection Systems?

NIDS je zkratka pro systém detekce narušení sítě. NIDS detekuje škodlivé chování v síti, jako je hackování, skenování portů a odmítnutí služby.

Zde je náš seznam 9 nejlepších nástrojů NIDS (Network Intrusion Detection Systems):

  1. SolarWinds Security Event Manager (ZKUŠEBNÍ VERZE ZDARMA)
  2. Šňupat
  3. Bro
  4. Suricata
  5. IBM QRadar
  6. Bezpečnostní cibule
  7. Otevřete WIPS-NG
  8. Sagan
  9. Splunk

Účel NIDS

Systémy detekce narušení hledají vzory v síťové aktivitě pro identifikaci škodlivé aktivity. Potřeba této kategorie bezpečnostního systému vznikla kvůli změnám v metodách hackerů v reakci na dřívější úspěšné strategie blokování škodlivých činností.

Brány firewall se staly velmi účinnými při blokování pokusů o příchozí připojení. Antivirový software byl úspěšně identifikován infekce přenášené prostřednictvím USB klíčů, datových disků a e-mailových příloh. S blokovanými tradičními škodlivými metodami se hackeři zaměřili na strategie útoků, jako jsou útoky na distribuované odmítnutí služby (DDoS). Okrajové služby nyní činí tyto útočné vektory méně nebezpečnými.

Dnes, pokročilá trvalá hrozba (APT) je největší výzvou pro správce sítí. Tyto strategie útoků jsou nyní používány národními vládami jako součást hybridního boje. Ve scénáři APT skupina hackerů získá přístup do podnikové sítě a využívá zdroje společnosti pro své vlastní účely a také k přístupu k podnikovým datům k prodeji.

Shromažďování osobních údajů uchovávaných v databázích společnosti se díky datovým agenturám stalo výnosným podnikem. Tyto informace lze také použít pro škodlivé účely a také se může vracet do přístupových strategií pomocí doxingu. Informace dostupné v zákaznických, dodavatelských a zaměstnaneckých databázích společnosti jsou užitečnými zdroji pro velrybářské a spearphishingové kampaně. Tyto metody účinně využili umělci, aby přiměli zaměstnance společnosti k převodu peněz nebo k odhalení tajemství osobně. Tyto metody mohou být k vydírání pracovníků společnosti jednat proti zájmům jejich zaměstnavatelů.

Nespokojení zaměstnanci také představují problémy pro zabezpečení podnikových dat. Osamělý pracovník s přístupem do sítě a do databáze může způsobit zmatek tím, že pomocí autorizovaných účtů způsobí poškození nebo odcizení dat.

Tak, zabezpečení sítě musí nyní zahrnovat metody, které jdou daleko za blokování neoprávněného přístupu a brání instalaci škodlivého softwaru. Síťové systémy detekce narušení nabízejí velmi účinnou ochranu proti všem skrytým činnostem narušitele, škodlivé činnosti zaměstnanců a maskování podvodníků..

Rozdíl mezi NIDS a SIEM

Při hledání nových bezpečnostních systémů pro vaši síť narazíte na termín SIEM. Možná se divíte, zda to znamená totéž jako NIDS.

Mezi definicemi SIEM a NIDS existuje velké překrývání. SIEM znamená Bezpečnostní informace a správa událostí. Pole SIEM je kombinací dvou již existujících kategorií ochranného softwaru. Existují Správa bezpečnostních informací (SIM) a Správa událostí zabezpečení (SEM).

Pole SEM je velmi podobné oboru NIDS. Security Event Management je kategorie SIEM, která se zaměřuje na zkoumání živého síťového provozu. To je úplně stejné jako specializace síťových systémů detekce narušení.

NIDS nebo HIDS

Síťové systémy detekce narušení jsou součástí širší kategorie, kterou jsou systémy detekce narušení. Druhým typem IDS je hostitelský systém detekce narušení nebo HIDS. Hostitelské systémy detekce narušení jsou zhruba ekvivalentem prvku Security Information Management v SIEM.

