Spiegazione dei sistemi di rilevamento delle intrusioni basati su host – 6 migliori strumenti HIDS esaminati

Che cos'è HIDS o Host Intrusion Detection System?

HIDS è l'acronimo di sistema di rilevamento delle intrusioni nell'host. Monitorerà il computer / la rete su cui è installato cercando intrusioni e usi impropri. Se trovato, registrerà l'attività e avviserà l'amministratore.

HIDS è simile all'uso di telecamere di sicurezza intelligenti in casa; se un intruso entrasse in casa tua, la videocamera avrebbe iniziato a registrare e avrebbe inviato un avviso al tuo dispositivo mobile.

Ecco la nostra lista di i sei migliori strumenti HIDS:

1. SolarWinds Security Event Manager (PROVA GRATUITA) Un HIDS eccellente con report completi per la conformità agli standard di sicurezza dei dati. Funziona su server Windows ma raccoglie anche dati da sistemi Linux e Unix.
2. Papertrail (PIANO GRATUITO) Aggregatore di log basato su cloud di SolarWinds sia in versione gratuita che a pagamento.
3. ManageEngine Event Log Analyzer (PROVA GRATUITA) Questo strumento esamina i dati dei file di registro da Windows Server o Linux e aggiunge informazioni sulle minacce da altre fonti.
4. OSSEC Elaboratore di file di registro gratuito che implementa strategie di rilevamento basate sia su host sia su rete. Installa su Windows, Linux, Unix e Mac OS.
5. Sagan Sistema di rilevamento delle intrusioni basato su host gratuito che utilizza strategie basate su firma e anomalie. Può essere eseguito su Linux, Unix e Mac OS.
6. Splunk Sistema gratuito di rilevamento delle intrusioni basato su host con un'edizione a pagamento che include anche metodi basati sulla rete. Installa su Windows, Linux e Mac OS e anche te è una versione basata su cloud.

Il rilevamento delle intrusioni è diventato un importante metodo di protezione per le reti al fine di combattere i punti deboli della sicurezza inerenti a qualsiasi sistema che include un elemento umano. Non importa quanto siano forti le tue politiche di accesso degli utenti, gli hacker possono sempre aggirarle ingannando un dipendente nel rivelare le credenziali di accesso.

Gli hacker con accesso possono occupare un sistema aziendale per anni senza essere individuati. Questo tipo di attacco si chiama an Minaccia persistente avanzata (APT). Gli IDS mirano specificamente a sradicare gli APT.

Uno strumento HIDS si concentra sul monitoraggio dei file di registro. La maggior parte delle applicazioni genera messaggi di registro e la memorizzazione di questi record in file consente di cercarli nel tempo e individuare le indicazioni di intrusione. Un grosso problema di raccolta di tutti i messaggi di registro sul tuo sistema è che finirai con una grande quantità di dati. La memorizzazione dei messaggi di registro in modo ordinato consente di identificare il file corretto per ottenere i dati per applicazione e data. Quindi, il primo passo per poterlo fare ottenere informazioni significative dal sistema di registrazione consiste nell'organizzare i nomi dei file e la struttura delle directory del server dei file di registro.

Il prossimo passo nell'implementazione di un HIDS è ottenere un rilevamento automatico. Un HIDS cercherà tra i messaggi di registro eventi specifici che sembrano aver registrato attività dannose. Questo è il nucleo di uno strumento HIDS e il metodo di rilevamento che specifica quali record da recuperare è impostato politiche e a rule base.

Molti HIDS te lo consentono scrivi il tuo avviso generando regole. Tuttavia, ciò che stai veramente cercando quando scegli un sistema di sicurezza è un insieme di regole pre-scritte che incorporano l'esperienza degli esperti di sicurezza che scrivono il software.

