Системы обнаружения сетевых вторжений (NIDS) - 9 эффективных инструментов

Система обнаружения вторжений - что это

Системы обнаружения сетевых вторжений (NIDS) ищут закономерности в сетевой активности, чтобы идентифицировать вредоносные действия. Потребность в этой категории систем безопасности возникла из-за изменений в хакерских методах в ответ на ранее успешные стратегии блокировки вредоносных действий.

Традиционные системы сетевой безопасности не могут защитить от скомпрометированных учетных записей пользователей или обманутых сотрудников компаний в полной мере, пишет издание Comparitech.

Брандмауэры стали очень эффективно блокировать попытки входящих подключений. Антивирусное программное обеспечение успешно идентифицировало инфекции, передаваемые через USB-накопители, диски с данными и вложения электронной почты. Заблокировав традиционные вредоносные методы, хакеры обратились к стратегиям атак, таким как распределенные атаки типа «отказ в обслуживании» (DDoS). Пограничные службы теперь делают эти векторы атак менее опасными.

Сегодня Advanced Persistent Threat (APT) представляет собой самую большую проблему для сетевых администраторов. В сценарии APT группа хакеров получает доступ к корпоративной сети и использует ресурсы компании в своих целях, а также получает доступ к данным компании для продажи.

В этом руководстве основное внимание уделяется NIDS. Многие из ведущих NIDS можно использовать бесплатно, а другие популярные инструменты предлагают бесплатные пробные периоды.

Вот наш список из девяти лучших инструментов NIDS. Ниже подробно описывается каждый из этих инструментов.

SolarWinds Log Event Manager

Диспетчер журналов и событий SolarWinds в основном представляет собой пакет HIDS, но вы также можете использовать функции NIDS с этим инструментом. Инструмент можно использовать как аналитическую утилиту для обработки данных, собранных Snort. Вы можете прочитать больше о Snort ниже. Snort может собирать данные о трафике, которые вы можете просматривать через Log and Event Manager.

Сочетание NIDS и HIDS делает его действительно мощным инструментом безопасности. Раздел NIDS диспетчера журналов и событий включает базу правил, называемую правилами корреляции событий, которая выявляет аномалии активности, указывающие на вторжение. Инструмент можно настроить на автоматическую реализацию рабочих процессов при обнаружении предупреждения о вторжении. Эти действия называются активными ответами. Действия, которые вы можете автоматически запускать при обнаружении аномалии, включают: остановку или запуск процессов и служб, приостановку учетных записей пользователей, блокировку IP-адресов и отправку уведомлений по электронной почте, SNMP-сообщению или записи экрана. Активные ответы превращают SolarWinds Log and Event Manager в систему предотвращения вторжений.

Это топовая IDS, доступная сегодня на рынке, и она платная. Программное обеспечение будет работать только в операционной системе Windows Server, но оно может собирать данные из Linux, Unix и Mac OS, а также из Windows. Вы можете получить 30-дневную бесплатную пробную версию SolarWinds Log and Event Manager.

Snort

Snort, принадлежащий Cisco Systems, является проектом с открытым исходным кодом и может использоваться бесплатно. На сегодняшний день это ведущая NIDS, и многие другие инструменты сетевого анализа были написаны для использования ее результатов. Программное обеспечение может быть установлено на Windows, Linux и Unix.

На самом деле это система анализатора пакетов, которая будет собирать копии сетевого трафика для анализа. Однако у инструмента есть и другие режимы, и один из них - обнаружение вторжений. В режиме обнаружения вторжений Snort применяет «базовые политики», которые являются основой правил обнаружения.

Базовые политики делают Snort гибким, расширяемым и адаптируемым. Вам необходимо точно настроить политики в соответствии с типичными действиями вашей сети и уменьшить количество «ложных срабатываний». Вы можете написать свои собственные базовые политики, но это не обязательно, поскольку вы можете загрузить пакет с веб-сайта Snort. Существует очень большое сообщество пользователей Snort, и эти пользователи общаются через форум. Опытные пользователи делают свои собственные советы и уточнения доступными для других бесплатно. Вы также можете получить больше базовых политик от сообщества бесплатно. Поскольку Snort использует очень много людей, всегда есть новые идеи и новые базовые политики, которые вы можете найти на форумах.

Bro

Bro - это NIDS, как и Snort, однако у него есть большое преимущество перед системой Snort - этот инструмент работает на прикладном уровне. Этот бесплатный NIDS широко используется научными и академическими сообществами.

Это система, основанная на сигнатурах, а также использующая методы обнаружения аномалий. Он способен обнаруживать шаблоны на уровне битов, указывающие на вредоносную активность в пакетах.

Процесс обнаружения обрабатывается в два этапа. Первым из них управляет Bro Event Engine. Поскольку данные оцениваются на более высоком уровне, чем пакетный, анализ не может быть выполнен мгновенно. Должен быть уровень буферизации, чтобы достаточное количество пакетов можно было оценить вместе. Таким образом, Bro немного медленнее, чем типичная NIDS пакетного уровня, но все же идентифицирует вредоносную активность быстрее, чем HIDS. Собранные данные оцениваются сценариями политик, что является вторым этапом процесса обнаружения.

Можно настроить действия по исправлению, которые будут запускаться автоматически сценарием политики. Это делает Bro системой предотвращения вторжений. Программное обеспечение может быть установлено на Unix, Linux и Mac OS.

Suricata

Suricata - это NIDS, работающая на прикладном уровне, что обеспечивает видимость нескольких пакетов. Это бесплатный инструмент с возможностями, очень похожими на возможности Bro. Хотя эти системы обнаружения на основе сигнатур работают на уровне приложений, они по-прежнему имеют доступ к сведениям о пакетах, что позволяет программе обработки получать информацию на уровне протокола из заголовков пакетов. Это включает в себя шифрование данных, данные транспортного уровня и интернет-уровня.

