Redes

Los 6 mejores sistemas de detección de intrusiones basados ​​en host (HIDS) en 2020

No quisiera sonar demasiado paranoico, aunque probablemente lo haga, pero la ciberdelincuencia está en todas partes. Todas las organizaciones pueden convertirse en el objetivo de los piratas informáticos que intentan acceder a sus datos. Por lo tanto, es primordial vigilar las cosas y garantizar que no seamos víctimas de estos individuos malintencionados. La primera línea de defensa es un sistema de detección de intrusiones . Los sistemas basados ​​en host aplican su detección a nivel de host y normalmente detectarán la mayoría de los intentos de intrusión rápidamente y le notificarán de inmediato para que pueda remediar la situación.Con tantos sistemas de detección de intrusos basados ​​en host disponibles, elegir el mejor para su situación específica puede parecer un desafío. Para ayudarlo a ver con claridad, hemos reunido una lista de algunos de los mejores sistemas de detección de intrusos basados ​​en host.

>Antes>Algunos están basados ​​en host, mientras que otros están basados ​​en red. Explicaremos las diferencias. Luego, discutiremos los diferentes métodos de detección de intrusos. Algunas herramientas tienen un enfoque basado en firmas, mientras que otras buscan comportamientos sospechosos. Los mejores usan una combinación de ambos. Antes de continuar, explicaremos las diferencias entre los sistemas de detección de intrusos y de prevención de intrusiones, ya que es importante comprender lo que estamos viendo. Entonces estaremos listos para la esencia de esta publicación, los mejores sistemas de detección de intrusiones basados ​​en host.

Dos tipos de sistemas de detección de intrusos

Básicamente, existen dos tipos de sistemas de detección de intrusiones. Si bien su objetivo es idéntico: detectar rápidamente cualquier intento de intrusión o actividad sospechosa que pueda conducir a un intento de intrusión, difieren en la ubicación donde se realiza esta detección. Este es un concepto que a menudo se denomina punto de cumplimiento. Cada tipo tiene ventajas y desventajas y, en términos generales, no hay consenso sobre cuál es preferible. De hecho, la mejor solución, o la más segura, es probablemente una que combine ambas.

Sistemas de detección de intrusiones en el host (HIDS)

El primer tipo de sistema de detección de intrusiones, el que nos interesa hoy, opera a nivel de host. Puede que lo hayas adivinado por su nombre. HIDS verifica, por ejemplo, varios archivos de registro y diarios en busca de signos de actividad sospechosa. Otra forma en que detectan intentos de intrusión es verificando archivos de configuración importantes en busca de cambios no autorizados. También pueden examinar los mismos archivos de configuración en busca de patrones de intrusión conocidos específicos. Por ejemplo, se puede saber que un método de intrusión particular funciona agregando un determinado parámetro a un archivo de configuración específico. Un buen sistema de detección de intrusos basado en host lo captaría.

La mayoría de las veces, los HIDS se instalan directamente en los dispositivos que deben proteger. Deberá instalarlos en todas sus computadoras. Otros solo requerirán la instalación de un agente local. Algunos incluso hacen todo su trabajo de forma remota. No importa cómo operen, los buenos HIDS tienen una consola centralizada donde puedes controlar la aplicación y ver sus resultados.

Sistemas de detección de intrusiones en la red (NIDS)

Otro tipo de sistema de detección de intrusiones llamado sistemas de detección de intrusos en la red, o NIDS, trabaja en la frontera de la red para hacer cumplir la detección. Utilizan métodos similares a los sistemas de detección de intrusiones de host, como la detección de actividades sospechosas y la búsqueda de patrones de intrusión conocidos. Pero en lugar de mirar los registros y los archivos de configuración, observan el tráfico de la red y examinan todas las solicitudes de conexión. Algunos métodos de intrusión explotan vulnerabilidades conocidas enviando paquetes deliberadamente mal formados a los hosts, haciéndolos reaccionar de una manera particular que les permite ser violados. Un sistema de detección de intrusiones en la red detectaría fácilmente este tipo de intento.

