Os 7 melhores sistemas de prevenção de intrusões (IPS) para 2020
Todo mundo quer evitar que intrusos entrem em suas casas. Além disso, e por razões semelhantes, os administradores de rede não medem esforços para manter os invasores fora das redes que gerenciam. Um dos ativos mais importantes de muitas organizações hoje são seus dados. É tão importante que muitas pessoas mal-intencionadas percam grandes distâncias para roubar esses dados. Eles fazem isso usando uma ampla gama de técnicas para obter acesso não autorizado a redes e sistemas. O número de tais ataques parece ter aumentado exponencialmente recentemente e, em resposta, sistemas estão sendo implementados para evitá-los. Esses sistemas são chamados de sistemas de prevenção de intrusão ou IPS.Hoje estamos dando uma olhada nos melhores sistemas de prevenção de intrusão que podemos encontrar.
> Vamos começar> Isso, é claro, implica que também definiremos o que é uma intrusão. A seguir, exploraremos os diferentes métodos de detecção comumente usados e as ações corretivas tomadas após a detecção. A seguir, falaremos brevemente sobre prevenção de intrusão passiva. Essas são medidas estáticas que podem ser implementadas e podem reduzir significativamente o número de tentativas de intrusão. Você pode se surpreender ao descobrir que alguns deles não têm nada a ver com computadores. Só então, com todos na mesma página, poderemos finalmente passar por alguns dos melhores sistemas de prevenção de intrusões que conseguimos encontrar.
Prevenção de intrusões - o que é?
Anos atrás, os vírus eram praticamente a única preocupação dos administradores de sistema. Os vírus chegaram a um ponto em que eram tão comuns que a indústria respondeu desenvolvendo ferramentas de proteção antivírus. Nenhum usuário sério hoje pensaria em rodar um computador sem proteção antivírus. Embora não ouçamos muito sobre vírus, intrusões ou acesso não autorizado aos seus dados por usuários mal-intencionados, esta é a nova ameaça. Como os dados costumam ser o ativo mais importante de uma organização, as redes corporativas se tornaram o alvo de hackers mal-intencionados que se esforçam para obter acesso aos dados.Assim como o software de proteção contra vírus foi a resposta para a proliferação de vírus, Intrusion Prevention Systems é a resposta para ataques de intrusão.
Essencialmente, os sistemas de prevenção de intrusões fazem duas coisas. Em primeiro lugar, eles detectam tentativas de intrusão e, quando detectam atividades suspeitas, usam diferentes métodos para interrompê-la ou bloqueá-la. Existem duas maneiras diferentes de detectar tentativas de intrusão. A detecção baseada em assinatura funciona analisando dados e tráfego de rede e procurando padrões específicos associados a tentativas de intrusão. Isso é semelhante aos sistemas tradicionais de proteção contra vírus com base em definições de vírus. A detecção de intrusão baseada em assinatura é baseada em assinaturas ou padrões de intrusão. A principal desvantagem desse método de detecção é que ele requer o carregamento das assinaturas apropriadas no software.E quando um novo método de ataque é usado, geralmente há um atraso antes que as assinaturas de ataque sejam atualizadas. Alguns fornecedores são muito rápidos na entrega de assinaturas de ataque atualizadas, enquanto outros são muito mais lentos. A frequência e velocidade das atualizações de assinaturas é um fator importante a ser considerado ao escolher um fornecedor.
A detecção baseada em anomalias oferece melhor proteção contra ataques de dia zero, aqueles que ocorrem antes que as assinaturas de detecção tenham a chance de ser atualizadas. O processo procura anomalias em vez de tentar reconhecer padrões de intrusão conhecidos. Por exemplo, seria disparado se alguém tentasse acessar um sistema com a senha errada várias vezes consecutivas, um sinal comum de um ataque de força bruta. Este é apenas um exemplo, e geralmente há centenas de atividades suspeitas diferentes que podem acionar esses sistemas. Ambos os métodos de detecção têm suas vantagens e desvantagens. As melhores ferramentas são aquelas que usam uma combinação de análise de assinatura e comportamento para a melhor proteção.
