9 най-добри IPS софтуерни инструменти за 2022 г. и ръководство
Системи за предотвратяване на проникване, също известен катоIPSs, предлагат постоянна защита на данните и ИТ ресурсите на вашата компания. Тези системи за сигурност работят в рамките на организацията и компенсират слепите петна в традиционните мерки за сигурност, които се прилагат от защитни стени и антивирусни системи.
Защитата на границата на вашата мрежа ще предотврати голям брой хакерски атаки. Инсталирането на защитни стени и антивирусна програма все още е важно. Тези мерки за защита са станали много ефективни за предотвратяване на проникването на зловреден код в мрежата. Те обаче са толкова успешни, чехакерите са намерили други начини да получат достъп до изчислителната инфраструктура на компанията.
Ето нашия списък с най-добрите IPS инструменти:
- Datadog Мониторинг на заплахи в реално време ИЗБОР НА РЕДАКТОРАКомбинация от облачно базирано мрежово наблюдение и SIEM система, които работят заедно, за да следят производителността на мрежата, като същевременно забелязват необичайно поведение, което може да показва вътрешна заплаха или нарушител.. Започнете 14-дневен безплатен пробен период.
- SolarWinds Security Event Manager (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)Този мощен инструмент за сигурност използва както мрежови, така и базирани на хост методи за откриване на проникване и предприема превантивни действия. Предварително инсталираните предварително зададени настройки ще ви накарат да работите за нула време. Инсталира се на Windows Server или чрез облак. Започнете 30-дневен безплатен пробен период.
- CrowdStrike Falcon XDR (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ) Този пакет за сигурност предлага откриване на заплахи и автоматизирани отговори. Това е облачна система с базирани на устройства агенти. Започнете 15-дневен безплатен пробен период.
- SplunkШироко използвани инструменти за мрежов анализ, които имат функции за предотвратяване на проникване. Предлага се за Windows, Linux и в облака.
- СейгънБезплатна система за предотвратяване на проникване, която копае регистрационни файлове за данни за събития. Инсталира се на Unix, Linux и Mac OS, но може да събира регистрационни съобщения от Windows системи.
- OSSECЗащитата на HIDS с отворен код е високо уважавана и безплатна за използване. Работи на Windows, Linux, Mac OS и Unix, но не включва потребителски интерфейс.
- Отворете WIPS-NGПомощна програма за команден ред с отворен код за Linux, която открива проникване в безжични мрежи.
- Fail2BanБезплатен лек IPS, който работи на командния ред и е достъпен за Linux, Unix и Mac OS.
- бъдаМрежова система за откриване на проникване, която работи с данни за трафика на живо. Този инструмент се инсталира на Linux, Unix и Mac OS и е безплатен за използване.
Слабости в сигурността
Всяка система е толкова силна, колкото е силна най-слабата й връзка. В повечето стратегии за ИТ сигурност,слабостта е в човешкия елемент на системата. Можете да наложите удостоверяване на потребителите със силни пароли, но ако потребителите си записват пароли и държат бележката близо до устройство, което има достъп до мрежата, може и да не си правите труда да налагате удостоверяване на потребителите.
Има много начини, по които хакерите могат да се насочат към служители на компания и да ги подмамят да разкрият данните си за вход.
Фишинг
Фишинг стана често срещано. Всеки се научи да внимава с предупредителните имейли от банки или платформи за търговия като eBay, PayPal или Amazon. Фишинг кампанията включвафалшива уеб страница от онлайн услуга. Хакерът изпраща имейли масово до всички имейли в списък, купен в интернет. Няма значение дали всички тези имейл адреси принадлежат на клиенти на имитираната услуга. Докато някои от хората, до които се достига, имат акаунти в измамения уебсайт, тогава хакерът има шанс.
При опити за фишинг,жертвата получава връзка в имейлкоето води до фалшива страница за вход, която изглежда като обичайния входен екран на имитираната услуга. Когато жертвата се опита да влезе, това потребителско име и парола отиват в базата данни на хакера и акаунтът е компрометиран, без потребителят да разбере какво се е случило.
