Was ist ein Intrusion Detection System (IDS)?
Ein Warnsystem gegen Angriffe von außen (Intrusion Detection System; IDS) überwacht den Netzverkehr und meldet verdächtige Aktivitäten an Teams zur Fehlerbehebung und Cybersicherheitstools.
IBM Newsletter abonnieren IBM Security QRadar kennenlernen
Isometrische Zeichnung mit unterschiedlichen Büromitarbeitenden, die alle IBM Security nutzen
Was ist ein Intrusion Detection System (IDS)?

Ein Warnsystem gegen Angriffe von außen (Intrusion Detection System; IDS) ist ein Netzsicherheitstool, das den Netzverkehr und Geräte auf bekannte böswillige Aktivitäten, verdächtige Aktivitäten oder Verstöße gegen Sicherheitsrichtlinien überwacht.

Ein IDS kann dazu beitragen, die Erkennung von Sicherheitsbedrohungen im Netz zu beschleunigen und zu automatisieren, indem es Sicherheitsadministratoren vor bekannten oder potenziellen Sicherheitsbedrohungen warnt oder indem es Alerts an ein zentrales Sicherheitstool wie ein SIEM-System (Security Information and Event Management bzw. Sicherheitsinformationen und Ereignismanagement) sendet. Dort können sie mit Daten aus anderen Quellen kombiniert werden, um Sicherheitsteams bei der Erkennung von und Reaktion auf Cybersicherheitsbedrohungen zu unterstützen, die anderen Sicherheitsmaßnahmen entgehen könnten.

IDS können auch bei der Einhaltung von Compliance-Vorschriften unterstützen. Bestimmte Vorschriften wie der Payment Card Industry Data Security Standard (PCI-DSS) erfordern, dass Unternehmen Maßnahmen zur Erkennung von Angriffen von außen implementieren.

Ein IDS allein kann Sicherheitsbedrohungen nicht stoppen. Heutzutage sind IDS-Funktionen in der Regel in Intrusion-Prevention-Systeme (IPS) integriert, die Sicherheitsbedrohungen erkennen und automatisch Maßnahmen zu deren Abwehr ergreifen können.

Wie Warnsysteme gegen Angriffe von außen funktionieren

IDS können Softwareanwendungen sein, die auf mit dem Netz verbundenen Endpunkten oder dedizierten Hardwareeinheiten installiert sind. Manche IDS-Lösungen sind als Cloud-Services verfügbar. Unabhängig von seiner Form verwendet ein IDS mindestens eine von zwei primären Methoden zur Erkennung von Sicherheitsbedrohungen: die signaturbasierte oder die anomaliebasierte Erkennung.

Signaturbasierte Erkennung

Die signaturbasierte Erkennung analysiert Netzpakete auf Angriffssignaturen. Das sind einzigartige Merkmale oder Verhaltensweisen, die mit einer bestimmten Sicherheitsbedrohung verbunden sind. Eine Codesequenz, die in einer bestimmten Malware-Variante auftritt, ist ein Beispiel für eine Angriffssignatur.

Ein signaturbasiertes IDS verwendet eine Datenbank mit Angriffssignaturen, die es mit Netzpaketen vergleicht. Wenn ein Paket eine Übereinstimmung mit einer der Signaturen erkennt, markiert das IDS sie. Um effektiv zu sein, müssen Signaturdatenbanken regelmäßig mit neuen Sicherheitsbedrohungsdaten aktualisiert werden, da immer mehr neue Arten von Cyberangriffen auftauchen und bestehende Angriffsarten sich weiterentwickeln. Brandneue Angriffe, die noch nicht auf Signaturen analysiert wurden, können einem signaturbasierten IDS entgehen.

Anomaliebasierte Erkennung

Anomaliebasierte Erkennungsmethoden nutzen künstliche Intelligenz und maschinelles Lernen, um ein Basismodell der normalen Netzaktivität zu erstellen und kontinuierlich zu verfeinern. Das IPS vergleicht die laufenden Netzaktivitäten mit dem Modell und tritt in Aktion, wenn es Abweichungen erkennt, z. B. wenn ein Prozess mehr Bandbreite als üblich verbraucht oder ein Gerät einen Port öffnet, der normalerweise geschlossen ist. Dann vergleicht es die Netzaktivität mit dem Modell und markiert Abweichungen – etwa einen Prozess, der mehr Bandbreite verbraucht, als er normalerweise nutzt, oder ein Gerät, das einen Port öffnet, der normalerweise geschlossen ist.

