Intrusion Detection System (IDS)

Ein Intrusion Detection System (IDS) ist ein Überwachungssystem, das verdächtige Aktivitäten erkennt und bei Entdeckung Warnmeldungen generiert. Basierend auf diesen Warnungen kann ein SOC-Analyst (Security Operations Center) oder ein Vorfallhelfer das Problem untersuchen und die entsprechenden Maßnahmen zur Behebung der Bedrohung ergreifen.

Cloud IDS-Demo Lesen Sie den Frost & Sullivan-Bericht

What is an Intrusion Detection System (IDS)?

Klassifizierung von Einbruchmeldesystemen

Einbruchmeldesysteme sind für den Einsatz in unterschiedlichen Umgebungen konzipiert. Und wie viele Cybersicherheitslösungen kann ein IDS entweder hostbasiert oder netzwerkbasiert sein.

 

  • Hostbasiertes IDS (HIDS): Ein hostbasiertes IDS wird auf einem bestimmten Endgerät eingesetzt und soll es vor internen und externen Bedrohungen schützen. Ein solches IDS verfügt möglicherweise über die Fähigkeit, den Netzwerkverkehr zum und vom Computer zu überwachen, laufende Prozesse zu beobachten und die Systemprotokolle zu überprüfen. Die Sichtbarkeit eines hostbasierten IDS ist auf seinen Host-Computer beschränkt, wodurch der verfügbare Kontext für die Entscheidungsfindung verringert wird, es bietet jedoch einen umfassenden Einblick in die Interna des Host-Computers.
  • Netzwerkbasiertes IDS (NIDS): Eine netzwerkbasierte IDS-Lösung dient der Überwachung eines gesamten geschützten Netzwerks. Es hat Einblick in den gesamten Datenverkehr, der durch das Netzwerk fließt, und trifft Entscheidungen auf der Grundlage von Paketmetadaten und -inhalten. Dieser breitere Blickwinkel bietet mehr Kontext und die Möglichkeit, weit verbreitete Bedrohungen zu erkennen; Allerdings fehlt diesen Systemen der Einblick in die Interna des Endgeräts, das sie schützen.

 

Aufgrund der unterschiedlichen Sichtbarkeitsebenen bietet die isolierte Bereitstellung eines HIDS oder NIDS einen unvollständigen Schutz für das System einer Organisation. Eine einheitliche Bedrohungsmanagementlösung, die mehrere Technologien in einem System integriert, kann für umfassendere Sicherheit sorgen.

Erkennungsmethode der IDS-Bereitstellung

Über den Bereitstellungsort hinaus unterscheiden sich IDS-Lösungen auch darin, wie sie potenzielle Eindringlinge erkennen:

  • Signaturerkennung: Signaturbasierte IDS-Lösungen verwenden Fingerabdrücke bekannter Bedrohungen, um diese zu identifizieren. Sobald Malware oder andere schädliche Inhalte identifiziert wurden, wird eine Signatur generiert und der Liste hinzugefügt, die von der IDS-Lösung zum Testen eingehender Inhalte verwendet wird. Dadurch kann ein IDS eine hohe Bedrohungserkennungsrate ohne Fehlalarme erreichen, da alle Warnungen auf der Grundlage der Erkennung bekanntermaßen bösartiger Inhalte generiert werden. Ein signaturbasiertes IDS beschränkt sich jedoch auf die Erkennung bekannter Bedrohungen und ist blind für Zero-Day-Schwachstellen.
  • Anomalieerkennung: Anomaliebasierte IDS-Lösungen erstellen ein Modell des „normalen“ Verhaltens des geschützten Systems. Sämtliches zukünftiges Verhalten wird mit diesem Modell verglichen und etwaige Anomalien werden als potenzielle Bedrohungen gekennzeichnet und Warnungen werden generiert. Während dieser Ansatz neuartige oder Zero-Day-Bedrohungen erkennen kann, bedeutet die Schwierigkeit, ein genaues Modell des „normalen“ Verhaltens zu erstellen, dass diese Systeme falsch-positive Ergebnisse (falsche Warnungen) mit falsch-negativen Ergebnissen (verpasste Erkennungen) ausgleichen müssen.
  • Hybriderkennung: Ein Hybrid-IDS verwendet sowohl signaturbasierte als auch anomaliebasierte Erkennung. Dies ermöglicht es, mehr potenzielle Angriffe mit einer geringeren Fehlerrate zu erkennen, als wenn beide Systeme isoliert verwendet würden.