Zatímco síťové systémy detekce narušení sledují živá data, hostitelské systémy detekce narušení prozkoumají soubory protokolu v systému. Výhodou NIDS je, že tyto systémy jsou okamžité. Díky okamžitému sledování síťového provozu jsou schopni rychle jednat. Mnoho aktivit vetřelců však lze spatřit pouze v řadě akcí. Je dokonce možné, aby hackeři rozdělili škodlivé příkazy mezi datové pakety. Protože NIDS pracuje na úrovni paketů, je méně schopná detekovat strategie vniknutí, které se šíří přes pakety.

HIDS zkoumá data událostí, jakmile byla uložena do protokolů. Zápis záznamů do souborů protokolu způsobuje zpoždění odpovědí. Tato strategie však umožňuje analytickým nástrojům detekovat akce, které probíhají v několika bodech v síti současně. Pokud se například k přihlášení k síti používá stejný uživatelský účet z rozptýlených geografických umístění a zaměstnanec přidělený tento účet je umístěn na žádném z těchto míst, byl účet zjevně ohrožen.

Vetřelci vědí, že protokolové soubory mohou odhalit jejich aktivity, a proto je odstraňování protokolových záznamů obrannou strategií používanou hackery. Ochrana souborů protokolu je proto důležitým prvkem systému HIDS.

NIDS i HIDS mají výhody. NIDS přináší rychlé výsledky. Tyto systémy se však musí poučit z běžného provozu v síti, aby jim zabránily v hlášení “falešně pozitivní.„Zejména v počátečních týdnech provozu na síti mají nástroje NIDS tendenci nadměrně detekovat vniknutí a vytvářet záplavu varování, která ukazují na pravidelnou činnost. Na jedné straně nechcete odfiltrovat varování a riskovat, že vám chybí aktivita narušitele. Na druhou stranu však příliš citlivý NIDS může vyzkoušet trpělivost týmu pro správu sítě.

HIDS dává pomalejší odpověď, ale může dát přesnější obrázek aktivity vetřelce protože dokáže analyzovat záznamy událostí z celé řady zdrojů protokolování. Musíte chránit SIEM a nasadit NIDS i HIDS.

Metody detekce NIDS

NIDS používají dvě základní metody detekce:

  • Detekce založená na anomáliích
  • Detekce založená na podpisu

Strategie založené na podpisu vyplynuly z detekčních metod používaných antivirovým softwarem. Program skenování hledá vzory v síťovém provozu včetně bajtové sekvence a typické typy paketů které se pravidelně používají k útokům.

Přístup založený na anomáliích porovnává aktuální síťový provoz s typickou činností. Tato strategie tedy vyžaduje fázi učení, která stanoví vzorec normální činnosti. Příkladem tohoto typu detekce by byl počet neúspěšných pokusů o přihlášení. Lze očekávat, že lidský uživatel několikrát dostane heslo špatně, ale pokus o narušení naprogramovaný hrubou silou by použil mnoho kombinací hesel cyklujících rychlou sekvencí. To je velmi jednoduchý příklad. V terénu mohou být vzorce aktivit, které hledá přístup založený na anomáliích, velmi komplikovanými kombinacemi činností.

Detekce narušení a prevence narušení

Spotting Intrusion je krokem k udržení bezpečnosti vaší sítě. Dalším krokem je udělat něco pro blokování vetřelce. V malé síti byste možná mohli provést ruční zásah, aktualizovat tabulky brány firewall, aby blokovali adresy IP narušitele a pozastavili ohrožené uživatelské účty. V rozsáhlé síti a v systémech, které musí být aktivní nepřetržitě, je však nutné provést automatickou nápravu hrozeb pomocí automatizovaných pracovních postupů. Automatický zásah k řešení aktivity vetřelce je definující rozdíl mezi systémy detekce vetřelců a systémy prevence vetřelců (IPS).

Doladění detekčních pravidel a zásad nápravy je ve strategiích IPS zásadní, protože příliš citlivé detekční pravidlo může zablokovat skutečné uživatele a vypnout váš systém..

Doporučené NIDS

Tato příručka se zaměřuje spíše na nástroje NIDS než na nástroje HIDS nebo software IPS. Překvapivě je mnoho předních NIDS zdarma k použití a další špičkové nástroje nabízejí bezplatné zkušební období.

