Was ist ein Intrusion-Prevention-System (IPS)?

Was ist ein IPS?

Ein Intrusion-Prevention-System (IPS) überwacht den Netzverkehr auf potenzielle Sicherheitsbedrohungen und blockiert diese, indem es das Sicherheitsteam alarmiert, gefährliche Verbindungen beendet, schädliche Inhalte entfernt oder weitere Sicherheitsfunktionen aktiviert.

IPS-Lösungen haben sich aus Warnsystemen gegen Angriffe von außen (Intrusion Detection Systems; IDS) entwickelt, die Sicherheitsbedrohungen erkennen und dem Sicherheitsteam melden. Ein IPS verfügt über die gleichen Funktionen zum Erkennen von Bedrohungen und Erstellen von Berichten wie ein IDS sowie über automatisierte Funktionen zum Vorbeugen von Sicherheitsbedrohungen, weshalb es manchmal als „Intrusion Detection and Prevention System“ (IDPS) bezeichnet wird.

Da ein IPS bösartigen Datenverkehr direkt blockieren kann, entlastet es Sicherheitsteams und Security Operations Centers (SOC) und ermöglicht es ihnen, sich auf komplexere Sicherheitsbedrohungen zu konzentrieren. IPS können zur Durchsetzung von Netzsicherheitsrichtlinien beitragen, indem sie nicht autorisierte Aktionen legitimer Benutzer blockieren, und sie können die Einhaltung von Compliance-Vorschriften unterstützen. Ein IPS erfüllt zum Beispiel die Anforderung des Payment Card Industry Data Security Standard (PCI-DSS) an Maßnahmen zur Erkennung von Angriffen von außen.

Branchen-Newsletter

Die neuesten Tech-News – von Experten bestätigt

Bleiben Sie mit dem Think-Newsletter über die wichtigsten – und faszinierendsten – Branchentrends in den Bereichen KI, Automatisierung, Daten und darüber hinaus auf dem Laufenden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.

Vielen Dank! Sie haben ein Abonnement abgeschlossen.

Ihr Abonnement wird auf Englisch geliefert. In jedem Newsletter finden Sie einen Abmeldelink. Hier können Sie Ihre Abonnements verwalten oder sich abmelden. Weitere Informationen finden Sie in unserer IBM Datenschutzerklärung.

Die Methoden eines IPS zur Erkennung von Sicherheitsbedrohungen

IPS verwenden drei primäre Methoden zur Erkennung von Sicherheitsbedrohungen (entweder einzeln oder in Kombination miteinander), um den Datenverkehr zu analysieren.

Signaturbasierte Erkennung

Signaturbasierte Erkennungsmethoden analysieren Netzpakete auf Angriffssignaturen. Das sind einzigartige Merkmale oder Verhaltensweisen, die mit einer bestimmten Sicherheitsbedrohung verbunden sind. Eine Codesequenz, die in einer bestimmten Malware-Variante auftritt, ist ein Beispiel für eine Angriffssignatur.

Ein signaturbasiertes IPS verwendet eine Datenbank mit Angriffssignaturen, die es mit Netzpaketen vergleicht. Wenn ein Paket eine Übereinstimmung mit einer der Signaturen erkennt, ergreift das IPS Maßnahmen. Signaturdatenbanken müssen regelmäßig mit neuen Sicherheitsbedrohungsdaten aktualisiert werden, da immer mehr neue Arten von Cyberangriffen auftauchen und bestehende Angriffsarten sich weiterentwickeln. Allerdings können brandneue Angriffe, die noch nicht auf Signaturen analysiert wurden, einem signaturbasierten IPS entgehen.

Anomaliebasierte Erkennung

Anomaliebasierte Erkennungsmethoden nutzen künstliche Intelligenz und maschinelles Lernen , um ein Basismodell der normalen Netzaktivität zu erstellen und kontinuierlich zu verfeinern. Das IPS vergleicht die laufenden Netzaktivitäten mit dem Modell und reagiert, wenn es Abweichungen erkennt, z. B. wenn ein Prozess mehr Bandbreite als üblich verbraucht oder ein Gerät einen Port öffnet, der normalerweise geschlossen ist.

