9 bedste IPS-softwareværktøjer til 2022 og guide
Systemer til forebyggelse af indtrængen, også kendt somIPS'er, tilbyder løbende beskyttelse af din virksomheds data og it-ressourcer. Disse sikkerhedssystemer fungerer i organisationen og opvejer blinde vinkler i de traditionelle sikkerhedsforanstaltninger, der implementeres af firewalls og antivirussystemer.
Beskyttelse af dit netværks grænse vil forhindre et stort antal hackerangreb. Installationen af firewalls og antivirus er stadig vigtig. Disse beskyttelsesforanstaltninger er blevet meget effektive til at forhindre ondsindet kode i at komme ind på et netværk. Det har de dog haft så stor succes medhackere har fundet andre måder at få adgang til en virksomheds computerinfrastruktur på.
Her er vores liste over de bedste IPS-værktøjer:
- Datadog Trusselovervågning i realtid REDAKTØRENS VALGEn kombination af cloud-baseret netværksovervågning og et SIEM-system, der arbejder sammen for at overvåge netværkets ydeevne, samtidig med at de opdager uregelmæssig adfærd, der kunne indikere en insidertrussel eller en ubuden gæst. Start en 14-dages gratis prøveperiode.
- SolarWinds Security Event Manager (GRATIS PRØVE)Dette kraftfulde sikkerhedsværktøj bruger både netværksbaserede og værtsbaserede metoder til registrering af indtrængen og tager forebyggende handlinger. Forudinstallerede forudindstillinger får dig op at køre på ingen tid. Installeres på Windows Server eller via skyen. Start en 30-dages gratis prøveperiode.
- CrowdStrike Falcon XDR (GRATIS PRØVE) Denne sikkerhedspakke tilbyder trusselsdetektion og automatiserede svar. Dette er et cloud-baseret system med enhedsbaserede agenter. Start en 15-dages gratis prøveperiode.
- SplunkUdbredte netværksanalyseværktøjer, der har funktioner til forebyggelse af indtrængen. Tilgængelig til Windows, Linux og i skyen.
- SaganGratis system til forebyggelse af indtrængen, der miner logfiler til hændelsesdata. Installeres på Unix, Linux og Mac OS, men kan samle logmeddelelser fra Windows-systemer.
- OSSECOpen Source HIDS Security er højt respekteret og gratis at bruge. Kører på Windows, Linux, Mac OS og Unix, men inkluderer ikke en brugergrænseflade.
- Åbn WIPS-NGOpen source kommandolinjeværktøj til Linux, der registrerer indtrængen på trådløse netværk.
- Fail2BanGratis letvægts-IPS, der kører på kommandolinjen og er tilgængelig til Linux, Unix og Mac OS.
- væreNetværksbaseret system til registrering af indtrængen, der fungerer på live trafikdata. Dette værktøj installeres på Linux, Unix og Mac OS og er gratis at bruge.
Sikkerhedssvagheder
Ethvert system er kun så stærkt som dets svageste led. I de fleste it-sikkerhedsstrategier,svagheden ligger i det menneskelige element i systemet. Du kan gennemtvinge brugergodkendelse med stærke adgangskoder, men hvis brugere skriver adgangskoder ned og holder noten tæt på en enhed, der har netværksadgang, kan du lige så godt lade være med at gennemtvinge brugergodkendelse.
Der er mange måder, hvorpå hackere kan målrette medarbejdere i en virksomhed og narre dem til at afsløre deres loginoplysninger.
Phishing
Phishing er blevet almindeligt. Alle har lært at være på vagt over for advarende e-mails fra banker eller handelsplatforme som eBay, PayPal eller Amazon. En phishing-kampagne involvereren falsk webside fra en onlinetjeneste. Hackeren udsender e-mails i massevis til alle e-mails på en liste købt på internettet. Det er ligegyldigt, om alle disse e-mailadresser tilhører kunder af den efterlignede tjeneste. Så længe nogle af de personer, der nås til, har konti med den trickede hjemmeside, så har hackeren en chance.
