Ein Warnsystem gegen Angriffe von außen (Intrusion Detection System; IDS) ist ein Netzsicherheitstool , das den Netzverkehr und Geräte auf bekannte böswillige Aktivitäten, verdächtige Aktivitäten oder Verstöße gegen Sicherheitsrichtlinien überwacht.
Ein IDS kann dazu beitragen, die Erkennung von Sicherheitsbedrohungen im Netz zu beschleunigen und zu automatisieren, indem es Sicherheitsadministratoren vor bekannten oder potenziellen Sicherheitsbedrohungen warnt oder indem es Alerts an ein zentrales Sicherheitstool sendet. Ein zentralisiertes Sicherheitstool wie ein SIEM-System (Security Information and Event Management) kann Daten aus anderen Quellen kombinieren, um Sicherheitsteams bei der Erkennung von und Reaktion auf Cyberbedrohungen zu unterstützen, die anderen Sicherheitsmaßnahmen entgangen sein könnten.
IDS können auch bei der Einhaltung von Compliance-Vorschriften unterstützen. Bestimmte Vorschriften wie der Payment Card Industry Data Security Standard (PCI-DSS) erfordern, dass Unternehmen Maßnahmen zur Erkennung von Angriffen von außen implementieren.
Ein IDS allein kann Sicherheitsbedrohungen nicht stoppen. Heutzutage sind IDS-Funktionen in der Regel in Intrusion-Prevention-Systeme (IPS) integriert, die Sicherheitsbedrohungen erkennen und automatisch Maßnahmen zu deren Abwehr ergreifen können.
Gewinnen Sie mit dem Index „IBM Security X-Force Threat Intelligence“ Einblicke, um sich schneller und effektiver auf Cyberangriffe vorzubereiten und auf sie zu reagieren.
Registrieren Sie sich für den Bericht über die Kosten einer Datenschutzverletzung
IDS können Softwareanwendungen sein, die auf mit dem Netz verbundenen Endpunkten oder dedizierten Hardwareeinheiten installiert sind. Manche IDS-Lösungen sind als Cloud-Services verfügbar. Unabhängig von seiner Form verwendet ein IDS mindestens eine von zwei primären Methoden zur Erkennung von Sicherheitsbedrohungen: die signaturbasierte oder die anomaliebasierte Erkennung.
Die signaturbasierte Erkennung analysiert Netzpakete auf Angriffssignaturen. Das sind einzigartige Merkmale oder Verhaltensweisen, die mit einer bestimmten Sicherheitsbedrohung verbunden sind. Eine Codesequenz, die in einer bestimmten Malware-Variante auftritt, ist ein Beispiel für eine Angriffssignatur.
Ein signaturbasiertes IDS verwendet eine Datenbank mit Angriffssignaturen, die es mit Netzpaketen vergleicht. Wenn ein Paket eine Übereinstimmung mit einer der Signaturen erkennt, markiert das IDS sie. Um effektiv zu sein, müssen Signaturdatenbanken regelmäßig mit neuen Sicherheitsbedrohungsdaten aktualisiert werden, da immer mehr neue Arten von Cyberangriffen auftauchen und bestehende Angriffsarten sich weiterentwickeln. Brandneue Angriffe, die noch nicht auf Signaturen analysiert wurden, können einem signaturbasierten IDS entgehen.
Anomaliebasierte Erkennungsmethoden nutzen maschinelles Lernen, um ein Basismodell der normalen Netzaktivität zu erstellen und kontinuierlich zu verfeinern. Das IPS vergleicht die laufenden Netzaktivitäten mit dem Modell und tritt in Aktion, wenn es Abweichungen erkennt, z. B. wenn ein Prozess mehr Bandbreite als üblich verbraucht oder ein Gerät einen Port öffnet.
Da es jedes abnormale Verhalten meldet, kann ein anomaliebasiertes IDS häufig völlig neue Cyberangriffe erkennen, die einer signaturbasierten Erkennung entgangen wären. Anomaliebasierte IDS können zum Beispiel sogar Zero-Day-Exploits abfangen, also Angriffe, die Software-Sicherheitslücken ausnutzen, bevor der Software-Entwickler sie erkennen oder beheben konnte.
Allerdings können anomaliebasierte IDS auch anfälliger für Fehlalarme sein. Selbst harmlose Aktivitäten, wie der erstmalige Zugriff eines autorisierten Benutzers auf eine sensible Netzressource, können dazu führen, dass ein anomaliebasiertes IDS Alarm schlägt.
Die reputationsbasierte Erkennung blockiert Datenverkehr von IP-Adressen und Domänen, die mit böswilligen oder verdächtigen Aktivitäten in Verbindung stehen. Die Protokollanalyse mit Zustandsüberwachung konzentriert sich auf das Protokollverhalten. Sie kann beispielsweise einen Distributed Denial-of-Service- bzw. DDoSS-Angriff identifizieren, indem sie erkennt, dass eine einzelne IP-Adresse in kurzer Zeit viele simultane TCP-Verbindungsanforderungen sendet.