Фишинг
Хакерите се насочват към служителите на компанията с фишинг измами. Те също практикуват фишинг , което е малко по-сложно от фишинга. При spear phishing фалшивият имейл и страницата за вход ще бъдат специално проектирани да приличат на сайта на компанията, която е хакната, а имейлите ще бъдат насочени конкретно към служителите на компанията. Опитите за фишинг често се използват като първа фаза на опит за проникване. Първоначалното преминаване на хакване е да научите подробности за някои от служителите на дадена компания.
Доксинг
Информацията, събрана във фазата на фишинг, може да се смеси с изследвания на отделни лица, като се проучат страниците им в социалните медии или се прегледат подробностите за тяхната кариера. Това целенасочено изследване се нарича doxxing . Със събраната информация целевият хакер може да изгради профили на ключови играчи в даден бизнес и да картографира взаимоотношенията на тези хора с други служители на компанията.
Doxxer ще се стреми да получи достатъчно информация, за да имитира успешно един служител. С тази самоличност той може да спечели доверието на другите в целевата компания. Чрез тези трикове хакерът може да разбере движенията на счетоводния персонал на компанията, нейните ръководители и нейния персонал за ИТ поддръжка.
Китолов
След като хакерът спечели доверието на различни членове на персонала, той може да измъкне данните за вход от всеки в бизнеса. С много увереност и познаване на начина, по който хората работят заедно в един бизнес, един измамник може дорикрадат големи суми париот фирма, без дори да се налага да влизате в системата; поръчки за фалшиви преводи могат да се дават по телефона. Това насочване към ключов персонал в бизнеса се нарича китолов .
Стратегии за атака
Хакерите са се научили да използват фишинг, spear phishing, doxxing и whaling, за да заобикалят защитни стени и антивирусен софтуер. Ако хакер има администраторска парола, той можеинсталирате софтуер, настройвате потребителски акаунти и премахвате процеси за сигурности получавате безпрепятствен достъп до цялата мрежа, нейното оборудване, сървъри, бази данни и приложения.
Тези нови стратегии за атака са станали толкова често срещани, че администраторите за мрежова сигурност на компанията трябва да планират защити, които приемем, че мерките за сигурност на границите на системата са били компрометирани .
През последните години,напреднала постоянна заплаха(APT) се превърна в обичайна стратегия за хакерите. В този сценарийедин хакер може да прекара години с достъп до фирмена мрежа, достъп до данни по желание, използване на фирмени ресурси за стартиране на покриващи VPN мрежи през шлюза на компанията. Хакерът може дори да използва сървърите на компанията за интензивни дейности като добив на криптовалута.
или по-късно APT остават незабелязани, защотохакерът е в системата като оторизиран потребители също така се уверява, че изтрива всички регистрационни записи, които показват неговата злонамерена дейност. Тези мерки означават, че дори когато проникването бъде открито, все още може да бъде невъзможно да се проследи и преследва нарушителят.
Системи за откриване на проникване
Основен елемент на системите за предотвратяване на проникване е Система за откриване на проникване (IDS). IDS е проектиран да търси необичайна дейност. Някои методологии за откриване имитират стратегиите, използвани от защитните стени и антивирусния софтуер. Тези се наричат откриване на базата на сигнатура методи. Те търсят модели в данните, за да открият известни индикатори за активност на нарушител.
Извиква се втори IDS методоткриване на базата на аномалии. При тази стратегия софтуерът за наблюдение търси необичайни дейности, които или не отговарят на логическия модел на поведение на потребителя или софтуера, или които нямат смисъл, когато се разглеждат в контекста на очакваните задължения на конкретен потребител. Например, не бихте очаквали да видите потребител в отдела за персонал, влязъл в системата, като променя конфигурацията на мрежово устройство.
Нарушителят не е задължително да е външен човек. Можете да получите проникване в зони на вашата мрежа от служители, които проучват извън съоръженията, до които се очаква да имат нужда от достъп. Друг проблем са служителите, които използват оторизирания си достъп до данни и съоръжения, за да ги унищожат или откраднат.
Предотвратяване на проникване
Системите за предотвратяване на проникване работят според максимата “по-добре късно от колкото никога.” В идеалния случай не бихте искали външни лица да получат неоторизиран достъп до вашата система. Въпреки това, както е обяснено по-горе, това не е перфектен свят и има много недостатъци, които хакерите могат да използват, за да подмамят оторизирани потребители да раздадат своите идентификационни данни.
