Úvod do nástrojov IPS
Systémy prevencie pred narušením, tiež známe ako IPS, poskytujú nepretržité zabezpečenie softvéru vašej spoločnosti a IT infraštruktúry. Systémy fungujú v rámci spoločnosti a vytvárajú slepé miesta v konvenčných bránach firewall a antivírusové bezpečnostné opatrenia. Zabezpečením hranice siete sa zastaví veľký počet hackerov. Stále je potrebné sťahovať firewall a antivírusy. Takéto ochrany sa stali veľmi účinnými, aby zabránili škodlivému kódu dostať sa do siete. Boli však také úspešní, že hackeri našli iné spôsoby prístupu k počítačovej infraštruktúre spoločnosti.
Najlepšie IPS nástroje
Teraz budeme diskutovať o niektorých dôležitých nástrojoch IPS (Intrusion Prevention Systems):
1. SolarWinds Security Event Manager
Ako už názov napovedá, SolarWinds Security Event Manager riadi, komu má povoliť prístup k protokolovým súborom. Ale zariadenie má kapacitu na sledovanie siete. Prístup k monitorovaniu siete nie je súčasťou softvérového balíka, ale sieť môžete monitorovať pomocou bezplatných nástrojov, ako sú Nagios Core, Zabbix, Snort atď., Na zhromažďovanie sieťových údajov. Existujú dva typy detekovania IDS, ktoré sú sieťovými a hostiteľskými identifikačnými technikami. Informácie v protokolových súboroch sú analyzované systémom detekcie narušenia hostiteľa a udalosť je detegovaná v sieťovom systéme v živých dátach.
Softvérový balík SolarWinds obsahuje pokyny na zisťovanie príznakov narušenia, ktoré sú známe ako pravidlá korelácie udalostí. Hrozby môžete ľahko zistiť a ručne blokovať opustením systému. Správcu udalostí SolarWinds Security Event Manager možno povoliť aj na automatické odstraňovanie hrozieb. Riešenie môže byť spojené s určitým varovaním. Nástroj môže napríklad zapisovať do tabuliek brány firewall a blokovať prístup k sieti z adresy IP označenej ako podozrivé v sieti.
2. Splunk
Splunk je analyzátor prevádzky detekujúci narušiteľa a IPS pre sieť. Splunk Enterprise dokáže spracovať, analyzovať a implementovať nevyužitú hodnotu veľkých údajov vytvorených vašimi bezpečnostnými systémami, technológiami a podnikovými aplikáciami. Pomáha vám zhromažďovať informácie a zlepšovať kvalitu organizácie a obchodné výsledky. Obe verzie používajú systém Windows a Linux, s výnimkou technológie Splunk Cloud.
Softvér ako služba (SaaS) je k dispozícii na internete od Splunk Cloud. Výberom doplnku Splunk Enterprise Security môžete dosiahnuť vyššiu úroveň zabezpečenia. Toto je zadarmo na 7 dní. Tento modul vylepšuje pravidlá zisťovania anomálií pomocou AI a zahŕňa ďalšie automatické správanie pri náprave narušenia.
3. Sagan
Sagan je bezplatný program na detekciu narušenia vykonávajúci skript. Hlavnou metódou detekcie pre Sagan je monitorovanie protokolových súborov, tj systém detekcie narušenia hostiteľa. Z tohto nástroja získate tiež detekčné možnosti založené na sieti, ak do Sagan nainštalujete výstup snort a feed z tohto paketu sniffer. Okrem toho môžete použiť Zeek alebo Suricata na napájanie zozbieraných sieťových údajov.
Sagan je možné nainštalovať na Linux Mac OS a Unix, ale môže tiež zhromažďovať správy o udalostiach zo systémov Windows, ktoré sú k nemu pripojené. Funkcie monitorovania IP adries a distribuovaného úložného priestoru poskytujú ďalšie funkcie.
