什麼是入侵檢測系統
青藤雲安全,江湖人稱“藤廠”,憑藉領先的理念、技術和產品在網路安全圈逐步封神,久戰而立於不敗之地。為了讓更多人瞭解青藤、瞭解網路安全,筆者特開通此專欄,爭取用簡潔明瞭的語言講清楚晦澀難懂的網安知識。
第3事
拒絕伺服器“裸奔”
前幾天被問到這麼一個問題
主機這麼重要
為啥這幾年才開始關注主機側的入侵檢測呢
其實原因很簡單:壁壘深、投入大、風險高
絕大部分廠商都不願意去啃這塊硬骨頭
不過,青藤作為技術流代表
硬是把主機側的入侵檢測做成功了
此後,主機入侵檢測系統HIDS
才正式成為重要的主機安全產品之一
一、什麼是HIDS?
主機入侵檢測系統(HIDS)
就是基於主機的入侵檢測系統
對,這次不是基於網路側的入侵檢測了
而是基於主機側
它透過在被檢測的主機上執行一個Agent
該Agent扮演著檢測引擎的角色
對受檢測主機進行web後門、反彈shell、
本地提權、系統後門、挖礦木馬
及web RCE等監控和檢測
當發現可疑行為和安全違規事件時
系統就會向管理員報警,以便採取措施
二、為什麼要搞HIDS?
說白了,都是攻擊技術進化倒逼的
首先,網路入侵者花招百出,招招致命
其次,敵人有時候就在內部,防不勝防
最後,邊界防禦裝置能擋住的入侵越來越少
形同虛設
而想要確保網路的安全
光靠網路入侵檢測系統(NIDS)
和防火牆(FW)是遠遠不夠的
而是要從最核心的主機著手進行安全防護
這就需要專門為主機量身定製的
HIDS無時不在的防護
三、HIDS的技術壁壘在哪裡?
如此先進、專業、吊炸天的HIDS
是不是所有網安人的“夢中情品”嘞
雖然現在號稱有HIDS廠商眾多
但大部分產品都存在這樣或那樣的問題
很難滿足使用者的真實訴求
要麼是漏報太多,形同虛設
十個有九個都不發出告警
那這樣的HIDS幾乎等於白裝
要麼告警鋪天蓋地,難辨真假
安全人員一天少說也得接到好幾百條告警
但絕大部分告警都毫無意義
因為壓根沒人有時間管它
更可怕的是
這些誤報甚至會淹沒真正有價值的告警
要麼就是基於特徵庫,檢測不到未知威脅
有的HIDS產品是“憨憨”
只能根據已經設定好的特徵庫
來檢測威脅
而面對特徵庫裡沒有輸入的威脅種類時
它就成了“睜眼瞎”
四、萬相,HIDS產品中的王炸
俗話說
關關難過關關過
拒絕躺平,人人有責
青藤本著主機安全領域引領者的自覺性
針對以上種種難題放了一個大招
自研了一款高效且功能全面的HIDS產品
青藤萬相
與其他HIDS產品相比
青藤萬相牛批得可不是一點點
1、多錨點的檢測能力,減少漏報
對攻擊路徑的
每個節點
都進行監控
並提供跨平臺多系統的支援能力
保證了能實時發現失陷主機
對入侵行為進行告警
2、檢測並告警“成功的入侵”,抓住重點
只對成功的入侵行為發出告警
減少警報數量,讓警報更有價值
3、基於行為分析,有效發現未知手段的攻擊
結合專家經驗、威脅情報、大資料、 機器學習等
多種分析方法
透過對使用者主機環境的實時監控和深度瞭解
有效發現包括“0Day”在內的各種未知攻擊
4、結合資產資訊,為響應提供最準確的一線資訊
萬相不只能發現入侵
還能夠提供詳細的入侵分析和響應手段
讓使用者精準有效地解決問題
將主機上的實時入侵事件
發給SOC/SIEM平臺進行聯動
此外,萬相的最新版本具備防護能力
提供程序阻斷、IP封禁、檔案隔離/刪除等服務
不過這些功能預設不開啟
使用者可根據實際需要自行操作
萬相的這些獨門絕技
讓主機入侵檢測實現
低漏報、低誤報、主動檢測未知威脅、
實時聯動安全平臺
備受各行各業青睞
如果你有任何關於
入侵檢測或網路安全的需求與疑問
可以在評論區留言或者私聊作者。