По-конкретно, системите за предотвратяване на проникване саразширения на системи за откриване на проникване. IPS действат, след като бъде идентифицирана подозрителна дейност. Така че може вече да е имало някаква повреда върху целостта на вашата система до момента, в който проникването е било забелязано.
IPS е в състояние да извърши действия за спиране на заплахата. Тези действия включват:
- Възстановяване на лог файлове от хранилище
- Спиране на потребителски акаунти
- Блокиране на IP адреси
- Процеси на убиване
- Изключване на системи
- Стартиране на процеси
- Актуализиране на настройките на защитната стена
- Предупреждаване, записване и докладване на съмнителни дейности
Отговорността на задачите на администратора, които правят много от тези действия възможни, не винаги е ясна. Например, защитата на регистрационните файлове с криптиране и архивирането на регистрационните файлове, така че да могат да бъдат възстановени след манипулиране, са две дейности за защита от заплахи, които обикновено се определят като системни задачи за откриване на проникване.
Ограничения на системите за предотвратяване на проникване
Има много потенциални слаби точки във всяка ИТ система, но IPS, въпреки че е много ефективен при блокиране на нарушители, ене е проектиран да затваря всички потенциални заплахи. Например типичният IPS не включва управление на софтуерни корекции или контрол на конфигурацията за мрежови устройства. IPS няма да управлява правилата за потребителски достъп или да попречи на служителите да копират корпоративни документи.
IDS и IPS предлагат отстраняване на заплахи само след като нарушителят вече е започнал дейности в мрежата. Въпреки това, тези системи трябва да бъдат инсталирани, за да осигурят елемент от поредица от мерки за мрежова сигурност за защита на информацията и ресурсите.
Най-добрите системи за предотвратяване на проникване
В момента има забележително голям брой IPS инструменти.Много от тях са безплатни. Въпреки това ще ви отнеме много време да проучите и изпробвате всеки един IPS на пазара. Ето защо сме съставили това ръководство за системи за предотвратяване на проникване.
Нашата методология за избор на IPS инструмент
Прегледахме пазара на IPS и анализирахме инструменти въз основа на следните критерии:
- Процедури за откриване на свързани с имейли минуси, като фишинг
- Автоматизирани стъпки за намаляване на атаката
- Възможност за взаимодействие с други ИТ системи за сигурност
- Настройки, позволяващи на потребителя да разреши автоматичен отговор
- Съхранение на данни за исторически анализ плюс аналитични инструменти в таблото за управление
- Защита от атаки за собствените процеси и регистрационни файлове на IPS
- Безплатна, демонстрационна, пробна версия или гаранция за връщане на парите
- Съотношение качество-цена
1. Datadog Мониторинг на заплахи в реално време (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)
Мониторингът на заплахи в реално време на Datadogе част от неговата система за наблюдение на мрежата, която включва вградена платформа за откриване на заплахи . Datadog е услуга, базирана на облак, която се доставя в модули, за да обхване мониторинг на мрежа и устройство, мониторинг на приложения и мониторинг на уеб производителността.
Основни функции:
- Базиран на облак
- Мониторинг на мрежови заплахи
- Управление на положението на сигурността в облака
- Сигурност на работното натоварване в облак
Функциите за сигурност на монитора за мрежов трафик се основават на Правила за откриване на заплахи . Те са предоставени, но е възможно да се създадат нови правила. Те установяват модел на трафик, за който системата следи и ако една от комбинациите от събития, които правилото описва, бъде забелязана, услугата задейства предупреждение. Услугата включва също Правила за сигурност , които са подобни на правилата за откриване на заплахи, но указват търсения в няколко различни източника на данни.
Професионалисти:
- Проследяване на активността на живо в мрежи и интернет връзки
- Аналитични инструменти за ръчен анализ и идентифициране на заплахи
- Меню с опции за сигурност в облака
- Защита на локални и облачни системи
- Единен лов на заплахи
- Шиене за съответствие със стандартите
Минуси:
- Колекция от услуги, а не един продукт
Услугата за наблюдение на сигурността е добавка към стандартните модули за наблюдение на инфраструктурата или за наблюдение на производителността на мрежата на Datadog и се таксува за GB анализирани данни. Datadog предлага a14-дневен безплатен пробен периодна службата за наблюдение на сигурността.