I phishing-forsøg,offeret præsenteres for et link i en e-mailder fører til en falsk login-side, der ligner den sædvanlige indgangsskærm for den efterlignede tjeneste. Når offeret forsøger at logge ind, går brugernavnet og adgangskoden ind i hackerens database, og kontoen kompromitteres, uden at brugeren er klar over, hvad der er sket.
Spyd phishing
Hackere målretter virksomhedens medarbejdere med phishing-svindel. De øver sig også spyd phishing , som er lidt mere sofistikeret end phishing. Med spear phishing vil den falske e-mail og login-side være specifikt designet til at være som webstedet for virksomheden, der bliver hacket, og e-mails vil være rettet specifikt mod virksomhedens medarbejdere. Spyd-phishing-forsøg bruges ofte som første fase af et indbrudsforsøg. Den første omgang med et hack er at lære detaljer om nogle af medarbejderne i en virksomhed.
Doxxing
Oplysningerne indsamlet i spear phishing-fasen kan blandes sammen med forskning i enkeltpersoner ved at undersøge deres sociale mediesider eller gennemsøge deres karrieredetaljer. Denne målrettede forskning kaldes doxxing . Med den indsamlede information kan en målrettet hacker opbygge profiler af nøgleaktører i en virksomhed og kortlægge disse personers forhold til andre firmaer.
Doxxeren vil sigte efter at få nok information til at kunne efterligne én medarbejder. Med denne identitet kan han vinde andres tillid i den målrettede virksomhed. Ved hjælp af disse tricks kan hackeren lære bevægelserne hos virksomhedens regnskabsmedarbejdere, dets ledere og dets it-supportpersonale at kende.
Hvalfangst
Når hackeren har optjent tillid fra forskellige medarbejdere, kan han snyde login-oplysninger ud af enhver i virksomheden. Med en masse selvtillid og viden om den måde, folk arbejder sammen på i en virksomhed, kan en bedrager enddastjæle store mængder pengefra en virksomhed uden selv at skulle logge ind i systemet; ordrer på falske overførsler kan gives over telefonen. Denne målretning af nøglepersoner i en virksomhed kaldes hvalfangst .
Angrebsstrategier
Hackere har lært at bruge phishing, spear phishing, doxxing og hvalfangst for at komme uden om firewalls og antivirussoftware. Hvis en hacker har administratoradgangskoden, kan han detinstallere software, opsætte brugerkonti og fjerne sikkerhedsprocesserog få adgang til hele netværket, dets udstyr, servere, databaser og applikationer uhindret.
Disse nye angrebsstrategier er blevet så almindelige, at virksomhedens netværkssikkerhedsadministratorer er nødt til at planlægge forsvar antage, at systemgrænsesikkerhedsforanstaltningerne er blevet kompromitteret .
I de senere år haravanceret vedvarende trussel(APT) er blevet en almindelig strategi for hackere. I dette scenarie,en hacker kan bruge årevis med adgang til et firmanetværk, adgang til data efter behag, ved at bruge virksomhedens ressourcer til at køre dækkende VPN'er gennem virksomhedens gateway. Hackeren kan endda bruge virksomhedens servere til intensive aktiviteter såsom cryptocurrency-mining.
eller senereAPT'er bliver uopdaget pgahackeren er i systemet som autoriseret brugerog han sørger også for at slette alle logposter, der viser hans ondsindede aktivitet. Disse tiltag betyder, at selv når indtrængen bliver opdaget, kan det stadig være umuligt at spore og retsforfølge den ubudne gæst.
Systemer til registrering af indtrængen
Et væsentligt element i systemer til forebyggelse af indtrængen er Intrusion Detection System (IDS). En IDS er designet til at lede efter usædvanlig aktivitet. Nogle detektionsmetoder efterligner de strategier, der anvendes af firewalls og antivirussoftware. Disse kaldes signaturbaseret detektion metoder. De leder efter mønstre i data for at få øje på kendte indikatorer for ubuden aktivitet.