Da es jedes abnormale Verhalten meldet, kann ein anomaliebasiertes IDS häufig völlig neue Cyberangriffe erkennen, die einer signaturbasierten Erkennung entgangen wären. Anomaliebasierte IDS können zum Beispiel sogar Zero-Day-Exploits abfangen, also Angriffe, die Software-Sicherheitslücken ausnutzen, bevor der Software-Entwickler sie erkennen oder beheben konnte.

Allerdings können anomaliebasierte IDS auch anfälliger für Fehlalarme sein. Selbst harmlose Aktivitäten, wie der erstmalige Zugriff eines autorisierten Benutzers auf eine sensible Netzressource, können dazu führen, dass ein anomaliebasiertes IDS Alarm schlägt.

Weniger verbreitete Erkennungsmethoden

Die reputationsbasierte Erkennung blockiert Datenverkehr von IP-Adressen und Domänen, die mit böswilligen oder verdächtigen Aktivitäten in Verbindung stehen. Die Protokollanalyse mit Zustandsüberwachung konzentriert sich auf das Protokollverhalten. Sie kann beispielsweise einen Distributed Denial-of-Service- bzw. DDoSS-Angriff identifizieren, indem sie erkennt, dass eine einzelne IP-Adresse in kurzer Zeit viele simultane TCP-Verbindungsanforderungen sendet.

Unabhängig von der/den verwendeten Methode(n) alarmiert ein IDS das Team zur Fehlerbehebung, wenn es eine potenzielle Sicherheitsbedrohung oder einen potenziellen Richtlinienverstoß feststellt, damit das Problem näher untersucht werden kann. Ein IDS zeichnet auch Sicherheitsvorfälle auf, entweder in seinen eigenen Protokollen oder indem es sie mit einem Tool für Sicherheitsinformationen und Ereignismanagement (SIEM-Tool) protokolliert (siehe unten „IDS und andere Sicherheitslösungen“). Diese Vorfallsprotokolle können verwendet werden, um die Kriterien des IDS zu verfeinern, z. B. durch Hinzufügen neuer Angriffssignaturen oder Aktualisieren des Netzverhaltensmodells.

Arten von Intrusion-Prevention-Systemen

IDS werden basierend darauf, wo sie sich in einem System befinden und welche Art von Aktivität sie überwachen, klassifiziert.

Netzbasierte Warnsysteme gegen Angriffe von außen (Network Intrusion Detection Systems; NIDS) überwachen den eingehenden und ausgehenden Datenverkehr auf Geräten im gesamten Netz. NIDS werden an strategischen Punkten im Netz platziert. Sie befinden sich oft direkt hinter Firewalls am Netzperimeter, damit sie auf das Eindringen von bösartigem Datenverkehr aufmerksam machen können. NIDS können auch innerhalb des Netzes platziert werden, um Insider-Sicherheitsbedrohungen oder Hacker abzufangen, die Benutzerkonten gekapert haben. Beispielsweise können NIDS hinter jeder internen Firewall in einem segmentierten Netz platziert werden, um den Datenverkehr zwischen Teilnetzen zu überwachen.

Um den Fluss von legitimem Datenverkehr nicht zu behindern, wird ein NIDS häufig „out-of-band“ platziert, was bedeutet, dass der Datenverkehr nicht direkt durch das NIDS geleitet wird. Ein NIDS analysiert Kopien von Netzpaketen und nicht die Pakete selbst. Auf diese Weise muss der legitime Datenverkehr nicht darauf warten, analysiert zu werden, und das NIDS kann bösartigen Datenverkehr dennoch abfangen und ihn markieren.

Hostbasierte Warnsysteme gegen Angriffe von außen (Host Intrusion Detection Systems; HIDS) werden auf einem bestimmten Endpunkt installiert, z. B. auf einem Laptop, Router oder Server. Das HIDS überwacht nur die Aktivitäten auf diesem Gerät, einschließlich des Datenverkehrs zu und von diesem Gerät. Ein HIDS erstellt in der Regel in regelmäßigen Abständen Momentaufnahmen von kritischen Betriebssystemdateien und vergleicht diese über einen bestimmten Zeitraum hinweg miteinander. Wenn das HIDS eine Änderung bemerkt, etwa wenn Protokolldateien bearbeitet oder Konfigurationen geändert werden, alarmiert es das Sicherheitsteam.

