Parece que todo mundo hoje em dia está preocupado com a segurança. Faz sentido quando se considera a importância da cibercriminalidade. As organizações são alvo de hackers que tentam roubar seus dados ou causar-lhes outros danos. Uma maneira de proteger seu ambiente de TI contra esses ataques é por meio do uso das ferramentas e sistemas corretos. Muitas vezes, a primeira linha de defesa está no perímetro da rede na forma de sistemas de detecção de intrusão baseados em rede ou NIDS. Esses sistemas analisam o tráfego vindo da Internet para sua rede para detectar qualquer atividade suspeita e alertá-lo imediatamente. NIDS são tão populares e tantos deles estão disponíveis que encontrar o melhor para suas necessidades pode ser um empreendimento desafiador. Para ajudá-lo, reunimos esta lista de alguns dos melhores sistemas de detecção de intrusão baseados em rede.
Começaremos nossa jornada dando uma olhada nos diferentes tipos de Sistema de Detecção de Intrusão. Essencialmente, existem dois tipos: baseado em rede e baseado em host. Vamos explicar suas diferenças. Os Sistemas de Detecção de Intrusão também diferem no método de detecção que utilizam. Alguns deles usam uma abordagem baseada em assinaturas, enquanto outros dependem de análise comportamental. As melhores ferramentas usam uma combinação de ambos os métodos de detecção. O mercado está saturado com sistemas de detecção e prevenção de intrusão. Vamos explorar como eles diferem e como eles são semelhantes, pois é importante entender a distinção. Por fim, revisaremos os melhores sistemas de detecção de intrusão baseados em rede e apresentaremos seus recursos mais importantes.
últimas postagens
Detecção de intrusão baseada em rede vs host
Os Sistemas de Detecção de Intrusão podem ser de dois tipos. Ambos compartilham um objetivo idêntico – detectar rapidamente tentativas de intrusão ou atividades suspeitas que podem levar a tentativas de intrusão – mas diferem na localização do ponto de aplicação que se refere ao local onde a detecção é realizada. Cada tipo de ferramenta de detecção de intrusão tem vantagens e desvantagens. Não há um consenso real sobre qual é preferível. Alguns juram por um tipo, enquanto outros confiam apenas no outro. Ambos provavelmente estão certos. A melhor solução – ou a mais segura – é provavelmente aquela que combina os dois tipos.
Sistemas de detecção de intrusão de rede (NIDS)
O primeiro tipo de Sistema de Detecção de Intrusão é chamado de Sistema de Detecção de Intrusão de Rede ou NIDS. Esses sistemas funcionam na fronteira da rede para impor a detecção. Eles interceptam e examinam o tráfego de rede, procurando atividades suspeitas que possam indicar uma tentativa de intrusão e também procurando padrões de intrusão conhecidos. Os invasores geralmente tentam explorar vulnerabilidades conhecidas de vários sistemas, por exemplo, enviando pacotes malformados para hosts, fazendo-os reagir de uma maneira específica que permite que sejam violados. Um sistema de detecção de intrusão de rede provavelmente detectará esse tipo de tentativa de intrusão.
Alguns argumentam que os sistemas de detecção de intrusão de rede são melhores do que seus equivalentes baseados em host, pois podem detectar ataques antes mesmo de chegarem aos seus sistemas. Alguns também tendem a preferi-los porque não exigem a instalação de nada em cada host para protegê-los efetivamente. Por outro lado, eles fornecem pouca proteção contra ataques internos que infelizmente não são incomuns. Para ser detectada, a tentativa de invasão de um invasor deve passar pelo NIDS, o que raramente acontece quando se origina de dentro. Qualquer tecnologia tem prós e contras e no caso específico da detecção de intrusão, nada impede que você use os dois tipos de ferramentas para a proteção máxima.
Sistemas de Detecção de Intrusão de Host (HIDS)
Os sistemas de detecção de intrusão do host (HIDS) operam no nível do host; você deve ter adivinhado isso pelo nome deles. Eles irão, por exemplo, monitorar vários arquivos de log e diários em busca de sinais de atividades suspeitas. Outra maneira de detectar tentativas de intrusão é verificar se há alterações não autorizadas nos arquivos de configuração do sistema. Eles também podem examinar esses mesmos arquivos para padrões de intrusão conhecidos específicos. Por exemplo, um método de intrusão específico pode funcionar adicionando um determinado parâmetro a um arquivo de configuração específico. Um bom sistema de detecção de intrusão baseado em host detectaria isso.