Da anomaliebasierte IPS auf jedes abnormale Verhalten reagieren, können sie oft brandneue Cyberangriffe blockieren, die einer signaturbasierten Erkennung entgehen könnten. Sie können sogar Zero-Day-Exploits erkennen, also Angriffe, die Software-Sicherheitslücken ausnutzen, bevor der Software-Entwickler sie beheben konnte.

Allerdings können anomaliebasierte IPS anfälliger für Fehlalarme sein. Selbst harmlose Aktivitäten, wie der erstmalige Zugriff eines autorisierten Benutzers auf eine sensible Netzressource, können dazu führen, dass ein anomaliebasiertes IPS Alarm schlägt, sodass autorisierte Benutzer aus dem Netz entfernt oder ihre IP-Adressen blockiert werden.

Richtlinienbasierte Erkennung

Die richtlinienbasierte Erkennung basiert auf Sicherheitsrichtlinien, die vom Sicherheitsteam festgelegt werden. Wenn ein richtliniengesteuertes IPS eine Aktion erkennt, die gegen eine Sicherheitsrichtlinie verstößt, blockiert es sie.

Beispielsweise könnte ein SOC Zugriffskontrollrichtlinien festlegen, die vorschreiben, welche Benutzer und Geräte auf einen Host zugreifen können. Wenn ein nicht berechtigter Benutzer versucht, eine Verbindung zum Host herzustellen, wird ein richtlinienbasiertes IPS dies verhindern.

Richtlinienbasierte IPS bieten zwar die Möglichkeit der individuellen Anpassung, können jedoch erhebliche Vorlaufinvestitionen erfordern. Das Sicherheitsteam muss ein umfassendes Regelwerk erstellen, das festlegt, was im gesamten Netz erlaubt ist und was nicht.

Weniger verbreitete Methoden zur Erkennung von Sicherheitsbedrohungen

Während die meisten IPS die oben beschriebenen Methoden zur Sicherheitsbedrohungserkennung verwenden, nutzen einige auch weniger verbreitete Techniken.

Die reputationsbasierte Erkennung ermittelt und blockiert Datenverkehr von IP-Adressen und Domänen, die mit böswilligen oder verdächtigen Aktivitäten in Verbindung stehen. Die Protokollanalyse mit Zustandsüberwachung konzentriert sich auf das Protokollverhalten. Sie kann beispielsweise einen Distributed Denial-of-Service- bzw. DDoSS-Angriff identifizieren, indem sie erkennt, dass eine einzelne IP-Adresse in kurzer Zeit viele simultane TCP-Verbindungsanforderungen sendet.

Mixture of Experts | 28. August, Folge 70

KI entschlüsseln: Wöchentlicher Nachrichtenüberblick

Schließen Sie sich unserer erstklassigen Expertenrunde aus Ingenieuren, Forschern, Produktführern und anderen an, die sich durch das KI-Rauschen kämpfen, um Ihnen die neuesten KI-Nachrichten und Erkenntnisse zu liefern.
Die neuesten Podcast-Folgen ansehen

Die Methoden eines IPS zur Verhinderung von Sicherheitsbedrohungen

Wenn ein IPS eine Sicherheitsbedrohung erkennt, protokolliert es das Ereignis und meldet es an das SOC, häufig über ein SIEM-Tool (Security Information and Event Management ) (siehe „IPS und andere Sicherheitslösungen“).

