Was der Vorfall in Stryker über Handalas Vorgehensweise bei Angriffen verrät.
Den Blog lesen

Was der Stryker-Vorfall über Handalas Vorgehensweise verrät. Zum Blog →

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
  1. Grundlagen der Cybersicherheit
  2. Intrusion Detection and Prevention System - IDS/IDPS

What Is IDPS? How Intrusion Detection & Prevention Systems Work

Wichtige Erkenntnisse

  • Der Weltmarkt für IDS/IDPS wird bis 2023 voraussichtlich 8 Milliarden US-Dollar erreichen, was die wachsende Bedeutung dieser Technologien für die Cybersicherheit verdeutlicht. (Quelle: MarketsandMarkets)
  • Unternehmen, die IDS/IDPS-Lösungen einsetzen, berichten von einer um 30 % kürzeren Reaktionszeit auf Vorfälle, was ihre Wirksamkeit bei der Verbesserung der Sicherheitsabläufe unterstreicht. (Quelle: Ponemon Institute)

Was ist ein Intrusion Detection System (IDS)?

Ein Intrusion Detection System (IDS) ist eine Sicherheitstechnologie zur Überwachung von Netzwerk- und Systemaktivitäten auf böswillige Aktivitäten oder Richtlinienverstöße. Ein IDS analysiert den Datenverkehr, um Anomalien, bekannte Angriffsmuster und unbefugte Zugriffsversuche zu erkennen, und warnt die Administratoren vor möglichen Sicherheitsverletzungen.

Die Arten von IDS/IDPS

Es gibt viele verschiedene Klassifizierungen von Intrusion Detection Systemen. Die gängigsten Klassifizierungen sind:

Art von IDS Beschreibung Anwendungsfall Vorteile Herausforderungen
Netzwerkbasierte IDS (NIDS) Überwacht den Netzwerkverkehr auf verdächtige Aktivitäten durch die Analyse von Paketen. Einsatz an Netzwerkperimetern oder kritischen Segmenten zur Erkennung von Angriffen wie Port-Scans und DDoS. Bietet eine umfassende Netzwerktransparenz und kann eine Vielzahl von netzbasierten Angriffen erkennen. Kann bei hohem Verkehrsaufkommen überlastet sein und verschlüsselten Verkehr übersehen.
Host-basiertes IDS (HIDS) Überwacht die Interna eines Computersystems, z. B. System- und Anwendungsprotokolle. Wird auf einzelnen Geräten oder Servern installiert, um Anomalien und unbefugten Zugriff zu erkennen. Bietet eine detaillierte Überwachung einzelner Hosts und kann lokale Angriffe erkennen. Ressourcenintensiv und kann gefährdet sein, wenn der Host kompromittiert wird.
Signaturbasierte IDS Verwendet vordefinierte Angriffsmuster (Signaturen), um potenzielle Bedrohungen zu erkennen. Wirksam bei der Erkennung bekannter Bedrohungen mit etablierten Signaturen. Genaue Erkennung bekannter Bedrohungen mit niedrigen False-Positive-Raten für erkannte Signaturen. Neue oder unbekannte Bedrohungen können ohne bereits vorhandene Signaturen nicht erkannt werden.
Anomalie-basiertes IDS Erkennt Abweichungen vom normalen Verhalten, um potenzielle Bedrohungen zu identifizieren. Wirksam bei der Identifizierung unbekannter Bedrohungen durch Überwachung ungewöhnlicher Aktivitäten. Kann neuartige Angriffe und zero-day durch Identifizierung von Anomalien erkennen. Höhere falsch-positive Raten aufgrund der Schwierigkeit, "normales" Verhalten zu definieren.

Wie IDS/IDPS funktionieren

Intrusion detection and prevention system solutions utilize a combination of signature-based and anomaly-based detection techniques to analyze network traffic and system activities. Here's how they work:

  1. Signaturgestützte Erkennung: IDS/IDPS-Systeme unterhalten eine Datenbank mit bekannten Angriffsmustern oder Signaturen, die mit dem eingehenden Netzwerkverkehr oder Systemereignissen verglichen werden. Wenn eine Übereinstimmung gefunden wird, wird eine Warnung generiert, die auf ein mögliches Eindringen oder eine Sicherheitsbedrohung hinweist.
  2. Anomalie-basierte Erkennung: Diese Systeme erstellen eine Basislinie des normalen Netzwerk- und Systemverhaltens im Laufe der Zeit. Abweichungen von dieser Basislinie werden als potenzielle Anomalien gekennzeichnet. Die anomaliebasierte Erkennung ist wirksam bei der Identifizierung bisher unbekannter Bedrohungen oder Angriffe, für die es keine bekannten Signaturen gibt.
  3. Überwachung in Echtzeit: IDS/IDPS-Lösungen überwachen kontinuierlich den Netzwerkverkehr und suchen nach Mustern oder Aktivitäten, die mit bekannten Angriffssignaturen übereinstimmen oder erheblich von der Norm abweichen.
  4. Alerting and Reporting: When suspicious or malicious activity is detected, IDS/IDPS systems generate alerts, which can include details about the detected threat, its severity, and the affected system or network segment. These alerts are sent to security personnel or integrated with Security Information and Event Management (SIEM) systems for further analysis and response.
  5. Reaktionsmechanismen (IDPS): Zusätzlich zur Erkennung sind IDPS-Lösungen in der Lage, automatische Maßnahmen zu ergreifen, um erkannte Bedrohungen in Echtzeit zu blockieren oder zu entschärfen. Dieser proaktive Ansatz hilft, potenzielle Sicherheitsverstöße zu verhindern.

Die Vorteile von IDS/IDPS

Intrusion Detection Systems (IDS) and Intrusion Detection and Prevention Systems (IDPS) are essential components of an organization's cybersecurity strategy for several reasons:

  1. Erkennung von Bedrohungen: IDS/IDPS-Lösungen spielen eine entscheidende Rolle bei der Erkennung und Warnung von Unternehmen vor potenziellen Sicherheitsbedrohungen und Eindringlingen. Durch Frühwarnung und schnelle Erkennung helfen sie, die Auswirkungen von Cyberangriffen zu verhindern oder zu minimieren.
  2. Einhaltung gesetzlicher Vorschriften: Viele Branchen und Unternehmen unterliegen gesetzlichen Vorschriften, die den Einsatz von IDS/IDPS vorschreiben, um sensible Daten zu schützen und die Einhaltung von Cybersicherheitsstandards zu gewährleisten.
  3. Reaktion auf Zwischenfälle: IDS/IDPS-Lösungen sind ein wesentlicher Bestandteil der Maßnahmen zur Reaktion auf Vorfälle. Sie liefern wertvolle Informationen über die Art und den Umfang eines Eindringens und ermöglichen es den Sicherheitsteams, geeignete Maßnahmen zur Eindämmung und Entschärfung der Bedrohung zu ergreifen.
  4. Geringere Ausfallzeiten und Schäden: Durch die schnelle Erkennung von und Reaktion auf Bedrohungen tragen IDS/IDPS-Lösungen dazu bei, Ausfallzeiten und potenzielle Schäden durch Cyberangriffe zu reduzieren und die damit verbundenen Kosten und Unterbrechungen zu minimieren.
  5. Netzwerktransparenz: Diese Systeme bieten Einblicke in den Netzwerkverkehr und -aktivitäten und helfen Unternehmen, das Verhalten ihres Netzwerks zu verstehen und Schwachstellen zu erkennen, die möglicherweise zusätzlichen Schutz erfordern.
  6. Proaktive Verteidigung (IDPS): IDPS-Lösungen gehen über die Erkennung hinaus, indem sie Bedrohungen aktiv daran hindern, die Netzwerksicherheit zu gefährden. Sie können automatisch bösartigen Datenverkehr oder verdächtige Aktivitäten in Echtzeit blockieren oder unter Quarantäne stellen und so die Angriffsfläche reduzieren.

Die Grenzen von IDS/IDPS

Angreifer können heutzutage leicht die Erkennungstechniken von Perimetern und malware umgehen. Die Umgehung der Erkennung kann eines von fünf Merkmalen oder eine Kombination aus allen aufweisen, darunter:

  1. Unterschriftenvermeidung
  2. Verschlüsselter Verkehr
  3. Perimetervermeidung
  4. Interne Bewegung
  5. Sammeln von Zugangsdaten

Unterschriftenvermeidung

Der einfachste Ansatz zur Umgehung des signaturbasierten IDPS besteht darin, Datenverkehr zu verwenden, der nicht mit bekannten Signaturen übereinstimmt. Dies kann trivial oder hochkomplex sein. Beispielsweise basiert die Erkennung von Signaturen oft auf "bekannten" kompromittierten IP-Adressen und URLs, die von Botnetzen und malware verwendet werden. Für Angreifer ist die Umgehung so einfach wie die Registrierung einer neuen Domain.

Am anderen Ende des Spektrums können hochentwickelte Angreifer bisher unbekannte Schwachstellen finden und ausnutzen. Angriffen auf solche "unbekannten" Schwachstellen fehlt natürlich die Art von Signatur, die IDPS möglicherweise zu finden versucht.