Embora o nome deles possa levar você a pensar que todos os HIDS são instalados diretamente no dispositivo que devem proteger, não é necessariamente o caso. Alguns precisarão ser instalados em todos os seus computadores, enquanto alguns exigirão apenas a instalação de um agente local. Alguns até fazem todo o trabalho remotamente sem nenhum agente. Não importa como eles operam, a maioria dos HIDS tem um console centralizado onde você pode controlar todas as instâncias do aplicativo e visualizar todos os resultados.
Métodos de Detecção de Intrusão
Os sistemas de detecção de intrusão não diferem apenas pelo ponto de aplicação, mas também pelo método que usam para detectar tentativas de intrusão. Alguns são baseados em assinaturas, enquanto outros são baseados em anomalias. Os primeiros funcionam analisando dados para padrões específicos que foram associados a tentativas de intrusão. Isso é semelhante aos sistemas tradicionais de proteção contra vírus que dependem de definições de vírus. A detecção de intrusão baseada em assinatura depende de assinaturas ou padrões de intrusão. Eles comparam dados capturados com assinaturas de intrusão para identificar tentativas de intrusão. Claro, eles não funcionarão até que a assinatura apropriada seja carregada no software, o que às vezes pode acontecer somente após um certo número de máquinas terem sido atacadas e os editores de assinaturas de intrusão terem tido tempo de publicar novos pacotes de atualização. Alguns fornecedores são bastante rápidos, enquanto outros só conseguem reagir dias depois. Esta é a principal desvantagem deste método de detecção.
A detecção de intrusão baseada em anomalias oferece melhor proteção contra ataques de dia zero, aqueles que ocorrem antes que qualquer software de detecção de intrusão tenha a chance de adquirir o arquivo de assinatura adequado. Eles procuram anomalias em vez de tentar reconhecer padrões de intrusão conhecidos. Por exemplo, alguém tentando acessar um sistema com uma senha errada várias vezes seguidas acionaria um alerta, pois esse é um sinal comum de um ataque de força bruta. Esses sistemas podem detectar rapidamente qualquer atividade suspeita na rede. Cada método de detecção tem vantagens e desvantagens e, assim como os dois tipos de ferramentas, as melhores ferramentas são provavelmente aquelas que usam uma combinação de análise de assinatura e comportamento.
Detecção ou Prevenção?
Algumas pessoas tendem a se confundir entre detecção de intrusão e sistemas de prevenção de intrusão. Embora estejam intimamente relacionados, eles não são idênticos, embora haja alguma sobreposição de funcionalidades entre os dois. Como o nome sugere, os sistemas de detecção de intrusão detectam tentativas de intrusão e atividades suspeitas. Quando detectam algo, normalmente acionam algum tipo de alerta ou notificação. Cabe então aos administradores tomar as medidas necessárias para interromper ou bloquear a tentativa de invasão.
Os Sistemas de Prevenção de Intrusão (IPS) vão um passo além e podem impedir que as intrusões aconteçam completamente. Os Sistemas de Prevenção de Intrusão incluem um componente de detecção — que é funcionalmente equivalente a um Sistema de Detecção de Intrusão — que acionará alguma ação corretiva automática sempre que uma tentativa de invasão for detectada. Nenhuma intervenção humana é necessária para interromper a tentativa de invasão. A prevenção de intrusões também pode se referir a qualquer coisa que seja feita ou implementada como forma de prevenir intrusões. Por exemplo, proteção de senha ou bloqueio de intrusão pode ser considerado como medidas de prevenção de intrusão.
As melhores ferramentas de detecção de intrusão de rede
Pesquisamos no mercado os melhores sistemas de detecção de intrusão baseados em rede. Nossa lista contém uma mistura de verdadeiros sistemas de detecção de intrusão baseados em host e outros softwares que possuem um componente de detecção de intrusão baseado em rede ou que podem ser usados para detectar tentativas de intrusão. Cada uma de nossas ferramentas recomendadas pode ajudar a detectar tentativas de invasão em sua rede.