En anden IDS-metode kaldesanomali-baseret detektion. I denne strategi leder overvågningssoftwaren efter usædvanlige aktiviteter, der enten ikke passer til det logiske mønster af bruger- eller softwareadfærd, eller som ikke giver mening, når de undersøges i sammenhæng med en bestemt brugers forventede pligter. For eksempel ville du ikke forvente at se en bruger i personaleafdelingen logget på som ændrer konfigurationen af en netværksenhed.
En ubuden gæst behøver ikke nødvendigvis at være en outsider. Du kan få indtrængen i områder af dit netværk af medarbejdere, der udforsker ud over de faciliteter, som de forventes at have brug for adgang til. Et andet problem ligger hos medarbejdere, der udnytter deres autoriserede adgang til data og faciliteter til at ødelægge eller stjæle dem.
Forebyggelse af indtrængen
Systemer til forebyggelse af indtrængen arbejder efter maksimen 'bedre sent end aldrig.' Ideelt set ønsker du ikke, at nogen udenforstående får uautoriseret adgang til dit system. Men som forklaret ovenfor er dette ikke en perfekt verden, og der er mange ulemper, som hackere kan trække for at narre autoriserede brugere til at give deres legitimationsoplysninger væk.
Specifikt er systemer til forebyggelse af indtrængenudvidelser til indtrængningsdetektionssystemer. IPS'er handler, når mistænkelig aktivitet er blevet identificeret. Så der kan allerede være sket en vis skade på integriteten af dit system på det tidspunkt, hvor indtrængen er blevet opdaget.
IPS'en er i stand til at udføre handlinger for at lukke truslen ned. Disse handlinger omfatter:
- Gendannelse af logfiler fra lager
- Suspendering af brugerkonti
- Blokering af IP-adresser
- Drabsprocesser
- Nedlukning af systemer
- Opstart af processer
- Opdatering af firewall-indstillinger
- Alarmering, registrering og rapportering af mistænkelige aktiviteter
Ansvaret for administratoropgaver, der gør mange af disse handlinger mulige, er ikke altid klart. For eksempel er beskyttelsen af logfiler med kryptering og sikkerhedskopiering af logfiler, så de kan gendannes efter manipulation, to trusselsbeskyttelsesaktiviteter, der normalt defineres som systemopgaver til registrering af indtrængen.
Begrænsninger af systemer til forebyggelse af indtrængen
Der er mange potentielle svaghedspunkter i ethvert it-system, men en IPS, selv om den er meget effektiv til at blokere ubudne gæster, erikke designet til at lukke ned for alle potentielle trusler. For eksempel inkluderer en typisk IPS ikke softwarepatch-styring eller konfigurationskontrol for netværksenheder. IPS'en vil ikke administrere brugeradgangspolitikker eller forhindre medarbejdere i at kopiere virksomhedsdokumenter.
IDS'er og IPS'er tilbyder kun trusselsafhjælpning, når en ubuden gæst allerede har påbegyndt aktiviteter på et netværk. Disse systemer bør dog installeres for at give et element i en række netværkssikkerhedsforanstaltninger for at beskytte information og ressourcer.
De bedste systemer til forebyggelse af indtrængen
Der er et bemærkelsesværdigt stort antal IPS-værktøjer tilgængelige i øjeblikket.Mange af disse er gratis. Det ville dog tage dig lang tid at studere og prøve hver eneste IPS på markedet. Derfor har vi sammensat denne guide til systemer til forebyggelse af indtrængen.
Vores metode til at vælge et IPS-værktøj
Vi gennemgik IPS-markedet og analyserede værktøjer ud fra følgende kriterier:
- Procedurer til at opdage e-mail-bundne ulemper, såsom phishing
- Automatiserede angrebsbegrænsende trin
- Evnen til at interface med andre IT-sikkerhedssystemer
- Indstillinger for at lade brugeren tillade automatisk svar
- Datalagring til historisk analyse plus analytiske værktøjer i dashboardet
- Angrebsbeskyttelse for IPS’ens egne processer og logfiler
- En gratis demo-, prøve- eller pengene-tilbage-garanti
- Værdi for pengene
1. Datadog Trusselovervågning i realtid (GRATIS PRØVE)
Datadogs trusselovervågning i realtider en del af sit netværksovervågningssystem, som omfatter en indbygget trusselsdetektionsplatform . Datadog er en cloud-baseret service, der leveres i moduler til dækning af netværks- og enhedsovervågning, applikationsovervågning og web-ydeevneovervågning.