Sicherheitsteams kombinieren oft netzbasierte Warnsysteme gegen Angriffe von außen (NIDS) und hostbasierte Warnsysteme gegen Angriffe von außen (HIDS). NIDS beobachten den gesamten Datenverkehr, während HIDS zusätzlichen Schutz für hochwertige Assets bieten können. HIDS können auch böswillige Aktivitäten von einem kompromittierten Netzknoten blockieren, z. B. Ransomware, die sich von einem infizierten Gerät aus verbreitet.

Während NIDS und HIDS die häufigsten Warnsysteme gegen Angriffe von außen sind, können Sicherheitsteams für spezielle Zwecke auch andere IDS verwenden. Ein protokollbasiertes IDS (PIDS) überwacht Verbindungsprotokolle zwischen Servern und Geräten. PIDS werden häufig auf Webservern platziert, um HTTP- oder HTTPS-Verbindungen zu überwachen. Ein anwendungsprotokollbasiertes IDS (APIDS) wird auf der Anwendungsschicht eingesetzt und überwacht anwendungsspezifische Protokolle. Ein APIDS wird häufig zwischen einem Webserver und einer SQL-Datenbank bereitgestellt, um SQL-Injections zu erkennen.

 

IDS-Umgehungsstrategien

IDS-Lösungen können zwar viele Sicherheitsbedrohungen erkennen, allerdings haben Hacker auch Möglichkeiten entwickelt, diese zu umgehen. IDS-Anbieter reagieren darauf, indem sie ihre Lösungen aktualisieren und diese Taktiken dabei berücksichtigen. Dies hat jedoch zu einer Art Wettstreit geführt, bei dem Hacker und IDS versuchen, einander immer einen Schritt voraus zu sein.

Zu den gängigen IDS-Umgehungsstrategien gehören:

  • Distributed Denial-of-Service- bzw. DDoS-Angriffe: IDS werden offline genommen, indem sie mit offensichtlich bösartigem Datenverkehr aus mehreren Quellen überflutet werden. Wenn die Ressourcen des IDS durch diese Sicherheitsbedrohungen dann überlastet sind, dringen Hacker in das System ein.

  • Spoofing: Fälschen von IP-Adressen und DNS-Einträgen, um den Anschein zu erwecken, der Datenverkehr stamme von einer vertrauenswürdigen Quelle.

  • Fragmentierung: Aufteilung von Malware oder anderen bösartigen Nutzdaten in kleine Pakete, wodurch die Signatur verschleiert und eine Entdeckung vermieden wird. Indem sie Pakete strategisch verzögern oder sie in falscher Reihenfolge senden, können Hacker verhindern, dass das IDS sie wieder zusammensetzt und den Angriff bemerkt.

  • Verschlüsselung: Verwendung von  verschlüsselten Protokollen, um ein IDS zu umgehen, das nicht über den entsprechenden Entschlüsselungsschlüssel verfügt.

  • Operator Fatigue: Absichtliche Erzeugung einer großen Anzahl von IDS-Warnungen, um das Team zur Fehlerbehebung von seiner eigentlichen Arbeit abzulenken.

IDS und andere Sicherheitslösungen

IDSs sind keine standalone Tools. Sie sind als Teil eines ganzheitlichen Cybersicherheitssystems konzipiert und oft eng mit einer oder mehreren der folgenden Sicherheitslösungen integriert.

IDS und SIEM (Security Information and Event Management)

IPS-Alerts werden häufig an das SIEM eines Unternehmens weitergeleitet, wo sie mit Alerts und Informationen aus anderen Sicherheitstools in einem einzigen, zentralen Dashboard kombiniert werden können. Durch die Integration eines IDS mit dem SIEM können Sicherheitsteams IDS-Alerts mit zusätzlichen Sicherheitsbedrohungsinformationen und -daten aus anderen Tools anreichern, Fehlalarme herausfiltern‌ und priorisieren, welche Vorfälle zuerst behoben werden sollen.

