Uvod v orodja IPS
Sistemi za preprečevanje vdorov, znani tudi kot IPS, zagotavljajo stalno varnost programske in informacijske infrastrukture vašega podjetja. Sistemi delujejo v podjetju in ustvarjajo slepe točke v običajnih požarnih zidovih in protivirusne varnostne ukrepe. Z varovanjem meje omrežja se bo ustavilo veliko število hekerjev. Še vedno je treba prenesti požarne zidove in protivirusne sisteme. Takšne zaščite so postale zelo močne, da preprečijo, da bi zlonamerna koda prišla v omrežje. A bili so tako uspešni, da so hekerji našli druge načine za dostop do računalniške infrastrukture podjetja.
Top IPS Tools
Zdaj bomo razpravljali o nekaterih pomembnih orodjih IPS (Intrusion Prevention Systems):
1. SolarWinds Security Event Manager
Kot pove že ime, SolarWinds Security Event Manager upravlja, komu naj dovoli dostop do datotek dnevnika. Toda naprava ima sposobnost sledenja omrežju. Dostop do nadzora omrežja ni na voljo v programskem paketu, vendar lahko omrežje spremljate z brezplačnimi orodji, kot so Nagios Core, Zabbix, Snort itd., Za zbiranje mrežnih podatkov. Obstajata dve vrsti zaznavanja IDS, ki sta mrežni in gostiteljski tehniki identifikacije. Informacije v dnevniških datotekah analizira sistem za zaznavanje vdorov, ki temelji na gostitelju, in dogodek v omrežnem sistemu zazna v živih podatkih.
Programska oprema SolarWinds vsebuje navodila za zaznavanje znakov vdora, ki so znana kot pravila o korelaciji dogodkov. Grožnje lahko preprosto zaznate in ročno blokirate tako, da zapustite sistem. Upravljalnik dogodkov za varnost SolarWinds lahko omogočite tudi samodejno odpravljanje groženj. Rešitev je mogoče povezati z določenim opozorilom. Na primer, orodje lahko piše v tabele požarnega zidu in z IP naslova, označenega kot sumljivi, v omrežju blokira dostop do omrežja.
2. Splunk
Splunk je analizator prometa za zaznavanje vdorov in IPS prometa. Neporabljena vrednost velikih podatkov, ki jih ustvarijo vaši varnostni sistemi, tehnologija in poslovne aplikacije, lahko Splunk Enterprise obdela, analizira in izvede. Pomaga vam zbirati informacije in izboljšati kakovost organizacije in poslovne rezultate. Obe različici uporabljata Windows in Linux, razen Splunk Cloud.
Programska oprema kot storitev (SaaS) je na internetu na voljo v Splunk Cloud-u. Z izbiro dodatka Splunk Enterprise Security lahko dosežete višjo raven varnosti. To je brezplačno 7 dni. Ta modul povečuje pravila za odkrivanje nepravilnosti z AI in vključuje dodatno vedenje samodejnega odpravljanja vdorov.
3. Sagan
Sagan je brezplačen program za odkrivanje vdorov v skripte. Glavna metoda zaznavanja Sagana vključuje spremljanje datotek dnevnika, tj sistem za zaznavanje vdorov na gostitelju. Tudi s tem orodjem boste dobili orodja za zaznavanje omrežja, če Sagan namestite smrkljanje in podajanje iz tega paketa snifferja. Poleg tega lahko uporabite Zeek ali Suricata za hranjenje zbranih podatkov v omrežju.
Sagan je mogoče namestiti v Linux Mac OS in Unix, lahko pa zbira tudi sporočila o dogodkih iz povezanih sistemov Windows. Nadzor IP naslova in funkcionalnost distribuiranega shranjevanja zagotavljata dodatne funkcije.