ИЗБОР НА РЕДАКТОРИТЕ
Мониторингът на заплахи в реално време с Datadog е нашият избор №1за IPS решение, защото ви позволява да настроите политики за сигурност, които пресичат платформи, така че неговите процедури за предотвратяване на загуба на данни и откриване на заплахи няма да блокират вашите потребители, които се нуждаят от достъп до ресурси извън сайта. Платформата Datadog е в състояние да начертае невидима граница около разпръснати ресурси и потребители, за да създаде единно пространство за наблюдение. След това тази виртуална среда може да бъде проследена за заплахи за целостта и поверителността на данните чрез техники, базирани на SIEM, които включват автоматизирани отговори, за да поддържат вашата компания в съответствие със стандартите, които трябва да следва. Този инструмент е гъвкав и разширяем с опции за интегриране на други модули, като APM и мрежов монитор за прилагане на унифициран мониторинг на производителността и сигурността.
Изтегли:Започнете 14-дневен БЕЗПЛАТЕН пробен период
Официален сайт:https://www.datadoghq.com/threat-monitoring/
ВИЕ:Базиран на облак
2. SolarWinds Security Event Manager(БЕЗПЛАТЕН ПРОБЕН ПЕРИОД)
TheSolarWinds Security Event Managerконтролира достъпа до лог файловете, както подсказва името. Инструментът обаче има и възможности за наблюдение на мрежата. Софтуерният пакет не включва съоръжение за наблюдение на мрежата, но можете да добавите тази възможност, като използвате безплатния инструмент Snort за събиране на мрежови данни. Тази настройка ви дава две гледни точки за проникване. Има две категории стратегии за откриване, използвани от IDS:мрежови и хост-базирани.
Основни функции:
- А ТИ
- Сървър за регистрационни файлове и мениджър на лог файлове
- Подаване на мрежови данни
- Правила за корелация на събития
- Активни реакции за отстраняване на заплахи
Базирана на хост система за откриване на проникване проверява записите, съдържащи се в регистрационните файлове; мрежовата система открива събития в живи данни.
Инструкциите за откриване на признаци на проникване са включени в софтуерния пакет SolarWinds – те се наричат правила за корелация на събития. Можете да изберете да оставите системата само да открива проникване и да блокира ръчно заплахи. Можете също така да активирате IPS функциите на SolarWinds Security Event Manager, за да получите автоматично отстраняване на заплахи.
Разделът IPS на SolarWinds Security Event Manager прилага действия при откриване на заплахи. Тези работни процеси се наричатАктивни отговори. Отговорът може да бъде свързан с конкретен сигнал. Например, инструментът може да пише в таблиците на защитната стена, за да блокира мрежовия достъп до IP адрес, който е идентифициран като извършващ подозрителни действия в мрежата. Можете също така да спрете потребителски акаунти, да спрете или стартирате процеси и да изключите хардуера или цялата система.
SolarWinds Security Event Manager може да се инсталира само наWindows сървър. Неговите източници на данни обаче не се ограничават до регистрационни файлове на Windows – той може също да събира информация за заплахи отUnixиLinuxсистеми, свързани към хост системи с Windows през мрежата.
Професионалисти:
- Търсене в журнал за откриване на събития
- Събира събития на Windows, Syslog и регистрационни файлове на приложения
- Автоматизирани търсения за откриване на заплахи
- Автоматизирано отстраняване на заплахи
- Сканиране на живо и одит при поискване
Минуси:
- Не SaaS версия
Можеш да получиш30-дневен безплатен пробен периодотSolarWinds Security Event Managerза да го тествате сами.
SolarWinds Security Event Managerидва със стотици правила за корелация при инсталиране, които ви предупреждават за всяко подозрително поведение в реално време. Сравнително лесно е да настроите нови правила благодарение на нормализирането на данните от регистрационния файл. Особено харесваме новото табло за управление, което ви дава място на първия ред, когато става въпрос за идентифициране на потенциални мрежови уязвимости.
Изтегли:Вземете 30-дневен БЕЗПЛАТЕН пробен период
Официален сайт:solarwinds.com/security-event-manager
ВИЕ:Windows 10, Windows Server 2012 и по-нови, базирани на облак: хипервайзор, AWS и MS Azure
3. CrowdStrike Falcon XDR (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)
CrowdStrike Falcon XDR е система за откриване и реагиране на крайна точка с добавено взаимодействие с инструменти за сигурност на трети страни. Системата използва оркестрация на сигурността, автоматизация и реакция (SOAR), за да се подобри както ловът на заплахи, така и смекчаването на заплахите.
