Úvod do nástrojů IPS
Systémy prevence narušení, také známé jako IPS, poskytují nepřetržité zabezpečení softwaru vaší společnosti a IT infrastruktury. Systémy fungují v rámci společnosti a vytvářejí slepá místa v konvenčních firewallech a antivirová bezpečnostní opatření. Velký počet hackerů bude zastaven zajištěním hranice sítě. Stále je nutné stahovat firewally a antiviry. Takové ochrany se staly velmi silnými, aby zabránily škodlivému kódu dosáhnout v síti. Byli však tak úspěšní, že hackeři našli jiné způsoby přístupu k počítačové infrastruktuře společnosti.
Nejlepší nástroje IPS
Nyní tedy probereme některé důležité nástroje IPS (Intrusion Prevention Systems):
1. SolarWinds Security Event Manager
Jak název napovídá, SolarWinds Security Event Manager spravuje, komu povolit přístup k souborům protokolu. Zařízení má však schopnost sledovat síť. Přístup k monitorování sítě není součástí softwarového balíčku, ale můžete síť monitorovat pomocí bezplatných nástrojů, jako je Nagios Core, Zabbix, Snort atd., Ke sběru dat v síti. Existují dva typy detekce IDS, což jsou síťové a hostitelské identifikační techniky. Informace v souborech protokolu jsou analyzovány systémem detekce narušení hostitele a událost je detekována v síťovém systému v živých datech.
Softwarový balíček SolarWinds obsahuje pokyny k detekci známek narušení, které jsou známé jako pravidla korelace událostí. Můžete snadno detekovat a ručně blokovat hrozby opuštěním systému. Správce událostí SolarWinds Security Event Manager lze také povolit pro automatické odstraňování hrozeb. Řešení lze připojit k určitému varování. Tento nástroj může například zapisovat do tabulek brány firewall a blokovat přístup k síti z adresy IP označené jako podezřelé v síti.
2. Splunk
Splunk je analyzátor provozu detekující narušitele a IPS pro síť. Splunk Enterprise dokáže zpracovat, analyzovat a implementovat nevyužitou hodnotu velkých dat vytvořených vašimi bezpečnostními systémy, technologiemi a obchodními aplikacemi. Pomáhá vám shromažďovat informace a zlepšovat kvalitu organizace a obchodní výsledky. Obě verze se systémem Windows a Linux, s výjimkou Splunk Cloud.
Software jako služba (SaaS) je k dispozici na internetu od Splunk Cloud. Výběrem doplňku Splunk Enterprise Security můžete dosáhnout vyšší úrovně zabezpečení. Toto je zdarma po dobu 7 dní. Tento modul vylepšuje pravidla detekce anomálií pomocí AI a zahrnuje další automatické chování při nápravě narušení.
3. Sagan
Sagan je bezplatný program detekce narušení provádějící skript. Hlavní metoda detekce pro Sagan zahrnuje monitorování souborů protokolu, tj. Systém detekce narušení hostitele. Z tohoto nástroje získáte také síťová detekční zařízení, pokud nainstalujete výstup snort a feed z tohoto paketu sniffer do Sagan. Kromě toho můžete použít Zeek nebo Suricata k napájení shromážděných síťových dat.
Sagan lze nainstalovat na Linux Mac OS a Unix, ale může také shromažďovat zprávy o událostech ze systémů Windows, které jsou k němu připojeny. Monitorování IP adres a funkce distribuovaného úložiště poskytují další funkce.
4. Fail2Ban
Fail2Ban je alternativa IPS, která je lehká. Důrazně se doporučuje pro prevenci útoku brutální síly. Tento bezplatný software detekuje narušitele hostitele, takže soubory protokolu jsou kontrolovány na známky neoprávněného chování. Hlavní použití fail2ban je pro sledování protokolů síťových služeb, které lze použít k identifikaci vzorů při selhání autentizace.
Zákaz IP adresy je také jednou z automatických odpovědí, které může nástroj vymáhat. Zákaz IP adresy obvykle může být několik minut, čas blokování však lze nastavit z palubní desky.
5. ZEEK
Zeek je velký IPS zdarma. Zeek používá metody detekce narušení založené na síti, které jsou nainstalovány pod Unixem, Mac OS, Linux. Zeekova identifikační pravidla fungují na aplikační vrstvě, což znamená, že v paketech lze detekovat podpisy. Jedná se o open-source, což znamená, že je zdarma k použití a neomezuje se prakticky. Pracuje také s aplikacemi v reálném čase bez jakýchkoli potíží.
Zeek má různé funkce, jako je přizpůsobivost, což znamená, že Zeek poskytuje zásady monitorování pomocí skriptovacího jazyka specifického pro doménu. Zeek se zaměřuje na vysoce efektivní sítě. Zeek je flexibilní, což neomezuje konkrétní techniky a nezávisí na podpisových metodách zabezpečení. Zeek poskytuje efektivní archivy pro ukládání souborů protokolu, které jsou vytvořeny kontrolou každé aktivity v sítích. Na aplikační vrstvě poskytuje hloubkovou analýzu sítě pomocí protokolů. Je vysoce státní.