Unabhängig von der/den verwendeten Methode(n) alarmiert ein IDS das Team zur Fehlerbehebung, wenn es eine potenzielle Sicherheitsbedrohung oder einen potenziellen Richtlinienverstoß feststellt, damit das Problem näher untersucht werden kann. Ein IDS zeichnet auch Sicherheitsvorfälle auf, entweder in seinen eigenen Protokollen oder indem es sie mit einem Tool für Sicherheitsinformationen und Ereignismanagement (SIEM-Tool) protokolliert (siehe unten „IDS und andere Sicherheitslösungen“). Diese Vorfallsprotokolle können verwendet werden, um die Kriterien des IDS zu verfeinern, z. B. durch Hinzufügen neuer Angriffssignaturen oder Aktualisieren des Netzverhaltensmodells.
IDS werden basierend darauf, wo sie sich in einem System befinden und welche Art von Aktivität sie überwachen, klassifiziert.
Netzbasierte Warnsysteme gegen Angriffe von außen (Network Intrusion Detection Systems; NIDS) überwachen den eingehenden und ausgehenden Datenverkehr auf Geräten im gesamten Netz. NIDS werden an strategischen Punkten im Netzwerk platziert, oft direkt hinter Firewalls am Netzwerkrand, damit sie jeden bösartigen Datenverkehr erkennen können, der das Netzwerk durchbricht.
NIDS können auch innerhalb des Netzes platziert werden, um Insider-Sicherheitsbedrohungen oder Hacker abzufangen, die Benutzerkonten gekapert haben. Beispielsweise können NIDS hinter jeder internen Firewall in einem segmentierten Netz platziert werden, um den Datenverkehr zwischen Teilnetzen zu überwachen.
Um den Fluss von legitimem Datenverkehr nicht zu behindern, wird ein NIDS häufig „out-of-band“ platziert, was bedeutet, dass der Datenverkehr nicht direkt durch das NIDS geleitet wird. Ein NIDS analysiert Kopien von Netzpaketen und nicht die Pakete selbst. Auf diese Weise muss der legitime Datenverkehr nicht darauf warten, analysiert zu werden, und das NIDS kann bösartigen Datenverkehr dennoch abfangen und ihn markieren.
Hostbasierte Warnsysteme gegen Angriffe von außen (Host Intrusion Detection Systems; HIDS) werden auf einem bestimmten Endpunkt installiert, z. B. auf einem Laptop, Router oder Server. Das HIDS überwacht nur die Aktivitäten auf diesem Gerät, einschließlich des Datenverkehrs zu und von diesem Gerät. Ein HIDS erstellt in der Regel in regelmäßigen Abständen Momentaufnahmen von kritischen Betriebssystemdateien und vergleicht diese über einen bestimmten Zeitraum hinweg miteinander. Wenn das HIDS eine Änderung bemerkt, etwa wenn Protokolldateien bearbeitet oder Konfigurationen geändert werden, alarmiert es das Sicherheitsteam.
Sicherheitsteams kombinieren oft netzbasierte Warnsysteme gegen Angriffe von außen (NIDS) und hostbasierte Warnsysteme gegen Angriffe von außen (HIDS). NIDS beobachten den gesamten Datenverkehr, während HIDS zusätzlichen Schutz für hochwertige Assets bieten können. HIDS können auch böswillige Aktivitäten von einem kompromittierten Netzknoten blockieren, z. B.Ransomware, die sich von einem infizierten Gerät aus verbreitet.
Während NIDS und HIDS die häufigsten Warnsysteme gegen Angriffe von außen sind, können Sicherheitsteams für spezielle Zwecke auch andere IDS verwenden. Ein protokollbasiertes IDS (PIDS) überwacht Verbindungsprotokolle zwischen Servern und Geräten. PIDS werden häufig auf Webservern platziert, um HTTP- oder HTTPS-Verbindungen zu überwachen.
Ein anwendungsprotokollbasiertes IDS (APIDS) wird auf der Anwendungsschicht eingesetzt und überwacht anwendungsspezifische Protokolle. Ein APIDS wird häufig zwischen einem Webserver und einer SQL-Datenbank bereitgestellt, um SQL-Injections zu erkennen.
IDS-Lösungen können zwar viele Sicherheitsbedrohungen erkennen, allerdings können Hacker diese umgehen. IDS-Anbieter reagieren darauf, indem sie ihre Lösungen aktualisieren und diese Taktiken dabei berücksichtigen. Diese Lösungsupdates führen jedoch zu einer Art Wettstreit, bei dem Hacker und IDS versuchen, einander immer einen Schritt voraus zu sein.