Algunos argumentan que los NIDS son mejores que los HIDS, ya que detectan ataques incluso antes de que lleguen a sus sistemas. Algunos los prefieren porque no requieren que se instale nada en cada host para protegerlos de manera efectiva. Por otro lado, brindan poca protección contra ataques internos que, lamentablemente, no son infrecuentes. Para ser detectado, un atacante debe utilizar una ruta que pase a través del NIDS. Por estas razones, la mejor protección probablemente proviene del uso de una combinación de ambos tipos de herramientas.

Métodos de detección de intrusiones

Al igual que existen dos tipos de herramientas de detección de intrusos, existen principalmente dos métodos diferentes que se utilizan para detectar intentos de intrusión. La detección podría estar basada en firmas o podría estar basada en anomalías. La detección de intrusiones basada en firmas funciona mediante el análisis de datos en busca de patrones específicos que se han asociado con intentos de intrusión. Esto es similar a los sistemas de protección antivirus tradicionales que se basan en definiciones de virus. Del mismo modo, la detección de intrusiones basada en firmas se basa en firmas o patrones de intrusión. Comparan datos con firmas de intrusión para identificar intentos. Su principal inconveniente es que no funcionan hasta que se cargan las firmas adecuadas en el software. Desafortunadamente, esto suele suceder sólo después de que un determinado número de máquinas hayan sido atacadas y los editores de firmas de intrusión hayan tenido tiempo de publicar nuevos paquetes de actualización. Algunos proveedores son bastante rápidos, mientras que otros solo pudieron reaccionar días después.

La detección de intrusiones basada en anomalías, el otro método, proporciona una mejor protección contra los ataques de día cero, aquellos que ocurren antes de que cualquier software de detección de intrusiones haya tenido la oportunidad de adquirir el archivo de firma adecuado. Estos sistemas buscan anomalías en lugar de intentar reconocer patrones de intrusión conocidos. Por ejemplo, podrían activarse si alguien intenta acceder a un sistema con una contraseña incorrecta varias veces seguidas, un signo común de un ataque de fuerza bruta. Cualquier comportamiento sospechoso se puede detectar rápidamente. Cada método de detección tiene sus ventajas y desventajas. Al igual que con los tipos de herramientas, las mejores herramientas son aquellas que usan una combinación de análisis de firma y comportamiento para la mejor protección.

Detección frente a prevención: una distinción importante

Hemos hablado de los sistemas de detección de intrusiones, pero es posible que muchos de ustedes hayan oído hablar de los sistemas de prevención de intrusiones. ¿Son los dos conceptos idénticos? La respuesta fácil es no, ya que los dos tipos de herramientas tienen un propósito diferente. Sin embargo, existe cierta superposición entre ellos. Como su nombre lo indica, el sistema de detección de intrusos detecta intentos de intrusión y actividades sospechosas. Cuando detecta algo, normalmente activa algún tipo de alerta o notificación. Luego, los administradores deben tomar las medidas necesarias para detener o bloquear el intento de intrusión.

Los sistemas de prevención de intrusiones (IPS) están diseñados para evitar que ocurran intrusiones por completo. Los IPS activos incluyen un componente de detección que activará automáticamente alguna acción correctiva cada vez que se detecte un intento de intrusión. La prevención de intrusiones también puede ser pasiva. El término se puede utilizar para referirse a cualquier cosa que se haga o se ponga en marcha como una forma de prevenir intrusiones. El endurecimiento de la contraseña, por ejemplo, puede considerarse una medida de prevención de intrusiones.

Las mejores herramientas de detección de intrusiones en el host

Hemos buscado en el mercado los mejores sistemas de detección de intrusos basados ​​en host. Lo que tenemos para usted es una combinación de verdadero HIDS y otro software que, aunque no se llaman a sí mismos sistemas de detección de intrusos, tienen un componente de detección de intrusos o pueden usarse para detectar intentos de intrusión. Revisemos nuestras mejores opciones y echemos un vistazo a sus mejores características.

