5 herramientas para detección de intrusos de código abierto que son demasiado buenas para ignorar
Todos deben emplear un sistema de detección de intrusos (IDS) para monitorear su red y marcar cualquier actividad sospechosa o apagar automáticamente el tráfico potencialmente malicioso. Nos fijamos en cinco de las mejores opciones de código abierto.
Como profesionales de la ciberseguridad, tratamos de evitar que los atacantes obtengan acceso a nuestras redes, pero proteger los perímetros que han crecido exponencialmente con el aumento de dispositivos móviles, equipos distribuidos e Internet de las cosas (IoT) no es fácil. Lo desagradable de la verdad es que a veces los atacantes van a atravesar y el costo de una violación de datos aumenta a medida que se tarda en descubrir el ataque.
Al emplear un sistema sólido de detección de intrusiones (IDS) respaldado por un sólido plan de respuesta a incidentes, puede reducir el daño potencial de una infracción.
Encontrará que los IDS normalmente se dividen en dos grupos: hay IDS basados en firmas, que analizan en busca de patrones de tráfico maliciosos conocidos y alertas cuando los descubre, y hay IDS basados en anomalías, que analizan las líneas de base en lugar de las firmas para exponer las desviaciones De la norma.
Es crucial implementar IDS en su red, desde servidores internos a centros de datos a entornos de nube pública si desea proteger sus datos y sistemas. Vale la pena señalar que IDS también puede revelar un mal comportamiento por parte de sus empleados, que abarca amenazas internas y la simple pereza en forma de streaming de Netflix todo el día o chatear en Facebook Messenger.
Afortunadamente, hay muchas herramientas de detección de intrusiones de código abierto que vale la pena revisar y tenemos cinco ejemplos para usted aquí.
Al emplear un sistema sólido de detección de intrusiones (IDS) respaldado por un sólido plan de respuesta a incidentes, puede reducir el daño potencial de una infracción.
Encontrará que los IDS normalmente se dividen en dos grupos: hay IDS basados en firmas, que analizan en busca de patrones de tráfico maliciosos conocidos y alertas cuando los descubre, y hay IDS basados en anomalías, que analizan las líneas de base en lugar de las firmas para exponer las desviaciones De la norma.
Es crucial implementar IDS en su red, desde servidores internos a centros de datos a entornos de nube pública si desea proteger sus datos y sistemas. Vale la pena señalar que IDS también puede revelar un mal comportamiento por parte de sus empleados, que abarca amenazas internas y la simple pereza en forma de streaming de Netflix todo el día o chatear en Facebook Messenger.
Afortunadamente, hay muchas herramientas de detección de intrusiones de código abierto que vale la pena revisar y tenemos cinco ejemplos para usted aquí.
1. Snort
Como el estándar de facto para IDS, Snort es una herramienta extremadamente valiosa. Esta utilidad de Linux es fácil de implementar y puede configurarse para monitorear el tráfico de red en busca de intentos de intrusión, registrarlos y tomar una acción específica cuando se detecta un intento de intrusión. Es una de las herramientas IDS más implementadas y también actúa como un sistema de prevención de intrusos (IPS).
Snort se remonta a 1998 y no muestra signos de desaparecer, con una comunidad activa y muy útil que brinda un gran apoyo. No hay GUI aquí y carece de una consola administrativa, pero puedes enganchar otra herramienta de código abierto como Snorby o Base para cerrar esa brecha. El alto nivel de personalización que ofrece Snort es una excelente opción para muchas organizaciones diferentes.
Si no quieres usar Snort por alguna razón, Suricata es una alternativa fuerte.
Como el estándar de facto para IDS, Snort es una herramienta extremadamente valiosa. Esta utilidad de Linux es fácil de implementar y puede configurarse para monitorear el tráfico de red en busca de intentos de intrusión, registrarlos y tomar una acción específica cuando se detecta un intento de intrusión. Es una de las herramientas IDS más implementadas y también actúa como un sistema de prevención de intrusos (IPS).
Snort se remonta a 1998 y no muestra signos de desaparecer, con una comunidad activa y muy útil que brinda un gran apoyo. No hay GUI aquí y carece de una consola administrativa, pero puedes enganchar otra herramienta de código abierto como Snorby o Base para cerrar esa brecha. El alto nivel de personalización que ofrece Snort es una excelente opción para muchas organizaciones diferentes.
Si no quieres usar Snort por alguna razón, Suricata es una alternativa fuerte.
2. Bro
Alimentado por un motor de análisis que convierte el tráfico en una serie de eventos, Bro puede detectar firmas sospechosas y anomalías. Puede utilizar Bro-Script para crear tareas para el motor de políticas, lo que hace que esta sea una opción poderosa para cualquiera que desee automatizar más trabajo. Por ejemplo, esta herramienta es capaz de descargar automáticamente los archivos sospechosos que detecta en la red, enviarlos para su análisis, notificar a las personas relevantes si se descubre algo extraño, poner en lista negra la fuente y apagar el dispositivo que lo descargó.
El inconveniente de Bro es que hay una curva de aprendizaje empinada para extraer el mayor valor posible y puede resultar complicado de configurar. Sin embargo, la comunidad está creciendo y brindando más ayuda día a día y Bro es capaz de detectar anomalías y patrones que otras herramientas de detección de intrusos pueden pasar por alto.
Alimentado por un motor de análisis que convierte el tráfico en una serie de eventos, Bro puede detectar firmas sospechosas y anomalías. Puede utilizar Bro-Script para crear tareas para el motor de políticas, lo que hace que esta sea una opción poderosa para cualquiera que desee automatizar más trabajo. Por ejemplo, esta herramienta es capaz de descargar automáticamente los archivos sospechosos que detecta en la red, enviarlos para su análisis, notificar a las personas relevantes si se descubre algo extraño, poner en lista negra la fuente y apagar el dispositivo que lo descargó.