Эта IDS также использует методы обнаружения аномалий. Помимо пакетных данных, Suricata может проверять сертификаты TLS, HTTP-запросы и транзакции DNS. Инструмент также может извлекать сегменты из файлов на уровне битов для обнаружения вирусов.

Suricata - один из многих инструментов, совместимых со структурой данных Snort. Он может реализовывать базовые политики Snort. Большим дополнительным преимуществом этой совместимости является то, что сообщество Snort также может дать вам советы по использованию трюков с Suricata. Другие Snort-совместимые инструменты также могут интегрироваться с Suricata. К ним относятся Snorby, Anaval, BASE и Squil.

IBM QRadar

Этот инструмент IBM SIEM платный, но вы можете получить 14-дневную бесплатную пробную версию. Это облачный сервис, поэтому к нему можно получить доступ из любого места. Система охватывает все аспекты обнаружения вторжений, включая действия HIDS, основанные на журналах, а также проверку данных о трафике в реальном времени, что также делает ее NIDS. Сетевая инфраструктура, которую QRadar может отслеживать, распространяется на облачные сервисы. Политики обнаружения, которые выделяют возможное вторжение, встроены в пакет.

Очень приятной особенностью этого инструмента является утилита моделирования атак, которая поможет вам проверить вашу систему на наличие уязвимостей. IBM QRadar использует ИИ для облегчения обнаружения вторжений на основе аномалий и имеет очень полную панель инструментов, которая объединяет данные и визуализацию событий. Если вы не хотите использовать службу в облаке, вы можете выбрать локальную версию, которая работает в Windows.

Security Onion

Если вы хотите, чтобы IDS работала в Linux, очень хорошим вариантом будет бесплатный пакет NIDS/HIDS Security Onion. Это проект с открытым исходным кодом и поддерживается сообществом. Программное обеспечение для этого инструмента работает на Ubuntu и было взято из других утилит сетевого анализа. Ряд других инструментов, перечисленных в этом руководстве, интегрирован в пакет Security Onion: Snort, Bro и Suricata. Функциональность HIDS обеспечивается OSSEC, а интерфейсом является система Kibana. Другие известные инструменты мониторинга сети, включенные в Security Onion, включают ELSA, NetworkMiner, Snorby, Squert, Squil и Xplico.

Утилита включает в себя широкий спектр инструментов анализа и использует методы, основанные как на сигнатурах, так и на основе аномалий. Хотя повторное использование существующих инструментов означает, что Security Onion выигрывает от устоявшейся репутации своих компонентов, обновление элементов в пакете может быть затруднено.

Open WIPS-NG

Open WIPS-NG - это проект с открытым исходным кодом, который помогает вам контролировать беспроводные сети. Инструмент можно использовать как простой анализатор пакетов Wi-Fi или как систему обнаружения вторжений. Утилита была разработана той же командой, которая создала Aircrack-NG - очень известный инструмент для взлома сети, используемый хакерами. Таким образом, пока вы используете Open WIPS-NG для защиты своей сети, хакеры, которых вы обнаружите, будут собирать ваши беспроводные сигналы с помощью родственного пакета.

Это бесплатный инструмент, который устанавливается в Linux. Программный комплекс включает в себя три компонента. Это датчик, сервер и интерфейс. Open WIPS-NG предлагает ряд инструментов исправления, поэтому датчик выступает в качестве вашего интерфейса с беспроводным приемопередатчиком как для сбора данных, так и для отправки команд.

Sagan

Sagan - это HIDS. Однако с добавлением потока данных от Snort он также может действовать как NIDS. Кроме того, вы можете использовать Bro или Suricata для сбора оперативных данных для Sagan. Этот бесплатный инструмент можно установить в Unix и Unix-подобных операционных системах, что означает, что он будет работать в Linux и Mac OS, но не в Windows. Однако он может обрабатывать сообщения журнала событий Windows. Инструмент также совместим с Anaval, BASE, Snorby и Squil.

Полезные дополнения, встроенные в Sagan, включают распределенную обработку и геолокатор IP-адресов. Это хорошая идея, потому что хакеры часто используют диапазон IP-адресов для атак вторжения, но упускают из виду тот факт, что общее расположение этих адресов говорит о многом. Саган может выполнять сценарии для автоматизации устранения атак, что включает в себя возможность взаимодействия с другими утилитами, такими как таблицы брандмауэра и службы каталогов. Эти возможности делают его системой предотвращения вторжений.

Splunk

Splunk - популярный анализатор сетевого трафика, который также имеет возможности NIDS и HIDS. Инструмент можно установить в Windows и Linux. Утилита доступна в трех редакциях. Это Splunk Free, Splunk Light, Splunk Enterprise и Splunk Cloud. Вы можете получить 15-дневную пробную версию облачной версии инструмента и 60-дневную бесплатную пробную версию Splunk Enterprise. Splunk Light доступен в 30-дневной бесплатной пробной версии. Все эти версии включают возможности сбора данных и обнаружения аномалий.

Функции безопасности Splunk можно улучшить с помощью надстройки под названием Splunk Enterprise Security. Доступна 7-дневная бесплатная пробная версия. Этот инструмент повышает точность обнаружения аномалий и снижает количество ложных срабатываний за счет использования ИИ. Степень оповещения можно настроить с помощью уровня серьезности предупреждения, чтобы ваша команда системных администраторов не была завалена чрезмерно усердным модулем отчетности.

Splunk интегрирует ссылку на файл журнала, чтобы вы могли получить историческую перспективу событий. Вы можете определить закономерности атак и вторжений, наблюдая за частотой злонамеренных действий с течением времени.