1. SolarWinds Threat Monitor – IT Ops Edition (demonstração GRATUITA)
SolarWinds é um nome comum no campo das ferramentas de administração de rede. A empresa existe há cerca de 20 anos e nos trouxe algumas das melhores ferramentas de administração de rede e sistema. Seu principal produto, o Network Performance Monitor, pontua consistentemente entre as principais ferramentas de monitoramento de largura de banda de rede. A SolarWinds também oferece excelentes ferramentas gratuitas, cada uma atendendo a uma necessidade específica dos administradores de rede. O Kiwi Syslog Server e o Advanced Subnet Calculator são dois bons exemplos disso.
Para detecção de intrusão baseada em rede, a SolarWinds oferece o Threat Monitor – IT Ops Edition. Ao contrário da maioria das outras ferramentas da SolarWinds, esta é um serviço baseado em nuvem e não um software instalado localmente. Você simplesmente se inscreve nele, configura-o e ele começa a observar seu ambiente em busca de tentativas de intrusão e mais alguns tipos de ameaças. O Threat Monitor – IT Ops Edition combina várias ferramentas. Ele possui detecção de intrusão baseada em rede e host, bem como centralização e correlação de logs e gerenciamento de informações e eventos de segurança (SIEM). É um conjunto de monitoramento de ameaças muito completo.
O Threat Monitor – IT Ops Edition está sempre atualizado, obtendo constantemente inteligência de ameaças atualizada de várias fontes, incluindo bancos de dados de reputação de domínio e IP. Ele observa ameaças conhecidas e desconhecidas. A ferramenta apresenta respostas inteligentes automatizadas para remediar rapidamente incidentes de segurança, oferecendo alguns recursos semelhantes à prevenção de intrusões.
Os recursos de alerta do produto são bastante impressionantes. Existem alarmes multicondicionais e correlacionados que funcionam em conjunto com o mecanismo Active Response da ferramenta e ajudam a identificar e resumir eventos importantes. O sistema de relatórios é tão bom quanto seus alertas e pode ser usado para demonstrar conformidade usando modelos de relatórios pré-criados existentes. Como alternativa, você pode criar relatórios personalizados para atender com precisão às suas necessidades de negócios.
Os preços do SolarWinds Threat Monitor – IT Ops Edition começam em US$ 4.500 para até 25 nós com 10 dias de índice. Você pode entrar em contato com a SolarWinds para obter um orçamento detalhado adaptado às suas necessidades específicas. E se preferir ver o produto em ação, você pode solicitar uma demonstração gratuita da SolarWinds.
2. Bufo
O Snort é certamente o NIDS de código aberto mais conhecido. Mas o Snort é na verdade mais do que uma ferramenta de detecção de intrusão. É também um sniffer de pacotes e um registrador de pacotes e também inclui algumas outras funções. Por enquanto, vamos nos concentrar nos recursos de detecção de intrusão da ferramenta, pois esse é o assunto deste post. A configuração do produto lembra a configuração de um firewall. Ele é configurado usando regras. Você pode baixar as regras básicas do site do Snort e usá-las como estão ou personalizá-las para suas necessidades específicas. Você também pode se inscrever nas regras do Snort para obter automaticamente todas as regras mais recentes à medida que evoluem ou à medida que novas ameaças são descobertas.
O Sort é muito completo e até mesmo suas regras básicas podem detectar uma ampla variedade de eventos, como varreduras furtivas de portas, ataques de estouro de buffer, ataques CGI, sondagens SMB e impressão digital do SO. Praticamente não há limite para o que você pode detectar com esta ferramenta e o que ela detecta depende exclusivamente do conjunto de regras que você instala. Quanto aos métodos de detecção, algumas das regras básicas do Snort são baseadas em assinaturas, enquanto outras são baseadas em anomalias. Snort pode, portanto, dar-lhe o melhor dos dois mundos.
