Ako nemate veliki budžet na raspolaganju, vredi pogledati ove alate otvorenog koda za otkrivanje upada. Kako se preduzeća suočavaju sa pandemijom, milioni radnika više ne rade u tradicionalnoj kancelariji iza tradicionalnog perimetra. Rade od kuće, pristupaju podacima i mrežnim resursima koristeći neovlašćene uređaje, neovlašćeni softver i nezaštićeni WiFi.
Istraživanje je otkrilo da je gotovo 50% američkih preduzeća pogodio neki napad povezan sa Covidom koji je uticao na poslovanje. Za to se koriste sistemi za otkrivanje prodora (IDS – intrusion detection system).
Kao što i samo ime govori, IDS nadgleda sumnjivo ponašanje na mreži i izdaje upozorenja kada se otkriju takve aktivnosti. IDS je u stanju da otkrije zlonamerni softver (na primer trojanske programe, zadnja vrata, skrivene administratore, itd.), Takođe je u stanju da otkrije napade socijalnog inženjeringa (na primer napade čoveka u sredini i krađu identiteta) koji prevare korisnike tako da otkriju osetljive informacije. Takođe može pomoći u otkrivanju zlonamernih insajdera.
Vrste IDS-ova
IDS-ovi se mogu široko podeliti u dve grupe: zasnovani na potpisima i zasnovani na anomalijama.
IDS zasnovan na potpisima skenira tražeći poznate zlonamerne potpise i izdaje upozorenja kada ih otkrije. Potpisi zlonamernog softvera se brzo razvijaju, tako da IDS zasnovan na potpisima treba redovno ažurirati najnovijim potpisima.
IDS zasnovan na anomalijama fokusira se na prepoznavanje neobičnih ponašanja ili obrazaca aktivnosti. IDS zasnovan na anomalijama uspešno prepoznaje sajber kriminalca koji isprobava mrežu, pa označava sve što bi se moglo smatrati nenormalnim, kao što su višestruki neuspeli pokušaji prijavljivanja.
Prvih 5 sistema otvorenog koda za otkrivanje upada
Iako većina velikih preduzeća ima tehnologiju korporativnog nivoa, sistemi za otkrivanje upada takođe su presudni za mala i srednja preduzeća kako bi zaštitili korisnike, interne servere i okruženja javnog oblaka. Ako nemate veliki budžet na raspolaganju, vredi pogledati alate otvorenog koda za otkrivanje upada.
Evo pet najboljih sistema otvorenog koda za otkrivanje upada koji su trenutno na tržištu:
1. Snort
2. Zeek
3. OSSEC
4. Suricata
5. Security Onion
Snort
Snort je najstariji IDS i gotovo de facto standardni IDS u svetu otvorenog koda. Mada nema pravi grafički korisnički interfejs, on nudi velike mogučnosti prilagođavanja, što ga čini IDS-om izbora za organizacije. Može se koristiti za otkrivanje različitih napada poput prelivanja međubafera, skrivenih skeniranja portova, CGI napada, pokušaja uzimanja otiska prsta u OS-u i još mnogo toga. Zajednica Snort se oslanja na okosnicu strastvenih izvornih programera koji pružaju podršku za softver. Snort je dostupan za operativne sisteme Linux, Windows, Fedora, Centos i FreeBSD. Iako interfejs nije baš pogodan za korisnika, na tržištu je dostupno nekoliko aplikacija kao što su Snorby, BASE, Squil i Anaval koje mogu izvršiti detaljnu analizu podataka koje prikupi Snort.
Zeek
Ranije poznat kao Bro, Zeek je moćan alat za nadgledanje mreže koji se fokusira na opštu analizu saobraćaja. Koristi jezik specifičan za domen koji se ne oslanja na tradicionalne potpise. To znači da možete da dizajnirate zadatke za njegov mehanizam politika. Na primer, možete da konfigurišete alatku koja automatski preuzima sumnjive fajlove, šalje ih na analizu, obaveštava nadležne organe ako je nešto otkriveno, stavlja izvor na crnu listu i isključuje uređaj koji ga je preuzeo. Zeek radi na operativnim sistemima Unix, Linux, Free BSD i Mac OS X i može da otkrije sumnjive potpise i anomalije. Zeek-ovu korisničku zajednicu podržavaju neki poznati univerziteti, superračunski centri, istraživačke laboratorije, kao i mnoštvo otvorenih naučnih zajednica.
OSSEC
OSSEC je IDS sistem zasnovan na hostu otvorenog koda koji vrši analizu dnevnika, nadgledanje integriteta fajlova, nadgledanje Windows registara, centralizovano sprovođenje smernica, otkrivanje administratorskih paketa, upozorenje u realnom vremenu i aktivan odgovor. OSSEC radi na svim glavnim operativnim sistemima, uključujući Linux, OpenBSD, FreeBSD, MacOS, Solaris i Windows. Ima arhitekturu klijent / server koja šalje upozorenja i evidencije centralizovanom serveru radi analize, čak i ako je sistem domaćina u potpunosti ugrožen. Instalacioni program OSSEC izuzetno je lagan (ispod 1 MB) i većina analiza se odvija na serveru što čini OSSEC vrlo laganim što se tiče procesora. Još jedna prednost arhitekture je jednostavnost upotrebe, jer administrator može centralno da upravlja svim agentima sa jednog servera.
Suricata
Suricata je robusni mehanizam za otkrivanje mrežnih pretnji koji je sposoban za otkrivanje upada u realnom vremenu, za sprečavanje ulaska u mrežu (IPS), nadzor mrežne bezbednosti (NSM) i oflajn obradu pcap-a. Iako se arhitektura Suricata razlikuje od Snort-a, ponaša se poput Snort-a i može koristiti iste potpise. Dok je Snort jednonitni, što znači da istovremeno može da koristi samo jedan procesor, Suricata je višenitni, sposoban da iskoristi sve dostupne procesore. Takođe ima ugrađenu tehnologiju hardverskog ubrzanja koja može iskoristiti snagu grafičkih kartica za inspekciju mrežnog prometa. Suricata ima mogućnost pozivanja Lua skriptova koji se mogu koristiti za pronicanje u saobraćaj ili dekodiranje zlonamernog softvera. Suricata je dostupan za Linux, FreeBSD, OpenBSD, macOS / Mac OS X i Windows i ima podršku veoma lojalne zajednice.
Security Onion
Securiti Onion je alat otvorenog koda dizajniran za lov na pretnje, otkrivanje upada, praćenje bezbednosti preduzeća i upravljanje evidencijama. Zanimljiv deo ovog alata je to što kombinuje snagu drugih bezbednosnih alata kao što su Snort, Kibana, Zeek, Wazuh, CyberChef, NetworkMiner, Suricata i Logstash. Ova osobina ga čini izuzetno sveobuhvatnim i svestranim, jer pokriva gotovo sve uglove IT bezbednosti. Postavljanje i rad sa više alata može da bude komplikovano, ali Security Onion ima intuitivnog čarobnjaka za podešavanje koji pojednostavljuje postavljanje. Jedan od nedostataka ovog alata je to što neki od alata mogu da se preklapaju, pa navigacija između njih može biti nezgodna.
Kako su mala preduzeća žrtve u 28% svih kršenja tokom 2020. godine, mala i srednja preduzeća moraju biti na oprezu u zaštiti svoje digitalne infrastrukture i zaposlenih koji rade od kuće. Kada su vam resursi tesni i tražite efikasno bezbednosno rešenje, bezbednosni softver otvorenog koda sigurno može pomoći u držanju vaše odbrane.
Izvor: CSO