Nøglefunktioner:
- Cloud-baseret
- Overvågning af netværkstrusler
- Sikkerhedsstyring i skyen
- Sikkerhed for arbejdsbelastning i skyen
Sikkerhedsfunktionerne i netværkstrafikmonitoren er baseret på Trusselsdetektionsregler . Disse leveres, men det er muligt at oprette nye regler. De etablerer et trafikmønster, som systemet holder øje med, og hvis en af kombinationerne af hændelser, som en regel beskriver, bliver opdaget, udløser tjenesten en alarm. Tjenesten omfatter også Sikkerhedsregler , som ligner trusselsdetektionsregler, men de specificerer søgninger i flere forskellige datakilder.
Fordele:
- Live aktivitetssporing på tværs af netværk og internetlinks
- Analytiske værktøjer til manuel analyse og trusselsidentifikation
- En menu med cloud-sikkerhedsindstillinger
- Beskyt on-premises og cloud-systemer
- Samlet trusselsjagt
- Skræddersy til overholdelse af standarder
Ulemper:
- En samling af tjenester i stedet for et enkelt produkt
Sikkerhedsovervågningstjenesten er en tilføjelse til standardmodulerne Infrastructure Monitoring eller Network Performance Monitoring i Datadog, og den er prissat pr. GB analyserede data. Datadog tilbyder en14 dages gratis prøveperiodeaf Sikkerhedsovervågningstjenesten.
REDAKTØRENS VALG
Datadog Trusselovervågning i realtid er vores #1 valgfor en IPS-løsning, fordi den giver dig mulighed for at opsætte sikkerhedspolitikker på tværs af platforme, så dens datatabsforebyggelse og trusselsdetektionsprocedurer ikke blokerer for dine brugere, der har brug for adgang til ressourcer uden for stedet. Datadog-platformen er i stand til at tegne en usynlig grænse omkring spredte ressourcer og brugere for at skabe et samlet overvågningsrum. Dette virtuelle miljø kan derefter spores for trusler mod dataintegritet og privatliv gennem SIEM-baserede teknikker, der inkluderer automatiserede svar for at holde din virksomhed inden for overensstemmelse med de standarder, den skal følge. Dette værktøj er fleksibelt og kan udvides med muligheder for at integrere andre moduler, såsom en APM og en netværksmonitor for at implementere ensartet ydeevne og sikkerhedsovervågning.
Hent:Start 14-dages GRATIS prøveperiode
Officielt websted:https://www.datadoghq.com/threat-monitoring/
DU:Cloud-baseret
2. SolarWinds Security Event Manager(GRATIS PRØVEVERSION)
DetSolarWinds Security Event Managerstyrer adgangen til logfiler, som navnet antyder. Værktøjet har dog også netværksovervågningsfunktioner. Softwarepakken inkluderer ikke en netværksovervågningsfacilitet, men du kan tilføje denne funktion ved at bruge det gratis værktøj, Snort til netværksdataindsamling. Denne opsætning giver dig to perspektiver på indtrængen. Der er to kategorier af detektionsstrategier, der bruges af IDS'er:netværksbaseret og værtsbaseret.
Nøglefunktioner:
- EN DIG
- Logserver og logfilhåndtering
- Indfør netværksdata
- Hændelseskorrelationsregler
- Aktive svar til trusselsafhjælpning
Et værtsbaseret system til registrering af indtrængen undersøger de poster, der er indeholdt i logfiler; det netværksbaserede system registrerer hændelser i livedata.