4. Fail2Ban
Fail2Ban je alternatíva IPS, ktorá je ľahká. Dôrazne sa odporúča na zabránenie útoku hrubou silou. Tento bezplatný softvér zisťuje narušiteľov hostiteľa, takže súbory denníka sú kontrolované na prítomnosť neoprávneného správania. Hlavné použitie nástroja fail2ban je na sledovanie protokolov sieťových služieb, ktoré je možné použiť na identifikáciu vzorov zlyhaní autentifikácie.
Zákaz adresy IP je tiež jednou z automatických odpovedí, ktoré môže nástroj uplatniť. Zákazy IP adresy môžu obyčajne byť pár minút, čas blokovania však možno nastaviť z palubnej dosky.
5. ZEEK
Zeek je veľký bezplatný IPS. Zeek používa metódy detekcie prienikov v sieti, ktoré sú nainštalované pod Unixom, Mac OS, Linux. Identifikačné pravidlá Zeeka fungujú na aplikačnej vrstve, čo znamená, že v paketoch je možné detegovať podpisy. Je to open-source, čo znamená, že je voľne použiteľný a prakticky neobmedzuje. Pracuje tiež s aplikáciami v reálnom čase bez akýchkoľvek problémov.
Zeek má rôzne vlastnosti, ako je adaptabilita, čo znamená, že Zeek poskytuje monitorovacie politiky pomocou skriptovacieho jazyka špecifického pre doménu. Spoločnosť Zeek sa zameriava na vysoko efektívne siete. Zeek je flexibilný, čo znamená, že neobmedzuje konkrétne techniky a nezávisí od podpisových metód zabezpečenia. Zeek poskytuje efektívne archívy na ukladanie protokolových súborov, ktoré sa vytvárajú kontrolou každej aktivity v sieťach. Na aplikačnej vrstve poskytuje hĺbkovú analýzu siete pomocou protokolov. Je vysoko štátna.
6. Otvorte program WIPS-NG
Ak skutočne potrebujete IPS pre bezdrôtové systémy, mali by ste sledovať Open WIPS-NG. Toto je bezplatný nástroj na detekciu a automatické nastavenie narušenia. Open WIPS-NG je projekt, ktorý je otvoreným zdrojom. Program môže spustiť iba Linux. Hlavným prvkom zariadenia je bezdrôtový paketový snímač. Čichateľná súčasť je snímač, ktorý funguje ako zberač údajov aj ako blokovací vysielač narušiteľa. Zakladatelia spoločnosti Aircrack-NG, ktorí sú najväčšími hackerskými nástrojmi, vytvorili program Open WIPS-NG. Je to tiež veľmi profesionálny hackerský nástroj. Ďalšími prvkami nástroja sú serverový program detekčných pravidiel a rozhranie. Na prístrojovej doske môžete vidieť informácie o bezdrôtovej sieti a prípadných problémoch.
7. OSSEC
OSSEC je veľmi bežné IPS zariadenie. Jeho metódy detekcie sú založené na analýze protokolových súborov, čo z neho robí systém detekcie narušenia hostiteľa. Názov tohto nástroja sa vzťahuje na „Open Source HIDS Protection“. Skutočnosť, že program je otvoreným zdrojom projektu, je dobrá, pretože to tiež znamená bezplatné použitie kódu. Aj keď je zdroj bezplatný, OSSEC v skutočnosti patrí podniku. Nevýhodou je, že nemáte podporu pre slobodný softvér. Tento nástroj je široko používaný a pre komunitu používateľov OSSEC je skvelým miestom na získavanie tipov a trikov. Profesionálnu podpornú súpravu si však môžete kúpiť od spoločnosti Trend Micro, ak nechcete riskovať spoliehaním sa na poradenstvo pre amatérske technológie vašej spoločnosti. Pravidlá zisťovania OSSEC sa nazývajú „zásady“. Užívateľskú komunitu môžete písať alebo získavať balíčky svojich vlastných pravidiel zadarmo. Môžu sa tiež uviesť kroky, ktoré sa majú vykonať automaticky, ak dôjde k jedinečným varovaniam. Mac OS, Linux, Unix a Windows sú spustené pre OSSEC. Toto zariadenie nemá klientske rozhranie, ale môže súvisieť s Kibanou alebo Graylogom.
