freshidea - Fotolia

Drei Kriterien für die Auswahl der richtigen IPS-Lösung

Erkennungsfunktionen, Kontextverständnis und Threat Intelligence sind zentrale Kriterien für die Auswahl von Intrusion Prevention Systemen (IPS).

Ein Netzwerk Intrusion Prevention System (IPS) überwacht den Netzwerkverkehr und analysiert die Paket-Header und -Inhalte auf Anzeichen für schädliche Aktivitäten oder andere Verstöße gegen Richtlinien des Unternehmens. Werden schädliche Dateien oder Aktivitäten erkannt, wehrt ein IPS-System diese Angriffe mit verschiedenen Methoden ab. Dazu gehört beispielsweise die Unterbrechung der entsprechenden Netzwerkverbindungen oder die Neukonfiguration von anderen Sicherheitsmechanismen, um den Datenverkehr zu blockieren.

IPS Produkte stehen derzeit in drei Formen zur Verfügung:

  • Dedizierte Hardware und Software (Hardware Appliances oder virtuelle Appliances)
  • Integriert in andere Security-Technologien. So kann ein Unternehmen beispielsweise ein IPS-Modul lizenzieren und auf einer Next-Generation Firewall aktivieren.
  • Cloud-basierter Service

All diese Formen bringen Vorteile und Nachteile mit sich, so dass sie sich für bestimmte Umgebungen und Szenarien besser oder schlechter eignen. Leider erschweren die grundlegenden Unterschiede zwischen den drei Formen den Vergleich und die Bewertung der IPS-Produkte und -Services.

Daher beschränken wir uns in diesem Artikel ausschließlich auf IPS-Lösungen, die auf Hardware Appliances oder vrtuellen Appliances basieren. Einige der in diesem Artikel vorgestellten Kriterien gelten möglicherweise auch für die anderen IPS-Formen, sie wurden allerdings nicht in Gedanken an sie entwickelt.

Erstes Kriterium: Funktionen zum Erkennen von Attacken

Das Erkennen von bösartigen Attacken, Requests oder Malware ist die wichtigste Eigenschaft beim Bewerten von IPS-Produkten. Da die Identifizierung der Attacken ein komplexes Unterfangen darstellt, fällt die Einordnung allerdings schwer. Jedes IPS-Produkt nutzt eine einzigartige Kombination von Nachweismethoden; die eingesetzte Technik ist meist nur auf die Ermittlung bestimmter Arten von bösartigen Aktivitäten spezialisiert und dementsprechend effizient. Frühe IPS-Lösungen stützten sich einzig und allein auf signaturbasierte Techniken. Mittlerweile kombinieren sie diese mit Methoden wie eine auf Anomalien basierte Erkennung, Überwachen und Filtern von Datenpaketen (Deep Packet Inspection, DPI), Analyse des Netzwerk-Flows (Bandbreite etc.) und anderen Techniken, um bekannte und neue Angriffe zu identifizieren.

Es ist wichtig, dass jedes IPS-Produkt für Unternehmen verschiedene Arten von Techniken für das Identifizieren von bösartigen Aktivitäten verwendet, um eine breite Abdeckung zu erreichen, einschließlich der Erkennung von Zero-Day-Attacken (Angriffe, die eine bislang unbekannte Schwachstelle auszunutzen). Darüber hinaus ist es von entscheidender Bedeutung, dass ein IPS die Anwendungsprotokolle unterstützt, die ein Unternehmen in seinen Netzwerken verwendet. In vielen Fällen ist ein IPS der einzige Kontrollmechanismus, der all diese Applikationen gründlich analysiert und Angriffe identifiziert. Ohne eine Analyse des Datenverkehrs auf Applikationsebene mit einem IPS sind Unternehmen anfälliger für anwendungsbasierte Angriffe.

IPS-Produkte erweitern ihre Analyseinstrumente zunehmend um Funktionen zur Simulation und Emulation von Anwendungsszenarien. Ein Beispiel sind Webbrowseremulationen, die zeigen, wie Internetinhalte reagieren, wenn ein Benutzer darauf zugreift. Diese Emulation kann Malware, den unbefugten Zugriff auf vertrauliche Daten und andere potenzielle Probleme aufdecken, die von den zuvor beschriebenen Techniken nicht identifiziert werden konnten. Simulations- und Emulationsfunktionen stellen daher eine wichtige Ergänzung dar.

Zweites Kriterium: Kenntnis der installierten Umgebung (Kontext)

Im Laufe der Jahre integrierten IPS-Produkte zusehends Technologien, die ein besseres Verständnis der installierten Umgebung ermöglichten (Kontext). Grob gesprochen handelt es sich dabei um Informationen über die im Unternehmen befindlichen Assets wie Server oder Clients und den darauf installierten Betriebssystemen und Anwendungen. Bei früheren IPS-Lösungen war dies nicht gegeben.

