Der Hauptunterschied zwischen Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) besteht darin, dass IDS Überwachungssysteme und IPS Kontrollsysteme sind. IDS verändern den Netzwerkverkehr nicht, während IPS die Auslieferung von Paketen auf der Grundlage des Paketinhalts verhindert, ähnlich wie eine Firewall den Verkehr nach IP-Adresse verhindert.

IDS werden zur Überwachung von Netzwerken eingesetzt und senden Warnmeldungen, wenn verdächtige Aktivitäten auf einem System oder in einem Netzwerk festgestellt werden, während ein IPS in Echtzeit auf Cyberangriffe reagiert, um zu verhindern, dass diese die Zielsysteme und -netzwerke erreichen.

Kurz gesagt, IDS und IPS sind in der Lage, Angriffssignaturen zu erkennen, wobei der Hauptunterschied in der Reaktion auf den Angriff besteht. Es ist jedoch wichtig zu wissen, dass sowohl IDS als auch IPS dieselben Überwachungs- und Erkennungsmethoden implementieren können.

In diesem Artikel werden die Merkmale eines Eindringens, die verschiedenen Angriffsvektoren, die Cyberkriminelle verwenden können, um die Netzwerksicherheit zu gefährden, die Definition von IDS/IPS und die Möglichkeiten, wie sie Ihr Netzwerk schützen und die Cybersicherheit verbessern können, beschrieben.

Was ist ein Eindringen in ein Netzwerk?

Ein Eindringen in ein Netzwerk ist jede nicht autorisierte Aktivität in einem Computernetzwerk. Um ein Eindringen zu erkennen, muss man ein klares Verständnis der Netzwerkaktivitäten und der üblichen Sicherheitsbedrohungen haben. Ein richtig konzipiertes und eingesetztes System zur Erkennung von Eindringlingen in das Netzwerk und ein System zur Verhinderung von Eindringlingen in das Netzwerk können dazu beitragen, Eindringlinge abzuwehren, die darauf abzielen, vertrauliche Daten zu stehlen, Datenverletzungen zu verursachen und Malware zu installieren.

Netzwerke und Endpunkte können durch Eindringlinge von Bedrohungsakteuren verwundbar sein, die sich überall auf der Welt befinden können und versuchen, Ihre Angriffsfläche auszunutzen.

Gängige Netzwerkschwachstellen sind:

  • Malware: Malware oder bösartige Software ist jedes Programm oder jede Datei, die für einen Computerbenutzer schädlich ist. Zu den Arten von Malware gehören Computerviren, Würmer, Trojanische Pferde, Spyware, Adware und Ransomware. Lesen Sie hier unseren vollständigen Beitrag über Malware.
  • Social Engineering-Angriffe: Social Engineering ist ein Angriffsvektor, der die menschliche Psychologie und Anfälligkeit ausnutzt, um Opfer zu manipulieren, damit sie vertrauliche Informationen und sensible Daten preisgeben oder eine Aktion durchführen, die gegen die üblichen Sicherheitsstandards verstößt. Gängige Beispiele für Social Engineering sind Phishing-, Spear-Phishing- und Whaling-Angriffe. Lesen Sie hier unseren vollständigen Beitrag über Social Engineering.
  • Veraltete oder ungepatchte Software und Hardware: Veraltete oder ungepatchte Soft- und Hardware kann bekannte Schwachstellen aufweisen, wie sie in der CVE-Liste aufgeführt sind. Eine Schwachstelle ist eine Schwachstelle, die durch einen Cyberangriff ausgenutzt werden kann, um unbefugten Zugriff auf ein Computersystem zu erlangen oder unbefugte Aktionen auf diesem durchzuführen. Wurmfähige Schwachstellen wie die, die zur WannaCryransomware führte, sind besonders risikoreich. Lesen Sie unseren vollständigen Beitrag über Sicherheitslücken für weitere Informationen.
  • Datenspeichergeräte: Tragbare Speichergeräte wie USB und externe Festplatten können Malware in Ihr Netzwerk einschleusen.

Was ist ein Intrusion Detection System (IDS)?

