Intrusion Detection System

Network Behavior Analysis:

Was ist ein Intrusion Detection System?

Ein Intrusion Detection System (IDS) ist ein Bestandteil der Netzwerkinfrastruktur, der Ereignisse in einem Computer oder einem vernetzten System überwacht und analysiert. Die Funktion ist das frühzeitige Erkennen von Angriffen sowie Bedrohungen, die sich durch Verletzungen von Richtlinien oder Standards ankündigen.

Was ist ein Intrusion Prevention System?

Ein Intrusion Prevention System (IPS) ist eine aktive Form des Intrusion Detection Systems, die im direkten Kommunikationspfad zwischen Quelle und Ziel eingesetzt wird, um den Datenverkehr, der durch das Netzwerk fließt, zu analysieren und automatisierte Entscheidungen zu treffen.

Warum benötigen wir diese Intrusion Detection Systeme?

Cyber-Angriffe sind immer raffinierter geworden, sodass die Geschäftsumgebungen neben den herkömmlichen Sicherheitstechnologien zusätzliche Präventivmaßnahmen benötigen, um eine sichere und vertrauenswürdige Kommunikation von Informationen zu gewährleisten. Die Abwehr von Eindringlingen durch automatisierte Maßnahmen ist ein großer Vorteil, da man schnell auf Angriffe reagieren kann, ohne dass ein Eingreifen der IT-Abteilung erforderlich ist.

Dabei unterscheiden wir zwischen verschiedenen Intrusion Detection Systemen und Intrusion Prevention Systemen.

Aufbau einer ICMP Nachricht

Hostbasiert (HIDS/HIPS):

Diese Form des Einsatzes analysiert Aktivitäten auf Systemen (z.B. Host), auf denen es eingesetzt wurde, um Angriffe zu erkennen.

Netzwerkbasiert (NIDS/NIPS):

Hier wird der Netzwerkverkehr überwacht, um Angriffe zu erkennen, die über eine Netzwerkverbindung ausgeführt werden.

Nur spezifisch für IPS:

Wireless Intrusion Prevention System:

Diese Form des IPS arbeitet über das Wireless LAN, um bösartige Aktivitäten zu überwachen und zu erkennen.

Diese Form des IPS wird verwendet, um das Verhalten des Netzwerks zu verstehen und dadurch Bedrohungen zu lokalisieren, die ungewöhnliche Verkehrsströme verursachen.

Du möchtest Deine IT gegen aktuelle Cyberangriffe schützen?

Wir beraten und unterstützen Dich bei der Umsetzung!

Mehr zur IT-Sicherheitsberatung

Erkennungstechniken von IPS/IDS

Um Cyber-Angriffe zu erkennen, nutzen Intrusion Prevention System und Intrusion Detection System unterschiedliche Techniken, die auf verschiedenen Aspekten basieren.

Signature based

Hierbei werden Netzwerk- oder Systemaktivitäten anhand einer Datenbank mit der Signatur bekannter Angriffe bewertet. Regelmäßige Updates der Signaturdatenbank sind wichtig, um mit neuen Angriffen Schritt zu halten.

Anomaly based

Bei diesem Ansatz eines Intrusion Detection Systems wird ein Baseline-Profil von regelmäßigen Netzwerk- und/oder Systemaktivitäten erstellt. Diese Baseline erleichtert die Erkennung, indem sie zur Unterscheidung zwischen regulären Aktivitäten und anomalen Aktivitäten verwendet wird.

Stateful Protocol Analysis (Specific to IPS)

Dieser Prozess vergleicht und beobachtet allgemein akzeptierte und definierte Protokollaktivitäten mit aktuellen Ereignissen, um Abweichungen zu identifizieren. Ein Beispiel ist, wenn ein Befehl für ein Protokoll ausgegeben wird, ohne dass ein vorheriger Befehl vorliegt, von dem er abhängig ist.

Die Vorteile von IPS/IDS

Intrusion Prevention Systeme und Intrusion Detection Systeme bieten eine Vielzahl von Vorteilen. Im Folgenden haben wir diese einmal übersichtlich aufgelistet.

Reduzierung von Sicherheitsvorfällen

Erkennen und Verhindern von Angriffen, um die Anzahl von Sicherheitsvorfällen in einem Unternehmen zu reduzieren.

Zusätzliche Sicherheitsebene

Neben der Firewall stellt ein IPS oder Intrusion Detection System durch seine Erkennungstechniken eine zusätzliche Sicherheitstechnologie dar.

Dynamische Reaktion auf Bedrohungen

Dies bietet Sicherheit, indem es auf mögliche Bedrohungen und Angriffe reagiert, selbst bei begrenzten personellen Ressourcen.

Virtuelles Patch-Management

In Situationen, in denen es Schwachstellen in Anwendungen gibt und die Hersteller noch keine Patches veröffentlicht haben, können Kunden IPS nutzen, um sicherzustellen, dass die Ausnutzungsversuche nicht erfolgreich sind.

Inline-Analyse des Datenverkehrs in Echtzeit

Integration mit SIEM-Lösungen für bessere Überwachung, Erkennung und Forensik

Du möchtest Dich weiter bei IT-Sicherheitsprofis informieren?

Ruf uns einfach an oder nutze unser Kontaktformular!

Zum Kontakt

Das Fazit

Neben der Firewall als Schutzmaßnahme fehlen in den meisten Unternehmen weitere Sicherheitsmaßnahmen. Das bedeutet, dass Unternehmen keine Angriffe erkennen können, die eine vertrauenswürdige Kommunikation nutzen, um die Firewall zu umgehen.

Daher sollte der Einsatz von Intrusion Detection Systemen oder Intrusion Prevention Systemen in Betracht gezogen werden. Wir von ProSec informieren Sie über alle notwendigen Maßnahmen, die Ihr Unternehmen und dessen sensible Daten schützen. Dabei stehen wir Ihnen gern beratend zur Seite.

Bei unseren Penetrationtests prüfen wir ebenfalls Ihre installierten Intrusion Detection Systeme. Nehmen Sie einfach Kontakt zu uns auf und nutzen Sie unser umfangreiches Angebot rund um die IT-Sicherheit Ihres Netzwerks.