Основни функции:
- Хибридна система
- Координира локални инструменти за сигурност
- Оркестрира реакциите на заплахи
CrowdStrike Falcon е облачна платформа от модули за сигурност и XDR се основава на няколко други продукта на системата SaaS. Първата от тях е система за защита на крайна точка, наречена CrowdStrike Falcon Prevent – антивирус от следващо поколение. Инструментът за предотвратяване се инсталира на всяка крайна точка. Има версии на тази система за Windows , macOS , и Linux . Тази система е в състояние да продължи да защитава крайните точки дори когато мрежата не работи.
Следващият слой в решението XDR е Falcon Insight . Това е система за откриване и реакция на крайна точка (EDR), която координира дейността на всяка инсталация на Falcon Prevent в предприятието. Това дава изглед за цялата система и създава частна мрежа за разузнаване на заплахи. Облачният модул на Falcon Insight получава данни за дейността от всяко копие на Falcon Prevent, обединява тези емисии и сканира за индикатори за компромис (IoCs). Ако бъде открита заплаха, Insight изпраща обратно инструкции за коригиране на блоковете за предотвратяване.
Професионалисти:
- Откриване на крайна точка и реакция с добавени функции
- Оркестрация на сигурността, автоматизация и реакция
- Защитата на крайната точка продължава, ако устройството е изолирано от мрежата
Минуси:
- Изисква Falcon PRevent да бъде инсталиран на всяка крайна точка
Falcon XDR добавя към SOAR, което означава, че може да събира данни за събития от инструменти на трети страни и незащитени устройства, като суичове и рутери, които нямат налична услуга Falcon Prevent. Системата също така може да изпраща инструкции към продукти, различни от Falcon, като защитни стени. Започнете a15-дневен безплатен пробен период.
CrowdStrike Falcon XDR Стартирайте 15-дневен БЕЗПЛАТЕН пробен период
4. Сплънк
Splunk е анализатор на мрежовия трафик, който има възможности за откриване на проникване и IPS.
Основни функции:
- Гъвкав инструмент за обработка на данни
- SIEM опция
- Автоматизирани отговори
Има четири издания на Splunk:
- Splunk безплатно
- Splunk Light (30-дневен безплатен пробен период)
- Splunk Enterprise (60-дневен безплатен пробен период)
- Splunk Cloud (15-дневен безплатен пробен период)
Всички версии, с изключение на Splunk Cloud, работятWindowsиLinux. Splunk Cloud се предлага на aСофтуер като услуга(SaaS) през интернет. IPS функциите на Splunk са включени само в изданията Enterprise и Cloud. Системата за откриване работи както с мрежов трафик, така и с регистрационни файлове. Методът за откриване търси аномалии, които са модели на неочаквано поведение.
Професионалисти:
- Подходящ за набор от функции за анализ на данни
- Специализиран модул за лов на заплахи
- Избор на локално или SaaS
Минуси:
- Безплатната версия сега продължава само 60 дни
По-високо ниво на сигурност може да се постигне, като изберете добавката Splunk Enterprise Security. Това е достъпно на седемдневен безплатен пробен период . Този модул подобрява правилата за откриване на аномалии с AI и включва повече изпълними действия за коригиране на проникване.
5. Сейгън
Сейгън е безплатна софтуерна система за откриване на проникване който има възможности за изпълнение на скриптове. Възможността за свързване на действия с предупреждения прави това IPS.
Основни функции:
- Хост-базирана система за откриване на проникване
- Безплатен за използване
- Автоматизирани отговори
Основните методи за откриване на Sagan включват наблюдение на лог файлове, което означава, че това е базирана на хост система за откриване на проникване. Ако също така инсталирате Snort и подадете изход от този снифър на пакети в Sagan, вие също ще получите мрежови средства за откриване от този инструмент. Като алтернатива можете да подадете мрежови данни, събрани с бъда (бивш Bro) или минимум в инструмента. Sagan може също да обменя данни с други инструменти, съвместими със Snort, включително Снорби , Squil , анален , и БАЗА .
