Tripwire Enterprise vs OSSEC: płatny czy bezpłatny, co jest lepsze?
Jak dobry może być darmowy? A może bardziej odpowiednim pytaniem jest to, czy to, co darmowe, może być wystarczająco dobre, aby zabezpieczyć przedsiębiorstwo przed obecnymi i przyszłymi zagrożeniami. Aby odpowiedzieć na to pytanie, porównamy popularny system wykrywania włamań oparty na hoście (HIDS) OSSEC o otwartym kodzie źródłowym z komercyjną ofertą Tripwire Enterprise, aby dowiedzieć się, czy ten całkiem niezły grosz może rzeczywiście prowadzić do silniejszej postawy bezpieczeństwa.
W poprzednim poście porównaliśmy Tripwire Open Source i OSSEC. Oba są bezpłatnymi rozwiązaniami HIDS typu open source — zbierają i przechowują informacje dotyczące plików, konfiguracji i innych krytycznych danych systemu jako punkt odniesienia dla przyszłej walidacji. W przypadku wykrycia zmian (złośliwych lub innych) powiadamiany jest odpowiedni personel IT i podejmowane są działania w celu zatrzymania i/lub naprawienia naruszenia. Tripwire Enterprise korzysta z tej samej podstawowej technologii, co jego odpowiednik typu open source, ale oferuje dodatkowy zestaw narzędzi zaspokajających potrzeby dużych organizacji. Jak się wkrótce przekonamy, ten pakiet - wraz z kilkoma innymi dzwonkami i gwizdkami - jest tym, co odróżnia Tripwire Enterprise od OSSEC.
Protokół OSSEC
Jako darmowy HIDS o otwartym kodzie źródłowym, OSSEC jest aktywnie wykorzystywany przez wiele uniwersytetów, organizacji non-profit i instytucji rządowych do zabezpieczania infrastruktury IT. Rozwiązanie zostało wdrożone w wielu korporacyjnych centrach danych i na przestrzeni lat udowodniło, że jest kompetentną i opłacalną opcją HIDS dla przedsiębiorstw. Opracowany przez Daniela Cida i upubliczniony w 2004 roku projekt wielokrotnie zmieniał właścicieli: po raz pierwszy, gdy został przejęty w 2008 roku przez Third Brigade, a następnie po przejęciu Third Brigade przez Trend Micro w 2009 roku. W 2014 r. firma Trend Micro zaprzestała komercyjnego wsparcia dla OSSEC; w chwili obecnej płatna obsługa OSSEC jest ograniczona do kilku dostawców stron trzecich. To powiedziawszy, produkt jest nadal aktywnie utrzymywany i aktualizowany przez dużą społeczność użytkowników i programistów.
OSSEC działa na wszystkich głównych platformach systemu operacyjnego: Linux, Windows (tylko agent), większość wersji systemu Unix i Mac OS. Można go wdrożyć w trybie autonomicznym jako dodatek do standardowej konfiguracji serwer-agent — chociaż ta ostatnia jest niezbędna, aby w pełni wykorzystać zakres funkcji projektu. Serwer i agenci komunikują się bezpiecznie na porcie UDP 1514 za pośrednictwem wiadomości zaszyfrowanych przy użyciu algorytmu Blowfish i skompresowanych przy użyciu zlib. Zapoznaj się ze stroną funkcji OSSEC, aby uzyskać pełną listę funkcji OSSEC.
OSSEC składa się z następujących komponentów:
- Główna aplikacja: centralny menedżer do monitorowania i odbierania informacji od agentów, dziennika systemowego, baz danych, a nawet urządzeń bezagentowych. Przechowuje również bazę danych integralności plików oraz pliki dziennika i zdarzeń. Musi być zainstalowany w systemach Linux, Solaris, BSD lub MacOS - obsługa systemu Windows nie jest dostępna.