El inconveniente de Bro es que hay una curva de aprendizaje empinada para extraer el mayor valor posible y puede resultar complicado de configurar. Sin embargo, la comunidad está creciendo y brindando más ayuda día a día y Bro es capaz de detectar anomalías y patrones que otras herramientas de detección de intrusos pueden pasar por alto.
3. Kismet
Como el estándar para IDS inalámbricos, Kismet es una herramienta esencial para la mayoría de las empresas. Se centra en los protocolos inalámbricos, incluyendo Wi-Fi y Bluetooth, y rastrea los puntos de acceso no autorizados, que son demasiado fáciles de crear por accidente para los empleados. Puede detectar redes predeterminadas o brechas de configuración y puede saltar canales, pero lleva mucho tiempo buscar redes y tiene un rango limitado para obtener los mejores resultados.
Kismet se ejecutará en varias plataformas diferentes, incluyendo Android e iOS, pero el soporte de Windows es limitado. Existen varias API para integrar herramientas adicionales y ofrece decodificación de paquetes multiproceso para mayores cargas de trabajo. Recientemente obtuvo una nueva interfaz de usuario basada en web con soporte extendido de plug-in.
Como el estándar para IDS inalámbricos, Kismet es una herramienta esencial para la mayoría de las empresas. Se centra en los protocolos inalámbricos, incluyendo Wi-Fi y Bluetooth, y rastrea los puntos de acceso no autorizados, que son demasiado fáciles de crear por accidente para los empleados. Puede detectar redes predeterminadas o brechas de configuración y puede saltar canales, pero lleva mucho tiempo buscar redes y tiene un rango limitado para obtener los mejores resultados.
Kismet se ejecutará en varias plataformas diferentes, incluyendo Android e iOS, pero el soporte de Windows es limitado. Existen varias API para integrar herramientas adicionales y ofrece decodificación de paquetes multiproceso para mayores cargas de trabajo. Recientemente obtuvo una nueva interfaz de usuario basada en web con soporte extendido de plug-in.
4. OSSEC
Pasando a IDS basado en host, o HIDS, llegamos a OSSEC, que es, con mucho, la opción HIDS más completa. Es muy extensible y se ejecuta en la mayoría de los principales sistemas operativos, incluidos Windows, Linux, Mac OS, Solaris y más. Tiene una arquitectura cliente / servidor que envía alertas y registros a un servidor centralizado para su análisis. Eso significa que las alertas pasarán incluso si el sistema host queda sin conexión o está completamente comprometido. Esta arquitectura también facilita la implementación porque permite la administración central de múltiples agentes.
Es un instalador pequeño y tiene un impacto muy leve en los recursos del sistema una vez que está en funcionamiento. También es muy personalizable y puede configurarse para actuar en tiempo real automáticamente. Hay una gran comunidad en torno a OSSEC y un montón de recursos para sumergirse en.
Si la idea de un servidor central le da una pausa, entonces podría considerar Samhain Labs como una alternativa que también se basa en el host, pero ofrece múltiples métodos de salida del agente.
Pasando a IDS basado en host, o HIDS, llegamos a OSSEC, que es, con mucho, la opción HIDS más completa. Es muy extensible y se ejecuta en la mayoría de los principales sistemas operativos, incluidos Windows, Linux, Mac OS, Solaris y más. Tiene una arquitectura cliente / servidor que envía alertas y registros a un servidor centralizado para su análisis. Eso significa que las alertas pasarán incluso si el sistema host queda sin conexión o está completamente comprometido. Esta arquitectura también facilita la implementación porque permite la administración central de múltiples agentes.
Es un instalador pequeño y tiene un impacto muy leve en los recursos del sistema una vez que está en funcionamiento. También es muy personalizable y puede configurarse para actuar en tiempo real automáticamente. Hay una gran comunidad en torno a OSSEC y un montón de recursos para sumergirse en.
Si la idea de un servidor central le da una pausa, entonces podría considerar Samhain Labs como una alternativa que también se basa en el host, pero ofrece múltiples métodos de salida del agente.
5. Open DLP
La prevención de pérdida de datos (DLP) es el objetivo del juego para esta herramienta. Es capaz de escanear sus datos mientras está en reposo en bases de datos o en sistemas de archivos. Open DLP buscará datos confidenciales relacionados con su organización para descubrir la copia y transmisión no autorizadas de esos datos. Esto puede ser excelente para encontrar información privilegiada maliciosa o empleados incompetentes que envían datos que no deberían. Funciona bien en Windows, pero también es compatible con Linux y puede implementarse a través de agentes o como una herramienta sin agente.
Como puede ver, hay muchas excelentes herramientas gratuitas de detección de intrusiones de código abierto para elegir y de ninguna manera es una lista exhaustiva, pero estas cinco opciones son un buen lugar para comenzar.
Fuente: https://www.csoonline.com
La prevención de pérdida de datos (DLP) es el objetivo del juego para esta herramienta. Es capaz de escanear sus datos mientras está en reposo en bases de datos o en sistemas de archivos. Open DLP buscará datos confidenciales relacionados con su organización para descubrir la copia y transmisión no autorizadas de esos datos. Esto puede ser excelente para encontrar información privilegiada maliciosa o empleados incompetentes que envían datos que no deberían. Funciona bien en Windows, pero también es compatible con Linux y puede implementarse a través de agentes o como una herramienta sin agente.
Como puede ver, hay muchas excelentes herramientas gratuitas de detección de intrusiones de código abierto para elegir y de ninguna manera es una lista exhaustiva, pero estas cinco opciones son un buen lugar para comenzar.
Fuente: https://www.csoonline.com