Detectar tentativas de intrusão é uma das primeiras etapas para evitá-las. Uma vez detectados, os sistemas de prevenção de intrusão trabalham ativamente para interromper as atividades detectadas. Esses sistemas podem realizar várias ações corretivas diferentes. Eles podem, por exemplo, suspender ou desativar contas de usuários. Outra ação típica é bloquear o endereço IP de origem do ataque ou alterar as regras do firewall. Se a atividade maliciosa se originar de um processo específico, o sistema de prevenção pode interromper o processo. Iniciar um processo de proteção é outra reação comum e, no pior dos casos, sistemas inteiros podem ser desligados para limitar danos potenciais.Outra tarefa importante dos sistemas de prevenção de intrusão é alertar os administradores, registrar o evento e relatar qualquer atividade suspeita.
Medidas de prevenção de intrusão passiva
Embora os sistemas de prevenção de intrusões possam protegê-lo contra muitos tipos de ataques, nada supera as boas e velhas medidas de prevenção de intrusões passivas. Por exemplo, exigir senhas fortes é uma ótima maneira de se proteger contra muitas intrusões. Outra proteção simples é alterar as senhas padrão em seu computador. Embora seja menos prevalente em redes corporativas, embora não seja inédito, muitas vezes tenho visto gateways da Internet que sempre tiveram sua senha de administrador padrão. Quando se trata de senhas, o envelhecimento das senhas é outra etapa específica que pode ser realizada para reduzir as tentativas de intrusão.Qualquer senha, mesmo a melhor, pode ser potencialmente quebrada, com tempo suficiente. A idade das senhas garante que as senhas sejam alteradas antes de serem hackeadas.
Existem apenas exemplos do que pode ser feito para evitar intrusões passivamente. Poderíamos escrever um artigo completo sobre as medidas passivas que podem ser implementadas, mas esse não é nosso objetivo hoje. Em vez disso, nosso objetivo é apresentar alguns dos melhores sistemas ativos de prevenção de intrusões.
Os melhores sistemas de prevenção de intrusão
Nossa lista contém uma combinação de várias ferramentas que podem ser usadas para proteger contra tentativas de intrusão. A maioria das ferramentas incluídas são verdadeiros sistemas de prevenção de intrusões, mas também incluímos ferramentas que, embora não sejam comercializadas como tal, podem ser utilizadas para prevenir intrusões. Nosso primeiro artigo é um exemplo. Lembre-se de que, mais do que tudo, a escolha de qual ferramenta usar deve ser orientada por suas necessidades específicas. Então, vamos dar uma olhada no que cada uma de nossas melhores ferramentas tem a oferecer.
1. Gerenciador de logs e eventos do SolarWinds (EXPERIMENTE GRATUITO)
SolarWinds é um nome conhecido em redes. Ele tem uma sólida reputação por criar algumas das melhores ferramentas de gerenciamento de sistema e rede. Seu principal produto, Network Performance Monitor, está consistentemente classificado entre as melhores ferramentas de monitoramento de largura de banda de rede disponíveis. A SolarWinds também é famosa por suas muitas ferramentas gratuitas, cada uma atendendo a uma necessidade específica dos administradores de rede. Dois grandes exemplos dessas ferramentas gratuitas são o servidor Kiwi Syslog ou o servidor TFTP SolarWinds.
Não se deixe enganar pelo nome SolarWinds Log & Event Manager . Há muito mais do que vemos. Alguns dos recursos avançados deste produto qualificam-no como um sistema de detecção e prevenção de intrusão, enquanto outros o colocam na linha de SIEM (Security Information and Event Management). A ferramenta, por exemplo, oferece correlação de eventos em tempo real e correção em tempo real.
>> EXPERIMENTE GRATUITO: SolarWinds Log & Event Manager
Le SolarWinds Log and Event Manager possui detecção instantânea de atividades suspeitas (recurso de detecção de intrusão) e respostas automatizadas (um recurso de prevenção de intrusão). Essa ferramenta também pode ser usada para conduzir investigações de eventos forenses e de segurança. Ele pode ser usado para fins de mitigação e conformidade. A ferramenta apresenta relatórios auditados que também podem ser usados para demonstrar conformidade com várias estruturas regulatórias, como HIPAA, PCI-DSS e SOX. A ferramenta também possui monitoramento de integridade de arquivo e monitoramento de dispositivo USB.Todos os recursos avançados do software o tornam uma plataforma de segurança integrada, em vez do sistema de gerenciamento de eventos e registros como o nome o faria crer.