IDS vs. Firewall

Intrusion Detection Systems und Firewall sind beides Cybersicherheitslösungen, die zum Schutz eines Endgeräts oder Netzwerks eingesetzt werden können. Sie unterscheiden sich jedoch erheblich in ihren Zwecken.

Ein IDS ist ein passives Überwachungsgerät, das potenzielle Bedrohungen erkennt und Warnungen generiert, sodass SOC -Analysten (Security Operations Center) oder Vorfallhelfer den potenziellen Vorfall untersuchen und darauf reagieren können. Ein IDS bietet keinen tatsächlichen Schutz für das Endgerät oder das Netzwerk. Eine Firewall hingegen ist als Schutzsystem konzipiert. Es führt eine Analyse der Metadaten von Netzwerkpaketen durch und erlaubt oder blockiert Datenverkehr basierend auf vordefinierten Regeln. Dadurch entsteht eine Grenze, die bestimmte Arten von Datenverkehr oder Protokollen nicht überschreiten können.

Da eine Firewall ein aktives Schutzgerät ist, ähnelt sie eher einem Intrusion Prevention System (IPS) als einem IDS. Ein IPS ist wie ein IDS, blockiert jedoch aktiv erkannte Bedrohungen, anstatt einfach eine Warnung auszulösen. Dies ergänzt die Funktionalität einer Firewall, und viele Firewalls der nächsten Generation (NGFWs) verfügen über integrierte IDS/IPS-Funktionalität. Dies ermöglicht ihnen, sowohl die vordefinierten Filterregeln (Firewall) durchzusetzen als auch komplexere Cyber-Bedrohungen (IDS/IPS) zu erkennen und darauf zu reagieren. Erfahren Sie hier mehr über die Debatte zwischen IPS und IDS.

Auswahl einer IDS-Lösung

Ein IDS ist ein wertvoller Bestandteil der Cybersicherheitsbereitstellung eines jeden Unternehmens. Eine einfache Firewall bildet die Grundlage für die Netzwerksicherheit, viele komplexe Bedrohungen können jedoch daran vorbeigehen. Ein IDS fügt eine zusätzliche Verteidigungslinie hinzu und macht es für einen Angreifer schwieriger, sich unentdeckt Zugang zum Netzwerk einer Organisation zu verschaffen.

 

Bei der Auswahl einer IDS-Lösung ist es wichtig, das Bereitstellungsszenario sorgfältig abzuwägen. In manchen Fällen kann ein IDS die beste Wahl für die jeweilige Aufgabe sein, während in anderen Fällen der integrierte Schutz eines IPS die bessere Option sein kann. Die Verwendung einer NGFW mit integrierter IDS/IPS-Funktionalität bietet eine integrierte Lösung, die die Erkennung von Bedrohungen und das Sicherheitsmanagement vereinfacht.

 

Check Point verfügt über langjährige Erfahrung in der Entwicklung von IDS- und IPS-Systemen, die ein hohes Maß an Bedrohungserkennung mit sehr niedrigen Fehlerraten bieten und es SOC-Analysten und Vorfallhelfern ermöglichen, echte Bedrohungen einfach zu identifizieren. Um unsere NGFWs mit integrierter IDS/IPS-Funktionalität in Aktion zu sehen, fordern Sie eine Vorführung an oder kontaktieren Sie uns einfach bei Fragen. Darüber hinaus können Sie sich in diesem Webinar gerne über die Abwehr von Angriffen auf IoT-Netzwerke und Geräte informieren.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Durch die weitere Nutzung dieser Website erklären Sie sich mit der Verwendung von Cookies einverstanden. Für weitere Informationen lesen Sie bitte unseren Hinweis zu Cookies.
OK