Verschlüsselter Verkehr

Eine andere Möglichkeit, Signaturen zu vermeiden, besteht darin, den Datenverkehr zu verschleiern. Dies kann so einfach sein wie das Verschlüsseln von bösartigem Netzwerkverkehr. Die SSL-Entschlüsselung am Netzwerkrand ist zwar eine Option, aber sie ist kostspielig, da sie Leistungseinbußen mit sich bringt, und ihre Umsetzung ist kompliziert geworden.

Die raffinierten Angreifer von heute verwenden individuelle Verschlüsselungen, die selbst unter den besten Umständen nicht entschlüsselt werden können. Daher müssen Sicherheitsteams entscheiden, ob sie unbekannten Datenverkehr an der Grenze blockieren oder zulassen sollen.

Perimetervermeidung

Angreifer haben gelernt, den Perimeter und seine Schutzmaßnahmen zu umgehen. Indem sie die Geräte der Benutzer zu Hause oder außerhalb des Perimeters infizieren, können die Bedrohungen direkt durch die Eingangstür eingeschleust werden.

Vor allem mobile Geräte bieten logische und physische Pfade um den Perimeter herum. Mobile Geräte mit LTE- oder 5G-Datenkonnektivität haben einen einfachen Zugang zum Internet und fungieren als unsichtbarer Kanal, den Angreifer gerne nutzen, um in Netzwerke einzudringen.

Interne Bewegung

Given the almost exclusive focus of IDPS is on the perimeter, once around the initial defenses, attackers can move much more freely. This involves an ongoing process of internal reconnaissance, lateral movement, and the access and theft of key assets. Each area employs a wide variety of attacker techniques, and they all take place inside the network where visibility is typically low.

Mit dem Aufkommen von Hybrid- und Multi-Cloud-Implementierungen gehen wir noch einen Schritt weiter: Die Lücken in der Netzwerksichtbarkeit erstrecken sich oft auch auf die Verbindungen zwischen Rechen- und Speicherinstanzen. Cyber-Angreifer nutzen diese Transparenzlücke gerne aus.

Sammeln von Zugangsdaten

Once inside the network, savvy attackers don’t need exploits and malware to extend their incursion. Instead, they simply harvest user credentials from compromised hosts to spread through the network. Typically, they capture a username and login during the authentication process or steal credentials or hashes from memory. In either case, attackers can spread throughout the network using valid credentials without having to use exploits or malware.

Schließen Sie IDS/IDPS-Sicherheitslücken mit Vectra AI

IDS/IDPS-Lösungen spielen zwar eine wichtige Rolle bei der Netzwerksicherheit, bieten aber allein keinen umfassenden Schutz vor fortschrittlichen und sich weiterentwickelnden Cyber-Bedrohungen. An dieser Stelle kommt Vectra AI ins Spiel.

Vectra AI offers an advanced threat detection and response platform that goes beyond traditional IDS/IDPS capabilities.

Durch den Einsatz von künstlicher Intelligenz und Algorithmen des maschinellen Lernens analysiert Vectra AI den Netzwerkverkehr und das Benutzerverhalten in Echtzeit und erkennt ausgeklügelte Angriffe, die IDS/IDPS-Systeme umgehen können.

Die Fähigkeit von Vectra AI, versteckte Bedrohungen, zero-day und Insider-Bedrohungen zu erkennen, füllt die Sicherheitslücke, die IDS/IDPS-Lösungen hinterlassen haben. Mit Vectra AI AI können Unternehmen ihre allgemeine Sicherheitslage verbessern und Cyberkriminellen einen Schritt voraus sein.

> Lesen Sie, warum Sicherheitsteams ihre veralteten IDPS durch NDR ersetzen

Setzen Sie sich mit uns in Verbindung, um herauszufinden, wie wir Ihnen helfen können, Ihre Abwehrkräfte zu stärken und eine widerstandsfähigere Cybersicherheit zu erreichen.

Häufig gestellte Fragen

Was ist ein Intrusion Detection System (IDS)?

Wie unterscheidet sich ein Intrusion Prevention System (IDPS) von einem IDS?

Was sind die wichtigsten Arten von IDS?

Wie wählen Sicherheitsteams zwischen IDS und IDPS?

Was sind die größten Herausforderungen bei der Implementierung von IDS und IDPS?

Wie können Unternehmen falsch positive und negative Ergebnisse effektiv verwalten?

Welche Rolle spielt IDS/IDPS bei der Einhaltung von Vorschriften und gesetzlichen Bestimmungen?

Können IDS und IDPS mit anderen Sicherheitslösungen integriert werden?

Welche zukünftigen Entwicklungen sind in der IDS- und IDPS-Technologie zu erwarten?

Wie sollten Unternehmen ihre Mitarbeiter schulen, um IDS und IDPS effektiv zu nutzen?