Un HIDS è buono solo come le politiche che fornisce. Non puoi aspettarti di stare al passo con tutti gli ultimi vettori di attacco, dedicando allo stesso tempo tempo alle attività quotidiane del tuo lavoro e non ha senso cercare di sapere tutto se riesci a ottenerlo competenza fornito dallo strumento HIDS.

L'importanza dei file di registro

Il volume dei log e dei messaggi di eventi può essere travolgente ed è allettante semplicemente ignorarli. Tuttavia, il rischio di contenzioso innescato dalla divulgazione dei dati o dal danno che può essere fatto a un'azienda attraverso perdita di dati significa che la mancata protezione dei dati può ora rovinare la tua azienda.

I problemi di sicurezza e protezione dei dati sono ora diventati integrato nei requisiti del contratto e ci sono molti standard che le industrie ora seguono per rassicurare le parti interessate e proteggere l'azienda. La conformità agli standard di integrità dei dati include i requisiti per la manutenzione dei file di registro.

A seconda dello standard implementato dalla tua azienda, dovrai archiviare i file di registro per diversi anni. Pertanto, la gestione dei file di registro è diventata un requisito aziendale importante. Durante la configurazione di un server di registro, è possibile che lo sia anche integrare le misure di sicurezza in esso, ed è quello che fa HIDS.

Sicurezza dei file di registro

Il mantenimento dell'integrità del file di registro è una parte essenziale di HIDS. I messaggi di evento possono identificare intrusioni e quindi i file di registro sono obiettivi per gli hacker. Un intruso può coprire le sue tracce manipolando i file di registro per rimuovere i record incriminanti. Perciò, un server di registro che esegue il backup dei file di registro e verifica la presenza di modifiche non autorizzate è importante per la conformità agli standard di sicurezza dei dati.

I sistemi HIDS non possono proteggere efficacemente le risorse del sistema se le informazioni di origine sono compromesse. La protezione dei file di registro si estende anche al sistema di autenticazione della rete. Nessun sistema di protezione automatica dei file di registro sarebbe in grado di distinguere tra accesso ai file di registro autorizzato e non autorizzato senza anche monitorare la sicurezza delle autorizzazioni dell'utente.

HIDS vs NIDS

I sistemi di rilevamento delle intrusioni basati su host non sono gli unici metodi di protezione dalle intrusioni. I sistemi di rilevamento delle intrusioni sono divisi in due categorie. HIDS è uno di quei settori, l'altro è un sistema di rilevamento delle intrusioni basato sulla rete.

Sia HIDS che NIDS esaminano i messaggi di sistema. Ciò equivale a guardare sia i log che i messaggi degli eventi. tuttavia, NIDS esamina anche i dati dei pacchetti mentre passa lungo le reti. La regola empirica che divide le responsabilità del rilevamento delle intrusioni tra queste due metodologie è che il NIDS acquisisce dati in tempo reale per il rilevamento e HIDS esamina i record nei file.

Il vantaggio di NIDS è che offre una risposta più rapida rispetto a HIDS. Non appena si verifica un evento sospetto sulla rete, il NIDS deve individuarlo e generare un avviso. Tuttavia, gli hacker sono subdoli e adeguano costantemente i loro metodi per eludere il rilevamento. Alcuni modelli di attività diventano evidenti come dannosi solo se considerati in un contesto più ampio.

Se è meglio ottenere un HIDS o un NIDS non è un grosso problema perché in realtà hai bisogno di entrambi.

Attributi HIDS chiave

Analizzando i dati storici sulle attività, un HIDS è in grado di individuare i modelli di attività che si verificano nel tempo. Tuttavia, anche su reti di medie dimensioni, i volumi dei record di registro generati su base giornaliera possono essere molto grandi, quindi è importante scegliere uno strumento di smistamento e ricerca efficiente.

Il tuo HIDS non varrà la pena usarlo se è troppo lento. Ricordati che nuovi record si accumulano costantemente, quindi un HIDS veloce può spesso essere migliore di uno strumento molto ben presentato. Gli amministratori di sistemi intelligenti preferiscono scendere a compromessi sulla presentazione per ottenere velocità. Tuttavia, uno strumento HIDS che sia veloce e ben presentato è la migliore offerta.

