IDS на основе хоста и IDS на основе сети (часть 2 — сравнительный анализ)

Опубликовано: 14 Апреля, 2023

Этот технический документ посвящен HIDS и преимуществам HIDS в корпоративной среде. Также будет проведен сравнительный анализ, представляющий лидеров отрасли, и в заключение будут получены расчетные рекомендации. Это поможет организациям выбрать комплексное решение HIDS или NIDS. Подробное тестирование и сравнительный анализ были проведены на 6 лидерах отрасли. Для простоты использования и экономии времени я суммировал поддерживаемые функции в таблице ниже. Этот технический документ состоял из более чем 60 страниц и был сокращен, чтобы сделать процесс принятия решения менее болезненным и более быстрым. Более подробную информацию можно найти, перейдя по ссылкам ниже.


Что такое HIDS (система обнаружения вторжений)?


Хост-системы обнаружения вторжений — это системы обнаружения вторжений, которые устанавливаются локально на хост-компьютерах. Это делает HIDS очень универсальной системой по сравнению с NIDS. HIDS можно установить на множество различных типов (ролей) машин, а именно серверов, рабочих станций и ноутбуков. Эта методология дает организации преимущество, поскольку NIDS потерпит неудачу, если ей придется достичь сегмента, выходящего за пределы возможностей NDIS.


Работа HIDS


Когда трафик передается на хост, он анализируется и передается на хост, если в передаче данных нет потенциально вредоносных пакетов. HIDS больше ориентирован на изменение аспекта локальных машин по сравнению с NIDS. NIDS в большей степени ориентированы на сеть, чем на конкретный хост. HIDS также в большей степени зависит от платформы и сильно ориентирован на рынок Windows компьютерного мира, однако есть продукты, которые работают в средах топологии UNIX и других ОС. Сегодня на рынке представлено множество продуктов, поддерживающих HIDS, но ни один из них не является настолько комплексным, как LAN Guard от GFI. Мне нравится, что этот продукт очень полный, когда дело доходит до IDS, и, кроме того, он выполняет полный анализ безопасности машины.


Выбрать NIDS или HIDS?


Многие специалисты по безопасности знают, что существуют NIDS и HIDS. Какой самый лучший, который я часто слышу? Ответ: HIDS для комплексного решения и NDIS для решения для локальной сети, дополняющего HIDS. Точно так же, когда выполняется установка антивирусного программного обеспечения, оно устанавливается не только на ваши основные серверы, но и на все ваши клиенты. Нет никаких причин, по которым обе системы NIDS и HIDS нельзя использовать вместе в качестве мощной взаимодополняющей стратегии IDS. Считается, что NIDS легче отключить с точки зрения злоумышленников, и я склонен согласиться с этим мнением. Лучше установить несколько узлов обнаружения в вашей корпоративной сети с помощью HIDS, чем использовать только одну NIDS с несколькими узлами обнаружения, охватывающими только один сегмент. Если у вас есть опасения по поводу конкретных компьютеров, которые, как вы опасаетесь, могут быть подключены злоумышленниками, лучше защитите их с помощью HIDS, так как это будет более безопасным решением и будет эквивалентно установке сигнализации в вашем сейфе на случай, если кто-то придет ночью к вашим деньгам и пройдет мимо. ваша основная домашняя сигнализация.


IDS поддерживает подробное ведение журнала, многие события регистрируются в днях, убедитесь, что собираются только соответствующие данные, и вы не будете перегружены ненужными данными. HIDS ведет больше журналов, чем NIDS, если принять во внимание, что HIDS регистрирует все машины в сети, это неудивительно. Если вы смотрите на HIDS или NIDS, убедитесь, что вы нашли поставщика, у которого есть хорошая техническая резервная копия и у которого есть потоковые файлы шаблонов, когда появляются новые уязвимости, выпущенные в дикую природу, как антивирусное приложение. Если у вас есть ограничения пропускной способности локальной сети, вполне возможно взглянуть на HIDS.



