¿Existe una IDS basada en patrones de proceso?

Navega tus respuestas
3

Después de leer lo que Metasploit es capaz de hacer, mis pelos grises obtuvieron aún más.

Según tengo entendido, los métodos de ataque actuales se están realizando sin alterar ningún archivo en un sistema de archivos, lo que hace que el HIDS basado en archivos sea inútil.

Así que mi idea fue: ¿Qué pasa con el enfoque de lista negra? ¿Existe una herramienta IDS (OpenSource) por ahí que simplemente monitorea lo que está sucediendo en el sistema (p. Ej., Busca en ps output) y suena una alarma si algo extraño está sucediendo allí (p. Ej., Un niño httpd forking a shell)?

    
pregunta Nils 18.04.2012 - 22:52
fuente

3 respuestas

3

La lista blanca se considera una buena práctica. Se sabe que las listas negras siempre son un "método posterior al hecho" que deja a su sistema vulnerable. Un poco de un administrador de Linux puede configurar SELinux o Apparmor. Hay una gran cantidad de documentos y tutoriales disponibles al respecto. No son imo extremadamente complejos, solo necesitas estar dispuesto a aprenderlo.

Hay HIDS disponibles como OSSEC que le permiten implementar dichas reglas (con algunas secuencias de comandos adicionales). También lo uso en todas mis máquinas Linux, pero no reemplaza apparmor o SELinux ni remotamente.

Puede sonar un poco grosero, pero si quieres seguridad, no puedes ser perezoso.

    
respondido por el Lucas Kauffman 19.04.2012 - 00:34
fuente
3

Sí, hay IDS que llevan a cabo no solo la comparación de patrones (mal comportamiento conocido) sino también el análisis heurístico (parece mal comportamiento o no parece buen comportamiento)

Como capa, son extremadamente útiles, ya que pueden encontrar nuevos tipos de ataques, sin embargo, requieren una gran cantidad de ajustes, no detectarán ataques que cambien lentamente durante largos períodos de tiempo y pueden proporcionar muchos falsos positivos.

Si la seguridad es clave para usted, considere seriamente la inclusión en listas blancas (puede reducir su riesgo de manera significativa) y las dos que menciona no son tan complejas de mantener.

    
respondido por el Rory Alsop 19.04.2012 - 12:59
fuente
3

Creo que la mejor manera de responder a tu pregunta es alentarte a que hagas una pregunta diferente.

Parece que has asumido que la mejor manera de defenderse contra los problemas de seguridad es usar un IDS. Entiendo por qué podría haber hecho esa suposición, dado el bombo que rodea a los IDS . Pero en realidad, esa suposición no es válida: los IDS no son la mejor manera de proteger su sistema, y no recomendaría confiar en un IDS como su principal línea de defensa. La mejor forma de proteger su sistema incluye varias defensas, como reforzar su sistema, activar las actualizaciones automáticas de software, habilitar un firewall y utilizar buenas prácticas.

Aquí hay algunos recursos para proteger su máquina Linux:

Deben proporcionarte un montón de punteros donde puedes obtener más información.

    
respondido por el D.W. 19.04.2012 - 21:39
fuente

Lea otras preguntas en las etiquetas

¿Es esto suficiente para un NIDS? ¿Ha intentado algún virus comprometer la base de datos antivirus?