Instruktionerne til at detektere tegn på indtrængen er inkluderet i SolarWinds-softwarepakken – disse kaldes hændelseskorrelationsregler. Du kan vælge at lade systemet bare registrere indtrængen og blokere trusler manuelt. Du kan også aktivere IPS-funktionerne i SolarWinds Security Event Manager for at få udført trusselsafhjælpning automatisk.
IPS-sektionen i SolarWinds Security Event Manager implementerer handlinger, når trusler opdages. Disse arbejdsgange kaldesAktive svar. Et svar kan knyttes til en specifik advarsel. For eksempel kan værktøjet skrive til firewall-tabeller for at blokere netværksadgang til en IP-adresse, der er blevet identificeret som at udføre mistænkelige handlinger på netværket. Du kan også suspendere brugerkonti, stoppe eller starte processer og lukke hardware eller hele systemet ned.
SolarWinds Security Event Manager kan kun installeres påWindows Server. Dets datakilder er dog ikke begrænset til Windows-logfiler - det kan også indsamle trusselsoplysninger fraUnixogLinuxsystemer, der er forbundet til værts-Windows-systemer over netværket.
Fordele:
- Log søgninger til hændelsesdetektion
- Indsamler Windows-begivenheder, Syslog og applikationslogfiler
- Automatisk trusselsdetektionssøgning
- Automatisk afhjælpning af trusler
- Live scanninger og on-demand revision
Ulemper:
- Ikke SaaS-version
Du kan fåen 30-dages gratis prøveperiodeafSolarWinds Security Event Managerat teste det selv.
SolarWinds Security Event Managerleveres med hundredvis af korrelationsregler ved installation, der advarer dig om enhver mistænkelig adfærd i realtid. Det er ret nemt at opsætte nye regler med takket være normaliseringen af logdata. Vi kan især godt lide det nye dashboard, der giver dig et sæde på forreste række, når det kommer til at identificere potentielle netværkssårbarheder.
Hent:Få 30 dages GRATIS prøveperiode
Officielt websted:solarwinds.com/security-event-manager
DU:Windows 10, Windows Server 2012 og nyere, Cloud-baseret: Hypervisor, AWS og MS Azure
3. CrowdStrike Falcon XDR (GRATIS PRØVE)
CrowdStrike Falcon XDR er et slutpunktsdetektions- og responssystem med tilføjet interaktion med tredjeparts sikkerhedsværktøjer. Systemet bruger sikkerhedsorkestrering, automatisering og respons (SOAR) for at forbedre både trusselsjagt og trusselsdæmpning.
Nøglefunktioner:
- Hybrid system
- Koordinerer lokale sikkerhedsværktøjer
- Orkesterer trusselsreaktioner
CrowdStrike Falcon er en cloud platform af sikkerhedsmoduler og XDR bygger på et par andre produkter på SaaS systemet. Den første af disse er et slutpunktsbeskyttelsessystem kaldet CrowdStrike Falcon Prevent – en næste generation af antivirus. Værktøjet Forebygg installeres på hvert slutpunkt. Der er versioner af dette system til Windows , macOS , og Linux . Dette system er i stand til at fortsætte med at beskytte endepunkter, selv når netværket er nede.
Det næste lag i XDR-løsningen er Falcon Insight . Dette er et endpoint detection and response (EDR) system, der koordinerer aktiviteten for hver Falcon Prevent-installation i virksomheden. Dette giver et overblik over hele systemet og skaber et privat trusselsefterretningsnetværk. Skymodulet i Falcon Insight modtager aktivitetsdata fra hver Falcon Prevent-instans, samler disse feeds og scanner igennem for indikatorer for kompromis (IOC'er). Hvis der opdages en trussel, sender Insight afhjælpningsinstruktioner tilbage til Prevent-enhederne.