Ein Intrusion Detection System (IDS) ist ein Gerät oder eine Softwareanwendung, die ein Netzwerk oder System auf bösartige Aktivitäten und Richtlinienverletzungen überwacht. Jeder böswillige Datenverkehr oder jede Verletzung wird in der Regel einem Administrator gemeldet oder mit Hilfe eines SIEM-Systems (Security Information and Event Management) zentral erfasst.

Wie funktioniert ein Intrusion Detection System (IDS)?

Es gibt drei gängige Erkennungsvarianten, die IDS zur Überwachung von Eindringlingen einsetzen:

  1. Signaturbasierte Erkennung: Die Erkennung von Angriffen erfolgt durch die Suche nach bestimmten Mustern, wie z. B. Byte-Sequenzen im Netzwerkverkehr, oder durch die Verwendung von Signaturen (bekannte bösartige Befehlssequenzen), die von Malware verwendet werden. Diese Terminologie stammt von Antiviren-Software, die diese Muster als Signaturen bezeichnet. Während signaturbasierte IDS bekannte Cyberangriffe leicht erkennen können, haben sie Schwierigkeiten, neue Angriffe zu erkennen, wenn kein Muster verfügbar ist.
  2. Anomalie-basierte Erkennung: Ein Intrusion Detection System zur Erkennung von Netzwerk- und Computereinbrüchen und -missbrauch durch die Überwachung von Systemaktivitäten und deren Einstufung als normal oder anomal. Diese Art von Sicherheitssystem wurde entwickelt, um unbekannte Angriffe zu erkennen, was zum Teil auf die schnelle Entwicklung von Malware zurückzuführen ist. Der grundlegende Ansatz besteht darin, mithilfe von maschinellem Lernen ein Modell vertrauenswürdiger Aktivitäten zu erstellen und neues Verhalten mit diesem Modell zu vergleichen. Da diese Modelle anhand spezifischer Anwendungs- und Hardwarekonfigurationen trainiert werden können, verfügen sie im Vergleich zu herkömmlichen signaturbasierten IDS über besser verallgemeinerbare Eigenschaften. Allerdings leiden sie auch unter mehr Fehlalarmen.
  3. Reputationsbasierte Erkennung: Erkennt potenzielle Cyber-Bedrohungen anhand der Reputationswerte.

Welche verschiedenen Arten von Intrusion Detection Systemen (IDS) gibt es?

IDS-Systeme können von einzelnen Computern bis hin zu großen Netzwerken reichen und werden üblicherweise in zwei Typen unterteilt:

  • Network Intrusion Detection System (NIDS): Ein System, das den eingehenden Netzwerkverkehr analysiert. NIDS werden an strategischen Punkten in Netzwerken platziert, um den Verkehr zu und von Geräten zu überwachen. Es führt eine Analyse des durchlaufenden Datenverkehrs im gesamten Subnetz durch und gleicht den in den Subnetzen durchlaufenden Datenverkehr mit einer Bibliothek bekannter Angriffe ab. Wenn ein Angriff erkannt wird, kann eine Warnung an einen Administrator gesendet werden.
  • Host-basiertes Intrusion Detection System (HIDS): Ein System, das wichtige Betriebssystemdateien auf einzelnen Hosts oder Geräten ausführt und überwacht. Ein HIDS überwacht die ein- und ausgehenden Pakete des Geräts und alarmiert den Benutzer oder Administrator, wenn verdächtige Aktivitäten festgestellt werden. Es erstellt einen Schnappschuss der vorhandenen Systemdateien und vergleicht sie mit früheren Schnappschüssen, wenn kritische Dateien geändert oder gelöscht wurden, wird ein Alarm ausgelöst.

Was ist ein Intrusion-Prevention-System (IPS)?

Ein Intrusion-Prevention-System (IPS) oder Intrusion-Detection-and-Prevention-System (IDPS) ist eine Netzwerksicherheitsanwendung, die sich auf die Erkennung möglicher bösartiger Aktivitäten, die Protokollierung von Informationen, die Meldung von Versuchen und den Versuch, diese zu verhindern, konzentriert. IPS-Systeme befinden sich oft direkt hinter der Firewall.

