Überwachen und verhindern Sie bösartige Aktivitäten und Datenlecks.
InsightIDR-ProduktEin System zur Erkennung und Prävention von Eindringlingen (Intrusion Detection and Prevention System, IDPS) ist eine Netzwerküberwachungsstrategie, die sowohl passiv den Traffic überwacht als auch aktiv verdächtiges oder bösartiges Verhalten blockiert, sobald es erkannt wird.
Ein IDPS kann auch als Sichtbarkeitstool beschrieben werden, das sich an der Seite des Netzwerks befindet und den Traffic überwacht. Es besteht aus einer Verwaltungskonsole und Sensoren. Diese melden entsprechende Aktivitäten an die Konsole, wenn sie mit einer zuvor erkannten Angriffssignatur übereinstimmen.
Der letzte Punkt oben ist sehr wichtig, um den Unterschied zwischen diesen beiden Strategien zu erkennen, die oberflächlich betrachtet ähnlich aussehen mögen. IDPS erkennt bekannte Angriffssignaturen und kann die aktuelle Aktivität schnell dem vergangenen Angriff zuordnen. Eine der Hauptfunktionen eines MDR-Programms ist es, neue oder unbekannte Arten von Angriffen zu erkennen und mit Gegenmaßnahmen auf diese neuen Bedrohungen zu reagieren.
Die Mission von IDPS besteht darin, ganze Netzwerke miteinander verbundener Endpunkte und Systeme zu scannen. Es handelt sich um eine Betrachtung aus der Vogelperspektive, die sich gut mit modernen Unternehmensangriffen großer Bedrohungsgruppen messen lässt. Antivirenprogramme überprüfen in erster Linie Dateien in einem Netzwerk. Sie stellen sicher, dass jede Datei unversehrt und für das Netzwerk geeignet ist. Und ist dies nicht der Fall, werden die Dateien schnell unter Quarantäne gestellt.
Abhängig von der Verwendung der erfassten Telemetrie können IDPS-Systeme auf subtile Weise unterschiedlich aussehen und funktionieren. Schauen wir uns an, wie das National Institute of Standards and Technology die IDPS-Systemfunktion in einigen wichtigen Szenarien beschreibt:
Ein netzwerkbasierter IDPS überwacht den Netzwerk-Traffic für Netzwerksegmente und analysiert die Netzwerkaktivität, um verdächtige Aktivitäten zu identifizieren. Es kann viele verschiedene Arten von Events erkennen und wird meist an einer Grenze zwischen Netzwerken, wie Firewalls oder Remote Access Servern, eingesetzt.
Ein hostbasiertes IDPS überwacht die Merkmale von Events, die innerhalb eines Hosts auftreten, auf verdächtige Aktivitäten. Dazu gehören die Überwachung des Netzwerk-Traffics, der Systemlogs, der laufenden Prozesse, der Anwendungsaktivität, des Dateizugriffs und der Änderung von Dateien sowie Änderungen der System- und Anwendungskonfiguration. Hostbasierte IDPs werden am häufigsten auf kritischen Hosts wie öffentlichen Servern eingesetzt.
Ein Wireless IDPS überwacht den drahtlosen Netzwerk-Traffic und analysiert Protokolle, um verdächtige Aktivitäten zu identifizieren. Es kann keine verdächtigen Aktivitäten in einer Anwendung oder einem Netzwerkprotokoll einer höheren Schicht identifizieren. Es wird am häufigsten in Reichweite des drahtlosen Netzwerks eines Unternehmens bereitgestellt, kann aber auch nicht autorisierte drahtlose Netzwerke überwachen.
Ein NBA-System untersucht den Netzwerk-Traffic, um Bedrohungen zu identifizieren, die ungewöhnlichen Traffic erzeugen, wie z. B. DDoS-Angriffe (Distributed Denial of Service), bestimmte Formen von Malware und Richtlinienverstöße. NBA-Systeme werden meist zur Überwachung des Traffic in den internen Netzwerken eines Unternehmens eingesetzt, können aber auch zur Überwachung des externen Traffic außerhalb des Unternehmens verwendet werden.
