I Sistemi di Rilevamento delle Intrusioni basati su Host (HIDS) sono applicazioni progettate per proteggere il computer da attività malevole. Essi analizzano il traffico in entrata e generano log relativi a malware, virus o altre attività sovversive.

Le reti hanno aperto numerose opportunità per le aziende; tuttavia, quanto più intensamente tali reti vengono utilizzate, tanto maggiore diventa il rischio di intrusioni all'interno dell'ambiente aziendale. È in questo contesto che sono emersi gli strumenti IDS, con l'obiettivo di risolvere tali problematiche e consentire alle imprese di sfruttare appieno i vantaggi delle reti.

Gli HIDS offrono visibilità sullo stato critico di un sistema informatico: monitorano il comportamento del sistema e inviano avvisi ogni qualvolta si verifichino attività anomale.

In questa trattazione verranno presentati i principali strumenti nell'ambito dei sistemi di rilevamento delle intrusioni basati su host.

I migliori 8 strumenti per sistemi di rilevamento delle intrusioni basati su host:

SolarWinds Security Event Manager

SolarWinds Security Event Manager è un software per la gestione delle informazioni e degli eventi di sicurezza (SIEM). Rappresenta un approccio solido, in grado di rilevare le minacce sia su un singolo host che sull'intera rete.

SolarWinds Security Event Manager raccoglie i log IDS, consentendo di individuare attività malevole e di acquisire informazioni sulla tipologia dell'attacco. Il sistema dispone inoltre di un meccanismo di allerta automatizzato e personalizzabile, che solleva le aziende dalla necessità di impiegare risorse per il monitoraggio manuale delle prestazioni.

Caratteristiche principali:

• Offre una raccolta centralizzata dei log e un processo di normalizzazione, garantendo un monitoraggio snello e approfondito.
• Rileva automaticamente le minacce e genera risposte a livello dell'intera infrastruttura di rete.
• È progettato per consentire agli utenti di interpretare e analizzare i dati dei log con estrema facilità.
• Fornisce una console di reportistica intuitiva, completa di modelli predefiniti per la conformità a standard quali PCI DSS, GLBA, NERC CIP, HIPAA, SOX e altri ancora.

Prezzo:

Lo strumento offre una prova gratuita della durata di 30 giorni.

IBM Security IDS

IBM è uno dei fornitori di soluzioni di sicurezza più longevi. Offre sistemi di rilevamento delle intrusioni sia basati sull'host che sulla rete.

La soluzione MaaS360 di IBM rileva le minacce in tempo reale, fornisce approfondimenti e suggerisce le soluzioni più appropriate. Integra la gestione degli endpoint, trattandosi di una soluzione basata su AI e cloud.

Pertanto, il suo sistema di sicurezza SaaS può contribuire a rilevare le minacce imminenti all'interno di un ambiente cloud.

Caratteristiche principali:

• Esegue un'analisi del rischio in tempo reale, basata sull'AI, per valutare l'impatto sui dispositivi e sugli utenti registrati.
• Protegge dati e applicazioni critici tramite la prevenzione della perdita dei dati (DLP) o l'autenticazione degli utenti per le aziende.
• Interviene direttamente nella difesa dalle minacce mobili grazie alla collaborazione con il provider Wandera. Offre protezione contro phishing, cryptojacking e altre minacce a carico di dispositivi, reti e applicazioni.

Prezzi:

I piani tariffari di IBM MaaS360 sono i seguenti:

Prova gratuita di 30 giorni.
Pacchetto Essentials – 4 $ al mese per dispositivo
Pacchetto Deluxe – 5 $ al mese per dispositivo
Pacchetto Premier – 6.25 $ al mese per dispositivo
Pacchetto Enterprise – 9 $ al mese per dispositivo

OSSEC

OSSEC è l'acronimo di Open Source HIDS Security. Si tratta del miglior sistema open source di rilevamento delle intrusioni basato sull'host (HIDS).

OSSEC è un HIDS scalabile e multipiattaforma, dotato di un potente motore di correlazione e analisi. Consente di eseguire le normali operazioni HIDS integrando un sistema di risposta attiva.

OSSEC è in costante espansione, con oltre 500.000 download all'anno. Grandi aziende, PMI, enti governativi e altre organizzazioni lo utilizzano sia in locale (on-premise) che nel cloud.

Caratteristiche principali:

• Automatizza i processi di monitoraggio e analisi dei dati, acquisendo informazioni da molteplici sorgenti di log in tempo reale.
• Fornisce funzionalità di auditing sia a livello applicativo che di sistema, garantendo la conformità agli standard PCI-DSS e CIS.
• Raccoglie informazioni quali software installato, componenti hardware, dati sull'utilizzo delle risorse, servizi di rete e altro ancora.
• Analizza le attività a livello di processi e file per rilevare attività malevole e rootkit.
• È compatibile con diverse piattaforme, tra cui Linux, OpenBSD, FreeBSD, macOS, Solaris, Windows, ecc.

Prezzo:

È una soluzione gratuita e open source.

Lacework

Lacework è un sistema di rilevamento delle intrusioni basato sugli host (HIDS) di tipo anomalo, particolarmente efficace nel superare i limiti dei NIDS. L'azienda sviluppa soluzioni complete per la sicurezza del cloud.