3. Suricata
O Suricata não é apenas um Sistema de Detecção de Intrusão. Ele também possui alguns recursos de prevenção de intrusão. Na verdade, é anunciado como um ecossistema completo de monitoramento de segurança de rede. Um dos melhores recursos da ferramenta é como ela funciona até a camada de aplicação. Isso o torna um sistema híbrido baseado em rede e host que permite que a ferramenta detecte ameaças que provavelmente passariam despercebidas por outras ferramentas.
O Suricata é um verdadeiro Sistema de Detecção de Intrusão baseado em Rede e não funciona apenas na camada de aplicação. Ele monitorará protocolos de rede de nível inferior, como TLS, ICMP, TCP e UDP. A ferramenta também entende e decodifica protocolos de nível superior, como HTTP, FTP ou SMB, e pode detectar tentativas de intrusão ocultas em solicitações normais. A ferramenta também possui recursos de extração de arquivos, permitindo que os administradores examinem qualquer arquivo suspeito.
A arquitetura de aplicativos do Suricata é bastante inovadora. A ferramenta distribuirá sua carga de trabalho por vários núcleos e threads de processador para obter o melhor desempenho. Se necessário, ele pode até descarregar parte de seu processamento para a placa gráfica. Este é um ótimo recurso ao usar a ferramenta em servidores, pois sua placa gráfica geralmente é subutilizada.
4. Monitor de segurança de rede Bro
O Bro Network Security Monitor, outro sistema de detecção de intrusão de rede gratuito. A ferramenta opera em duas fases: registro de tráfego e análise de tráfego. Assim como o Suricata, o Bro Network Security Monitor opera em várias camadas na camada do aplicativo. Isso permite uma melhor detecção de tentativas de invasão divididas. O módulo de análise do Bro Network Security Monitor é composto por dois elementos. O primeiro elemento é chamado de mecanismo de eventos e rastreia eventos de acionamento, como conexões TCP de rede ou solicitações HTTP. Os eventos são então analisados por scripts de política, o segundo elemento, que decide se deve ou não acionar um alarme e/ou iniciar uma ação. A possibilidade de iniciar uma ação dá ao Bro Network Security Monitor algumas funcionalidades do tipo IPS.
O Bro Network Security Monitor permite rastrear a atividade HTTP, DNS e FTP e também monitorar o tráfego SNMP. Isso é bom porque o SNMP é frequentemente usado para monitoramento de rede, mas não é um protocolo seguro. E como também pode ser usado para modificar configurações, pode ser explorado por usuários mal-intencionados. A ferramenta também permitirá que você observe as alterações na configuração do dispositivo e as armadilhas SNMP. Ele pode ser instalado em Unix, Linux e OS X, mas não está disponível para Windows, o que talvez seja sua principal desvantagem.
5. Cebola de Segurança
É difícil definir o que é a Cebola de Segurança. Não é apenas um sistema de detecção ou prevenção de intrusão. É, na realidade, uma distribuição Linux completa com foco em detecção de intrusão, monitoramento de segurança corporativa e gerenciamento de logs. Como tal, pode economizar muito tempo dos administradores. Ele inclui muitas ferramentas, algumas das quais acabamos de revisar. O Security Onion inclui Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner e muito mais. Para facilitar a configuração, a distribuição é fornecida com um assistente de configuração fácil de usar, permitindo que você proteja sua organização em poucos minutos. Se tivéssemos que descrever o Security Onion em uma frase, diríamos que é o canivete suíço da segurança de TI corporativa.
Uma das coisas mais interessantes sobre esta ferramenta é que você obtém tudo em uma instalação simples. Para Detecção de Intrusão, a ferramenta oferece ferramentas de Detecção de Intrusão baseadas em Rede e Host. O pacote também combina ferramentas que usam uma abordagem baseada em assinatura e ferramentas baseadas em anomalias. Além disso, você encontrará uma combinação de ferramentas baseadas em texto e GUI. Há realmente uma excelente combinação de ferramentas de segurança. Há uma desvantagem principal no Security Onion. Com tantas ferramentas incluídas, configurá-las pode ser uma tarefa considerável. No entanto, você não precisa usar e configurar todas as ferramentas. Você é livre para escolher apenas aqueles que deseja usar. Mesmo se você usar apenas algumas das ferramentas incluídas, provavelmente seria uma opção mais rápida do que instalá-las separadamente.