Aber das IPS kann noch mehr! Es ergreift automatisch Maßnahmen gegen die Sicherheitsbedrohung und verwendet dabei Techniken wie:

Das Blockieren von bösartigem Datenverkehr

Ein IPS kann die Sitzung eines Benutzers beenden, eine bestimmte IP-Adresse blockieren oder sogar den gesamten Datenverkehr zu einem Ziel blockieren. Einige IPS können den Datenverkehr zu einem Honeypot umleiten, einem Köder, der Hackern vorgaukelt, erfolgreich gewesen zu sein, während sie in Wirklichkeit vom SOC beobachtet werden.
Das Entfernen schädlicher Inhalte

Ein IPS kann den Datenverkehr weiterlaufen lassen und dabei die gefährlichen Komponenten entfernen, indem es beispielsweise bösartige Pakete aus einem Datenstrom ausschließt oder einen bösartigen Anhang aus einer E-Mail entfernt.
Das Auslösen anderer Sicherheitsfunktionen

Ein IPS kann andere Sicherheitsfunktionen triggern, indem es beispielsweise Firewall-Regeln aktualisiert, um eine Sicherheitsbedrohung zu blockieren, oder die Router-Einstellungen ändert, um zu verhindern, dass Hacker ihre Ziele erreichen.
Das Durchsetzung von Sicherheitsrichtlinien

Einige IPS können Angreifer und nicht berechtigte Benutzer daran hindern, gegen die Sicherheitsrichtlinien des Unternehmens zu verstoßen. Wenn ein Benutzer beispielsweise versucht, vertrauliche Informationen aus einer Datenbank zu übertragen, die diese nicht verlassen dürfen, würde das IPS ihn blockieren.

Arten von Intrusion-Prevention-Systemen

IPS-Lösungen können Softwareanwendungen sein, die auf Endgeräten installiert sind, dedizierte Hardwareeinheiten, die mit dem Netz verbunden sind, oder als Cloud-Dienste bereitgestellt werden. Da IPS in der Lage sein müssen, bösartige Aktivitäten in Echtzeit zu blockieren, werden sie immer „linear“ im Netz platziert, was bedeutet, dass der Datenverkehr direkt durch das IPS geleitet wird, bevor er sein Ziel erreicht.

IPSs werden basierend darauf, wo sie sich in einem Netz befinden und welche Art von Aktivität sie überwachen, klassifiziert. Viele Unternehmen verwenden mehrere Arten von IPS in ihren Netzen.

Netzbasierte Intrusion-Prevention-Systeme (NIPS)

Ein netzbasiertes Intrusion-Prevention-System (NIPS) überwacht den ein- und ausgehenden Datenverkehr von Geräten im gesamten Netz und prüft einzelne Pakete auf verdächtige Aktivitäten. NIPS-Monitore werden an strategischen Punkten im Netz platziert. Sie befinden sich oft direkt hinter Firewalls am Netzperimeter, damit sie das Eindringen von bösartigem Datenverkehr verhindern können. NIPS können auch innerhalb des Netzwerks platziert werden, um den Datenverkehr zu und von wichtigen Assets wie kritischen Rechenzentren oder Geräten zu überwachen.

Hostbasierte Intrusion-Prevention-Systeme (HIPS)

Ein hostbasiertes Intrusion-Prevention-System (HIPS) wird auf einem bestimmten Endpunkt wie einem Laptop oder Server installiert und überwacht nur den Datenverkehr zu und von diesem Gerät. Ein HIPS wird in der Regel in Verbindung mit NIPS eingesetzt, um ein zusätzliches Maß an Sicherheit für essenzielle Assets bereitzustellen. Es kann auch bösartige Aktivitäten von einem kompromittierten Netzknoten blockieren, z. B.Ransomware, die sich von einem infizierten Gerät aus verbreitet.

Analyse des Netzverhaltens (Network Behavior Analysis; NBA)

Lösungen zur Analyse des Netzverhaltens (Network Behavior Analysis; NBA) überwachen den Netzdatenverkehr. Während NBAs Pakete wie andere IPS-Systeme überprüfen können, konzentrieren sich viele NBAs auf wichtigere Details von Kommunikationssitzungen wie Quell- und Ziel-IP-Adressen, verwendete Ports und die Anzahl der übertragenen Pakete.

NBAs verwenden anomaliebasierte Erkennungsmethoden, die alle von der Norm abweichenden Datenflüsse ermitteln und blockieren, wie z. B. DDoS-Angriffsdatenverkehr oder ein mit Malware infiziertes Gerät, das mit einem unbekannten Befehls- und Steuerungsserver kommuniziert.