Fordele:
- Slutpunktsdetektion og respons med tilføjede funktioner
- Sikkerhedsorkestrering, automatisering og respons
- Slutpunktsbeskyttelse fortsætter, hvis enheden er isoleret fra netværket
Ulemper:
- Kræver Falcon PRevent installeret på hvert endepunkt
Falcon XDR tilføjer på SOAR, hvilket betyder, at det kan indsamle hændelsesdata fra tredjepartsværktøjer og ubeskyttede enheder, såsom switche og routere, der ikke har en tilgængelig Falcon Prevent-tjeneste. Systemet er også i stand til at sende instruktioner til ikke-Falcon produkter, såsom firewalls. Start a15 dages gratis prøveperiode.
CrowdStrike Falcon XDR Start 15-dages GRATIS prøveperiode
4. Splunk
Splunk er en netværkstrafikanalysator, der har indtrængningsdetektion og IPS-funktioner.
Nøglefunktioner:
- Fleksibelt databehandlingsværktøj
- SIEM mulighed
- Automatiserede svar
Der er fire udgaver af Splunk:
- Splunk gratis
- Splunk Light (30-dages gratis prøveperiode)
- Splunk Enterprise (60-dages gratis prøveperiode)
- Splunk Cloud (15-dages gratis prøveperiode)
Alle versioner, undtagen Splunk Cloud, kører videreWindowsogLinux. Splunk Cloud er tilgængelig på enSoftware-as-a-Service(SaaS)-basis over internettet. Splunks IPS-funktioner er kun inkluderet i Enterprise- og Cloud-udgaverne. Detektionssystemet fungerer både på netværkstrafik og på logfiler. Detektionsmetoden søger efter anomalier, som er mønstre for uventet adfærd.
Fordele:
- Velegnet til en række dataanalysefunktioner
- Specialist trusselsjagtmodul
- Vælg mellem on-premises eller SaaS
Ulemper:
- Gratis version varer nu kun 60 dage
Et højere sikkerhedsniveau kan opnås ved at vælge Splunk Enterprise Security-tilføjelsen. Dette er tilgængeligt på syv dages gratis prøveperiode . Dette modul forbedrer reglerne for registrering af anomalier med AI og inkluderer flere eksekverbare handlinger til afhjælpning af indtrængen.
5. Sagan
Sagan er et gratis softwaresystem til registrering af indtrængen der har script-udførelsesmuligheder. Muligheden for at forbinde handlinger med advarsler gør dette til en IPS.
Nøglefunktioner:
- Værtsbaseret system til registrering af indtrængen
- Gratis at bruge
- Automatiserede svar
Sagan's vigtigste detektionsmetoder involverer overvågning af logfiler, hvilket betyder, at dette er et værtsbaseret system til registrering af indtrængen. Hvis du også installerer Snort og feed-output fra den pakkesniffer i Sagan, får du også netværksbaserede detektionsfaciliteter fra dette værktøj. Alternativt kan du fodre netværksdata indsamlet med være (tidligere Bro) el Minimum ind i værktøjet. Sagan kan også udveksle data med andre Snort-kompatible værktøjer, bl.a Snorby , Squil , anal , og GRUNDLAG .
Fordele:
- En gratis pakke på stedet
- Kombinerer med netværksbaserede IDS'er
- Log-stående og højt respekteret system
Ulemper:
- Kræver tekniske færdigheder for at sætte op
Sagan installerer påUnix,Linux, ogMac OS. Det er dog også i stand til at opfange begivenhedsbeskeder fra tilsluttedeWindowssystemer. Ekstra funktioner inkluderer IP-adresse placeringssporing og distribueret behandling.
6. OSSEC
OSSECer et meget populært IPS-system. Dets detektionsmetoder er baseret på at undersøge logfiler, hvilket gør det til en værtsbaseret system til registrering af indtrængen . Navnet på dette værktøj står for ' Open Source HIDS-sikkerhed ’ (på trods af manglen på et ’H’ der).
