Ein Intrusion-Prevention-System (IPS) überwacht den Netzverkehr auf potenzielle Sicherheitsbedrohungen und ergreift automatisch Maßnahmen, um diese zu blockieren, indem es das Sicherheitsteam alarmiert, gefährliche Verbindungen beendet, schädliche Inhalte entfernt oder weitere Sicherheitsfunktionen aktiviert.
IPS-Lösungen haben sich aus Warnsystemen gegen Angriffe von außen (Intrusion Detection Systems; IDS) entwickelt, die Sicherheitsbedrohungen erkennen und dem Sicherheitsteam melden. Ein IPS verfügt über die gleichen Funktionen zum Erkennen von Bedrohungen und Erstellen von Berichten wie ein IDS sowie über automatisierte Funktionen zum Vorbeugen von Sicherheitsbedrohungen, weshalb es manchmal als „Intrusion Detection and Prevention System“ (IDPS) bezeichnet wird.
Da ein IPS bösartigen Datenverkehr direkt blockieren kann, entlastet es Sicherheitsteams und Security Operations Centers (SOC) und ermöglicht es ihnen, sich auf komplexere Sicherheitsbedrohungen zu konzentrieren. IPS können zur Durchsetzung von Netzsicherheitsrichtlinien beitragen, indem sie nicht autorisierte Aktionen legitimer Benutzer blockieren, und sie können die Einhaltung von Compliance-Vorschriften unterstützen. Ein IPS würde zum Beispiel die Anforderung des Payment Card Industry Data Security Standard (PCI-DSS) an Maßnahmen zur Erkennung von Angriffen von außen erfüllen.
IPS verwenden drei primäre Methoden zur Erkennung von Sicherheitsbedrohungen (entweder einzeln oder in Kombination miteinander), um den Datenverkehr zu analysieren.
Signaturbasierte Erkennungsmethoden analysieren Netzpakete auf Angriffssignaturen. Das sind einzigartige Merkmale oder Verhaltensweisen, die mit einer bestimmten Sicherheitsbedrohung verbunden sind. Eine Codesequenz, die in einer bestimmten Malware-Variante auftritt, ist ein Beispiel für eine Angriffssignatur.
Ein signaturbasiertes IPS verwendet eine Datenbank mit Angriffssignaturen, die es mit Netzpaketen vergleicht. Wenn ein Paket eine Übereinstimmung mit einer der Signaturen erkennt, ergreift das IPS Maßnahmen. Signaturdatenbanken müssen regelmäßig mit neuen Sicherheitsbedrohungsdaten aktualisiert werden, da immer mehr neue Arten von Cyberangriffen auftauchen und bestehende Angriffsarten sich weiterentwickeln. Allerdings können brandneue Angriffe, die noch nicht auf Signaturen analysiert wurden, einem signaturbasierten IPS entgehen.
Anomaliebasierte Erkennungsmethoden nutzen künstliche Intelligenz und maschinelles Lernen, um ein Basismodell der normalen Netzaktivität zu erstellen und kontinuierlich zu verfeinern. Das IPS vergleicht die laufenden Netzaktivitäten mit dem Modell und tritt in Aktion, wenn es Abweichungen erkennt, z. B. wenn ein Prozess mehr Bandbreite als üblich verbraucht oder ein Gerät einen Port öffnet, der normalerweise geschlossen ist.
Da anomaliebasierte IPS auf jedes abnormale Verhalten reagieren, können sie oft brandneue Cyberangriffe blockieren, die einer signaturbasierten Erkennung entgehen könnten. Sie können sogar Zero-Day-Exploits abfangen, also Angriffe, die Software-Sicherheitslücken ausnutzen, bevor der Software-Entwickler sie erkennen oder beheben konnte.
Allerdings können anomaliebasierte IPS anfälliger für Fehlalarme sein.Selbst harmlose Aktivitäten, wie der erstmalige Zugriff eines autorisierten Benutzers auf eine sensible Netzressource, können dazu führen, dass ein anomaliebasiertes IPS Alarm schlägt, sodass autorisierte Benutzer aus dem Netz entfernt oder ihre IP-Adressen blockiert werden.
Die richtlinienbasierte Erkennung basiert auf Sicherheitsrichtlinien, die vom Sicherheitsteam festgelegt werden. Wenn ein richtliniengesteuertes IPS eine Aktion erkennt, die gegen eine Sicherheitsrichtlinie verstößt, blockiert es sie.
Beispielsweise könnte ein SOC Zugriffskontrollrichtlinien festlegen, die vorschreiben, welche Benutzer und Geräte auf einen Host zugreifen können. Wenn ein nicht berechtigter Benutzer versucht, eine Verbindung zum Host herzustellen, wird ein richtlinienbasiertes IPS dies verhindern.
Richtlinienbasierte IPS bieten zwar die Möglichkeit der individuellen Anpassung, können jedoch erhebliche Vorlaufinvestitionen erfordern. Das Sicherheitsteam muss ein umfassendes Regelwerk erstellen, das festlegt, was im gesamten Netz erlaubt ist und was nicht.