4. Fail2Ban
Fail2Ban je alternativa IPS, ki je lahka. Zelo priporočljivo je za preprečevanje pred napadom grobe sile. Ta brezplačna programska oprema zazna gostiteljske vsiljivce, tako da se datoteke dnevnikov pregledajo zaradi znakov nepooblaščenega vedenja. Glavna uporaba fail2ban je nadzorovanje dnevnikov omrežnih storitev, ki jih lahko uporabimo za prepoznavanje vzorcev v okvari pristnosti.
Prepoved naslova IP je tudi eden od samodejnih odzivov, ki jih orodje lahko uveljavi. Prepovedi IP-naslova so ponavadi lahko nekaj minut, vendar lahko nastavite čas blokiranja na nadzorni plošči.
5. ZEEK
Zeek je velik brezplačni IPS. Zeek uporablja mrežne metode zaznavanja vdorov, ki so nameščene v Unix, Mac OS, Linux. Zeekova pravila za identifikacijo delujejo na aplikacijskem sloju, kar pomeni, da lahko podpise zaznamo znotraj paketov. Je odprtokodni, kar pomeni, da je brezplačen za uporabo in ga praktično ne omejuje. Deluje tudi z aplikacijami v realnem času brez težav.
Zeek ima različne funkcije, kot je prilagodljivost, kar pomeni, da Zeek zagotavlja nadzorne politike z uporabo skriptnega jezika, ki je specifičen za domeno. Zeek si prizadeva za zelo učinkovita omrežja. Zeek je prilagodljiv, kar pomeni, da ne omejuje posebnih tehnik in ni odvisen od varnostnih metod podpisa. Zeek ponuja učinkovite arhive za shranjevanje dnevniških datotek, ki so ustvarjene z vpogledom v vsako dejavnost po omrežjih. Na aplikacijskem sloju zagotavlja poglobljeno analizo omrežja s pomočjo protokolov. Zelo je hvaležen.
6. Odprite WIPS-NG
Če bi resnično potrebovali IPS za brezžične sisteme, bi morali slediti Open WIPS-NG. To je brezplačno orodje za zaznavanje in samodejno nastavitev vdora. Open WIPS-NG je projekt, ki je odprtokoden. Samo Linux lahko zažene program. Brezžični paketni ostrostrelec je glavni element naprave. Skomerna komponenta je senzor, ki deluje tako kot zbiralec podatkov kot oddajnik, ki blokira vsiljivce. Ustanovitelji Aircrack-NG, ki so vrhunsko hekersko orodje, so ustvarili Open WIPS-NG. To je tudi zelo profesionalno hekersko orodje. Drugi elementi orodja so program za strežnik pravil za odkrivanje in vmesnik. Na nadzorni plošči lahko vidite informacije o brezžičnem omrežju in morebitnih težavah.
7. OSSEC
OSSEC je naprava IPS, ki je zelo pogosta. Njene metode zaznavanja temeljijo na analizi datotek dnevnika, zaradi česar je sistem za zaznavanje vdorov na gostitelju. Ime tega orodja se nanaša na "Open Source HIDS Protection". Dejstvo, da je program odprtokodni projekt, je dobro, saj pomeni tudi brezplačno uporabo kode. Čeprav je vir brezplačen, OSSEC dejansko pripada podjetju. Slaba stran je, da ne dobite podpore za brezplačno programsko opremo. To orodje se pogosto uporablja in je odlična lokacija za skupnost uporabnikov OSSEC, da dobi nasvete in nasvete. Lahko pa kupite profesionalni podporni komplet pri Trend Micro, če se ne želite tvegati, da bi se oprli na ljubiteljske nasvete glede tehnologije vašega podjetja. Pravila za odkrivanje OSSEC se imenujejo "politike". Pakete svojih pravilnikov lahko iz uporabniške skupnosti pišete brezplačno. Če se pojavijo edinstvena opozorila, je treba ukrepati samodejno. Mac OS, Linux, Unix in Windows delujejo za OSSEC. Ta naprava nima sprednjega dela, vendar je lahko povezana z Kibano ali Graylogom.
