Tripwire Enterprise kontra darmowy Tripwire Open Source

Kiedy w 1992 roku student Purdue Gene Kim i profesor Gene Spafford połączyli siły, aby zbudować wstępną wersję Tripwire, nie wiedzieli, że ich techniki wykrywania włamań staną się standardami branżowymi dla rynku o wartości 2,71 miliarda dolarów w 2014 roku, z szacunkowym wzrostem o 5,04 miliarda dolarów do 2019 roku. Nie ulega wątpliwości, że stale rosnące zagrożenie wyrafinowanymi cyberatakami i naruszeniami bezpieczeństwa z czasem tylko poszerzy krajobraz rozwiązań bezpieczeństwa. Hakerzy stają się coraz sprytniejsi; Co więcej, luki w zabezpieczeniach będą pojawiać się i pojawiać ponownie w krytycznych komponentach oprogramowania.

Weźmy na przykład niedawno ogłoszoną lukę w zabezpieczeniach Ghost. Poprzednio naprawiony w 2013 roku, błąd pojawił się ponownie w zeszłym miesiącu, wysyłając administratorów Linuksa wszędzie w szaleńczej gonitwie, aby załatać swoje biblioteki GNU C (glibc). Specjaliści ds. bezpieczeństwa muszą być czujni i proaktywni w wzmacnianiu swoich systemów, ale w wielu przypadkach mają po swojej stronie tylko szybki czas reakcji w celu złagodzenia potencjalnych naruszeń bezpieczeństwa. W tym celu systemy wykrywania i ochrony przed włamaniami (IDPS), takie jak Tripwire, odgrywają kluczową rolę w zapewnianiu personelowi IT niezbędnej świadomości bezpieczeństwa w celu skrócenia czasu rozwiązania sytuacji kryzysowej.

Tripwire i IDPS: podstawy

IDPS spełnia trzy podstawowe funkcje: wykrywa potencjalne włamanie, ostrzega personel IT o zdarzeniu, a w wielu przypadkach próbuje zablokować lub zaszczepić atak. Rozwiązania IDPS występują głównie w dwóch formach: systemów sieciowych i opartych na hoście. Sieciowy IDPS to zwykle urządzenie sprzętowe lub urządzenie, które monitoruje ruch i analizuje pakiety danych pod kątem podejrzanej aktywności, podczas gdy IDPS oparty na hoście to oprogramowanie zainstalowane na komputerze hosta, które monitoruje lokalne informacje o konfiguracji i aktywność aplikacji pod kątem nieprawidłowości.

Tripwire to IDPS oparty na hoście. Uruchamia kontrole integralności danych w stanie komputera hosta i raportuje swoje wyniki użytkownikowi. Aby wykonać różnicę między tymi dwoma stanami, Tripwire najpierw skanuje i przechowuje początkowe informacje o każdym pliku jako skróty kryptograficzne w bazie danych (eliminując w ten sposób potrzebę ładowania rzeczywistej zawartości pliku). Naruszenie bezpieczeństwa rzekomo skutkowałoby zmianą rozmiaru i zawartości plików lokalnych - więc jeśli podczas skanowania plików zostanie wykryta różnica w przechowywanej wartości skrótu, zgłaszana jest flaga włamania i użytkownik jest powiadamiany.

Ta podstawowa, podstawowa metoda wykrywania włamań jest wspólna dla wszystkich ofert Tripwire i rzeczywiście większość konkurencyjnych ofert IDPS stosuje to samo lub podobne podejście. W tej dyskusji będziemy porównywać Tripwire Enterprise z wersją Tripwire o otwartym kodzie źródłowym opartym na kodzie pierwotnie dostarczonym przez firmę w 2000 roku.

Tripwire Enterprise kontra Tripwire Open Source

Pomimo ostatecznego powstania Tripwire, Inc. jako przedsięwzięcia nastawionego na zysk w 1997 roku, darmowa wersja IDPS o otwartym kodzie źródłowym jest nadal żywa i ma się dobrze. Dostępny do pobrania na SourceForge, Open Source Tripwire jest przeznaczony dla dystrybucji Linuksa i musi zostać skompilowany ze źródłowych archiwów przed instalacją. To, wraz z instalacją i konfiguracją, oczywiście wymaga pewnego poziomu umiejętności administrowania Linuksem. Tripwire obecnie nie oferuje darmowej wersji swojego IDPS dla platform Windows, więc użytkownicy spoza Uniksa/Linuksa nie mają pod tym względem szczęścia.

Jeśli chodzi o funkcje, Open Source Tripwire udostępnia wiele podstawowych funkcji IDPS zawartych w jego odpowiedniku korporacyjnym, takich jak między innymi możliwość ostrzegania różnych użytkowników/grup w oparciu o charakter wykrytych zmian, ocena poziomu powagi zaatakowanych plików/katalogów oraz raportowanie dziennika systemowego. Wsparcie i pomoc techniczna są kierowane przez społeczność, zgodnie z oczekiwaniami w przypadku większości bezpłatnych ofert open source. Tripwire Open Source to idealne rozwiązanie bezpieczeństwa dla małych przypadków użycia, takich jak monitorowanie pojedynczego serwera Linux lub małej farmy Linux.

Tripwire Enterprise jest skierowany do dużych organizacji z dużą infrastrukturą IT. W przeciwieństwie do wersji darmowej, oferta dla przedsiębiorstw jest dostępna dla systemów Windows, Linux, a także innych wariantów Uniksa, takich jak Solaris i AIX. Pomoc techniczną można uzyskać telefonicznie lub przez e-mail, a profesjonalne usługi są dostępne na wezwanie, aby pomóc w niestandardowych instalacjach. W wersji enterprise jest wiele innych funkcji; Na przykład Tripwire Manager umożliwia scentralizowane zarządzanie i raportowanie wielu instalacji Tripwire.

Ogólnie rzecz biorąc, wymagania IDPS większych firm korporacyjnych różnią się tym, że potrzebują takich funkcji, jak obsługa wielu platform, scentralizowana kontrola/raportowanie, zaawansowane funkcje automatyzacji i profesjonalne wsparcie - wszystkie te funkcje są standardem w wersji Enterprise, ale są zauważalnie nieobecne w wersji open source. Ponadto Tripwire Enterprise jest wyposażony w dzwonki i gwizdki przeznaczone dla klientów korporacyjnych, takie jak gotowe zasady zgodności dotyczące przestrzegania środków takich jak PCI i NIST.

Tak więc w przypadku pojedynczych lub mniejszych instalacji Linux, które wymagają podstawowej ochrony IDPS, Open Source Tripwire jest realną opcją - szczególnie dla osób z podstawowymi umiejętnościami administrowania Linuksem, które wymagają minimalnego trzymania za rękę podczas instalacji i konfiguracji. W przypadku bardziej zaawansowanych przypadków użycia, które wymagają obsługi wielu platform, bezpośredniego dostępu do pomocy technicznej, scentralizowanego raportowania i innych funkcji zgodności i automatyzacji, Tripwire Enterprise jest najlepszym rozwiązaniem.