Darüber hinaus können IPS-Lösungen eingesetzt werden, um Probleme mit Sicherheitsstrategien zu erkennen, bestehende Bedrohungen zu dokumentieren und Personen von der Verletzung von Sicherheitsrichtlinien abzuhalten.

Um Angriffe zu stoppen, kann ein IPS die Sicherheitsumgebung verändern, indem es eine Firewall neu konfiguriert oder den Inhalt des Angriffs ändert.

Viele betrachten Intrusion-Prevention-Systeme als Erweiterungen von Intrusion-Detection-Systemen, da sie beide den Netzwerkverkehr und/oder die Systemaktivitäten auf bösartige Aktivitäten überwachen.

Wie funktioniert ein Intrusion Prevention System (IPS)?

Intrusion Prevention Systeme (IPS) scannen den gesamten Netzwerkverkehr mit einer oder mehreren der folgenden Erkennungsmethoden:

  1. Signaturbasierte Erkennung: Ein signaturbasiertes IPS überwacht Pakete in einem Netzwerk und vergleicht sie mit vorkonfigurierten und vorbestimmten Angriffsmustern, die als Signaturen bezeichnet werden.
  2. Statistische anomaliebasierte Erkennung: Ein IPS, das auf Anomalien basiert, überwacht den Netzwerkverkehr und vergleicht ihn mit einer festgelegten Basislinie. Anhand dieser Basislinie wird ermittelt, was in einem Netzwerk „normal“ ist, z. B. wie viel Bandbreite genutzt wird und welche Protokolle verwendet werden. Diese Art der Erkennung von Anomalien ist zwar gut geeignet, um neue Bedrohungen zu erkennen, kann aber auch zu Fehlalarmen führen, wenn die legitime Bandbreitennutzung eine Basislinie übersteigt oder wenn die Basislinien schlecht konfiguriert sind.
  3. Erkennung von zustandsabhängigen Protokollanalysen: Diese Methode identifiziert Abweichungen in Protokollzuständen, indem sie beobachtete Ereignisse mit vorher festgelegten Profilen von allgemein akzeptierten Definitionen gutartiger Aktivitäten vergleicht.

Nach der Erkennung führt ein IPS eine Echtzeit-Paketprüfung jedes Pakets durch, das das Netzwerk durchläuft, und wenn es als verdächtig eingestuft wird, führt das IPS eine der folgenden Aktionen durch:

  • Beenden der TCP-Sitzung, die ausgenutzt wurde
  • Sperren der angreifenden IP-Adresse oder des Benutzerkontos für den Zugriff auf Anwendungen, Hosts oder Netzwerkressourcen
  • Neuprogrammieren oder Neukonfigurieren der Firewall, um einen ähnlichen Angriff zu einem späteren Zeitpunkt zu verhindern
  • Entfernen oder Ersetzen bösartiger Inhalte, die nach einem Angriff verbleiben, indem die Nutzdaten neu verpackt werden, Entfernen von Header-Informationen oder Zerstören infizierter Dateien

Bei korrektem Einsatz kann ein IPS so schwere Schäden durch bösartige oder unerwünschte Pakete und eine Reihe anderer Cyber-Bedrohungen verhindern:

  • Distributed Denial of Service (DDOS)
  • Exploits
  • Computerwürmer
  • Viren
  • Brute-Force-Angriffe

Was sind die verschiedenen Arten von Intrusion Prevention Systemen (IPS)?