Was sind einige der inneren Abläufe eines IDPS? Die folgende Liste ist nicht vollständig, aber sie enthält eine Reihe von Protokollen, die im Falle verdächtiger Aktivitäten ausgeführt werden können.
Heuristische Erkennungen identifizieren bösartigen Code, indem sie spezifisches Verhalten statt exakter Muster in diesem Code abgleichen. Sie überwachen die Art und Weise, wie der Code ausgeführt wird, und ermitteln gefährliches Verhalten anhand komplexerer Regelwerke.
Administratoren können mit statistischen Analysen, die Logs, Trendvorhersagen und Fehlerbehebungsmaßnahmen berücksichtigen, Einblicke in das aktuelle Systemverhalten gewinnen. Mit erweiterten statistischen Analysen können anomale Events früher erkannt und Reaktionspläne schneller umgesetzt werden.
Die Protokollanalyse auf Anwendungsebene steht im Mittelpunkt dieser Technik und vergleicht ein unbeschädigtes Protokoll mit Aktivitäten, die verdächtig sein könnten, mit dem Ziel, Anomalien zu erkennen und den Zugriff zu verweigern.
Dieser Prozess wendet Erkenntnisse auf Netzwerk-Events an, um kompromittierte Anmeldeinformationen, laterale Bewegungen und anderes bösartiges Verhalten zu erkennen. Dies gilt in der Regel für das Verhalten von Benutzern in einem Netzwerk im Vergleich zu statischen Bedrohungsindikatoren.
Um die sich ständig weiterentwickelnden Bedrohungen und Verstöße zu stoppen, sind eindeutig Methoden zur Erkennung und Reaktion erforderlich. Allerdings können Präventionsprozesse ein Problem abmildern, das andernfalls ein größeres Problem für ein Cybersecurity-Team darstellen könnte. Zu den präventiven Techniken gehören das Stoppen laufender Angriffe, die Überwachung von Veränderungen in einer Sicherheitsumgebung und die aktive Änderung des Inhalts eines Angriffs, um seine Auswirkungen zu mildern.
Um die IDPS-Techniken so optimal wie möglich zu gestalten, sollten Sie bei der Einrichtung eines Intrusion Detection and Prevention Systems einige bewährte Verfahren anwenden.
Diese Art der Analyse ermöglicht es den Sicherheitsteams, Schwachstellen, die ein Risiko für das Netzwerk darstellen, ordnungsgemäß zu verwalten und zu patchen, um Unternehmen vor Bedrohungsakteuren und der Möglichkeit eines Verstoßes zu schützen. Die Bewertung hilft bei der Definition von Schwachstellen in einem Netzwerk und verschafft einen Einblick in die Gesamtstruktur des Netzwerks, damit die Analysten definieren können, was als „gut“ gilt.
Signaturbasierte Erkennungen basieren in der Regel auf dem aktuellen Stand der Dinge und eignen sich nicht dazu, unbekannte Angriffe zu erkennen. Sie können Signaturen mit bekannten Verhaltensweisen vergleichen und auf diese Weise verdächtige Aktivitäten erkennen. Daher ist es wichtig, sowohl Signaturen als auch Regeln, die bestimmte Netzwerksicherheitsziele regeln, regelmäßig zu aktualisieren.
Firewalls generieren in der Regel die Daten, die dann von einem SIEM (Security Information and Event Management)-System analysiert werden. Diese Firewall-Daten können in Form von Logs, Netzwerk-Traffic und Alerts vorliegen. Diese symbiotische Beziehung trägt dazu bei, ein Bild davon zu erstellen, wie gesundes Netzwerkverhalten aussieht.
Die Compliance mit sowohl internen als auch externen Richtlinien (d.h. staatlich verordneten Richtlinien) ist für die Gesundheit des Netzwerks entscheidend. Die Planung regelmäßiger Netzwerkanalysen und Audits kann die Compliance mithilfe von sicheren Konfigurationen, Passwortrichtlinien und Zugriffskontrollanforderungen sicherstellen. Die Analyse der Netzwerksicherheit anhand intern erstellter Benchmarks kann und wird zur Minderung von Bedrohungen beitragen.
Intrusion Detection Systeme: Lesen Sie die neuesten Blogbeiträge
Anwendungsfall: Pain Points: Überwachen einer Remote-Belegschaft