1. SolarWinds Log & Event Manager (prueba gratuita)

Nuestra primera entrada es de SolarWinds, un nombre común en el campo de las herramientas de administración de redes. La compañía ha existido durante unos 20 años y nos ha traído algunas de las mejores herramientas de administración de redes y sistemas. También es bien conocido sus muchas herramientas gratuitas que abordan algunas necesidades específicas de los administradores de red. Dos excelentes ejemplos de estas herramientas gratuitas son Kiwi Syslog Server y Advanced Subnet Calculator.

No se deje engañar por el nombre de SolarWinds Log & Event Manager . Es mucho más que un sistema de gestión de registros y eventos. Muchas de las características avanzadas de este producto lo colocan en el rango de Gestión de Eventos e Información de Seguridad (SIEM). Otras características lo califican como un sistema de detección de intrusiones e incluso, en cierta medida, como un sistema de prevención de intrusiones. Esta herramienta presenta correlación de eventos en tiempo real y remediación en tiempo real, por ejemplo.

>>PRUEBA GRATUITA: SolarWinds Log & Event Manager

  • Enlace de descarga oficial: https://www.solarwinds.com/log-event-manager-software/registration
  • El Log & Event Manager SolarWinds ofrece detección instantánea de actividades sospechosas (un IDS-como funcionalidad) y respuestas automatizadas (a IPS-como la funcionalidad). También puede realizar investigación de eventos de seguridad y análisis forense con fines de mitigación y cumplimiento. Gracias a sus informes comprobados por auditorías, la herramienta también se puede utilizar para demostrar el cumplimiento de HIPAA, PCI-DSS y SOX, entre otros. La herramienta también tiene monitoreo de integridad de archivos y monitoreo de dispositivos USB, lo que la convierte en una plataforma de seguridad integrada mucho más que un sistema de administración de registros y eventos.

    El precio de SolarWinds Log & Event Manager comienza en $ 4,585 para hasta 30 nodos monitoreados. Se pueden comprar licencias para hasta 2500 nodos, lo que hace que el producto sea altamente escalable. Si desea probar el producto y comprobar por sí mismo si es adecuado para usted, hay disponible una prueba gratuita de 30 días con todas las funciones .

    2. OSSEC

    Open Source Security , o OSSEC , es, con mucho, el principal sistema de detección de intrusos basado en host de código abierto. El producto es propiedad de Trend Micro, uno de los nombres líderes en seguridad de TI y fabricante de una de las mejores suites de protección antivirus. Cuando se instala en sistemas operativos similares a Unix, el software se centra principalmente en los archivos de registro y configuración. Crea sumas de verificación de archivos importantes y los valida periódicamente, alertándote cada vez que sucede algo extraño. También monitoreará y alertará sobre cualquier intento anormal de obtener acceso de root. En los hosts de Windows, el sistema también está atento a las modificaciones de registro no autorizadas que podrían ser un signo revelador de actividad maliciosa.

    >Debido>OSSEC debe instalarse en cada computadora que desee proteger. Sin embargo, una consola centralizada consolida la información de cada computadora protegida para facilitar la administración. Si bien la consola OSSEC solo se ejecuta en sistemas operativos similares a Unix, hay un agente disponible para proteger los hosts de Windows. Cualquier detección activará una alerta que se mostrará en la consola centralizada, mientras que las notificaciones también se enviarán por correo electrónico.

    3. Samhain

    Samhain es otro conocido sistema gratuito de detección de intrusiones de host. Sus principales características, desde el punto de vista de IDS, son la verificación de la integridad de los archivos y la supervisión / análisis de los archivos de registro. Sin embargo, hace mucho más que eso. El producto realizará la detección de rootkits, la supervisión de puertos, la detección de ejecutables SUID no autorizados y de procesos ocultos. La herramienta fue diseñada para monitorear múltiples hosts que ejecutan varios sistemas operativos al mismo tiempo que proporciona registro y mantenimiento centralizados. Sin embargo, Samhain también se puede utilizar como una aplicación independiente en una sola computadora. El software se ejecuta principalmente en sistemas POSIX como Unix, Linux u OS X. También se puede ejecutar en Windows bajo Cygwin, un paquete que permite ejecutar aplicaciones POSIX en Windows, aunque solo el agente de monitoreo ha sido probado en esa configuración.