Eindringungsschutzsysteme werden im Allgemeinen in vier Typen unterteilt:

  1. Netzwerkbasiertes Eindringungsschutzsystem (NIPS): NIPS erkennen und verhindern bösartige oder verdächtige Aktivitäten durch die Analyse von Paketen im gesamten Netzwerk. Nach der Installation sammeln NIPS Informationen über den Host und das Netzwerk, um erlaubte Hosts, Anwendungen und Betriebssysteme im Netzwerk zu identifizieren. Außerdem protokollieren sie Informationen über den normalen Datenverkehr, um Abweichungen von der Basislinie festzustellen. Sie können Angriffe verhindern, indem sie eine TCP-Verbindung senden, die Bandbreitennutzung begrenzen oder Pakete zurückweisen. Sie sind zwar nützlich, können aber in der Regel keinen verschlüsselten Netzwerkverkehr analysieren, hohe Verkehrslasten bewältigen oder direkte Angriffe auf sie abwehren.
  2. Wireless Intrusion Prevention System (WIPS): WIPS überwachen das Funkspektrum auf das Vorhandensein nicht autorisierter Zugangspunkte und ergreifen automatisch Gegenmaßnahmen, um diese zu entfernen. Diese Systeme werden in der Regel als Overlay zu einer bestehenden Wireless-LAN-Infrastruktur implementiert, können aber auch eigenständig eingesetzt werden, um Richtlinien für den Verzicht auf drahtlose Kommunikation innerhalb einer Organisation durchzusetzen. Einige moderne Wireless-Infrastrukturen verfügen über integrierte WIPS-Funktionen. Die folgenden Arten von Bedrohungen können durch ein gutes WIPS verhindert werden: Rogue Access Points, falsch konfigurierte Access Points, Man-in-the-Middle-Angriffe, MAC-Spoofing, Honeypot und Denial-of-Service-Angriffe.
  3. Netzwerkverhaltensanalyse (NBA): Diese Art von Intrusion-Prevention-System beruht auf anomalie-basierter Erkennung und sucht nach Abweichungen von dem, was als normales Verhalten in einem System oder Netzwerk angesehen wird. Das bedeutet, dass eine Trainingsperiode erforderlich ist, um ein Profil dessen zu erstellen, was als normal angesehen wird. Nach Ablauf dieser Zeit werden Unregelmäßigkeiten als böswillig eingestuft. Dies ist zwar gut für die Erkennung neuer Bedrohungen, kann aber zu Problemen führen, wenn das Netzwerk während des Trainingszeitraums kompromittiert wurde, da bösartiges Verhalten als normal angesehen werden kann. Außerdem können diese Sicherheitstools falsch-positive Ergebnisse liefern.
  4. Host-basiertes Intrusion Prevention System (HIPS): Ein System oder Programm, das zum Schutz kritischer Computersysteme eingesetzt wird. HIPS analysieren die Aktivitäten auf einem einzelnen Host, um bösartige Aktivitäten zu erkennen und zu verhindern, hauptsächlich durch die Analyse des Codeverhaltens. Sie werden oft dafür gelobt, dass sie Angriffe verhindern können, die Verschlüsselung verwenden. HIPS können auch verhindern, dass sensible Informationen wie personenbezogene Daten (PII) oder geschützte Gesundheitsinformationen (PHI) von einem Host extrahiert werden. Da HIPS auf einem einzelnen Rechner arbeiten, werden sie am besten zusammen mit netzwerkbasierten IDS und IPS sowie IPS eingesetzt.

Was sind die Grenzen von Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS)?

Zu den Grenzen von IDS und IPS gehören:

  • Rauschen: Schlechte Pakete, die durch Bugs, beschädigte DNS-Daten und lokale Pakete, die entkommen, können die Effektivität von Intrusion Detection Systemen einschränken und eine hohe Fehlalarmrate verursachen.
  • Falschmeldungen: Es ist nicht ungewöhnlich, dass die Zahl der echten Angriffe durch die Zahl der Fehlalarme in den Schatten gestellt wird. Dies kann dazu führen, dass echte Angriffe übersehen oder ignoriert werden.
  • Veraltete Signaturdatenbanken: Viele Angriffe nutzen bekannte Schwachstellen aus, was bedeutet, dass die Bibliothek der Signaturen auf dem neuesten Stand sein muss, um effektiv zu sein. Veraltete Signaturen-Datenbanken können Sie anfällig für neue Strategien machen.
  • Die Verzögerung zwischen Erkennung und Anwendung: Bei der signaturbasierten Erkennung kann es eine Verzögerung zwischen der Entdeckung eines neuen Angriffstyps und der Aufnahme der Signatur in die Signaturdatenbank geben. In dieser Zeit ist das IDS nicht in der Lage, den Angriff zu identifizieren.
  • Eingeschränkter Schutz vor schwacher Identifizierung oder Authentifizierung: Wenn sich ein Angreifer aufgrund einer mangelhaften Passwortsicherheit Zugang verschafft, ist ein IDS möglicherweise nicht in der Lage, den Angreifer an seinem Fehlverhalten zu hindern.
  • Mangelnde Verarbeitung verschlüsselter Pakete: Die meisten IDS verarbeiten keine verschlüsselten Pakete, was bedeutet, dass sie zum Eindringen in ein Netzwerk verwendet werden können und möglicherweise nicht entdeckt werden.
  • Abhängigkeit von IP-Attributen: Viele IDS liefern Informationen auf der Grundlage der Netzwerkadresse, die mit dem an das Netzwerk gesendeten IP-Paket verbunden ist. Dies ist von Vorteil, wenn das IP-Paket korrekt ist, aber es kann gefälscht oder verschlüsselt werden. Weitere Informationen finden Sie in unserem Beitrag über die Grenzen der IP-Attribution.
  • Anfällig für die gleichen protokollbasierten Angriffe, vor denen sie schützen sollen: Aufgrund der Natur von NIDS und der Notwendigkeit, die von ihnen erfassten Protokolle zu analysieren, können sie für bestimmte Arten von Angriffen anfällig sein. So können beispielsweise ungültige Daten und Angriffe auf den TCP/IP-Stack NIDS zum Absturz bringen.

Was sind die Unterschiede zwischen Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS)?

Der Hauptunterschied besteht darin, dass ein IDS ein Überwachungssystem und ein IPS ein Kontrollsystem ist. Sowohl IDS als auch IPS lesen Netzwerkpakete und vergleichen deren Inhalt mit einer Datenbank bekannter Bedrohungen oder Basisaktivitäten. IDS verändern jedoch keine Netzwerkpakete, während IPS die Weiterleitung von Paketen auf der Grundlage ihres Inhalts verhindern können, ähnlich wie eine Firewall mit einer IP-Adresse:

  • Intrusion Detection Systems (IDS): Analysieren und überwachen den Datenverkehr auf Indikatoren für eine Gefährdung, die auf ein Eindringen oder einen Datendiebstahl hindeuten können. IDS vergleichen die aktuelle Netzwerkaktivität mit bekannten Bedrohungen, Verstößen gegen Sicherheitsrichtlinien und dem Scannen offener Ports. IDS erfordern einen Menschen oder ein anderes System, um die Ergebnisse zu prüfen und zu entscheiden, wie zu reagieren ist, was sie zu einem besseren Werkzeug für die digitale Forensik macht. Außerdem sind IDS nicht inline, so dass der Datenverkehr nicht durch sie hindurchfließen muss.
  • Intrusion Prevention Systems (IPS): IPS haben ebenfalls Erkennungsfunktionen, verweigern aber proaktiv den Netzwerkverkehr, wenn sie glauben, dass er eine bekannte Sicherheitsbedrohung darstellt.

Können IDS und IPS zusammenarbeiten?

Ja, IDS und IPS arbeiten zusammen. Viele moderne Anbieter kombinieren IDS und IPS mit Firewalls. Diese Art von Technologie wird als Next-Generation Firewall (NGFW) oder Unified Threat Management (UTM) bezeichnet.

Wie unterscheiden sich Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS) von Firewalls?

Traditionelle Netzwerk-Firewalls verwenden einen statischen Satz von Regeln, um Netzwerkverbindungen zu erlauben oder zu verweigern. Dies kann Eindringlinge verhindern, vorausgesetzt, es wurden entsprechende Regeln definiert. Im Wesentlichen sind Firewalls dafür ausgelegt, den Zugang zwischen Netzwerken zu beschränken, um Eindringlinge zu verhindern, aber sie verhindern keine Angriffe von innerhalb eines Netzwerks.