Os recursos de prevenção de intrusão de SolarWinds Log & Event Manager trabalhe implementando ações chamadas respostas ativas sempre que ameaças forem detectadas. Respostas diferentes podem ser vinculadas a alertas específicos. Por exemplo, o sistema pode gravar em tabelas de firewall para bloquear o acesso à rede de um endereço IP de origem que foi identificado como realizando atividade suspeita. A ferramenta também pode suspender contas de usuário, interromper ou iniciar processos e desligar sistemas. Você deve se lembrar que essas são exatamente as medidas corretivas que identificamos anteriormente.
O preço de SolarWinds Log & Event Manager varia dependendo do número de nós monitorados. Os preços começam em US $ 4 para até 585 nós monitorados e licenças para até 30 nós podem ser adquiridas, tornando o produto altamente escalonável. Se você quiser experimentar o produto e ver por si mesmo se é certo para você, Uma tentativa grátis 30 dias inteiros disponível .
2. Splunk
Splunk é provavelmente um dos sistemas de prevenção de intrusão mais populares. Ele vem em várias edições diferentes com diferentes conjuntos de recursos. Splunk Segurança Empresarial, ou Splunk ES , como é frequentemente chamado, é o que você precisa para uma verdadeira prevenção de intrusões. O software monitora os dados do sistema em tempo real, procurando vulnerabilidades e sinais de atividade anormal.
> O> Usa o que o provedor chama de Adaptive Response Framework (ARF). Integra-se com as equipes de mais de 55 provedores de segurança e pode realizar uma resposta automatizada, agilizando as tarefas manuais. Essa combinação de higienização automatizada e intervenção manual pode dar a você a melhor chance de obter vantagem rapidamente. A ferramenta possui uma interface de usuário simples e limpa, o que a torna uma solução vencedora. Outros excelentes recursos de proteção incluem o recurso "Notável", que exibe alertas personalizáveis pelo usuário, e o "Investigador de ativos" para relatar atividades maliciosas e evitar problemas futuros.
Os informações sobre preços Splunk Segurança Empresarial não está disponível. Você precisará entrar em contato com o departamento de vendas da Splunk para obter uma cotação detalhada. Este é um ótimo produto para o qual uma avaliação gratuita está disponível.
3. Sagan
Sagan é essencialmente um sistema de detecção de intrusão gratuito. No entanto, a ferramenta com recursos de script pode colocá-la na categoria Sistemas de prevenção de intrusões. Sagan detecta tentativas de intrusão monitorando arquivos de log. Você também pode combinar Sagan com o Snort, que pode enviar sua saída para Sagan, dando à ferramenta recursos de detecção de intrusão baseados em rede. En fait, Sagan pode receber informações de muitas outras ferramentas, como Bro ou Suricata, combinando as capacidades de várias ferramentas para a melhor proteção possível.
> No entanto , há uma armadilha em : capacidades de script por Sagan . Você precisa escrever os scripts de correção. Embora essa ferramenta possa não ser usada da melhor maneira como sua única defesa contra intrusões, ela pode ser uma parte importante de um sistema que integra várias ferramentas, correlacionando eventos de diferentes fontes, oferecendo a você o melhor de muitos produtos.
Enquanto Sagan só pode ser instalado em Linux, Unix e Mac OS, pode se conectar a sistemas Windows para obter seus eventos. Outros recursos interessantes do Sagan incluem rastreamento de localização de endereço IP e processamento distribuído.
4. OSSEC
Segurança de Código Aberto ou OSSEC , é um dos principais sistemas de detecção de intrusão baseados em host de código aberto. Nós o incluímos em nossa lista por dois motivos. Sua popularidade é tanta que tivemos que incluí-la, principalmente porque a ferramenta permite especificar ações que são realizadas automaticamente sempre que alertas específicos são acionados, dando-lhe recursos de prevenção de intrusão. OSSEC é propriedade da Trend Micro, um dos principais nomes em segurança de computador e criador de um dos melhores pacotes de proteção contra vírus.
> Quando> Cria somas de verificação de arquivos importantes e os verifica periodicamente, alertando você ou acionando ações corretivas sempre que algo estranho acontece. Ele também monitorará e alertará sobre qualquer tentativa anormal de obter acesso root. No Windows, o sistema também procura por alterações não autorizadas no registro, pois podem ser um sinal revelador de atividade maliciosa. Qualquer detecção acionará um alerta que será exibido no console centralizado, enquanto as notificações também serão enviadas por e-mail.