Le sue soluzioni consentono di identificare le attività che si verificano attraverso tutti i carichi di lavoro (workload) e gli account cloud. Il sistema viene tradizionalmente impiegato nei data center aziendali e nelle infrastrutture non basate su cloud.

Il suo ambito d'azione riguarda il traffico in entrata e in uscita dalla rete di un'organizzazione. Tale processo facilita l'analisi di host o applicazioni compromessi, basandosi sui dati acquisiti.

Caratteristiche principali:

• Consente di ottenere dati concreti e di facile consultazione in merito a vari incidenti di sicurezza.
• Acquisisce automaticamente dati completi e li integra con quelli di partner quali DataDog, NewRelic e SnowFlake.
• Fornisce avvisi precisi, corredati del contesto necessario per interpretare correttamente le attività e gli eventi rilevati.

Prezzo:

Per ricevere un preventivo, le aziende possono contattare direttamente l'azienda.

ManageEngine Event Log Analyzer

La soluzione HIDS di ManageEngine è Event Log Analyzer. Gestisce i log, esegue audit delle reti, mette in sicurezza i server e rappresenta una soluzione conforme alle normative.

Si tratta della migliore soluzione di sistema di rilevamento delle intrusioni basato su host (HIDS) per quanto riguarda la gestione dei log. Lo strumento fornisce soluzioni a aziende quali Cisco, Juniper, Barracuda, Fortinet e altre ancora.

Caratteristiche principali:

• Esegue audit dei dispositivi perimetrali di rete e dei relativi log, delle attività degli utenti, degli account dei server e di altri requisiti di audit della sicurezza.
• Raccoglie, analizza, correla, ricerca e archivia dati provenienti da oltre 700 sorgenti di log.
• Elabora i dati dei log a una velocità di 25.000 log al secondo per rilevare gli attacchi in tempo reale.

Prezzo:

È disponibile un'edizione gratuita scaricabile.
I prezzi per la Premium Edition partono da 595 $, mentre quelli per la Distributed Edition partono da 2.495 $.
Sul sito web è disponibile un confronto tra le versioni per individuare il piano più adatto alle esigenze della propria organizzazione.

Wazuh

Wazuh è una soluzione HIDS gratuita, open source e pronta per l'uso in ambito aziendale. Si occupa di mettere in sicurezza e monitorare le minacce all'interno della rete.

È in grado di monitorare simultaneamente più sistemi grazie alla sua architettura centralizzata e multipiattaforma. Wazuh nasce come fork di OSSEC, distinguendosi tuttavia per una maggiore affidabilità e scalabilità.

Caratteristiche principali:

• Raccoglie, aggrega, indicizza e analizza i dati relativi alla sicurezza. Aiuta le aziende a rilevare intrusioni, minacce e anomalie comportamentali.
• Monitora i file system e rileva le modifiche al contenuto, ai permessi e alla proprietà dei file critici.
• Monitora le infrastrutture cloud a livello di API.
• I suoi agenti aggiornano costantemente i database delle "Common Vulnerabilities and Exposures" (CVE) per identificare i software vulnerabili.

Prezzo:

Wazuh è disponibile per il download gratuito su GitHub.

Tripwire

Tripwire offre molteplici soluzioni software per la sicurezza e la conformità normativa. Propone soluzioni gratuite e basate su codice open source, affiancate a soluzioni commerciali.

Questa piattaforma richiede un file system per la configurazione di una baseline delle policy. Aiuta gli amministratori a rilevare le modifiche all'interno del file system e invia avvisi in caso di presenza di file corrotti.

Caratteristiche principali:

• È una soluzione FIM (File Integrity Monitoring) leader di settore, in grado di identificare modifiche e alterazioni sugli asset in tutta l'organizzazione.
• Riduce il carico di lavoro legato agli audit, avvalendosi di ampie librerie di policy; inoltre, automatizza i flussi di lavoro necessari per raggiungere e mantenere la conformità.
• Segnala le alterazioni non autorizzate e riduce le attività non pianificate.

Prezzo:

È una soluzione gratuita e open source, disponibile per il download su GitHub.

Advanced Intrusion Detection Environment (AIDE)

AIDE è un HIDS (Host-based Intrusion Detection System) libero e open source. È stato originariamente sviluppato come alternativa gratuita a Tripwire.

Rappresenta uno dei migliori sistemi di rilevamento delle intrusioni basati sull'host per il controllo dell'integrità dei file. Per definizione, AIDE verifica esclusivamente l'integrità dei file, senza tuttavia rilevare rootkit o registrare altre attività sospette.

Caratteristiche principali:

• È una soluzione flessibile per il controllo dell'integrità dei file.
• Consente agli utenti di definire espressioni personalizzate per includere o escludere specifici file.
• È possibile verificare diverse proprietà dei file, quali: tipo di file, permessi, inode, data e ora di modifica, contenuto del file e numero di link.
• Effettua una correlazione confrontando una baseline (riferimento di base) del database con lo stato attuale del file system.

Prezzo:

È un sistema di rilevamento delle intrusioni basato sull'host, libero e open source, disponibile su GitHub.

Conclusione:

Parallelamente all'espansione delle tecnologie di sicurezza, crescono anche le minacce informatiche. I migliori sistemi di rilevamento delle intrusioni basati su host non si limitano a monitorare e valutare le minacce, ma intervengono anche con azioni immediate.

La scelta del sistema di rilevamento delle intrusioni basato su host più idoneo dipende dalle dimensioni della rete e dal sistema operativo adottato.