Slabá bezpečnosť
Teraz sa pozrieme na niektoré bezpečnostné slabiny:
Každé zariadenie je rovnako silné ako jeho najslabšie prepojenie. Táto zraniteľnosť spočíva vo väčšine ľudských bezpečnostných techník na ľudskom prvku systému. Autentifikáciu používateľa môžete vykonať pomocou silných hesiel. Ak však budete zapisovať heslá a nebudete mať poznámku v blízkosti vášho sieťového telefónu, nebudete sa môcť obťažovať implementáciou autentifikácie používateľa. Existuje niekoľko spôsobov, ako hackeri môžu zacieľovať a prezradiť prihlasovacie informácie zamestnancom organizácie.
- Spearphishing
- phishing
- Doxxing
1. Spearphishing
Hackeri sa zameriavajú na zamestnancov neoprávneného získavania údajov (phishing). Taktiež praktizujú spearphishing, čo je trochu vyspelejšie ako phishing. Falošná e-mailová a prihlasovacia stránka so spearphishingom je navrhnutá špeciálne tak, aby vyzerala ako webová stránka spoločnosti a e-maily sú konkrétne adresované zamestnancom. Spearphishing sa často používa ako prvý krok vniknutia do spoločnosti a dozviete sa viac o niektorých zamestnancoch spoločnosti.
2. Phishing
Phishing bol pravidelný jav. Všetci boli opatrní pri prijímaní e-mailov od bánk, ako sú PayPal, eBay, Amazon a ďalšie výmenné stránky. Projekt phishingu online obsahuje falošnú webovú stránku. Útočník posiela e-maily vo veľkom počte na všetky účty v zozname na nákup na internete. Nezáleží na tom, či sú všetky tieto e-mailové adresy súčasťou klientov napodobňovanej služby. Pokiaľ sa niekoľko ľudí dostane na stránku, na ktorej sa nachádzal problém, hacker má šťastie. Pri neoprávnenom získavaní údajov (phishingu) má odkaz na falošnú prihlasovaciu stránku tendenciu vyzerať ako normálna vstupná obrazovka napodobňovanej služby v rámci e-mailovej adresy. Keď sa obeť pokúsi prihlásiť, používateľské meno a heslo vstúpia na server vášho útočníka a účet bude ohrozený bez toho, aby používateľ vedel, čo sa stalo.
3. Doxxing
Údaje získané v štúdiách je možné kombinovať s individuálnym výskumom na stránkach sociálnych médií ľudí alebo porovnaním špecifík ich kariéry. Táto práca sa označuje ako doxxing. Konkrétny hacker môže zhromažďovať informácie a vytvárať profily kľúčových hráčov v organizácii a mapovať vzťahy týchto ľudí s ostatnými zamestnancami spoločnosti. Získa dôveru ostatných v cieľovú organizáciu s touto identitou. Hacker môže prostredníctvom týchto trikov poznať pohyby svojich účtovných zamestnancov, manažérov a zamestnancov technickej podpory IT.
záver
Ak si prečítate popisy nástrojov IPS v našom zozname, vašou prvou úlohou bude obmedziť rozsah databázy, do ktorej plánujete stiahnuť bezpečnostný softvér podľa vášho operačného systému. Preto sme tu videli rôzne nástroje IPS, aby ste zabránili vniknutiu vášho systému. Na základe vašich požiadaviek si môžete zvoliť akýkoľvek nástroj.
Odporúčané články
Toto je príručka k nástrojom IPS Tools. Tu diskutujeme úvod a 7 najlepších nástrojov IPS spolu so slabými stránkami zabezpečenia, ktoré zahŕňajú, Spearphishing, Phishing a Doxxing. Ďalšie informácie nájdete aj v nasledujúcich článkoch -
- Funkčné testovacie nástroje
- Nástroje AutoCADu
- Java Tools
- Nástroje JavaScript
- Verzia Tableau
- Typy systému prevencie pred prienikom
- Interview Otázky prevencie narušenia systému