1. SolarWinds Security Event Manager (ZKUŠEBNÍ VERZE ZDARMA)

Protokol Solarwinds a správce událostí

SolarWinds Security Event Manager je hlavně balíček HIDS, ale s tímto nástrojem můžete také používat funkce NIDS. Tento nástroj lze použít jako analytický nástroj ke zpracování dat shromážděných Snortem. Více o Snort si můžete přečíst níže. Snort je schopen zachytit provozní data, která můžete zobrazit prostřednictvím 1. Správce událostí.

Kombinace NIDS a HIDS z něj činí opravdu silný bezpečnostní nástroj. Sekce NIDS produktu Security Event Manager obsahuje základnu pravidel nazvanou pravidla korelace událostí, které odhalí anomálie aktivity, které naznačují narušení. Nástroj lze nastavit tak, aby automaticky implementoval pracovní postupy při detekci varování o narušení. Tyto akce se nazývají Aktivní odpovědi. Mezi akce, které můžete získat automaticky při detekci anomálie, patří: zastavení nebo spuštění procesů a služeb, pozastavení uživatelských účtů, blokování IP adres a zasílání oznámení e-mailem, Zpráva SNMP, nebo záznam obrazovky. Aktivní odezvy dělají z SolarWinds Security Event Manager do systém prevence narušení.

Toto je špičková řada IDS, která je dnes na trhu k dispozici, a není zdarma. Software bude fungovat pouze na internetu Windows Server operační systém, ale může sbírat data z Linux, Unix, a Operační Systém Mac stejně jako Okna. Správce událostí zabezpečení SolarWinds můžete získat na a 30denní bezplatná zkušební verze.

SolarWinds Security Event ManagerStáhněte 30denní zkušební verzi ZDARMA

2. Snort

Snort screenshot

Snort, vlastněný společností Cisco Systems, je projektem s otevřeným zdrojovým kódem a je zdarma k použití. Tohle je přední NIDS dnes a mnoho dalších nástrojů pro analýzu sítě bylo napsáno pro použití jeho výstupu. Software lze nainstalovat na Okna, Linux, a Unix.

Toto je vlastně systém detekce paketů, který bude shromažďovat kopie síťového provozu pro analýzu. Nástroj má však i jiné režimy a jedním z nich je detekce narušení. V režimu detekce narušení použije Snort „základní politiky,“Který je základem detekčního pravidla nástroje.

Díky základním zásadám je Snort flexibilní, rozšiřitelný a přizpůsobivý. Je třeba doladit zásady tak, aby vyhovovaly typickým činnostem vaší sítě, a snížit výskyt „falešně pozitivní.„Můžete napsat vlastní základní zásady, ale nemusíte, protože si můžete stáhnout balíček z webu Snort. Existuje velmi velká komunita uživatelů pro Snort a tito uživatelé komunikují prostřednictvím fóra. Odborní uživatelé dají ostatním zdarma k dispozici své vlastní tipy a upřesnění. Zdarma si můžete také vyzvednout další základní zásady z komunity. Protože Snort používá tolik lidí, vždy existují nové nápady a nové základní zásady, které můžete najít na fórech.

3. Bro

Snímek obrazovky Bro

Bro je NIDS, stejně jako Snort, má však oproti systému Snort velkou výhodu - tento nástroj funguje na Aplikační vrstva. Tento zdarma NIDS je široce upřednostňován vědeckými a akademickými komunitami.

To je obojí systém založený na podpisu a také to používá detekční metody založené na anomáliích. Je schopen na místě bit-úrovni vzory které označují škodlivou aktivitu napříč pakety.

Proces detekce je zpracován dvě fáze. První z nich spravuje Bro Event Engine. Protože jsou data vyhodnocena na úrovni vyšší než paket, nelze analýzu provést okamžitě. Musí existovat úroveň vyrovnávací paměti, aby bylo možné společně posoudit dostatek paketů. Bro je tedy o něco pomalejší než typický NIDS na úrovni paketů, ale stále identifikuje škodlivou aktivitu rychleji než HIDS. Shromážděná data jsou hodnocena politické skripty, což je druhá fáze detekčního procesu.