Varnostna šibkost
Zdaj si bomo ogledali nekaj varnostnih pomanjkljivosti:
Vsaka naprava je prav tako močna, kot je njena najšibkejša povezava. Ranljivost je v večini varnostnih tehnik IT povezana s človeškim elementom sistema. Preverjanje uporabnika lahko izvajate z močnimi gesli, vendar se ne morete truditi, da bi izvajali preverjanje pristnosti uporabnikov, če si zapišete gesla in beležko držite blizu svojega omrežnega telefona. Obstaja več načinov, s katerimi lahko hekerji ciljajo in razkrijejo podatke o prijavi zaposlenim v organizaciji.
- Spearphishing
- Lažno predstavljanje
- Doxxing
1. Spearphishing
Hekerji ciljajo na lažne prevare. Prav tako prakticirajo podvodno lovljenje, kar je nekoliko bolj napredno kot phishing. Ponarejena e-pošta in prijavna stran s podvodnim lovljenjem sta zasnovana tako, da sta podobna spletnim mestom podjetja, elektronska pošta pa je posebej namenjena zaposlenim. Spearphishing se pogosto uporablja kot prvi korak vloma in vedeti več o nekaterih zaposlenih v podjetju.
2. lažno predstavljanje
Lažno predstavljanje je pogost pojav. Vsi so previdni pri e-poštnih sporočilih bank, kot so PayPal, eBay, Amazon in druga mesta za izmenjavo. Projekt spletnega lažnega predstavljanja vključuje ponarejeno spletno stran. Napadalec v velikem številu pošlje elektronsko pošto na vse račune na internetnem seznamu za nakup. Ali so vsi ti e-poštni naslovi del oponašanih storitev naročnikov, ni pomembno. Dokler več ljudi pride na spletna mesta, ki imajo prevarane, imajo račune, heker ima srečo. Pri lažnem predstavljanju je sklicevanje na napačno prijavno stran videti kot običajni vhodni zaslon imitirane storitve znotraj e-poštnega naslova. Ko se žrtev poskuša prijaviti, uporabniško ime in geslo vpišeta strežnik napadalca in račun je ogrožen, ne da bi uporabnik vedel, kaj se je zgodilo.
3. Doxxing
Podatke, ki jih dobimo v študijah, je mogoče kombinirati s posameznimi raziskavami z ogledom strani družbenih medijev ljudi ali s primerjavo posebnosti njihove kariere. To delo imenujemo doxxing. Specifični heker lahko zbere informacije in ustvari profile ključnih akterjev v organizaciji ter preslika odnose teh ljudi z drugimi zaposlenimi v podjetju. Dobil bo zaupanje drugih v ciljno organizacijo s to identiteto. Heker lahko s pomočjo teh trikov pozna gibanje svojih računovodskih uslužbencev, njegovih managerjev in osebja za podporo IT.
Zaključek
Če preberete opise orodij IPS na našem seznamu, bo vaša prva naloga omejiti obseg baze podatkov, v katero nameravate prenesti varnostno programsko opremo v skladu z vašim operacijskim sistemom. Tako smo tukaj videli različna orodja IPS za preprečevanje vdorov v vaš sistem. Izberete lahko katero koli orodje glede na vaše zahteve.
Priporočeni članki
To je vodnik za IPS Tools. Tukaj razpravljamo o uvedbi in najboljših 7 orodjih IPS skupaj z varnostnimi pomanjkljivostmi, ki vključujejo Spearphishing, lažno predstavljanje in Doxxing. Če želite izvedeti več, si oglejte tudi naslednje članke -
- Funkcijska orodja za testiranje
- AutoCAD Orodja
- Java Orodja
- Orodja JavaScript
- Različice Tableau
- Vrste sistema za preprečevanje vdorov
- Vprašanja o intervjuju s sistemom za preprečevanje vdorov