Професионалисти:
- Безплатен локален пакет
- Комбинира се с мрежови IDS
- Устойчива и уважавана система
Минуси:
- Изисква технически умения за настройка
Sagan се инсталира наUnix,Linux, иMac OS. Въпреки това, той също може да вземе съобщения за събития от свързаниWindowsсистеми. Допълнителните функции включват проследяване на местоположението на IP адрес и разпределена обработка.
6. ОССЕК
OSSECе много популярна IPS система. Неговите методологии за откриване се основават на изследване на лог файлове, което го прави a базирана на хост система за откриване на проникване . Името на този инструмент означава „ Сигурност на HIDS с отворен код “ (въпреки липсата на „H“ там).
Основни функции:
- Безплатен за използване
- Високо ценен
- Базиран на хост
Фактът, че това е проект с отворен код, е страхотен, защото също така означава, че софтуерът е безплатен за използване. Въпреки че е с отворен код, OSSEC всъщност е собственост на компания:Trend Micro. Недостатъкът на използването на безплатен софтуер е, че не получавате поддръжка. Инструментът е широко използван и потребителската общност на OSSEC е чудесно място да получите съвети и трикове за използването на системата. Въпреки това, ако не искате да рискувате да разчитате на аматьорски съвети за вашия фирмен софтуер, можете да купитепрофесионален пакет за поддръжкаот Trend Micro.
Правилата за откриване на OSSEC се наричат „ политики .’ Можете да напишете свои собствени политики за наблюдение или да получите пакети от тях безплатно от потребителската общност. Също така е възможно да се уточнят действия, които трябва да се изпълняват автоматично, когато възникнат конкретни предупреждения.
Професионалисти:
- Голяма потребителска общност
- Правилата за откриване са достъпни безплатно
- Възможност за персонализиране с език за правила за откриване
Минуси:
- Срещу заплащане се предлага пакет за професионална поддръжка
OSSEC работиUnix,Linux,Mac OS, иWindows. Няма преден край за този инструмент, но можете да го свържете с негоКибанаилиГрейлог. Посетете тяхната страница за изтегляне .
Вижте също: Най-добрите HIDS инструменти
7. Отворете WIPS-NG
Ако конкретно се нуждаете от IPS за безжични системи, трябва да опитате Open WIPS-NG. Това ебезплатен инструменткойто ще открие проникване и ще ви позволи да настроите автоматични отговори.
Основни функции:
- Безплатен инструмент
- Сканира безжичните канали
- Осигурява откриване на проникване
Open WIPS-NG е проект с отворен код . Софтуерът може да се изпълнява само на Linux . Ключовият елемент на инструмента е снифър за безжични пакети . Сниферният елемент е сензорен модул, който работи както като събирач на данни, така и като предавател на решения за блокиране на проникване . Това е много компетентен инструмент, защото е проектиран от същите хора, които са писали Aircrack-език , който е добре известен като хакерски инструмент.
Професионалисти:
- Написано от създателите на хакерски инструмент
- Открива нарушители
- Съоръжение за стартиране на нарушители
Минуси:
- Система от команден ред, която работи само на Linux
Други елементи на инструмента са сървърна програма, която изпълнява правилата за откриване и интерфейс. Можете да видите информация за wifi мрежата и потенциални проблеми на таблото за управление. Можете също така да зададете действия, които да се включват автоматично, когато бъде открито проникване.
8. Fail2Ban
Fail2Ban е лека IPS опция. Товабезплатен инструментоткрива проникване отбазирани на хост методи, което означава, че проверява регистрационните файлове за признаци на неразрешени дейности.
Основни функции:
- Безплатен инструмент
- Хост-базирано откриване
- Блокира IP адреси
Сред автоматизираните отговори, които инструментът може да приложи, езабрана за IP адрес. Тези забрани обикновено траят само няколко минути, но можете да коригирате периода на блокиране в таблото за управление на помощната програма. Правилата за откриване се наричат „филтри“ и можете да се асоцииратедействие за саниранес всеки от тях. Тази комбинация от филтър и действие се нарича „затвор’.
Професионалисти:
- Бързо сканиране на лог файлове
- Създайте затвор, като комбинирате филтри с действия
- Работи на Linux, macOS и Unix
Минуси:
- Няма GUI интерфейс
Fail2Ban може да се инсталира наUnix,Linux, иMac OS.
