入侵检测系统(IDS)不可或缺,可用于监视网络、标记可疑活动或自动阻止潜在恶意流量。以下5款IDS可称之为开源IDS首选。
作为网络安全专业人士,阻止攻击者访问公司网络是我们的职责,但随着移动设备、分布式团队和物联网的兴起,保护网络边界这个任务的困难度呈指数级增加。令人沮丧的现实是,攻击者有时候确实能成功侵入公司网络,而安全团队发现攻击的用时越长,数据泄露的损失就越大。
在健壮的事件响应计划支撑基础上引入入侵检测系统(IDS),可以有效减少数据泄露的潜在危害。
IDS通常分为两类:基于特征码的IDS——扫描已知恶意流量模式并在发现时发出警报;基于异常的IDS——监测基线以暴露偏离基准的异常情况。
若想全面防护公司数据和系统,IDS应部署在网络的各个角落,从内部服务器到数据中心到公共云环境都应有IDS的身影。值得指出的是,IDS还可揭示员工的逾矩行为,包括内部人威胁和磨洋工情形,比如整天在工作电脑上看片或聊微信、QQ。
幸运的是,市场上不仅有商业版的IDS,还有很多开源IDS可供选择,比如下面5款:
1. Snort
作为IDS事实上的业界标准,Snort是个非常有价值的工具。该Linux实用工具很便于部署,且可配置多种功能,比如监视网络流量找寻入侵尝试,记录入侵日志,以及在检测到入侵尝试时采取特定动作。这是一款被广泛部署的IDS工具,且可作为入侵防御系统(IPS)使用。
Snort的历史可追溯至1998年,且历久弥新,有活跃的社区在提供有力支持。虽然既没有图形用户界面(GUI),也缺乏管理控制面板,但你可以利用其他开源工具来补足这个缺陷,比如Snorby或Base。Snort的高度定制性为各种类型的公司企业和组织提供了很多选择。
如果出于某种原因你不想用Snort,那Suricata也是个不错的选项。
2. Bro
Bro拥有可将流量转化为一系列事件的分析引擎,能够检测可疑特征码和异常。用户还可利用Bro-Script编写策略引擎任务,自动化执行更多工作。比如说,该工具可以自动化下载检测到的可疑文件,将之发去分析,在发现异常情况时通知相关人员,并将可疑文件来源加入黑名单,关停下载了该文件的设备。
Bro的缺点在于其陡峭的学习曲线和复杂的设置,用户想要发挥出它的最大价值需经历相对痛苦的摸索阶段。不过,Bro社区还在发展壮大,日益提供更多的帮助,而且Bro能够检测到其他入侵检测工具可能漏掉的异常和模式。
3. Kismet
Kismet可谓无线IDS的标准,是大多数公司的基本工具。该工具专注无线协议,包括WiFi和蓝牙,能够追踪员工很容易意外创建的未授权接入点。Kismet能检测默认网络或配置漏洞,还可以跳频,但其搜索网络的耗时有点长,能获得最佳结果的范围也有限。
Kismet可应用在安卓和iOS平台上,但对Windows支持不足。它有多种API可供集成其他工具,且可为高工作负载提供多线程包解码功能。最近还推出了全新的Web用户界面,附带扩展插件支持。
4. OSSEC
在基于主机的IDS(HIDS)领域,OSSEC是目前功能最全的选择。OSSEC扩展性强,且支持绝大部分操作系统,包括Windows、Linux、Mac OS、Solaris等。其客户端/服务器架构会向中心服务器发送警报和日志以供分析。这意味着即便主机系统掉线或被黑客入侵,警报也能发出。该架构还减轻了工具部署的工作量,因为可以集中管理多个代理。
OSSEC安装很小,运行时对系统资源几乎没有影响。该工具定制化程度很高,可被配置成实时自动化操作模式。OSSEC社区很强大,有很多资源可以利用。
如果对中心服务器有所顾虑,还可以考虑 Samhain Labs ,这款工具也是基于主机的,但提供多种输出方式。
5. Open DLP
数据防泄漏(DLP)就是该款工具的主要目的。该攻击可以全面扫描数据,无论数据是存在数据库中还是存放在文件系统里。 Open DLP 会搜索与公司相关的敏感数据以发现数据的未授权复制和传输。这对防御恶意内部人或粗心大意的员工往外部发送数据很有用。该工具在Windows系统上运行良好,也支持Linux,且可通过代理部署,或作为无代理工具使用。
底线
如您所见,有很多很好的免费开源IDS可供选择,上面列出的还只是其中很少的一部分,不过,这5款工具是个不错的开端。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】