Je možné nastavit nápravné akce automaticky se spouští skriptem zásad. To z Bro dělá systém prevence narušení. Software lze nainstalovat na Unix, Linux, a Operační Systém Mac.

4. Suricata

Snímek obrazovky Suricatatakže NIDS to pracuje na aplikační vrstvě, což umožňuje viditelnost více paketů. Toto je bezplatný nástroj který má velmi podobné schopnosti jako Bro. Ačkoli tyto detekční systémy založené na podpisech pracují na úrovni aplikací, mají stále přístup k detailům paketů, což umožňuje zpracování zpracovatelského programu informace na úrovni protokolu mimo záhlaví paketu. To zahrnuje šifrování dat, Transport Layer a Internetová vrstva data.

Tento IDS také zaměstnává detekční metody založené na anomáliích. Kromě dat paketů je Suricata schopna zkoumat certifikáty TLS, požadavky HTTP a transakce DNS. Tento nástroj je také schopen extrahovat segmenty ze souborů na bitové úrovni pro detekci virů.

Suricata je jedním z mnoha nástrojů, které jsou kompatibilní s Struktura chrápání. Je schopen implementovat základní zásady Snort. Velkou výhodou této kompatibility je také to, že komunita Snort vám může také poskytnout tipy na triky, které můžete použít se Suricata. Do Suricaty lze integrovat i jiné nástroje kompatibilní s Snortem. Tyto zahrnují Snorby, Anaval, ZÁKLADNA, a Squil.

5. IBM QRadar

IBM QRadar

Tento nástroj IBM SIEM není zdarma, ale můžete získat 14denní bezplatnou zkušební verzi. Tohle je cloudová služba, takže je přístupný odkudkoli. Systém pokrývá všechny aspekty detekce narušení, včetně aktivit a HIDS stejně jako zkoumání živých provozních dat, což z nich činí NIDS. Síťová infrastruktura, kterou může QRadar sledovat, se rozšiřuje na cloudové služby. Zásady detekce, které upozorňují na možné vniknutí, jsou součástí balíčku.

Velmi pěknou vlastností tohoto nástroje je nástroj pro modelování útoků což vám pomůže otestovat zranitelnost systému. IBM QRadar využívá AI k usnadnění detekce narušení na základě anomálií a má velmi komplexní řídicí panel, který integruje vizualizace dat a událostí. Pokud nechcete službu používat v cloudu, můžete si zvolit místní verzi, která bude spuštěna Okna.

6. Bezpečnostní cibule

Snímek obrazovky zabezpečení cibule

Pokud chcete spustit IDS Linux, volný, uvolnit Balíček bezpečnostní cibule NIDS / HIDS je velmi dobrá volba. Toto je open source projekt a je podporován komunitou. Software pro tento nástroj běží Ubuntu a byl čerpán z jiných nástrojů pro analýzu sítě. Do balíčku Security Onion je integrováno několik dalších nástrojů uvedených v této příručce: Šňupat, Bro, a Suricata. Funkci HIDS poskytuje společnost OSSEC a přední konec je Kibana Systém. Mezi další známé nástroje pro monitorování sítě, které jsou součástí programu Security Onion patří ELSA, NetworkMiner, Snorby, Squert, Squil, a Xplico.

Nástroj obsahuje širokou škálu analytických nástrojů a používá techniky založené na podpisech a anomáliích. Přestože opakované použití stávajících nástrojů znamená, že aplikace Security Onion těží z dobré pověsti svých součástí, aktualizace prvků v balíčku mohou být komplikované.

7. Otevřete WIPS-NG

Snímek obrazovky OpenWIPS-NG

Open WIPS-NG je open source projekt, který vám pomůže sledovat bezdrátové sítě. Nástroj lze použít jako přímočarý WiFi packet sniffer nebo jako systém detekce narušení. Nástroj byl vyvinut stejným týmem, který vytvořil Aircrack-NG - velmi slavný nástroj pro narušení sítě používaný hackery. Takže když používáte Open WIPS-NG k obraně vaší sítě, hackeři, které jste si všimli, budou sbírat bezdrátové signály pomocí sesterského balíčku.