9. Зийк
бъда(по-рано наричан Bro до 2019 г.) е друг страхотенбезплатен IPS. Този софтуер се инсталира наLinux,Unix, иMac OS. Zeek използвамрежови методи за откриване на проникване. Докато проследява мрежата за злонамерена дейност, Zeek също ви дава статистически данни за производителността на вашите мрежови устройства ианализ на трафика.
Основни функции:
- Безплатен инструмент
- Сканира мрежовия трафик
- Избира и съхранява подозрителни пакети
Правилата за откриване на Zeek работят на Приложен слой , което означава, че е в състояние да открива сигнатури в мрежови пакети. Zeek също има база данни от свързани с аномалия правила за откриване. Етапът на откриване на работата на Zeek се провежда от „ двигател за събития .’ Това записва пакети и подозрителни събития във файл. Скриптове за политики потърсете в съхранените записи за признаци на дейност на нарушител. Можете да напишете свои собствени скриптове за политики, но те също са включени в софтуера Zeek.
Професионалисти:
- Може да работи като мрежов монитор, както и като пакет за сигурност
- Защита на конфигурацията на устройството
- Забелязва опити за сканиране на портове
Минуси:
- Без професионална подкрепа
Освен че разглежда мрежовия трафик,Zeek ще следи конфигурациите на устройството. Мрежовите аномалии и неправилното поведение на мрежовите устройства се проследяват чрез мониторинг наSNMP капани. Освен редовния мрежов трафик, Zeek обръща внимание на HTTP, DNS и FTP активност. Инструментът също ще ви предупреди, ако открие сканиране на портове, което е хакерски метод, използван за получаване на неоторизиран достъп до мрежа.
Избор на системен инструмент за предотвратяване на проникване
Когато прочетете дефинициите на IPS инструментите в нашия списък, първата ви задача ще бъде дастеснете избора сиспоред операционната система на сървъра, на който възнамерявате да инсталирате вашия софтуер за сигурност.
Помня,тези решения не заместват защитните стени и антивирусния софтуер– осигуряват защита в области, които тези традиционни методи за сигурност на системата не могат да наблюдават.
Вашият бюджет ще бъде друг решаващ фактор. Повечето от инструментите в този списък са безплатни за използване.
Въпреки това, рисковете да бъдете съдениако хакерите се доберат до данни за клиенти, доставчици и служители, съхранявани в ИТ системата на вашата компания, ще загуби компанията ви много пари. В този контекст разходите за плащане на система за предотвратяване на проникване не са толкова големи.
Направете проверка на уменията, които имате на място. Ако нямате персонал, който да може да се справи с техническата задача за настройка на правила за откриване, вероятно ще е по-добре да изберете инструмент, който се поддържа професионално.
В момента използвате ли система за предотвратяване на проникване? Кое използвате? Мислите ли да преминете към друг IPS? Оставете коментар вКоментарираздел по-долу, за да споделите опита си с общността.
Често задавани въпроси за софтуерните инструменти на IPS
Как се различава IPS от защитна стена?
Защитната стена се намира на границата на система – мрежа или отделен компютър – докато IPS проверява пакетите, които пътуват в мрежата. Една от стратегиите за блокиране, които IPS може да приложи, е да актуализира правилата на защитната стена, за да блокира достъпа до подозрителен IP адрес.
Кое е по-добро IDS или IPS?
Система за откриване на проникване търси аномално поведение и уведомява мрежовия администратор, когато бъде открита подозрителна дейност. Система за предотвратяване на проникване автоматично задейства работни потоци за коригиране, за да блокира подозрителна дейност. Решението кое е по-добро зависи от личните предпочитания. Искате ли да ви бъде даден избор да решите дали да предприемете действие или искате това решение да бъде взето вместо вас?
Може ли IPS да предотврати DDoS атака?
IPS услугите не са подходящи за защита срещу DDoS атаки. Това е така, защото стратегията за DDoS никога не достига до мрежата, в която работят IPS. DDoS атака изпраща поток от неправилно формирани заявки за връзка без никакво намерение някога да се осъществи връзка. Edge услугите са по-подходящ механизъм за абсорбиране на DDoS трафик.