На приведенной выше диаграмме представлен сценарий HIDS.



В таблице ниже представлено краткое сравнение стандартных отраслевых спецификаций и требований при выборе пакета IDS.






































































































































































































Товар


INTRUST Администратор мероприятия


Аэлита


ЕЛМ 3.0


TNTsoftware


GFI LANguard SELM



Фыркнуть


МКС


Безопасная IDS Cisco


Дракон Энтерасис


NIDS/HIDS


СКРЫТ


СКРЫТ


СКРЫТ


NIDS


NIDS


NIDS


Консоль управления


***


***


***


***


**


****


Обнаружение атаки


**


***


***


***


***


****


Простота использования


***


***


****


**


**


***


Цена за 100 рабочих станций и 5 серверов


$9400


10 290,00 долларов США


модульные цены с сайта


1620$


модульные цены с сайта


СВОБОДНО


Пакет программного обеспечения


7 929,79 долларов США


$6115,89


Простота установки и развертывания


***


**


***


*


**


***


Требуются знания в области безопасности (чем больше звезд, тем меньше требуется знаний)


***


****


****


*


*


**


Привлекательность атакующего


***


***


***


****


***


***


Безопасный канал связи


***


*


**





Простота оперативного управления


**


***


***


**


***


****


Обновления частоты продукта


**


**


*


***


**


****


SNMP-совместимость


***


****


**


**


***


***


Возможность отчетности


****


****


****


***


***


****


Производительность


***


****


****


****


***


***


Адаптация инфраструктуры


***


***


***


**


***


****


Совместимость с платформой Windows


***


***


***


***


***


***


Совместимость с платформой Unix


***


*


*


****


***


***


Резервное копирование и поддержка


***


***



****


***


***


****


Мониторинг журнала


***


****


****


***


**


**


Обнаружение инцидента


***


****


****


***


***


***


Отчеты о событиях


****


***


***


***


***


***


Агенты


Это административное бремя. Нет агентов = больше звезд


***


*


****


****


****


****


Результат


59


57


62


53


61


62



Этапы выбора ИДС.


При выборе IDS есть несколько соображений, которые необходимо учитывать и учитывать на этапе планирования IDS. Ниже приведены некоторые соображения.



  1. Этап концепции: на этом этапе определяются требования к IDS, а также то, что необходимо для бизнеса, и то, как IDS может удовлетворить потребности бизнеса. Этот этап должен отражать охват ваших критически важных активов и соответствие вашей политике безопасности.
  2. Этап оценки решения IDS: этот этап следует использовать при выборе соответствующего продукта для удовлетворения потребностей бизнеса. ИТ-отдел также следует использовать в качестве тестового форума для тестирования программного обеспечения IDS, а в сочетании с этапом разработки концепции его следует использовать в качестве окончательной контрольной точки при выборе подходящего бизнес-решения.
  3. Этап развертывания и ввода в эксплуатацию: этот этап используется для внедрения выбранного решения IDS и должен быть очень гладким, если было выполнено соответствующее планирование. К этому времени все причуды должны быть устранены, и никакие неизвестные проблемы не должны возникать, чтобы затормозить ввод в эксплуатацию. Решение должно работать эффективно и результативно, когда этот этап завершен.

Ссылки на веб-сайты и поставщиков и информация.


Ее протестировали лидеры отрасли, поэтому результаты сравнительно высоки по сравнению с другими продуктами IDS. Ниже приведено краткое описание продукта и ссылки на сайт. Более подробную информацию можно найти на веб-сайте поставщиков.


Ее протестировали лидеры отрасли, поэтому результаты сравнительно высоки по сравнению с другими продуктами IDS. Ниже приведено краткое описание продукта и ссылки на сайт. Более подробную информацию можно найти на веб-сайте поставщиков.