Nøglefunktioner:
- Gratis at bruge
- Højt anset
- Værtsbaseret
At dette er et open source-projekt er fantastisk, fordi det også betyder, at softwaren er gratis at bruge. På trods af at det er open source, er OSSEC faktisk ejet af et selskab:Trend Micro. Ulempen ved at bruge gratis software er, at du ikke får support. Værktøjet er meget brugt, og OSSEC-brugerfællesskabet er et godt sted at få tips og tricks til at bruge systemet. Men hvis du ikke vil risikere at stole på amatørrådgivning til din virksomheds software, kan du købeen professionel supportpakkefra Trend Micro.
Detektionsreglerne for OSSEC kaldes ' politikker .’ Du kan skrive dine egne overvågningspolitikker eller få pakker med dem gratis fra brugerfællesskabet. Det er også muligt at specificere handlinger, der skal implementeres automatisk, når der opstår specifikke advarsler.
Fordele:
- Stort brugerfællesskab
- Detektionsregler er gratis tilgængelige
- Kan tilpasses med et detekteringsregelsprog
Ulemper:
- En professionel supportpakke er tilgængelig mod et gebyr
OSSEC kører videreUnix,Linux,Mac OS, ogWindows. Der er ingen frontend til dette værktøj, men du kan bruge detKibanaellerGraylog. Besøg deres downloadside .
Se også: De bedste HIDS-værktøjer
7. Åbn WIPS-NG
Hvis du specifikt har brug for en IPS til trådløse systemer, bør du prøve Open WIPS-NG. Dette er engratis værktøjder vil registrere indtrængen og give dig mulighed for at konfigurere automatiske svar.
Nøglefunktioner:
- Gratis værktøj
- Scanner trådløse kanaler
- Giver indtrængningsdetektion
Åben WIPS-NG er en open source-projekt . Softwaren kan kun køres på Linux . Det centrale element i værktøjet er en trådløs pakkesniffer . Snifferelementet er et sensormodul, som både fungerer som dataindsamler og sender af løsninger til blokere indtrængen . Dette er et meget kompetent værktøj, fordi det er designet af de samme mennesker, der skrev Aircrack-sprog , som er velkendt som et hackerværktøj.
Fordele:
- Skrevet af skaberne af et hackerværktøj
- Registrerer ubudne gæster
- Mulighed for at opstarte ubudne gæster
Ulemper:
- Kommandolinjesystem, der kun kører på Linux
Andre elementer i værktøjet er et serverprogram, som kører registreringsreglerne, og en grænseflade. Du kan se oplysninger om wifi-netværk og potentielle problemer på dashboardet. Du kan også indstille handlinger til at starte automatisk, når der registreres en indtrængen.
8. Fail2Ban
Fail2Ban er en let IPS-mulighed. Det hergratis værktøjregistrerer indtrængen afværtsbaserede metoder, hvilket betyder, at den undersøger logfiler for tegn på uautoriserede aktiviteter.
Nøglefunktioner:
- Gratis værktøj
- Værtsbaseret detektion
- Blokerer IP-adresser
Blandt de automatiserede svar, som værktøjet kan implementere, eret IP-adresseforbud. Disse forbud varer normalt kun et par minutter, men du kan justere blokeringsperioden i hjælpeprogrammets dashboard. Detektionsreglerne kaldes 'filtre’ og du kan associereen afhjælpende handlingmed hver af dem. Denne kombination af et filter og en handling kaldes enfængsel’.
Fordele:
- Hurtig logfilscanning
- Opret et fængsel ved at kombinere filtre med handlinger
- Kører på Linux, macOS og Unix
Ulemper:
- Ingen GUI-grænseflade
Fail2Ban kan installeres påUnix,Linux, ogMac OS.
9. Zeek
være(tidligere kaldt Bro indtil 2019) er en anden storgratis IPS. Denne software installeres påLinux,Unix, ogMac OS. Zeek brugernetværksbaserede metoder til registrering af indtrængen. Mens du sporer netværket for ondsindet aktivitet, giver Zeek dig også statistik over ydeevnen af dine netværksenheder ogtrafikanalyse.
