Intrusion Detection and Prevention Systems (IDPS)

Überwachen und verhindern Sie bösartige Aktivitäten und Datenlecks.

Mehr über InsightIDR

Was ist ein Intrusion Detection and Prevention System? 

Ein System zur Erkennung und Prävention von Eindringlingen (Intrusion Detection and Prevention System, IDPS) ist eine Netzwerküberwachungsstrategie, die sowohl passiv den Traffic überwacht als auch aktiv verdächtiges oder bösartiges Verhalten blockiert, sobald es erkannt wird.

Ein IDPS kann auch als Sichtbarkeitstool beschrieben werden, das sich an der Seite des Netzwerks befindet und den Traffic überwacht. Es besteht aus einer Verwaltungskonsole und Sensoren. Diese melden entsprechende Aktivitäten an die Konsole, wenn sie mit einer zuvor erkannten Angriffssignatur übereinstimmen.

IDPS vs. Managed Detection and Response (MDR)

Der letzte Punkt oben ist sehr wichtig, um den Unterschied zwischen diesen beiden Strategien zu erkennen, die oberflächlich betrachtet ähnlich aussehen mögen. IDPS erkennt bekannte Angriffssignaturen und kann die aktuelle Aktivität schnell dem vergangenen Angriff zuordnen. Eine der Hauptfunktionen eines MDR-Programms ist es, neue oder unbekannte Arten von Angriffen zu erkennen und mit Gegenmaßnahmen auf diese neuen Bedrohungen zu reagieren.

IDPS vs. Antivirus

Die Mission von IDPS besteht darin, ganze Netzwerke miteinander verbundener Endpunkte und Systeme zu scannen. Es handelt sich um eine Betrachtung aus der Vogelperspektive, die sich gut mit modernen Unternehmensangriffen großer Bedrohungsgruppen messen lässt. Antivirenprogramme überprüfen in erster Linie Dateien in einem Netzwerk. Sie stellen sicher, dass jede Datei unversehrt und für das Netzwerk geeignet ist. Und ist dies nicht der Fall, werden die Dateien schnell unter Quarantäne gestellt.

Arten von IDPS

Abhängig von der Verwendung der erfassten Telemetrie können IDPS-Systeme auf subtile Weise unterschiedlich aussehen und funktionieren. Schauen wir uns an, wie das National Institute of Standards and Technology die IDPS-Systemfunktion in einigen wichtigen Szenarien beschreibt:

Netzwerkbasierte IDPS

Ein netzwerkbasierter IDPS überwacht den Netzwerk-Traffic für Netzwerksegmente und analysiert die Netzwerkaktivität, um verdächtige Aktivitäten zu identifizieren. Es kann viele verschiedene Arten von Events erkennen und wird meist an einer Grenze zwischen Netzwerken, wie Firewalls oder Remote Access Servern, eingesetzt.

Hostbasierte IDPS

Ein hostbasiertes IDPS überwacht die Merkmale von Events, die innerhalb eines Hosts auftreten, auf verdächtige Aktivitäten. Dazu gehören die Überwachung des Netzwerk-Traffics, der Systemlogs, der laufenden Prozesse, der Anwendungsaktivität, des Dateizugriffs und der Änderung von Dateien sowie Änderungen der System- und Anwendungskonfiguration. Hostbasierte IDPs werden am häufigsten auf kritischen Hosts wie öffentlichen Servern eingesetzt.

Wireless IDPS

Ein Wireless IDPS überwacht den drahtlosen Netzwerk-Traffic und analysiert Protokolle, um verdächtige Aktivitäten zu identifizieren. Es kann keine verdächtigen Aktivitäten in einer Anwendung oder einem Netzwerkprotokoll einer höheren Schicht identifizieren. Es wird am häufigsten in Reichweite des drahtlosen Netzwerks eines Unternehmens bereitgestellt, kann aber auch nicht autorisierte drahtlose Netzwerke überwachen.

Network Behavior Analysis (NBA)-System

Ein NBA-System untersucht den Netzwerk-Traffic, um Bedrohungen zu identifizieren, die ungewöhnlichen Traffic erzeugen, wie z. B. DDoS-Angriffe (Distributed Denial of Service), bestimmte Formen von Malware und Richtlinienverstöße. NBA-Systeme werden meist zur Überwachung des Traffic in den internen Netzwerken eines Unternehmens eingesetzt, können aber auch zur Überwachung des externen Traffic außerhalb des Unternehmens verwendet werden.

IDPS: Techniken

Was sind einige der inneren Abläufe eines IDPS? Die folgende Liste ist nicht vollständig, aber sie enthält eine Reihe von Protokollen, die im Falle verdächtiger Aktivitäten ausgeführt werden können. 