HIDS e SIEM

Incontrerai molto il termine SIEM quando studi i sistemi di sicurezza della rete. Questo acronimo significa Informazioni sulla sicurezza e gestione degli eventi. Questo è un termine composito che si è evoluto combinando Gestione delle informazioni di sicurezza (SIM) e Gestione degli eventi di sicurezza (SEM). Security Information Management esamina i file di registro, quindi è uguale a un HIDS. Security Event Management controlla i dati in tempo reale, rendendolo l'equivalente di un NIDS. Se si implementa un sistema di rilevamento delle intrusioni ibrido, sarà creato un SIEM.

Sistemi di prevenzione delle intrusioni

Come sistema di rilevamento delle intrusioni, un HIDS è un importante elemento di protezione della rete. Tuttavia, non fornisce tutte le funzionalità necessarie per proteggere i dati della tua azienda da furti o danni. Devi anche essere in grado di farlo agire sulle informazioni fornite da un IDS.

La correzione delle minacce può essere eseguita manualmente. Potresti disporre di strumenti di gestione della rete che ti aiuteranno a bloccare gli intrusi. Tuttavia, il collegamento di rilevazione e correzione insieme crea un Sistema anti-intrusione (IPS).

Entrambe le strategie di rilevamento delle intrusioni e di prevenzione delle intrusioni funzionano presupponendo che nessun firewall o sistema antivirus sia infallibile. IDS è la seconda linea di difesa e molti esperti di sicurezza IT lo avvertono nessuno dovrebbe fare affidamento su una strategia di protezione della rete ai suoi confini perché qualsiasi sistema di sicurezza può essere compromesso da errori dell'utente o da attività dannose dei dipendenti.

"Sistema di prevenzione delle intrusioni" è un po 'un termine improprio perché l'IPS chiude le violazioni della sicurezza una volta che sono state rilevate piuttosto che creare un sistema così a tenuta stagna che in primo luogo non potrebbe verificarsi alcuna intrusione.

Protezione avanzata dalle minacce

Un altro termine che potresti vedere quando affronti minacce persistenti avanzate è ATP. Questo significa protezione avanzata dalle minacce. Nella sua forma base, un sistema ATP è uguale a un IDS. Tuttavia, alcuni fornitori di ATP sottolineano l'intelligence sulle minacce come caratteristica distintiva dei loro sistemi. Anche l'intelligence sulle minacce fa parte della definizione di un IDS e di un sistema SIEM.

In un HIDS, l'intelligence sulle minacce si basa sulla rule base dei termini di ricerca dei dati e sui test di sistema che identificano l'attività dannosa. Questo può essere fornito sotto forma di controlli codificati o regole regolabili impostate come politiche. L'intelligence sulle minacce può anche essere formulata all'interno di un IDS tramite AI. Tuttavia, le strategie che formano le politiche dei sistemi automatizzati possono essere tanto complete quanto le regole di inferenza fissate in esse al momento della loro creazione.

I fornitori di ATP sottolineano i loro servizi centrali di sensibilizzazione sulle minacce come una caratteristica distintiva. Questi servizi sono offerti come abbonamento aggiuntivo al software ATP o sono inclusi nel prezzo di acquisto. Questo è un elemento di condivisione delle informazioni che consente al fornitore di software ATP di distribuire nuove politiche e regole di rilevamento basato sull'identificazione riuscita di nuovi vettori di attacco da parte di altre organizzazioni. Alcuni provider HIDS includono questo servizio e alcuni HIDS sono supportati da comunità di utenti che condividono nuove politiche di rilevamento. Tuttavia, i provider HIDS non sono così forti su questo elemento di distribuzione delle informazioni sulle minacce dei loro servizi come i provider ATP.