1. Доверие


Этот продукт имеет множество функций, которые делают его жизнеспособным решением для корпоративной среды. Совместимость с UNIX обеспечивает большую гибкость. Он поставляется с консолью отчетов, которая имеет более 1000 настраиваемых отчетов, которые помогают сообщать о сложных проблемах. Он также поддерживает комплексное решение для оповещения, которое оповещает сотрудника службы безопасности на мобильных устройствах, и многие другие указанные технологии.



  1. Комплексные функции оповещения.

  2. Комплексные функции отчетности.


  3. Консолидация и аудит данных о производительности с кросс-платформ.


  4. Перемотка поддержки сетевых функций из подробного сетевого ведения журнала на стороне клиента.


  5. Фильтрация данных для облегчения просмотра.


  6. Мониторинг в режиме реального времени.


  7. Анализ захваченных данных.


  8. Соответствие отраслевым стандартам.


  9. Обеспечение соблюдения правил.


Больше информации


2. Вяз


TNT Software разработала хорошее программное обеспечение, поддерживающее функциональность HIDS. Продукт, на котором был основан сравнительный анализ, известен как ELM Enterprise Manager. Этот продукт поддерживает мониторинг в режиме реального времени, комплексный механизм уведомлений и сложный метод отчетности. Избыточность базы данных была реализована для обеспечения безопасности базы данных программного обеспечения. Это означает, что если основная база данных ELM находится в автономном режиме, сервер ELM автоматически создает временную базу данных для хранения данных до тех пор, пока основная база данных не вернется в оперативный режим.


Ниже приведен краткий обзор ELM Enterprise Manager 3.0.




  1. ELM поддерживает гибкий консольный интерфейс оснастки MMC.


  2. Поддерживает мониторинг для всех серверов Microsoft.NET, отслеживая традиционные счетчики монитора производительности и журналы событий.


  3. Поддерживает мастер создания отчетов с редактором, который может составлять отчеты по расписанию, в формате ASCII или в графическом формате HTML.


  4. Централизованный просмотр журналов событий Windows на нескольких серверах.


  5. Веб-клиент только в браузере с поддержкой XML и JavaScript.


  6. Поддержка интерфейса базы знаний.


  7. Поддержка Notification Engine, которая может выполнять wscripts, cscripts и файлы CMD/BAT.


  8. Поддержка хранилища данных SQL и Oracle Server.


  9. WMI-совместимые запросы для целей сравнения.


  10. Корректирующие действия при обнаружении вторжения.


Больше информации


3. GFI LANguard SELM


Какое комплексное решение. GFI снова сделала это, умное решение раздражающей проблемы. Этот продукт имеет много функций и не требует специальных знаний для установки. Это действительно было гладко. Единственное, что, по моему мнению, можно было бы улучшить, — это поддержка UNIX. Множество функций, поддержка резервного копирования и комплексное корпоративное решение компенсируют эту небольшую особенность.


Ниже приведен краткий обзор GFI LANguard SELM.



  1. Автоматический общесетевой анализ безопасности журналов событий.

  2. Управление журналом событий в масштабе всей сети


  3. Улучшенное обнаружение инсайдерского взлома


  4. Снижает TOC, так как специальные знания не требуются.


  5. Никаких агентов или клиентского программного обеспечения не требуется.


  6. Не влияет на сетевой трафик


  7. Очень масштабируемый, подходит для небольших или корпоративных сетей.


  8. Монитор конфиденциальных файлов.


  9. Комплексный мониторинг журналов.


  10. Обнаруживает атаки, если используются локальные учетные записи пользователей. (онлайн или офлайн)


Больше информации


4. Фыркнуть


Snort — отличный продукт, и он выигрывает, когда речь идет о средах UNIX. Последняя версия нацелена на платформу Windows, но содержит небольшие ошибки и нуждается в некоторой доработке. Лучшее в этом продукте — цена, поскольку он с открытым исходным кодом и ничего не стоит, за исключением времени и пропускной способности, необходимых для его загрузки. Это решение было разработано людьми, которые разбираются в безопасности до мельчайших деталей, и оно очень хорошо работает на очень недорогом оборудовании, что делает его жизнеспособным продуктом для любой организации.