Tohle je bezplatný nástroj nainstaluje se Linux. Softwarový balíček obsahuje tři komponenty. Jedná se o senzor, server a rozhraní. Open WIPS-NG nabízí řadu nápravných nástrojů, takže senzor funguje jako vaše rozhraní k bezdrátovému transceiveru jak pro sběr dat, tak pro odesílání příkazů.

8. Sagan

Snímek obrazovky Sagan

Sagan je HIDS. Avšak s přidáním zdroje dat z Šňupat, může také fungovat jako NIDS. Alternativně můžete použít Bro nebo Suricata shromažďovat živá data pro Sagan. Tento bezplatný nástroj lze nainstalovat na Unix a operační systémy podobné Unixu, což znamená, že bude fungovat dál Linux a Operační Systém Mac, ale ne na Windows. Může však zpracovávat zprávy protokolu událostí systému Windows. Tento nástroj je také kompatibilní s Anaval, ZÁKLADNA, Snorby, a Squil.

Mezi užitečné doplňky zabudované v Saganu patří distribuované zpracování a Geolokátor IP adresy. To je dobrý nápad, protože hackeři často používají pro útoky vniknutí řadu adres IP, ale přehlíží skutečnost, že společné umístění těchto adres vypráví příběh. Sagan může provádět skripty k automatizaci nápravy útoku, což zahrnuje možnost interakce s jinými nástroji, jako jsou tabulky brány firewall a adresářové služby. Tyto schopnosti z něj dělají systém prevence narušení.

9. Splunk

Splunk Screenshot

Splunk je populární analyzátor síťového provozu, který má také schopnosti NIDS a HIDS. Nástroj lze nainstalovat Okna a dále Linux. Tento nástroj je k dispozici ve třech vydáních. Jsou to Splunk Free, Splunk Light, Splunk Enterprise a Splunk Cloud. Můžeš dostat 15denní zkušební období do cloudové verze nástroje a 60denní bezplatná zkušební verze Splunk Enterprise. Splunk Light je k dispozici na 30denní bezplatná zkušební verze. Všechny tyto verze zahrnují schopnosti sběru dat a detekci anomálií.

Bezpečnostní funkce Splunk lze vylepšit pomocí doplňku nazvaného Splunk Enterprise Security. Je k dispozici na 7denní zkušební verzi zdarma. Tento nástroj zvyšuje přesnost detekce anomálií a snižuje výskyt falešných pozitiv pomocí AI. Rozsah výstrahy lze upravit podle úrovně závažnosti varování, aby se zabránilo tomu, že tým správy systému bude zaplaven modulem přehnaného hlášení..

Splunk integruje odkaz na soubor protokolu, aby vám umožnil získat historický pohled na události. Můžete zaznamenat vzorce útoků a narušení aktivity tím, že se podíváte na frekvenci škodlivé činnosti v průběhu času.

Provádění NIDS

Rizika, která ohrožují zabezpečení vaší sítě, jsou nyní tak komplexní, že vy opravdu nemají na výběr, zda implementovat systémy detekce narušení v síti. Jsou zásadní. Naštěstí máte na výběr, na který nástroj NIDS nainstalujete.

V současné době existuje na trhu mnoho nástrojů NIDS a většina z nich je velmi účinná. nicméně, pravděpodobně nemáte dost času na to, abyste je všechny prozkoumal. Proto jsme sestavili tohoto průvodce. Můžete zúžit vyhledávání pouze na ty nejlepší nástroje NIDS, které jsme zahrnuli do našeho seznamu.

Všechny nástroje v seznamu jsou buď zdarma k použití nebo jsou k dispozici jako bezplatné zkušební nabídky. Budete si moci vzít pár z nich jejich tempo. Jednoduše zúžte seznam dále podle operačního systému a poté posoudit, které funkce v užším seznamu odpovídají velikosti vaší sítě a vašim potřebám zabezpečení.

Používáte nástroj NIDS? Na co jste se rozhodli nainstalovat? Vyzkoušeli jste také nástroj HIDS? Jak byste porovnali dvě alternativní strategie? Nechte zprávu v Komentáře níže a sdílejte své zkušenosti s komunitou.

Obrázek: Hacker Cyber ​​Crime from Pixabay. Veřejná doména.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

+ 11 = 16