Die Systeme konnten zwar vor schweren Angriffen auf Host-Server warnen, die etwa dem Angreifer Zugriffsrechte auf Administrator-Ebene erlaubt hätten, und diese im besten Fall stoppen. Das IPS wusste aber nicht, ob der Host durch diesen Angriff verwundbar war. Es erkannte nicht, ob die potenzielle Schwachstelle durch Patches oder Konfigurationen bereits behoben wurde oder auf dem Host die Software gar nicht installiert war, auf die der Angriff zielte.

Heutige IPS-Technologien sollten mehr Informationen über den Kontext und die Umgebung besitzen. Einen Teil kann sich das IPS selbst beschaffen, indem es harmlose Netzwerkaktivitäten analysiert und identifiziert, welcher Host welche Services für das Unternehmen anbietet. Darüber hinaus sollte das Unternehmen IT-Asset-Management-Systeme einsetzen, die diese Daten für das IPS zur Verfügung stellen. Dann lassen sich Fragen beantworten wie: Ist die jeweils aktuellste Version der Software auf dem Host oder Gerät installiert? Wer befindet sich gerade im Netzwerk? Welche Rechte hat der jeweilige Benutzer? Stimmen die Konfigurationen der jeweiligen IT-Assets mit den Vorgaben überein? Das IPS erhält damit nicht nur Einblicke in die Komponenten jedes Hosts, sondern kann auch dessen Rolle und Bedeutung für das Unternehmen einschätzen. Indem es diesen Kontext berücksichtigt, kann das IPS Ereignisse priorisieren und angemessen darauf reagieren.

Kriterium 3: Einsatz von Threat Intelligence

Neben dem besseren Kontextverständnis hilft auch der Einsatz von Threat Intelligence bei der Analyse und Abwehr von Bedrohungen. Threat Intelligence beschreibt das Sammeln und die Analyse von Informationen, die auf Schwachstellen, geplante Angriffe oder jegliche andere unerwünschte Aktivitäten in der eigenen IT-Infrastruktur hindeuten. Einige Anbieter haben sich auf die Erfassung und Optimierung von Bedrohungsdaten spezialisiert und Sensoren in Netzwerken auf der ganzen Welt installiert, um die Bedrohungslage weltweit zu analysieren und überwachen. Threat Intelligence-Anbieter sammeln kontinuierlich Daten, um die neuesten Bedrohungen schneller als andere zu erkennen.

Viele Unternehmen beobachten mit Hilfe von Threat Intelligence zunächst, welche Anzeichen in der eigenen Infrastruktur auf potenzielle Angriffe hindeuten. Hier haben sich so genannte SIEM-Systeme (Security Information and Event Management) bewährt, die Informationen aus den IT-Komponenten sammeln (zum Beispiel Log-Daten oder Verkehrsflussdaten), zueinander in Beziehung setzen und Alarm schlagen, sobald eine verdächtige Aktivität entdeckt wird. Dieses Konzept übernehmen auch die IPS-Anbieter. Angenommen, ein IPS erkennt eine bösartige Aktivität, weist ihr jedoch eine niedrige Priorität zu. Wenn aber die Analyse eines externen Threat-Intelligence-Anbieters zeigt, dass die als Quelle des Angriffs ermittelte externe IP-Adresse bereits für schwere Attacken gegen andere Unternehmen verantwortlich war, kann das IPS der Alarmmeldung eine höhere Priorität zuweisen, damit die Bedrohung oder Schwachstelle schneller untersucht, behoben oder abgewehrt wird. Threat Intelligence konzentriert sich vor allem auf IP-Adressen, doch auch URLs, Domainnamen und andere Komponenten des Netzwerkverkehrs lassen sich analysieren.

Bewerten Sie IPS-Produkte vor dem Kauf

Die drei hier vorgestellten Kriterien (Funktionen zum Erkennen von Attacken, Kontextverständnis und Threat Intelligence) sind nur ein Teil der Punkte, die Unternehmen beim Kauf von IPS-Produkten berücksichtigen sollten. Hier einige weitere Aspekte, die es zu beachten gilt:

  • Automatische Blockadetechniken wie Pakete zum Beenden der Netzwerkverbindung oder die Neukonfiguration einer Firewall, um eine IP-Adresse zu blocken, damit sie keine neuen Verbindungen starten kann.
  • Individuelle Anpassung und Durchsetzung von Richtlinien; ein Beispiel ist die Möglichkeit, Anwendungen zu bestimmen, die das Unternehmen blockiert oder nur eingeschränkt erlaubt.
  • Logging- und Reporting-Funktionen mit detaillierten Informationen für jedes Ereignis.

IPS-Produkte für Netzwerk sind sehr schwer zu beurteilen, weil sie eine Vielzahl von Angriffen und anderen unerwünschten Aktivitäten untersuchen, die über Tausende von verschiedenen Anwendungs- und Netzwerkprotokollen erfolgen können. Das IPS, das für ein Unternehmen die besten Analysefunktionen bietet, kann sich für ein anderes Unternehmen als ungeeignet erweisen. Angesichts weiterer Kaufkriterien sollten Unternehmen diejenigen Eigenschaften einer IPS-Lösung genauer analysieren, die sie für sich am wichtigsten erachten, um das passende Produkt zu finden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im November 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Network-Intrusion-Detection und -Analyse

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close