- Agent OSSEC: małe programy zainstalowane na węzłach, które mają być monitorowane. W konfiguracji serwer-agent zbiera i wysyła w czasie rzeczywistym do serwera OSSEC informacje o stanie węzła, na którym jest zainstalowany. Istnieje również specjalny agent systemu Windows, który działa tylko w trybie agenta serwera.
- Interfejs sieciowy: graficzny interfejs użytkownika do zarządzania zadaniami i funkcjami monitorowania. Niestety, dobrze rozwinięty graficzny interfejs użytkownika OSSEC działa na platformach Windows.
OSSEC posiada również zaawansowany silnik analizy logów, który może analizować logi z wielu urządzeń w kilku różnych formatach, takich jak serwery FTP (ftpd, pure-ftpd), bazy danych (PostgreSQL, MySQL), serwery WWW (Apache, IIS, Zeus), serwery pocztowe (imapd, Postfix, Sendmail, Exchange, vpopmail), zapory sieciowe (iptables, zapora Windows, Cisco PIX, ASA), a nawet niektóre konkurencyjne rozwiązania NIDS (Cisco IOS, Snort IDS) i dzienniki zdarzeń Windows.
Pomimo swoich zalet, OSSEC ma kilka znaczących wad. Przejście na nowsze wersje platformy może być trudne, ponieważ wszelkie wcześniej zdefiniowane reguły są zastępowane wartościami domyślnymi podczas aktualizacji. Oznacza to, że istniejące reguły muszą zostać wyeksportowane i ponownie zaimportowane po uaktualnieniu, bez wiadomo, co może się stać, gdy system tymczasowo korzysta z reguł domyślnych. Nieprawidłowa koordynacja z kluczami wstępnymi może być również problematyczna - klient i serwer OSSEC komunikują się za pośrednictwem kanału szyfrowanego przez Blowfish, a czasami udostępnianie kluczy jest inicjowane przed utworzeniem wspomnianego kanału, co może być frustrujące.
Przedsiębiorstwo Tripwire
Tripwire ma swoje początki w projekcie z 1992 roku autorstwa absolwenta Purdue University, Gene'a Kima i jego profesora, dr Eugene'a Spafforda. Od tego czasu wiele technik zapoczątkowanych przez ten duet stało się de facto standardami dla rozwiązań IDPS w ogóle. Oprócz podstawowej funkcjonalności IDPS, Tripwire Enterprise oferuje obsługę wielu platform, scentralizowaną kontrolę i raportowanie, tryb konfiguracji master-agent, zaawansowane funkcje automatyzacji oraz profesjonalne wsparcie komercyjne ze strony firmy macierzystej Tripwire Inc.
Jak wspomniano wcześniej, Tripwire jest dostępny zarówno jako oferta open source, jak i pełnoprawna wersja korporacyjna — sprawdź Tripwire Open Source vs. Tripwire Enterprise, aby dowiedzieć się więcej o różnicach między nimi. Podstawowa technologia współdzielona przez obie firmy wykorzystuje agentów do monitorowania systemów i wykrywania/zgłaszania wszelkich nieautoryzowanych zmian w plikach i katalogach. Najpierw tworzy linię bazową wszystkich plików w zaszyfrowanym pliku (szyfrowanie chroni go przed manipulacją złośliwym oprogramowaniem), a następnie monitoruje pliki pod kątem zmian, w tym uprawnień, wewnętrznych zmian plików i szczegółów znacznika czasu. Skróty kryptograficzne są wykorzystywane do wykrywania zmian w pliku bez przechowywania całej jego zawartości w bazie danych. Chociaż jest przydatny do wykrywania włamań po ich wystąpieniu, Tripwire może również służyć wielu innym celom, takim jak zapewnienie integralności, zarządzanie zmianami i zgodność z zasadami.