Wireless Intrusion-Prevention-Systeme (WIPS)

Ein Wireless Intrusion-Prevention-System (WIPS) überwacht Wireless-Netzprotokolle auf verdächtige Aktivitäten wie nicht berechtigte Benutzer und Geräte, die auf das WLAN des Unternehmens zugreifen. Wenn ein WIPS eine unbekannte Einheit in einem mobilen Netz erkennt, kann es die Verbindung beenden. Ein WIPS kann auch dazu beitragen, falsch konfigurierte oder nicht gesicherte Geräte in einem WLAN-Netz zu erkennen und Man-in-the-Middle-Attacken abzufangen, bei denen Hacker heimlich die Kommunikation von Benutzern ausspähen.

IPS und andere Sicherheitslösungen

IPS sind zwar als Standalone-Tools erhältlich, sie sind jedoch so konzipiert, dass sie als Teil eines ganzheitlichen Cybersicherheitssystems eng in andere Sicherheitslösungen integriert werden können.

IPS und SIEM (Security Information and Event Management)

IPS-Alerts werden häufig an das SIEM eines Unternehmens weitergeleitet, wo sie mit Alerts und Informationen aus anderen Sicherheitstools in einem einzigen, zentralen Dashboard kombiniert werden können. Durch die Integration eines IPS mit dem SIEM können Sicherheitsteams IPS-Alerts mit zusätzlichen Sicherheitsbedrohungsdaten anreichern, Fehlalarme herausfiltern und IPS-Aktivitäten nachverfolgen, um sicherzustellen, dass Sicherheitsbedrohungen erfolgreich blockiert wurden. Das SIEM kann einem SOC auch dabei helfen, Daten aus verschiedenen IPS-Arten zu koordinieren, da viele Unternehmen mehr als einen Typ verwenden.

IPS und IDS (Intrusion Detection System)

Wie bereits erwähnt, haben sich IPS aus IDS entwickelt und verfügen über viele gleiche Funktionen. Während einige Unternehmen getrennte IPS- und IDS-Lösungen verwenden, setzen die meisten Sicherheitsteams eine einzige integrierte Lösung ein, die eine zuverlässige Erkennung, Protokollierung, Berichterstellung und automatische Sicherheitsbedrohungsabwehr bietet. Viele IPS ermöglichen es Sicherheitsteams, auf Präventionsfunktionen zu verzichten. So fungieren sie als reine IDS, wenn das Unternehmen dies wünscht.

IPS und Firewalls

IPS dienen als zweite Verteidigungslinie hinter Firewalls. Firewalls blockieren den bösartigen Datenverkehr am Perimeter, und IPS fangen alles ab, was die Firewall durchdringt und in das Netz gelangt. Einige Firewalls, insbesondere Firewalls der nächsten Generation, verfügen über integrierte IPS-Funktionen.
Weiterführende Lösungen
Sicherheitslösungen für Unternehmen

Transformieren Sie Ihr Sicherheitsprogramm mit Lösungen vom größten Anbieter von Unternehmenssicherheit.

 Cybersicherheitslösungen entdecken
Cybersicherheit-Services

Transformieren Sie Ihr Unternehmen und verwalten Sie Risiken mit Beratungsleistungen im Bereich Cybersicherheit sowie Cloud- und Managed-Security-Services.

         Mehr über Cybersicherheitsservices
    Cybersicherheit mit künstlicher Intelligenz (KI)

    Verbessern Sie die Geschwindigkeit, Genauigkeit und Produktivität von Sicherheitsteams mit KI-gestützten Cybersicherheits-Lösungen.

         KI für Cybersicherheit erkunden
    Machen Sie den nächsten Schritt

    Verwenden Sie IBM Bedrohungserkennungs- und Reaktionslösungen, um Ihre Sicherheit zu stärken und die Bedrohungserkennung zu beschleunigen.

     

         Lösungen zur Bedrohungserkennung erkunden IBM Verify erkunden