6. Otevřete WIPS-NG
Pokud skutečně potřebujete IPS pro bezdrátové systémy, měli byste sledovat Open WIPS-NG. Jedná se o bezplatný nástroj pro detekci a automatické nastavení narušení. Open WIPS-NG je projekt, který je open source. Program může spustit pouze Linux. Hlavním prvkem zařízení je bezdrátový paketový sniffer. Čichací komponenta je senzor, který funguje jako sběrač dat i blokující vysílač vetřelce. Zakladatelé Aircrack-NG, kteří jsou nejvýznamnějšími hackerskými nástroji, vytvořili Open WIPS-NG. Toto je také velmi profesionální nástroj pro hackery. Dalšími prvky nástroje jsou serverový program detekčních pravidel a rozhraní. Na přístrojové desce jsou zobrazeny informace o bezdrátové síti a případné problémy.
7. OSSEC
OSSEC je velmi běžné IPS zařízení. Jeho metody detekce jsou založeny na analýze souborů protokolu, což z něj činí systém detekce narušení hostitele. Název tohoto nástroje odkazuje na „Open Source HIDS Protection“. Skutečnost, že program je projektem open source, je dobrá, protože to také znamená bezplatné použití kódu. Ačkoli zdroj je zdarma, OSSEC vlastně patří firmě. Nevýhodou je, že nemáte podporu pro svobodný software. Tento nástroj je široce používán a je to skvělé místo pro komunitu uživatelů OSSEC, kde získává tipy a triky. Pokud nechcete riskovat spoléhání se na amatérské rady vaší firemní technologie, můžete si však koupit profesionální sadu podpory od Trend Micro. Detekční pravidla OSSEC se nazývají „zásady“. Můžete zdarma psát nebo získávat balíčky vašich vlastních zásad z uživatelské komunity. Mohou být také stanovena opatření, která mají být přijata automaticky, dojde-li k jedinečným upozorněním. Mac OS, Linux, Unix a Windows běží pro OSSEC. Toto zařízení nemá frontend, ale může souviset s Kibanou nebo Graylogem.
Bezpečnostní slabost
Nyní se podíváme na některé slabiny zabezpečení:
Každé zařízení je stejně silné jako jeho nejslabší článek. Tato chyba zabezpečení spočívá ve většině technik zabezpečení IT v lidském prvku systému. Ověřování uživatelů můžete provádět pomocí silných hesel, ale nemůžete se obtěžovat implementací ověřování uživatelů, pokud si zapíšete hesla a poznámku uložíte v blízkosti vašeho síťového telefonu. Existuje několik způsobů, jak mohou hackeři zacílit a prozradit přihlašovací informace zaměstnancům organizace.
- Spearphishing
- Phishing
- Doxxing
1. Spearphishing
Hackeři zacílili na podvodné podvodníky. Oni také cvičí spearphishing, který je trochu pokročilejší než phishing. Falešný e-mail a přihlašovací stránka se spearphishingem jsou navrženy speciálně tak, aby vypadaly jako webové stránky společnosti a e-maily jsou konkrétně zaměřeny na zaměstnance. Spearphishing je často používán jako první krok vniknutí do společnosti a dozvědět se více o některých zaměstnancích společnosti.
2. Phishing
Phishing byl pravidelný výskyt. Všichni byli opatrní ohledně e-mailů od bank, jako jsou PayPal, eBay, Amazon a další výměnné weby. Projekt phishingu online obsahuje falešnou webovou stránku. Útočník posílá e-maily ve velkém počtu na všechny účty v seznamu nákupu na internetu. Nezáleží na tom, zda jsou všechny tyto e-mailové adresy součástí klientů napodobené služby. Dokud se několik lidí dostane na trikovaný web, má účet, hacker má štěstí. Při phishingu má odkaz na falešnou přihlašovací stránku tendenci vypadat jako normální vstupní obrazovka napodobené služby v e-mailové adrese. Když se oběť pokusí přihlásit, uživatelské jméno a heslo vstoupí na server vašeho útočníka a účet bude ohrožen, aniž by uživatel věděl, co se stalo.
3. Doxxing
Údaje získané ve studiích lze kombinovat s individuálním výzkumem na stránkách sociálních médií lidí nebo porovnáním specifik jejich kariéry. Tato práce je označována jako doxxing. Konkrétní hacker může shromažďovat informace a vytvářet profily klíčových hráčů v organizaci a mapovat vztahy těchto lidí s ostatními zaměstnanci společnosti. S touto identitou získá důvěru ostatních v cílenou organizaci. Hacker může prostřednictvím těchto triků znát pohyby svých účetních zaměstnanců, vedoucích pracovníků a zaměstnanců IT podpory.
Závěr
Pokud si přečtete popisy nástrojů IPS v našem seznamu, vaším prvním úkolem bude omezit rozsah databáze, do které plánujete stáhnout bezpečnostní software podle vašeho operačního systému. Zde jsme viděli různé nástroje IPS, které zabraňují vniknutí vašeho systému. Na základě vašich požadavků si můžete vybrat jakýkoli nástroj.
Doporučené články
Toto je průvodce nástroji IPS Tools. Zde diskutujeme úvod a 7 nejlepších nástrojů IPS a slabiny zabezpečení, které zahrnují, Spearphishing, Phishing a Doxxing. Další informace naleznete také v následujících článcích -
- Funkční testovací nástroje
- Nástroje AutoCADu
- Java Tools
- Nástroje JavaScript
- Verze Tableau
- Druhy systému prevence narušení
- Dotazy na systém prevence narušení systému