Nøglefunktioner:
- Gratis værktøj
- Scanner netværkstrafik
- Udvælger og gemmer mistænkelige pakker
Detektionsreglerne for Zeek fungerer ved Applikationslag , hvilket betyder, at den er i stand til at detektere signaturer på tværs af netværkspakker. Zeek har også en database over anomali-relateret detektionsregler. Detektionsstadiet af Zeeks arbejde udføres af ' begivenhedsmotor .’ Dette skriver pakker og mistænkelige begivenheder til fil. Politik scripts søge gennem de lagrede optegnelser for tegn på ubudne gæsters aktivitet. Du kan skrive dine egne policy-scripts, men de er også inkluderet i Zeek-softwaren.
Fordele:
- Kan fungere som netværksmonitor samt sikkerhedspakke
- Beskyttelse af enhedskonfiguration
- Spots port scanning forsøg
Ulemper:
- Ingen professionel støtte
Udover at se på netværkstrafik,Zeek vil holde øje med enhedskonfigurationer. Netværksanomalier og uregelmæssig opførsel af netværksenheder spores gennem overvågning afSNMP fælder. Ud over almindelig netværkstrafik er Zeek opmærksom på HTTP-, DNS- og FTP-aktivitet. Værktøjet vil også advare dig, hvis det registrerer portscanning, som er en hackermetode, der bruges til at få uautoriseret adgang til et netværk.
Valg af et systemværktøj til forebyggelse af indtrængen
Når du læser definitionerne af IPS-værktøjerne i vores liste igennem, bliver din første opgave atindsnævre dit valgi henhold til operativsystemet på den server, som du har til hensigt at installere din sikkerhedssoftware på.
Husk,disse løsninger erstatter ikke firewalls og antivirussoftware– de giver beskyttelse i områder, hvor disse traditionelle systemsikkerhedsmetoder ikke kan overvåge.
Dit budget vil være en anden afgørende faktor. De fleste af værktøjerne på denne liste er gratis at bruge.
Men risikoen for at blive sagsøgthvis hackere får fat i kunde-, leverandør- og medarbejderdata, der er gemt på din virksomheds it-system, vil miste din virksomhed en masse penge. I den sammenhæng er omkostningerne ved at betale for et indbrudsforebyggende system ikke så store.
Lav en revision af de færdigheder, du har på stedet. Hvis du ikke har noget personale, der kunne klare den tekniske opgave med at opsætte detektionsregler, så ville du sandsynligvis være bedre stillet til at vælge et værktøj, der er professionelt understøttet.
Kører du i øjeblikket et system til forebyggelse af indtrængen? Hvilken bruger du? Overvejer du at skifte til en anden IPS? Efterlad en kommentar iKommentarerafsnittet nedenfor for at dele din oplevelse med fællesskabet.
Ofte stillede spørgsmål om IPS-softwareværktøjer
Hvordan adskiller en IPS sig fra en firewall?
En firewall sidder på grænsen af et system - enten et netværk eller en individuel computer - mens en IPS undersøger pakker, der rejser på netværket. En af de blokeringsstrategier, som en IPS kan implementere, er at opdatere reglerne for en firewall for at blokere adgangen til en mistænkelig IP-adresse.
Hvad er bedre, IDS eller IPS?
Et system til registrering af indtrængen opsøger unormal adfærd og underretter netværksadministratoren, når mistænkelig aktivitet opdages. Et system til forebyggelse af indtrængen udløser automatisk afhjælpningsarbejdsgange for at blokere mistænkelig aktivitet. Beslutningen om, hvad der er bedst, afhænger af personlige præferencer. Vil du have mulighed for at beslutte, om du vil handle, eller vil du have, at beslutningen skal træffes for dig?
Kan en IPS forhindre et DDoS-angreb?
IPS-tjenester er ikke egnet til forsvar mod DDoS-angreb. Dette skyldes, at en DDoS-strategi aldrig når ind på netværket, hvor IPS'er opererer. Et DDoS-angreb sender en strøm af misdannede forbindelsesanmodninger uden nogen intention om nogensinde at oprette en forbindelse. Edge-tjenester er en mere passende mekanisme til at absorbere DDoS-trafik.