Metodi di rilevamento HIDS

Sia HIDS che NIDS possono essere suddivisi in due sottocategorie in base ai loro metodi di rilevazione. Questi sono:

• Rilevamento basato sull'anomalia
• Rilevamento basato sulla firma

Non esiste una mappatura diretta tra NIDS e HIDS per nessuna di queste due strategie. Cioè, non si può dire che il NIDS si basi di più su uno di questi metodi e HIDS si basa sull'altra metodologia di rilevamento. Sia HIDS che NIDS possono utilizzare una o entrambe queste strategie di rilevamento.

Un HIDS con una strategia basata sulla firma funziona allo stesso modo dei sistemi antivirus; un NIDS basato su firma funziona come un firewall. Cioè, l'approccio basato sulla firma cerca modelli nei dati. Un firewall cerca parole chiave, tipi di pacchetti e attività del protocollo sul traffico di rete in entrata e in uscita, mentre un NIDS esegue gli stessi controlli sul traffico che viaggia all'interno della rete. Un programma antivirus cercherà schemi di bit specifici o parole chiave nei file di programma e un HIDS fa lo stesso per i file di registro.

Un'anomalia sarebbe un comportamento imprevisto da parte di un utente o di un processo. Un esempio di questo potrebbe essere lo stesso utente che accede alla rete da Los Angeles, Hong Kong e Londra nello stesso giorno. Un altro esempio potrebbe essere se i processori di un server iniziassero improvvisamente a lavorare sodo alle 2:00 del mattino. Un HIDS basato su anomalie cercherebbe nei file di registro i record di queste attività insolite; un NIDS basato su anomalie cercherebbe di individuare queste irregolarità mentre si verificano.

Come per la scelta tra HIDS e NIDS, la decisione se scegliere il rilevamento basato sulla firma o gli IDS basati sull'anomalia viene risolta scegliendo entrambi.

Strumenti HIDS consigliati

È possibile restringere la ricerca di un sistema di rilevamento delle intrusioni basato sull'host leggendo i nostri consigli. Questo elenco rappresenta il meglio della razza per ogni aspetto di un HIDS.

Troverai strumenti gratuiti nell'elenco, alcuni dei quali hanno interfacce utente molto scarse, ma sono entrati nell'elenco perché hanno velocità di elaborazione dei dati molto elevate. Nell'elenco troverai anche strumenti che includono procedure generali di gestione dei file di registro e sono stati scritti appositamente per essere conformi ai noti standard di sicurezza dei dati. Altri strumenti sono completi e ti offrono tutto ciò di cui hai bisogno in un HIDS sia nel backend che nell'interfaccia.

1. Gestione eventi di sicurezza di SolarWinds (PROVA GRATUITA)

SolarWinds ha creato un HIDS dotato di funzionalità di riparazione automatizzata, trasformandolo in un sistema di prevenzione delle intrusioni, la sicurezza Manager di eventi.  Lo strumento include report di controllo della conformità per aiutarti a rimanere in pista con PCI DSS, SOX, HIPAA, ISO, NCUA, FISMA, FERPA, GLBA, NERC CIP, GPG13 e DISA STIG.

Le funzionalità di protezione dei file di registro integrate in questa utility includono la crittografia in transito e archiviazione e il monitoraggio del checksum di cartelle e file. Puoi inoltra i messaggi di registro e eseguire il backup o l'archiviazione di intere cartelle e file. Pertanto, le funzionalità di gestione dei file di registro e integrità di questo strumento sono eccezionali.

Lo strumento monitorerà costantemente i file di registro, inclusi quelli ancora aperti per i nuovi record. Non è necessario inviare query manualmente, perché Security Event Manager genererà avvisi automaticamente ogni volta che viene rilevata una condizione di avviso. C'è anche uno strumento di analisi all'interno del pacchetto che consente di eseguire controlli manuali sull'integrità dei dati e individuare le intrusioni con un occhio umano.