Heuristikbasierte Erkennung

Heuristische Erkennungen identifizieren bösartigen Code, indem sie spezifisches Verhalten statt exakter Muster in diesem Code abgleichen. Sie überwachen die Art und Weise, wie der Code ausgeführt wird, und ermitteln gefährliches Verhalten anhand komplexerer Regelwerke.

Statistische Analyse 

Administratoren können mit statistischen Analysen, die Logs, Trendvorhersagen und Fehlerbehebungsmaßnahmen berücksichtigen, Einblicke in das aktuelle Systemverhalten gewinnen. Mit erweiterten statistischen Analysen können anomale Events früher erkannt und Reaktionspläne schneller umgesetzt werden.

Protokollanalyse 

Die Protokollanalyse auf Anwendungsebene steht im Mittelpunkt dieser Technik und vergleicht ein unbeschädigtes Protokoll mit Aktivitäten, die verdächtig sein könnten, mit dem Ziel, Anomalien zu erkennen und den Zugriff zu verweigern.

Verhaltensanalyse 

Dieser Prozess wendet Erkenntnisse auf Netzwerk-Events an, um kompromittierte Anmeldeinformationen, laterale Bewegungen und anderes bösartiges Verhalten zu erkennen. Dies gilt in der Regel für das Verhalten von Benutzern in einem Netzwerk im Vergleich zu statischen Bedrohungsindikatoren.

Aktive Prävention und Abwehr 

Um die sich ständig weiterentwickelnden Bedrohungen und Verstöße zu stoppen, sind eindeutig Methoden zur Erkennung und Reaktion erforderlich. Allerdings können Präventionsprozesse ein Problem abmildern, das andernfalls ein größeres Problem für ein Cybersecurity-Team darstellen könnte. Zu den präventiven Techniken gehören das Stoppen laufender Angriffe, die Überwachung von Veränderungen in einer Sicherheitsumgebung und die aktive Änderung des Inhalts eines Angriffs, um seine Auswirkungen zu mildern.

IDPS: Best Practices

Um die IDPS-Techniken so optimal wie möglich zu gestalten, sollten Sie bei der Einrichtung eines Intrusion Detection and Prevention Systems einige bewährte Verfahren anwenden. 

Führen Sie eine gründliche Netzwerkanalyse durch

Diese Art der Analyse ermöglicht es den Sicherheitsteams, Schwachstellen, die ein Risiko für das Netzwerk darstellen, ordnungsgemäß zu verwalten und zu patchen, um Unternehmen vor Bedrohungsakteuren und der Möglichkeit eines Verstoßes zu schützen. Die Bewertung hilft bei der Definition von Schwachstellen in einem Netzwerk und verschafft einen Einblick in die Gesamtstruktur des Netzwerks, damit die Analysten definieren können, was als „gut“ gilt.

Aktualisieren Sie regelmäßig IDPS-Signaturen und Regeln 

Signaturbasierte Erkennungen basieren in der Regel auf dem aktuellen Stand der Dinge und eignen sich nicht dazu, unbekannte Angriffe zu erkennen. Sie können Signaturen mit bekannten Verhaltensweisen vergleichen und auf diese Weise verdächtige Aktivitäten erkennen. Daher ist es wichtig, sowohl Signaturen als auch Regeln, die bestimmte Netzwerksicherheitsziele regeln, regelmäßig zu aktualisieren.

Lassen Sie Firewalls und SIEM-Systeme zusammenarbeiten

Firewalls generieren in der Regel die Daten, die dann von einem SIEM (Security Information and Event Management)-System analysiert werden. Diese Firewall-Daten können in Form von Logs, Netzwerk-Traffic und Alerts vorliegen. Diese symbiotische Beziehung trägt dazu bei, ein Bild davon zu erstellen, wie gesundes Netzwerkverhalten aussieht.

Führen Sie regelmäßige Analysen und Audits durch 

Die Compliance mit sowohl internen als auch externen Richtlinien (d.h. staatlich verordneten Richtlinien) ist für die Gesundheit des Netzwerks entscheidend. Die Planung regelmäßiger Netzwerkanalysen und Audits kann die Compliance mithilfe von sicheren Konfigurationen, Passwortrichtlinien und Zugriffskontrollanforderungen sicherstellen. Die Analyse der Netzwerksicherheit anhand intern erstellter Benchmarks kann und wird zur Minderung von Bedrohungen beitragen.

Mehr erfahren

Intrusion Detection Systeme: Lesen Sie die neuesten Blogbeiträge