Zu den gängigen IDS-Umgehungsstrategien gehören:
Distributed Denial-of-Service- bzw. DDoS-Angriffe: IDS werden offline genommen, indem sie mit offensichtlich bösartigem Datenverkehr aus mehreren Quellen überflutet werden. Wenn die Ressourcen des IDS durch diese Sicherheitsbedrohungen dann überlastet sind, dringen Hacker in das System ein.
Spoofing: Fälschen von IP-Adressen und DNS-Einträgen, um den Anschein zu erwecken, der Datenverkehr stamme von einer vertrauenswürdigen Quelle.
Fragmentierung: Aufteilung von Malware oder anderen bösartigen Nutzdaten in kleine Pakete, wodurch die Signatur verschleiert und eine Entdeckung vermieden wird. Indem sie Pakete strategisch verzögern oder sie in falscher Reihenfolge senden, können Hacker verhindern, dass das IDS sie wieder zusammensetzt und den Angriff bemerkt.
Verschlüsselung: Verwendung von verschlüsselten Protokollen, um ein IDS zu umgehen, das nicht über den entsprechenden Entschlüsselungsschlüssel verfügt.
Operator Fatigue: Absichtliche Erzeugung einer großen Anzahl von IDS-Warnungen, um das Team zur Fehlerbehebung von seiner eigentlichen Arbeit abzulenken.
IDSs sind keine standalone Tools. Sie sind als Teil eines ganzheitlichen Cybersicherheitssystems konzipiert und oft eng mit einer oder mehreren der folgenden Sicherheitslösungen integriert.
IPS-Alerts werden häufig an das SIEM eines Unternehmens weitergeleitet, wo sie mit Alerts und Informationen aus anderen Sicherheitstools in einem einzigen, zentralen Dashboard kombiniert werden können. Durch die Integration eines IDS mit dem SIEM können Sicherheitsteams IDS-Alerts mit zusätzlichen Sicherheitsbedrohungsinformationen und -daten aus anderen Tools anreichern, Fehlalarme herausfiltern und priorisieren, welche Vorfälle zuerst behoben werden sollen.
Wie oben erwähnt, überwacht ein IPS (genauso wie ein IDS) den Netzverkehr auf verdächtige Aktivitäten und fängt Sicherheitsbedrohungen in Echtzeit ab, indem es Verbindungen automatisch beendet oder andere Sicherheitstools aktiviert. Da IPS dazu gedacht sind, Cyberangriffe zu stoppen, werden sie in der Regel linear platziert, was bedeutet, dass der gesamte Datenverkehr das IPS passieren muss, bevor er in das übrige Netz gelangen kann.
Manche Unternehmen implementieren IDS und IPS als separate Lösungen. Häufig werden IDS und IPS jedoch in einem einzigen Intrusion Detection and Prevention System (IDPS) kombiniert, das Angriffe erkennt, sie protokolliert, Sicherheitsteams darüber informiert und automatisch auf sie reagiert.
IDS und Firewalls ergänzen sich. Firewalls befinden sich außerhalb des Netzes und fungieren als Hindernisse, indem sie vordefinierte Regelsätze verwenden, um Datenverkehr zuzulassen oder zu verbieten. IDS befinden sich oft in der Nähe von Firewalls und helfen dabei, all das aufzufangen, was an ihnen vorbeikommt. Einige Firewalls, insbesondere Firewalls der nächsten Generation, verfügen über integrierte IDS- und IPS-Funktionen.
Verbessern Sie das Programm zur Reaktion auf Vorfälle in Ihrem Unternehmen, minimieren Sie die Auswirkungen einer Sicherheitsverletzung und profitieren Sie von einer schnellen Reaktion auf Vorfälle im Bereich der Cybersicherheit.
Transformative, KI-gestützte Lösungen, die die Zeit der Analysten optimieren, indem sie die Erkennung von Bedrohungen beschleunigen, die Reaktionen beschleunigen und die Identität und Datensätze der Nutzer schützen.
Gewinnen Sie mehr Kontrolle über Ihre Cloudinfrastruktur und schützen Sie Ihre Server und Ihr Netz.
Ein formeller IR-Plan ermöglicht es Cybersicherheitsteams, Schäden durch Cyberangriffe oder Sicherheitsverletzungen zu begrenzen oder zu verhindern.
NDR nutzt künstliche Intelligenz, maschinelles Lernen und Verhaltensanalysen, um verdächtige Netzaktivitäten zu erkennen und darauf zu reagieren.
Das SIEM überwacht und analysiert sicherheitsbezogene Ereignisse in Echtzeit. Es protokolliert Sicherheitsdaten für Compliance- oder Protokollierungszwecke.