Während die meisten IPS die oben beschriebenen Methoden zur Sicherheitsbedrohungserkennung verwenden, nutzen einige auch weniger verbreitete Techniken.
Die reputationsbasierte Erkennung ermittelt und blockiert Datenverkehr von IP-Adressen und Domänen, die mit böswilligen oder verdächtigen Aktivitäten in Verbindung stehen. Die Protokollanalyse mit Zustandsüberwachung konzentriert sich auf das Protokollverhalten. Sie kann beispielsweise einen Distributed Denial-of-Service- bzw. DDoSS-Angriff identifizieren, indem sie erkennt, dass eine einzelne IP-Adresse in kurzer Zeit viele simultane TCP-Verbindungsanforderungen sendet.
Wenn ein IPS eine Sicherheitsbedrohung erkennt, protokolliert es das Ereignis und meldet es an das SOC, häufig über ein SIEM-Tool (Security Information and Event Management ) (siehe „IPS und andere Sicherheitslösungen“).
Aber das IPS kann noch mehr! Es ergreift automatisch Maßnahmen gegen die Sicherheitsbedrohung und verwendet dabei Techniken wie:
Ein IPS kann die Sitzung eines Benutzers beenden, eine bestimmte IP-Adresse blockieren oder sogar den gesamten Datenverkehr zu einem Ziel blockieren. Einige IPS können den Datenverkehr zu einem Honeypot umleiten, einem Köder, der Hackern vorgaukelt, erfolgreich gewesen zu sein, während sie in Wirklichkeit vom SOC beobachtet werden.
Ein IPS kann den Datenverkehr weiterlaufen lassen und dabei die gefährlichen Komponenten entfernen, indem es beispielsweise bösartige Pakete aus einem Datenstrom ausschließt oder einen bösartigen Anhang aus einer E-Mail entfernt.
Ein IPS kann andere Sicherheitsfunktionen triggern, indem es beispielsweise Firewall-Regeln aktualisiert, um eine Sicherheitsbedrohung zu blockieren, oder die Router-Einstellungen ändert, um zu verhindern, dass Hacker ihre Ziele erreichen.
Einige IPS können Angreifer und nicht berechtigte Benutzer daran hindern, gegen die Sicherheitsrichtlinien des Unternehmens zu verstoßen. Wenn ein Benutzer beispielsweise versucht, vertrauliche Informationen aus einer Datenbank zu übertragen, die diese nicht verlassen dürfen, würde das IPS ihn blockieren.
IPS-Lösungen können Softwareanwendungen sein, die auf Endpunkten installiert sind, dedizierte Hardwareeinheiten, die mit dem Netz verbunden sind, oder als Cloud-Dienste bereitgestellt werden. Da IPS in der Lage sein müssen, bösartige Aktivitäten in Echtzeit zu blockieren, werden sie immer „linear“ im Netz platziert, was bedeutet, dass der Datenverkehr direkt durch das IPS geleitet wird, bevor er sein Ziel erreicht.
IPSs werden basierend darauf, wo sie sich in einem Netz befinden und welche Art von Aktivität sie überwachen, klassifiziert. Viele Unternehmen verwenden mehrere Arten von IPS in ihren Netzen.
Ein netzbasiertes Intrusion-Prevention-System (NIPS) überwacht den ein- und ausgehenden Datenverkehr von Geräten im gesamten Netz und prüft einzelne Pakete auf verdächtige Aktivitäten. NIPS werden an strategischen Punkten im Netz platziert. Sie befinden sich oft direkt hinter Firewalls am Netzperimeter, damit sie das Eindringen von bösartigem Datenverkehr verhindern können. NIPS können auch innerhalb des Netzs platziert werden, um den Datenverkehr zu und von wichtigen Assets wie kritischen Rechenzentren oder Geräten zu überwachen.
Ein hostbasiertes Intrusion-Prevention-System (HIPS) wird auf einem bestimmten Endpunkt wie einem Laptop oder Server installiert und überwacht nur den Datenverkehr zu und von diesem Gerät. Ein HIPS wird in der Regel in Verbindung mit NIPS eingesetzt, um ein zusätzliches Maß an Sicherheit für essenzielle Assets bereitzustellen. Es kann auch bösartige Aktivitäten von einem kompromittierten Netzknoten blockieren, z. B. Ransomware, die sich von einem infizierten Gerät aus verbreitet.
Lösungen zur Analyse des Netzverhaltens (Network Behavior Analysis; NBA) überwachen den Netzdatenverkehr. Während NBAs Pakete wie andere IPS-Systeme überprüfen können, konzentrieren sich viele NBAs auf wichtigere Details von Kommunikationssitzungen wie Quell- und Ziel-IP-Adressen, verwendete Ports und die Anzahl der übertragenen Pakete.