Ниже приведен краткий обзор SNORT.




  1. Поддержка высокопроизводительной конфигурации встроена в программное обеспечение.


  2. Мощная поддержка UNIX.


  3. Гибкая поддержка открытого исходного кода.


  4. Мощная поддержка SNMP.


  5. Централизованно управляемая модульная поддержка подключаемых модулей.


  6. Поддержка обнаружения вторжений и оповещения


  7. Регистрация пакетов и встроенный ведущий сниффер.


  8. Комплексное обнаружение атак.


  9. Разработанные модули вывода, обеспечивающие всесторонние возможности ведения журналов.


  10. Поддержка пользователей в списках рассылки и по электронной почте.


Больше информации


5. Cisco IDS


Это решение основано на аппаратном обеспечении и управляется Cisco, что придает ему качественный внешний вид и поддерживает хорошо известную традицию Cisco производить хороший продукт.


Ниже приведен краткий обзор устройства Cisco IDS.




  1. Точные функции обнаружения неправомерного использования на предприятии позволяют снизить количество ложных срабатываний.


  2. Корпоративная масштабируемость, как и у всех продуктов Cisco.


  3. Система обнаружения вторжений в режиме реального времени, сообщающая о несанкционированных действиях и пресекающая их.


  4. Строгий анализ шаблонов, обнаруживающий любой уровень неправомерного использования.


  5. Хорошая производительность сети с надежной статистикой времени безотказной работы.


  6. Динамическое управление списками доступа маршрутизатора, адаптирующееся к привычкам злоумышленников.


  7. Центральное управление графическим интерфейсом.


  8. Удаленное управление.

  9. Уведомление о событиях по электронной почте включено.


Больше информации


6. Дракон


Какое комплексное решение для предприятия. Этот продукт обладает широкими возможностями настройки и уникальным образом отвечает специфическим требованиям безопасности в корпоративной среде. Этот модульный продукт поддерживает NIDS, управление серверами и событиями, мониторинг атак и отображение масштабируемой архитектуры. Это очень полное решение IDS с очень хорошо разработанным программным обеспечением и хорошо интегрированным мониторингом. Одна странность - цена.


Ниже приведен краткий обзор Dragon (версия для предприятий).




  1. Dragon поддерживает решение как NIDS, так и HIDS.


  2. Межплатформенная поддержка Windows, Linux, Solaris и AIX.


  3. Модульный и расширяемый.


  4. Централизованное управление мониторингом.


  5. Комплексный анализ и отчетность.


  6. Высокая масштабируемость, возможность настройки в соответствии со спецификациями предприятия.


  7. Эффективный мониторинг безопасности, интеграция с коммутаторами, брандмауэрами и маршрутизаторами.


  8. Составление исполнительной отчетности.


  9. Отличная частота обновления сигнатур и детальное обнаружение.


Больше информации


Резюме


По завершении этого упражнения стало очевидно, что в отрасли есть два основных претендента: Dragon NIDS от Enterasys и LANguard SELM от GFI Software. Эти продукты отлично зарекомендовали себя на рынке благодаря хорошим универсальным возможностям и отличной онлайн-поддержке. При поиске оценочного программного обеспечения не было проблем с получением образца для тестирования, и была хорошая интеграция с существующей сетевой инфраструктурой Windows. Стало понятно, почему эти продукты стали лидерами отрасли. Другие продукты, однако, не сильно отстают, но им не хватает преимуществ, которые есть у двух лучших. В будущем они могут догнать двух лучших к тому времени, и я уверен, что первые два продвинулись бы еще выше, установив темп на еще более высоком уровне.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023