Sebbene questo software verrà installato solo su Windows Server, raccoglierà i dati di registro da altri sistemi operativi, inclusi Linux e Unix. Puoi prendere una prova gratuita di 30 giorni del gestore eventi di sicurezza di SolarWinds.

SolarWinds Security Event Manager Scarica la versione di prova GRATUITA di 30 giorni

2. Papertrail (PIANO GRATUITO) 

SolarWinds esegue a Servizio di gestione dei log basato su cloud, chiamato Papertrail. Questo è un aggregatore di log che centralizza la memorizzazione dei file di registro. Papertrail può gestirlo Registri eventi di Windows, Messaggi Syslog, File di registro del server Apache, Messaggi del programma Ruby on Rails, e notifiche di router e firewall. I messaggi possono essere visualizzati dal vivo nella dashboard del sistema mentre viaggiano verso i file di registro. Oltre a gestire i file di registro, lo strumento include utilità di supporto analitico.

I dati di registro sono crittografati sia in transito che a riposo e l'accesso ai file di registro è protetto dall'autenticazione. I tuoi file sono conservati sul server Papertrail e SolarWinds si occupa di backup e archiviazione, così puoi risparmiare denaro per l'acquisto, la gestione e la manutenzione dei file server.

Impiega Papertrail sia metodi di rilevazione basati su anomalie che su firma e beneficiate degli aggiornamenti delle politiche appresi dalle minacce rivolte ad altri clienti Papertrail. Puoi anche assemblare le tue regole di rilevamento.

SolarWinds offre Papertrail in abbonamento con una serie di piani, il più basso dei quali è gratuito.

Aggregatore di log di Papertrail di SolarWinds Iscriviti qui al piano GRATUITO

3. ManageEngine Event Log Analyzer (PROVA GRATUITA)

Analizzatore registro eventi di ManageEngine è sia un HIDS che un NIDS. Il modulo di gestione dei registri raccoglie e memorizza syslog e SNMP messaggi. Vengono inoltre memorizzati i metadati relativi a ciascun messaggio Syslog.

I file di registro sono protetti sia dalla compressione che dalla crittografia e l'accesso è protetto dall'autenticazione. I backup possono essere ripristinati automaticamente quando l'analizzatore rileva manomissioni del file di registro.

La dashboard è personalizzabile e diverse schermate e funzionalità possono essere assegnate a diversi gruppi di utenti. I rapporti includono controlli di conformità per PCI DSS, FISMA e HIPAA tra gli altri. Puoi anche attivare avvisi di conformità del sistema.

L'analizzatore del registro eventi viene eseguito finestre o Linux e può integrarsi con gli strumenti di gestione dell'infrastruttura di ManageEngine. UN Edizione gratuita di questo strumento è disponibile consentendo solo fino a 5 origini log. Puoi anche scaricare a Prova gratuita di 30 giorni del Edizione Premium. Per ulteriori opzioni sui prezzi è possibile contattare il proprio team di vendita.

ManageEngine Event Log Analyzer Scarica la versione di prova GRATUITA di 30 giorni

4. OSSEC

OSSEC è un HIDS open source gratuito prodotto da Trend Micro. Include anche funzionalità di monitoraggio del sistema normalmente attribuite ai NIDS. Questo è un processore molto efficace per i dati dei file di registro, ma non ha un'interfaccia utente. La maggior parte degli utenti mette Kibana o Graylog sulla parte anteriore di OSSEC.

Questo strumento organizzerà la memorizzazione dei file di registro e proteggerà i file dalla manomissione. Il rilevamento delle intrusioni si basa sull'anomalia e viene implementato tramite "politiche."Questi set di regole possono essere acquisiti gratuitamente dalla community degli utenti.

