
Was ist ein Intrusion Detection System?
Ein Intrusion Detection System (IDS) ist ein Bestandteil der Netzwerkinfrastruktur, der Ereignisse in einem Computer oder einem vernetzten System überwacht und analysiert. Die Funktion ist das frühzeitige Erkennen von Angriffen sowie Bedrohungen, die sich durch Verletzungen von Richtlinien oder Standards ankündigen.
Was ist ein Intrusion Prevention System?
Ein Intrusion Prevention System (IPS) ist eine aktive Form des Intrusion Detection Systems, die im direkten Kommunikationspfad zwischen Quelle und Ziel eingesetzt wird, um den Datenverkehr, der durch das Netzwerk fließt, zu analysieren und automatisierte Entscheidungen zu treffen.
Warum benötigen wir diese Intrusion Detection Systeme?
Cyber-Angriffe sind immer raffinierter geworden, sodass die Geschäftsumgebungen neben den herkömmlichen Sicherheitstechnologien zusätzliche Präventivmaßnahmen benötigen, um eine sichere und vertrauenswürdige Kommunikation von Informationen zu gewährleisten. Die Abwehr von Eindringlingen durch automatisierte Maßnahmen ist ein großer Vorteil, da man schnell auf Angriffe reagieren kann, ohne dass ein Eingreifen der IT-Abteilung erforderlich ist.
Dabei unterscheiden wir zwischen verschiedenen Intrusion Detection Systemen und Intrusion Prevention Systemen.
Arten von Intrusion Detection Systemen und Intrusion Prevention Systemen

Hostbasiert (HIDS/HIPS):
Diese Form des Einsatzes analysiert Aktivitäten auf Systemen (z.B. Host), auf denen es eingesetzt wurde, um Angriffe zu erkennen.

Netzwerkbasiert (NIDS/NIPS):
Hier wird der Netzwerkverkehr überwacht, um Angriffe zu erkennen, die über eine Netzwerkverbindung ausgeführt werden.
Nur spezifisch für IPS:

Wireless Intrusion Prevention System:
Diese Form des IPS arbeitet über das Wireless LAN, um bösartige Aktivitäten zu überwachen und zu erkennen.

Network Behavior Analysis:
Diese Form des IPS wird verwendet, um das Verhalten des Netzwerks zu verstehen und dadurch Bedrohungen zu lokalisieren, die ungewöhnliche Verkehrsströme verursachen.
Erkennungstechniken von IPS/IDS
Um Cybe-Angriffe zu erkennen, nutzen Intrusion Prevention System und Intrusion Detection System unterschiedliche Techniken, die auf verschiedenen Aspekten basieren.
Signature based
Hierbei werden Netzwerk- oder Systemaktivitäten anhand einer Datenbank mit der Signatur bekannter Angriffe bewertet. Regelmäßige Updates der Signaturdatenbank sind wichtig, um mit neuen Angriffen Schritt zu halten.
Anomaly based
Bei diesem Ansatz eines Intrusion Detection Systems wird ein Baseline-Profil von regelmäßigen Netzwerk- und/oder Systemaktivitäten erstellt. Diese Baseline erleichtert die Erkennung, indem sie zur Unterscheidung zwischen regulären Aktivitäten und anomalen Aktivitäten verwendet wird.
Stateful Protocol Analysis (Specific to IPS)
Dieser Prozess vergleicht und beobachtet allgemein akzeptierte und definierte Protokollaktivitäten mit aktuellen Ereignissen, um Abweichungen zu identifizieren. Ein Beispiel ist, wenn ein Befehl für ein Protokoll ausgegeben wird, ohne dass ein vorheriger Befehl vorliegt, von dem er abhängig ist.
Die Vorteile von IPS/IDS
Intrusion Prevention Systeme und Intrusion Detection Systeme bieten eine Vielzahl von Vorteilen. Im Folgenden haben wir diese einmal übersichtlich aufgelistet.
1. Reduzierung von Sicherheitsvorfällen
Erkennen und Verhindern von Angriffen, um die Anzahl von Sicherheitsvorfällen in einem Unternehmen zu reduzieren.
2. Zusätzliche Sicherheitsebene
Neben der Firewall stellt ein IPS oder Intrusion Detection System durch seine Erkennungstechniken eine zusätzliche Sicherheitstechnologie dar.
3. Dynamische Reaktion auf Bedrohungen
Dies bietet Sicherheit, indem es auf mögliche Bedrohungen und Angriffe reagiert, selbst bei begrenzten personellen Ressourcen.
4. Virtuelles Patch-Management
In Situationen, in denen es Schwachstellen in Anwendungen gibt und die Hersteller noch keine Patches veröffentlicht haben, können Kunden IPS nutzen, um sicherzustellen, dass die Ausnutzungsversuche nicht erfolgreich sind.
5. Inline-Analyse des Datenverkehrs in Echtzeit
6. Integration mit SIEM-Lösungen für bessere Überwachung, Erkennung und Forensik
Das Fazit
Neben der Firewall als Schutzmaßnahme fehlen in den meisten Unternehmen weitere Sicherheitsmaßnahmen. Das bedeutet, dass Unternehmen keine Angriffe erkennen können, die eine vertrauenswürdige Kommunikation nutzen, um die Firewall zu umgehen.
Daher sollte der Einsatz von Intrusion Detection Systemen oder Intrusion Prevention Systemen in Betracht gezogen werden. Wir von ProSec informieren Sie über alle notwendigen Maßnahmen, die Ihr Unternehmen und dessen sensible Daten schützen. Dabei stehen wir Ihnen gern beratend zur Seite.
Bei unseren Penetrationtests prüfen wir ebenfalls Ihre installierten Intrusion Detection Systeme. Nehmen Sie einfach Kontakt zu uns auf und nutzen Sie unser umfangreiches Angebot rund um die IT-Sicherheit Ihres Netzwerks.