    >Una>las características más exclusivas de Samhain es su modo sigiloso que le permite funcionar sin ser detectado por posibles atacantes. Se sabe que los intrusos eliminan rápidamente los procesos de detección que reconocen tan pronto como ingresan a un sistema antes de ser detectados, lo que les permite pasar desapercibidos. Samhain utiliza técnicas esteganográficas para ocultar sus procesos a los demás. También protege sus archivos de registro central y las copias de seguridad de la configuración con una clave PGP para evitar alteraciones.

    4. Fail2Ban

    Fail2Ban es un sistema de detección de intrusiones de host de código abierto y gratuito que también presenta algunas capacidades de prevención de intrusiones. La herramienta de software monitorea los archivos de registro para detectar actividades y eventos sospechosos, como intentos fallidos de inicio de sesión, búsqueda de exploits, etc.La acción predeterminada de la herramienta, siempre que detecta algo sospechoso, es actualizar automáticamente las reglas del firewall local para bloquear la dirección IP de origen del comportamiento malicioso. En realidad, esto no es una verdadera prevención de intrusiones, sino más bien un sistema de detección de intrusiones con funciones de reparación automática. Lo que acabamos de describir es la acción predeterminada de la herramienta, pero también se puede configurar cualquier otra acción arbitraria, como enviar notificaciones por correo electrónico, para que se comporte como un sistema de detección de intrusos más “clásico”.

    >Fail2Ban>La prevención, como explicamos, se lleva a cabo modificando las tablas de firewall del host. La herramienta puede funcionar con Netfilter, IPtables o la tabla hosts.deny de TCP Wrapper. Cada filtro se puede asociar con una o varias acciones.

    5. AYUDA

    El Entorno de detección avanzada de intrusiones , o AIDE , es otro sistema gratuito de detección de intrusiones en el host. Este se centra principalmente en la detección de rootkits y las comparaciones de firmas de archivos. Cuando lo instale inicialmente, la herramienta compilará una especie de base de datos de datos de administración a partir de los archivos de configuración del sistema. Esta base de datos se puede utilizar como una línea de base con la que se puede comparar cualquier cambio y eventualmente revertir si es necesario.

    >AIDE>Esta es una herramienta que se ejecuta a pedido y no está programada ni se ejecuta continuamente. De hecho, este es el principal inconveniente del producto. Sin embargo, dado que es una herramienta de línea de comandos en lugar de estar basada en GUI, se puede crear un trabajo cron para ejecutarlo a intervalos regulares. Si elige ejecutar la herramienta con frecuencia, por ejemplo, una vez por minuto, casi obtendrá datos en tiempo real y tendrá tiempo para reaccionar antes de que cualquier intento de intrusión haya ido demasiado lejos y haya causado mucho daño.

    En esencia, AIDE es solo una herramienta de comparación de datos, pero con la ayuda de algunos scripts programados externos, se puede convertir en un verdadero HIDS. Sin embargo, tenga en cuenta que esta es esencialmente una herramienta local. No tiene administración centralizada ni GUI sofisticada.

    6. Sagan

    El último en nuestra lista es Sagan , que en realidad es más un sistema de análisis de registros que un verdadero IDS. Sin embargo, tiene algunas características similares a las de IDS, por lo que merece un lugar en nuestra lista. La herramienta observa localmente los archivos de registro del sistema donde está instalada, pero también puede interactuar con otras herramientas. Podría, por ejemplo, analizar los registros de Snort, agregando efectivamente la funcionalidad NIDS de Snort a lo que es esencialmente un HIDS. No solo interactuará con Snort. Sagan también puede interactuar con Suricata y es compatible con varias herramientas de creación de reglas como Oinkmaster o Pulled Pork.

    >Sagan>Aunque es probable que esta herramienta no se utilice como su única defensa contra la intrusión, puede ser un gran componente de un sistema que puede incorporar muchas herramientas al correlacionar eventos de diferentes fuentes.

    Publicaciones relacionadas

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Botón volver arriba