IDS und IPS (Intrusion-Prevention-Systeme)

Wie oben erwähnt, überwacht ein IPS (genauso wie ein IDS) den Netzverkehr auf verdächtige Aktivitäten und fängt Sicherheitsbedrohungen in Echtzeit ab, indem es Verbindungen automatisch beendet oder andere Sicherheitstools aktiviert. Da IPS dazu gedacht sind, Cyberangriffe zu stoppen, werden sie in der Regel linear platziert, was bedeutet, dass der gesamte Datenverkehr das IPS passieren muss, bevor er in das übrige Netz gelangen kann.

Manche Unternehmen implementieren IDS und IPS als separate Lösungen. Häufig werden IDS und IPS jedoch in einem einzigen Intrusion Detection and Prevention System (IDPS) kombiniert, das Angriffe erkennt, sie protokolliert, Sicherheitsteams darüber informiert und automatisch auf sie reagiert.

IDS und Firewalls

IDS und Firewalls ergänzen sich. Firewalls befinden sich außerhalb des Netzes und fungieren als Hindernisse, indem sie vordefinierte Regelsätze verwenden, um Datenverkehr zuzulassen oder zu verbieten. IDS befinden sich oft in der Nähe von Firewalls und helfen dabei, all das aufzufangen, was an ihnen vorbeikommt. Einige Firewalls, insbesondere Firewalls der nächsten Generation, verfügen über integrierte IDS- und IPS-Funktionen.

Weiterführende Lösungen
IBM Security® QRadar® NDR

Erkennen Sie verdeckte Sicherheitsbedrohungen in Ihrem Netz, bevor es zu spät ist. IBM Security QRadar Network Detection and Response (NDR) unterstützt Ihre Sicherheitsteams durch die Analyse von Netzwerkaktivitäten in Echtzeit. Die Lösung kombiniert einen umfassenden Überblick mit hochwertigen Daten und Analysen, um fundierte Erkenntnisse zu liefern und Reaktionen zu ermöglichen.

Mehr zu QRadar NDR

X-Force Incident-Response-Team

Mit einem Incident Response Retainer-Abonnement von IBM Security erhalten Sie den Schutz, den Ihr Unternehmen benötigt, um Sicherheitsverletzungen besser abwehren zu können. Wenn Sie mit unserem erstklassigen Reaktionsteam zusammenarbeiten, haben Sie vertrauenswürdige Partner an Ihrer Seite, die Ihnen dabei helfen, die Reaktionszeit auf einen Vorfall verkürzen, seine Auswirkungen minimieren und sich schneller davon erholen zu können, bevor ein Verdacht auf einen Cybersicherheitsvorfall entsteht.

Mehr Informationen über die Reaktion auf Vorfälle mit X-Force

Lösungen zum Schutz vor Ransomware

Verhindern Sie, dass Ransomware die Geschäftskontinuität unterbricht, und erholen Sie sich schnell von Angriffen – mit einem Zero-Trust-Ansatz, der Ihnen hilft, Ransomware schneller zu erkennen und auf sie zu reagieren und die Folgen dieser Angriffe zu minimieren.

Ransomware-Schutzlösungen entdecken
Ressourcen Was ist Incident Response?

Ein formeller IR-Plan ermöglicht es Cybersicherheitsteams, Schäden durch Cyberangriffe oder Sicherheitsverletzungen zu begrenzen oder zu verhindern.

Was ist Network Detection and Response (NDR)?

NDR nutzt künstliche Intelligenz, maschinelles Lernen und Verhaltensanalysen, um verdächtige Netzaktivitäten zu erkennen und darauf zu reagieren.

Was ist Security Information and Event Management (SIEM)?

Das SIEM überwacht und analysiert sicherheitsbezogene Ereignisse in Echtzeit. Es protokolliert Sicherheitsdaten für Compliance- oder Protokollierungszwecke.

Gehen Sie den nächsten Schritt

Cybersecurity-Bedrohungen treten immer häufiger auf und werden immer ausgefeilter. Für Sicherheitsanalysten wird es daher immer aufwendiger, die unzähligen Alerts und Vorfälle zu analysieren. IBM Security QRadar SIEM vereinfacht eine schnelle Abwehr von Sicherheitsbedrohungen und wahrt dabei die Rentabilität Ihres Unternehmens. QRadar SIEM priorisiert Alerts mit hoher Genauigkeit, um Sicherheitsbedrohungen abzufangen, die anderen entgehen würden.

Weitere Informationen zu QRadar SIEM QRadar SIEM Demo anfordern