OSSEC é um sistema de proteção contra intrusão baseado em host. Como tal, ele deve ser instalado em todos os computadores que você deseja proteger. No entanto, um console centralizado consolida as informações de cada computador protegido para facilitar a administração. La consolá OSSEC só funciona em sistemas operacionais do tipo Unix, mas um agente está disponível para proteger os hosts Windows. Como alternativa, outras ferramentas como Kibana ou Graylog podem ser usadas como uma interface com a ferramenta.
5. Abrir WIPS-NG
Não tínhamos certeza se deveríamos incluir Abrir WIPS NG em nossa lista. Mais sobre isso em um momento. Isso aconteceu principalmente porque é um dos únicos produtos que visam especificamente redes sem fio. Abrir WIPS NG –Onde WIPS significa Wireless Intrusion Prevention System– é uma ferramenta de código aberto composta de três componentes principais. Em primeiro lugar, existe o sensor. É um processo bobo que apenas captura o tráfego sem fio e o envia ao servidor para análise. Como você provavelmente já deve ter adivinhado, o próximo componente é o servidor. Consolide dados de todos os sensores, analise os dados coletados e responda a ataques.Este componente é o coração do sistema. Finalmente, há o componente Interface, que é a interface gráfica que você usa para gerenciar o servidor e exibir informações sobre ameaças detectadas em sua rede sem fio.
A principal razão pela qual hesitamos antes de incluir Abrir WIPS NG em nossa lista é que, por melhor que seja, nem todo mundo gosta do desenvolvedor do produto. Ele vem do mesmo desenvolvedor do Aircrack NG, um rastreador de pacote sem fio e cracker de senha que faz parte do kit de ferramentas de todo hacker de WiFi. Isso abre o debate sobre a ética do desenvolvedor e deixa alguns usuários desconfiados. Por outro lado, a experiência do desenvolvedor pode ser considerada uma prova de seu amplo conhecimento em segurança Wi-Fi.
6. Falha2Ban
Falha2Ban é um sistema gratuito de detecção de intrusão de host relativamente popular com recursos de prevenção de intrusão. O software funciona monitorando os arquivos de log do sistema em busca de eventos suspeitos, como tentativas de login malsucedidas ou pesquisas de exploração. Quando o sistema detecta algo suspeito, ele responde atualizando automaticamente as regras de firewall locais para bloquear o endereço IP de origem do comportamento malicioso. Isso, é claro, implica que um processo de firewall está sendo executado na máquina local. Esta é a principal desvantagem da ferramenta.No entanto, qualquer outra ação arbitrária pode ser configurada, como executar um script de correção ou enviar notificações por email.
> Falha2Ban > Como dissemos, : ações de correção são realizadas modificando as tabelas de firewall do host. Falha2Ban suporta Netfilter, IPtables ou a tabela hosts.deny do wrapper TCP. Cada filtro pode ser associado a uma ou mais ações. Juntos, os filtros e ações são chamados de prisão.
7. Bro Network Security Monitor
Le Bro Monitorar Segurança de Rede é outro sistema gratuito de detecção de intrusão de rede com funcionalidade semelhante a IPS. Funciona em duas fases, primeiro regista o tráfego e depois analisa-o. Essa ferramenta funciona em várias camadas até a camada do aplicativo, o que representa melhor detecção de tentativas de intrusão divididas. O módulo de análise do produto é composto por dois elementos. O primeiro elemento é chamado de mecanismo de evento e sua finalidade é rastrear eventos de gatilho, como conexões TCP ou solicitações HTTP. Os eventos são então analisados por scripts de política, o segundo elemento. O trabalho dos scripts de política é decidir se deve disparar um alarme, realizar uma ação ou ignorar o evento.É a possibilidade de lançar uma ação que dá a Monitor de segurança de rede Bro sua funcionalidade IPS.
> O> Monitor de segurança de rede Bro tem certas limitações. Ele rastreará apenas a atividade HTTP, DNS e FTP e também monitorará o tráfego SNMP. No entanto, isso é uma coisa boa, já que o SNMP é frequentemente usado para monitorar a rede, apesar de suas graves falhas de segurança. O SNMP tem pouca segurança integrada e usa tráfego não criptografado. E como o protocolo pode ser usado para alterar as configurações, ele pode ser facilmente explorado por usuários mal-intencionados. O produto também monitorará as alterações de configuração do dispositivo e interceptações SNMP. Ele pode ser instalado em Unix, Linux e OS X, mas não está disponível para Windows, o que talvez seja sua principal desvantagem.Caso contrário, é uma ferramenta muito legal que vale a pena tentar.
