Braucht Ihre IT-Infrastruktur eine Cyber-Alarm-Anlage?
eine Cyber-Alarm-Anlage?
Die Bedrohung durch Cyber-Angriffe nimmt – statistisch belegbar und täglich erlebbar – zu. Da scheint der Einsatz von Systemen zur Erkennung und Verhinderung solcher Attacken nur allzu logisch. Aber müssen Sie nun unbedingt in ein IDS/IPS System investieren? Dazu gibt’s eine klare Antwort:
KOMMT D'RAUF AN!Intrusion Detection Systeme (IDS) überwachen den Datenverkehr zu und von Ihrem Netzwerk, um Muster herauszufiltern, die auf Angriffe und Missbrauch hindeuten.
>Klingt sinnvoll - ist es auch!Intrusion Protection Systeme (IPS) gehen einen Schritt weiter und ergreifen automatisch Abwehr-Maßnahmen.
>Klingt noch besser – ist es auch!Falls Sie noch kein IPS im Einsatz haben, sollten Sie… dennoch nicht umgehend ein hochwertiges System bei einem kompetenten Anbieter (z.B. mcl) bestellen. Erst analysieren – dann investieren!
Intrusion Detection & Prevention sind streng genommen keine Werkzeuge, sondern Funktionen, die ggf. bereits in Ihrer Sicherheitsarchitektur integriert sind. So gibt es eine Reihe von Kombinationslösungen, wie z.B. Unified Threat Management Plattformen oder Next Generation Firewalls, die IDS/IPS-Funktionen enthalten.
Host-basierte Systeme (HIPS) schützen eine dedizierte Komponente (PC, Server, Router,…) und sind lokal auf der abzusichernden Instanz installiert. Der Nachteil: wenn der so genannte Host selbst außer Gefecht gesetzt wird, ist auch das HIPS nicht mehr einsatzfähig. Netzwerk-basierte Systeme (NIPS) überwachen den Netzverkehr und können alle angeschlossenen Computer vor Eindringlingen schützen. Eine wesentliche Einschränkung: Bei Überlastung der Bandbreite kann eine lückenlose Überwachung nicht mehr sichergestellt werden. Das Zauberwort heißt daher auch hier: Hybrid! Duale Lösungen (DIPS) vereinen die Vorteile beider Ansätze.
Bei der Signatur-basierten Erkennung werden die analysierten Daten mit bekannten Angriffsmustern verglichen. Bei der heuristischen Methode werden auch Anomalien, also Abweichungen vom Normalbetrieb, und damit auch bisher unbekannte Angriffsmuster und -methoden aufgespürt. Moderne Systeme nutzen hierfür die Verfahren der künstlichen Intelligenz und arbeiten zum Teil selbstlernend. Der Königsweg ist die Kombination zu einem holistischen Ansatz.
Ein Hauptproblem beim praktischen Einsatz von Intrusion Protection Systemen ist, dass sie entweder viele falsche Warnungen generieren oder einige Angriffe nicht entdecken. Die Lösung klingt trivial: informieren Sie sich bei einem erfahrenen Partner (z.B. mcl) zu praxiserprobten, treffsicheren Tools.
Honeypot (Köder) als Teil eines IPS sollen den Hacker verleiten, genau an diesem „Sweet-Spot“ anzugreifen. So kann die Vorgehensweise des Angreifers analysiert und aus den beobachteten Angriffen eine Verteidigungsstrategien für das übrige Netzwerk abgeleitet werden. Andererseits sind IPS‘ natürlich selbst potenzielle Gefahrenherde (Threatbots / „Weak-Spots“). Darum werden sie inline, d. h. ohne gebundenen IP-Stack und ohne IP-Adressen, in ein Netzwerk eingebunde, und sind so als transparent arbeitende Layer-2-Netzwerkkomponenten nur sehr begrenzt von dieser Gefahr betroffen.
Ein IDS ist ein passives Tool, das Angriffe aufspürt und Anwender oder Administratoren informiert. Das IPS agiert aktiv und ergreift selbstständig Maßnahmen zum Schutz des Netzwerks und der Computer: so kann es Datenpakete blockieren, verdächtige Pakete verwerfen oder den Verkehr zu einem bestimmten Ziel bzw. einer bestimmten Quelle unterbrechen.
Die MCL-Experten-Meinung
Die stärkste Waffe der IT-Security ist das Zusammenspiel verschiedenster Werkzeuge - schnell, effizient, aufwandsarm und automatisiert. Dabei kann Sie MCL bei der richtigen Auswahl, der Implementierung sowie dem Betrieb Ihrer IT-Security-Systeme unterstützen. Gerne planen wir mit Ihnen Ihren Schutzbedarf, prüfen in wieweit die gegenwärtigen Tools und deren Konfiguration diesen Bedarf erfüllen und erarbeiten – falls notwendig - einen sicheren Fahrplan, wie der Schutz in Zukunft verbessert wird.
Wenn Sie mehr über die Vorteile von Cyber-Alarm-Anlage wissen möchten, nehmen Sie bitte Kontakt mit unserem Experten auf:
Torsten Aurich
Telefon: +49 341 33384915
E-Mail:torsten.aurich@mcl.de