NBAs verwenden anomaliebasierte Erkennungsmethoden, die alle von der Norm abweichenden Datenflüsse ermitteln und blockieren, wie z. B. DDoS-Angriffsdatenverkehr oder ein mit Malware infiziertes Gerät, das mit einem unbekannten Befehls- und Steuerungsserver kommuniziert.
Ein Wireless Intrusion-Prevention-System (WIPS) überwacht Wireless-Netzprotokolle auf verdächtige Aktivitäten wie nicht berechtigte Benutzer und Geräte, die auf das WLAN des Unternehmens zugreifen. Wenn ein WIPS eine unbekannte Einheit in einem mobilen Netz erkennt, kann es die Verbindung beenden. Ein WIPS kann auch dazu beitragen, falsch konfigurierte oder nicht gesicherte Geräte in einem WLAN-Netz zu erkennen und Man-in-the-Middle-Attacken abzufangen, bei denen Hacker heimlich die Kommunikation von Benutzern ausspähen.
IPS sind zwar als Standalone-Tools erhältlich, sie sind jedoch so konzipiert, dass sie als Teil eines ganzheitlichen Cybersicherheitssystems eng in andere Sicherheitslösungen integriert werden können.
IPS-Alerts werden häufig an das SIEM eines Unternehmens weitergeleitet, wo sie mit Alerts und Informationen aus anderen Sicherheitstools in einem einzigen, zentralen Dashboard kombiniert werden können. Durch die Integration eines IPS mit dem SIEM können Sicherheitsteams IPS-Alerts mit zusätzlichen Sicherheitsbedrohungsdaten anreichern, Fehlalarme herausfiltern und IPS-Aktivitäten nachverfolgen, um sicherzustellen, dass Sicherheitsbedrohungen erfolgreich blockiert wurden. Das SIEM kann einem SOC auch dabei helfen, Daten aus verschiedenen IPS-Arten zu koordinieren, da viele Unternehmen mehr als einen Typ verwenden.
Wie bereits erwähnt, haben sich IPS aus IDS entwickelt und verfügen über viele gleiche Funktionen. Während einige Unternehmen getrennte IPS- und IDS-Lösungen verwenden, setzen die meisten Sicherheitsteams eine einzige integrierte Lösung ein, die eine zuverlässige Erkennung, Protokollierung, Berichterstellung und automatische Sicherheitsbedrohungsabwehr bietet. Viele IPS ermöglichen es Sicherheitsteams, auf Präventionsfunktionen zu verzichten. So fungieren sie als reine IDS, wenn das Unternehmen dies wünscht.
IPS dienen als zweite Verteidigungslinie hinter Firewalls. Firewalls blockieren den bösartigen Datenverkehr am Perimeter, und IPS fangen alles ab, was die Firewall durchdringt und in das Netz gelangt. Einige Firewalls, insbesondere Firewalls der nächsten Generation, verfügen über integrierte IPS-Funktionen.
Erkennen Sie verdeckte Sicherheitsbedrohungen in Ihrem Netz, bevor es zu spät ist. IBM Security QRadar Network Detection and Response (NDR) unterstützt Ihre Sicherheitsteams durch die Analyse von Netzwerkaktivitäten in Echtzeit. Die Lösung kombiniert einen umfassenden Überblick mit hochwertigen Daten und Analysen, um fundierte Erkenntnisse zu liefern und Reaktionen zu ermöglichen.
Mit einem Incident Response Retainer-Abonnement von IBM Security erhalten Sie den Schutz, den Ihr Unternehmen benötigt, um Sicherheitsverletzungen besser abwehren zu können. Wenn Sie mit unserem erstklassigen Reaktionsteam zusammenarbeiten, haben Sie vertrauenswürdige Partner an Ihrer Seite, die Ihnen dabei helfen, die Reaktionszeit auf einen Vorfall verkürzen, seine Auswirkungen minimieren und sich schneller davon erholen zu können, bevor ein Verdacht auf einen Cybersicherheitsvorfall entsteht.
Verhindern Sie, dass Ransomware die Geschäftskontinuität unterbricht, und erholen Sie sich schnell von Angriffen – mit einem Zero-Trust-Ansatz, der Ihnen hilft, Ransomware schneller zu erkennen und auf sie zu reagieren und die Folgen dieser Angriffe zu minimieren.
Da Unternehmensnetze immer weiter wachsen, steigt auch das Risiko von Cyberangriffen. Erfahren Sie, wie Netzsicherheitslösungen Computersysteme vor internen und externen Sicherheitsbedrohungen schützen.
Das SIEM überwacht und analysiert sicherheitsbezogene Ereignisse in Echtzeit. Es protokolliert und verfolgt Sicherheitsdaten für Compliance- oder Protokollierungszwecke.
NDR nutzt künstliche Intelligenz, maschinelles Lernen und Verhaltensanalysen, um verdächtige Netzaktivitäten zu erkennen und darauf zu reagieren.