Tripwire Enterprise jest skierowany do dużych organizacji z dużą infrastrukturą IT. W tym celu różne funkcje i rozwiązania towarzyszące zostały zintegrowane z platformą, aby zapewnić kompleksowe pokrycie przedsiębiorstwa. Na przykład Tripwire Manager umożliwia scentralizowane zarządzanie i raportowanie wielu instalacji Tripwire. Ponadto Tripwire Enterprise jest wyposażony w różne inne dzwonki i gwizdki przeznaczone dla klientów korporacyjnych, takie jak gotowe zasady zgodności dotyczące przestrzegania środków takich jak PCI i NIST. Pomoc techniczną można uzyskać telefonicznie lub przez e-mail, a profesjonalne usługi są dostępne na wezwanie, aby pomóc w niestandardowych instalacjach.
Streszczenie
Zarówno OSSEC, jak i Tripwire Enterprise oferują kompetentną ochronę przedsiębiorstwa, ale wymagają różnych podejść do wzmacniania stanu bezpieczeństwa przed obecnymi i przyszłymi zagrożeniami. OSSEC jest ogólnie bardziej rozszerzalny i może łatwiej współpracować z innymi narzędziami innych firm (np. SIEM, NIDS, narzędzia do wykrywania złośliwego oprogramowania), podczas gdy Tripwire Enterprise istnieje we własnym ekosystemie uzupełniających się rozwiązań w celu wypełnienia luk w potoku bezpieczeństwa. Na przykład Tripwire 360 rozszerza flagową ofertę o zarządzanie lukami w zabezpieczeniach, podczas gdy Tripwire WebApp360 zapewnia skanowanie aplikacji internetowych i luk w zabezpieczeniach. Oczywiście te funkcje mają znaczną cenę, ale dla organizacji z głębokimi kieszeniami, które chcą kupić ekosystem rozwiązań ze wsparciem komercyjnym, Tripwire Enterprise może być pożądaną opcją. Z drugiej strony, użytkownicy OSSEC - w przeciwieństwie do klientów Tripwire - nie podlegają uzależnieniu od jednego dostawcy. W związku z tym mają większą swobodę w integracji OSSEC z innymi pakietami w celu stworzenia kompleksowego łańcucha narzędzi bezpieczeństwa.
| Plusy | Minusy | |
| Protokół OSSEC | Kompetentne, w pełni funkcjonalne możliwości IDPS bez żadnych kosztów Obszerne wsparcie i zasoby społeczności są dostępne online Wyposażony w łatwy w użyciu interfejs sieciowy i potężny silnik analizy logów | Proces uaktualniania zastępuje istniejące reguły gotowymi regułami Wstępne udostępnianie kluczy może być problematyczne System Windows obsługiwany tylko w trybie agenta serwera Wymaga znacznej sprawności technicznej do konfiguracji i zarządzania |
| Przedsiębiorstwo Tripwire | Jest dostarczany z funkcjami zorientowanymi na przedsiębiorstwo, takimi jak gotowe zasady zgodności (PCI, NIST, DISA, ISO, CIS i inne) Dostępne jest pełne wsparcie komercyjne Łatwo integruje się z innymi ofertami Tripwire, takimi jak Tripwire IP360 do zarządzania lukami w zabezpieczeniach i Tripwire WebApp 360 do skanowania aplikacji internetowych i luk w zabezpieczeniach | Drogie, zwłaszcza przy zakupie z innymi dodatkami i narzędziami Integracja z innymi narzędziami 3 rd -party może być wyzwaniem (vendor lock-in) Chociaż jest to oferta komercyjna, jej baza kodu jest współdzielona z wersją produktu o otwartym kodzie źródłowym |
Odwołania
http://www.iraj.in/journal/journal_file/journal_pdf/3-27-139087836726-32.pdf
>https://www.ossec.net/docs/manual/non-technical-overview.html
https://www.tripwire.com/products/tripwire-enterprise/
https://www.alienvault.com/blogs/security-essentials/open-source-intrusion-detection-tools-a-quick-overview