IDS und IPS senden Warnungen, wenn sie ein Eindringen vermuten, und überwachen auch Angriffe innerhalb eines Netzes. Beachten Sie, dass Firewalls der nächsten Generation im Allgemeinen herkömmliche Firewall-Technologie mit Deep Packet Inspection, IDS und IPS kombinieren.

Warum sind IDS und IPS wichtig?

Sicherheitsteams sehen sich mit einer immer länger werdenden Liste von Sicherheitsproblemen konfrontiert, die von Datenverzweigungen und Datenlecks bis hin zu Geldstrafen für die Einhaltung von Vorschriften reichen, während sie gleichzeitig durch Budgets und Unternehmenspolitik eingeschränkt werden. IDS- und IPS-Technologien können dazu beitragen, bestimmte und wichtige Teile Ihres Sicherheitsmanagementprogramms abzudecken:

  • Automatisierung: Einmal konfiguriert, sind IDS und IPS in der Regel nicht mehr erforderlich, was bedeutet, dass sie eine großartige Möglichkeit darstellen, die Netzwerksicherheit zu verbessern, ohne dass zusätzliches Personal benötigt wird.
  • Compliance: Viele Vorschriften verlangen von Ihnen den Nachweis, dass Sie in Technologien zum Schutz sensibler Daten investiert haben. Die Implementierung eines IDS oder IPS kann Ihnen helfen, eine Reihe von CIS-Kontrollen durchzuführen. Vor allem aber können sie dazu beitragen, die sensibelsten Daten von Ihnen und Ihren Kunden zu schützen und die Datensicherheit zu verbessern.
  • Durchsetzung von Richtlinien: IDS und IPS sind so konfigurierbar, dass sie Sie bei der Durchsetzung Ihrer Informationssicherheitsrichtlinien auf Netzwerkebene unterstützen. Wenn Sie beispielsweise nur ein Betriebssystem unterstützen, können Sie ein IPS verwenden, um den Datenverkehr von anderen Systemen zu blockieren.

Wie UpGuard die IDS- und IPS-Technologie ergänzen kann

Unternehmen wie Intercontinental Exchange, Taylor Fry, The New York Stock Exchange, IAG, First State Super, Akamai, Morningstar und die NASA nutzen die Sicherheitsbewertungen von UpGuard, um ihre Daten zu schützen, Datenverletzungen zu verhindern und ihre Sicherheitsabläufe zu bewerten.

Für die Bewertung Ihrer Informationssicherheitskontrollen kann UpGuard BreachSight Ihr Unternehmen auf mehr als 70 Sicherheitskontrollen hin überwachen und eine einfache, leicht verständliche Bewertung der Cybersicherheit liefern. Außerdem können Sie automatisch durchgesickerte Anmeldeinformationen und Datenexponierungen in S3-Buckets, Rsync-Servern, GitHub-Repos und mehr erkennen.

UpGuard Vendor Risk kann den Zeitaufwand Ihres Unternehmens für die Bewertung der Kontrollen für die Informationssicherheit von verbundenen Unternehmen und Drittanbietern minimieren, indem es Fragebögen für Anbieter automatisiert und Vorlagen für Fragebögen für Anbieter bereitstellt.

Wir können Ihnen auch dabei helfen, Ihre aktuellen und potenziellen Anbieter sofort mit ihrer Branche zu vergleichen, damit Sie sehen können, wie sie abschneiden.

Der Hauptunterschied zwischen UpGuard und anderen Anbietern von Sicherheitsbewertungen besteht darin, dass unsere Expertise bei der Verhinderung von Datenschutzverletzungen und Datenlecks öffentlich nachgewiesen wird.

Unsere Expertise wurde in Zeitungen wie der New York Times, dem Wall Street Journal, Bloomberg, der Washington Post, Forbes, Reuters und TechCrunch erwähnt.

Sie können mehr darüber lesen, was unsere Kunden in den Gartner Bewertungen sagen.

Wenn Sie die Sicherheitsbewertung Ihres Unternehmens sehen möchten, klicken Sie hier, um Ihr kostenloses Cyber Security Rating anzufordern.

Sie können die UpGuard-Plattform noch heute 7 Tage lang kostenlos testen.

By: adminPosted on

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.