Il software OSSEC può essere installato su finestre, Linux, Unix, o Mac OS. Monitora Registri eventi di Windows e anche il registro. Proteggerà l'account di root Linux, Unix, e Mac OS. Il supporto è disponibile gratuitamente dalla comunità di utenti attivi oppure è possibile pagare Trend Micro per un pacchetto di supporto professionale.

5. Sagan

Sagan è un HIDS gratuiti che si installa su Unix, Linux, e Mac OS. È in grado di collezionare Registro eventi di Windows messaggi, anche se non funziona su Windows. Puoi distribuire l'elaborazione di Sagan per mantenere il sovraccarico sulla CPU del tuo server di log. Il sistema utilizza sia metodi di rilevazione basati su anomalie che su firma.

È possibile impostare azioni da eseguire automaticamente quando viene rilevata un'intrusione. Lo strumento ha alcune caratteristiche uniche che mancano ad alcuni dei più importanti HIDS. Questi includono una funzione di geolocalizzazione IP che ti consentirà di generare avvisi quando le attività di diversi indirizzi IP vengono tracciate sulla stessa fonte geografica. Lo strumento consente anche di impostare regole relative al tempo per attivare avvisi. Il sistema è stato scritto per essere compatibile con sbuffo, che è un sistema di rilevamento della rete, che offre funzionalità Saga NIDS in combinazione con un raccoglitore di dati di rete. Sagan include una funzione di esecuzione degli script questo lo rende un IPS.

6. Splunk

Splunk offre entrambe le funzionalità HIDS e NIDS. Il pacchetto base di questo strumento è gratis da usare e non include alcun avviso sui dati basato sulla rete, quindi è un puro HIDS. Se stai cercando un HIDS basato sull'anomalia, questa è un'ottima opzione. Si chiama la prima edizione di Splunk Splunk Enterprise e esiste una versione SaaS (Software-as-a-Service), che viene chiamata Splunk Cloud. Tra la versione gratuita e l'edizione Enterprise si trova Splunk Light, che ha alcune limitazioni del servizio. Esiste anche una versione online di Splunk Light, chiamata Splunk Light Cloud.

Splunk ha funzionalità di automazione del flusso di lavoro che lo rendono un sistema di prevenzione delle intrusioni. Questo modulo è chiamato Framework operativo adattivo e collega gli script automatici per attivare gli avvisi. L'automazione delle soluzioni ai problemi rilevati è disponibile solo con le opzioni più pagate di Splunk.

La dashboard di Splunk è molto interessante con visualizzazioni di dati come grafici a linee e grafici a torta. Il sistema include un analizzatore di dati in tutte le edizioni di Splunk. Ciò consente di visualizzare i record, riepilogare, ordinare e cercarli e farli rappresentare nei grafici.

Tutti i livelli di Splunk funzionano su Windows, Linux e macOS. Puoi ottenere una prova gratuita di 30 giorni di Splunk Light, una prova gratuita di 60 giorni di Splunk Enterprise e una prova gratuita di 15 giorni di Splunk Cloud.

Selezione di un HIDS

Ci sono così tanti strumenti di gestione dei log con funzionalità di analisi disponibili sul mercato che potresti dedicare molto tempo a valutare tutte le opzioni HIDS. Con l'elenco in questa guida, ora hai fatto molte ricerche e il prossimo passo è concentrarsi su quegli strumenti che girano sul sistema operativo del tuo server. Se desideri utilizzare i servizi basati su cloud, Papertrail e Splunk Cloud dovrebbero interessarti di più.

Fortunatamente, tutti gli strumenti nel nostro elenco sono gratuiti o disponibili su prove gratuite, così puoi installare un paio di candidati per farli passare senza problemi finanziari.

Attualmente gestisci un HIDS? Quale sistema hai scelto? Pensi che sia importante pagare per uno strumento o sei felice di usare un'utilità gratuita? Lascia un messaggio nel Commenti sezione seguente e condividi le tue esperienze con la community.

Immagine: Sicurezza IT di Pixabay. Dominio pubblico.