Intrusion Detection- und Prevention-Systeme beobachten alle Aktivitäten innerhalb eines Netzwerks, führen Aufzeichnungen über diese Aktivitäten und suchen nach Intrusionen und Angriffen. Intrusion Detection- und Prevention-Lösungen können separat oder zusammen implementiert werden, obwohl beide häufig vorteilhafter sind, da sowohl Erkennung als auch Reaktion für die Netzwerksicherheit wichtig sind. Im Laufe der Zeit haben sich Intrusion Detection-Systeme (IDS) und Intrusion Prevention-Systeme (IPS) zu Intrusion Detection- und Prevention-Systemen (IDPS) zusammengeschlossen.
IDS
Intrusion Detection-Systeme überwachen den Netzwerkverkehr und zeichnen alle Aktivitäten in Systemprotokollen auf, die auf Muster untersucht werden können. Ein Intrusion Detection System ist bekannt für seine Fähigkeit, die Netzwerkaktivität zu untersuchen und dann ungewöhnliches Verhalten zu erkennen. Es beobachtet das Netzwerk auf unterschiedliche Verkehrsmuster, einschließlich der für Würmer oder Viren charakteristischen, und warnt IT-Teams oder Administratoren vor verdächtigen Aktivitäten oder Angriffen. IDS kann so programmiert werden, dass ein bestimmtes normales Netzwerkverhalten und das, was normalerweise in Segmenten des Netzwerks auftritt, erwartet wird. Die Funktion zur Erkennung von Anomalien kennzeichnet ungewöhnliche Aktionen, die nicht mit der Programmierung übereinstimmen.
IDS erkennt, wie ein Eingriff aussieht, und verwendet frühere Datensätze, sogenannte Intrusion-Signaturen, um festzustellen, ob ein neues Muster auch ein Eingriff sein kann. IDS greift über Protokolldateien, die das Netzwerk aufbewahrt, auf diese Daten zu. Dies ist jedoch auch die Schwäche eines Intrusion Detection-Systems und beschränkt sich auf die Beobachtung bereits aufgetretener Intrusionen.
IDS-Software hat unterschiedliche Niveaus und Preise; Es kann auch als Hardware in einem Computersystem installiert werden.
IPS
Intrusion Prevention-Systeme analysieren den Netzwerkverkehr, filtern Anforderungen und erlauben oder blockieren Anforderungen entsprechend. IPS ist proaktiver als IDS, da es auf Verhalten reagieren kann. Für IT-Teams kann dies jedoch überwältigend sein, da jede seltsame Aktivität, auch wenn sie harmlos ist, das Technologiepersonal mit Warnungen überlastet. Wenn ein IPS nicht intelligent ist und die Netzwerkaktivität nicht gut interpretieren kann, ist es für Menschen fast unmöglich, die Flut von Systemwarnungen zu sortieren.
Intrusion Prevention-Systeme können zu falsch positiven und negativen Ergebnissen neigen: Ein falsch positives blockiert ein legitimes Paket, das nur verdächtig erscheint, und ein falsches Negativ übersieht böswilligen Datenverkehr. Maschinelles Lernen, das in der Intrusion Prevention implementiert ist, kann dazu beitragen, dass das System genauer wird, wenn die Technologie Netzwerkmuster besser lernt und echte Probleme genauer erkennt. Eine fortschrittlichere Automatisierung kann die Anzahl der falsch positiven und negativen Ergebnisse verringern. Sicherheitsteams müssen normalerweise Regeln verfeinern, um zu vermeiden, dass falsche oder unbedeutende Warnungen ausgelöst werden.
Intrusion Prevention-Dienste können entweder netzwerkbasiert oder hostbasiert sein. Netzwerkbasiertes IPS befindet sich in der Nähe der Firewall und überwacht den Netzwerkverkehr. Hostbasiertes IPS befindet sich näher an einem Computer oder einem anderen Endpunkt (in der Nähe des Hosts).
Verwendung von Intrusion Detection- und Prevention-Systemen (IDPS)
Wie bereits erwähnt, werden Intrusion Detection und Prevention häufig automatisch zusammengefasst, obwohl sie als separate Lösungen implementiert werden können. Sie sind jedoch zusammen effektiver. Das Erkennen möglicher abnormaler Aktivitäten in der Protokolldatei einer Anwendung hilft wenig, wenn das System keine Maßnahmen ergreifen kann, um einen Eindringling zu verfolgen und zu unterdrücken. Und ohne Software zur Überwachung des gesamten Netzwerkverkehrs können Präventionssysteme böswillige Aktivitäten nicht so effektiv lokalisieren. Obwohl IDPS nicht die perfekte Lösung für die gesamte Netzwerksicherheit ist, ist es am besten, sowohl Erkennung als auch Prävention bereitzustellen, wenn Sie planen, eine davon zu verwenden.