Zu Abschnitt

Was ist ein Intrusion Detection and Prevention System (IDPS)?

Veröffentlicht 27. September 2023
URL kopieren

Überblick

Ein Intrusion Detection and Prevention System (IDPS) ist eine Lösung, die ein Netzwerk auf Bedrohungen überwacht und Maßnahmen ergreift, um erkannte Bedrohungen zu stoppen.

Ein IDPS ist einem Intrusion Detection System (IDS) sehr ähnlich. Beide Systeme erkennen Bedrohungen und senden entsprechende Warnungen. Ein IDPS versucht außerdem, diese Bedrohungen zu beseitigen.

Ein IDPS wird manchmal auch als Intrusion Prevention System (IPS) bezeichnet. Die Begriffe IDPS und IPS werden meist synonym verwendet, aber wenn von einem IPS die Rede ist, ist damit oft die Bedrohungs-Suchfunktion eines IDPS gemeint.

Mehr zu Automatisierung als Weg zu vereinfachten Security Operations erfahren

Funktionsweise eines IDPS

Die Funktion eines IDPS kann sich je nach Anbieter, gewählter Bereitstellungsmethode und den Anforderungen der Organisation, von der es eingesetzt wird, unterscheiden.

Arten von IDPSs

Netzwerkbasiertes IDPS

Netzwerkbasiertes IDPS (NIPS) ist ein IDPS, das an bestimmten Punkten innerhalb eines Netzwerks installiert wird, um den gesamten Netzwerkverkehr zu überwachen und nach Bedrohungen zu scannen. Dazu analysiert das NIPS häufig die Aktivitäten und gleicht sie mit einer Datenbank bekannter Bedrohungen ab, die vom Sicherheitsteam manuell konfiguriert wurde. Wenn die Aktivität mit einer bekannten Bedrohung in der Datenbank übereinstimmt, darf sie das Netzwerk nicht passieren. Ein NIPS wird häufig an den Netzwerkgrenzen eingesetzt, beispielsweise in Routern oder Modems, hinter Firewalls und an Remote-Zugriffspunkten des Netzwerks.

Es gibt 2 Unterkategorien von NIPS:

  • Wireless Intrusion Prevention-Systeme (WIPS) überwachen drahtlose Netzwerke auf das Vorhandensein fehlerhafter Zugangspunkte und unerkannter Geräte, indem sie die Funkfrequenzen  des Netzwerks analysieren. WIPS werden in drahtlosen Netzwerken und an Orten eingesetzt, die für unbefugten drahtlosen Zugriff anfällig sind.
  • Network Behavior Analysis-Systeme (NBA) überprüfen den Netzverkehr auf ungewöhnliche Aktivitätsmuster. Bei einem DDoS-Angriff (Distributed Denial of Service) werden beispielsweise Tausende von Anfragen an das Netz gesendet, um es zu überlasten. Die einzelnen Anfragen mögen für sich genommen gültig erscheinen, aber in ihrer Gesamtheit stellen sie ein Problem dar. NBA-Systeme verstärken oft ein eher standardmäßiges NIPS in den internen Netzwerken eines Unternehmens.

Host-basiertes IDPS

Host-basierte IDPS (HIPS) werden auf einem einzelnen Host – oft einem zentralen Server mit kritischen Daten – oder auf öffentlichen Servern, die Gateways zum internen Netzwerk einer Organisation sind, eingesetzt. Ein HIPS überwacht speziell den Datenverkehr auf seinem Host-System. HIPS sind meist so konfiguriert, dass sie Aktivitäten des Host-Betriebssystems und der Internet Protocol Suite (TCP/IP) erkennen.

Erkennungsmethoden

Sobald ein IDPS implementiert ist, nutzt es eine Vielzahl von Techniken, um Bedrohungen zu erkennen. Diese Techniken lassen sich weitgehend in 3 Kategorien einteilen:

  • Die signaturbasierte Erkennung von Bedrohungen gleicht überwachte Aktivitäten mit einer Datenbank ab, die mit Signaturen – eindeutigen Mustern oder Kennungen – von zuvor identifizierten Bedrohungen gefüttert ist. Diese Methode ist zwar gut geeignet, um bekannte Bedrohungen zu erkennen, neuartige Bedrohungen bleiben jedoch unentdeckt.
  • Bei der anomaliebasierten Erkennung von Bedrohungen wird eine zufällige Auswahl von Netzwerkaktivitäten mit einem Basisstandard für Netzwerkaktivitäten verglichen. Weicht die Zufallsauswahl stark genug vom Basisstandard ab, dann löst die Bedrohung eine Aktion aus. Diese Erkennungsmethode erfasst zwar neuartige Bedrohungen, erzeugt aber auch mehr falsch-positive Ergebnisse als die signaturbasierte Erkennung von Bedrohungen. Die anomaliebasierte Erkennung von Bedrohungen ist der Aspekt von IDPS, der durch die Weiterentwicklung von künstlicher Intelligenz und maschinellen Lernalgorithmen am meisten verbessert wird.
  • Die protokollbasierte (oder richtlinienbasierte) Erkennung von Bedrohungen ähnelt der signaturbasierten Erkennung von Bedrohungen, verwendet jedoch eine Datenbank mit spezifischen, vom Unternehmen definierten Protokollen und blockiert die Aktivitäten, die gegen diese Protokolle verstoßen. Die Protokolle müssen von einer Sicherheitsfachkraft manuell konfiguriert werden.

Aktionen zur Prävention

Sobald das IDPS eine vermutete Bedrohung erkennt, kann es verschiedene Maßnahmen ergreifen – entsprechend seiner Konfiguration und der Art der erkannten Bedrohung. Übliche Präventivmaßnahmen gegen Bedrohungen sind:

  • Informieren der Admins Bei dieser einfachsten Art der Reaktion alarmiert das IDPS die Sicherheitsadmins, ähnlich wie ein Intrusion Detection System dies tun würde. Derartige Warnungen werden erzeugt, wenn eine automatische Aktion nicht angemessen ist oder wenn das System nicht sicher ist, ob es sich um ein falsches Positiv handelt.
  • Präventives Blockieren Wenn das IDPS diese Maßnahme ergreift, stoppt es Vorfälle, bevor sie auftreten können, indem es den Datenverkehr oder markierte Nutzende für eine bedrohliche IP-Adresse blockiert. Ein gängiges Beispiel ist die Sperrung einer IP-Adresse, die eine Passwortprüfung zu oft nicht bestanden hat.
  • Ändern der Sicherheitsumgebung Ähnlich wie beim präventiven Blockieren ändert das IDPS bei dieser Technik die Sicherheitseinstellungen des Netzwerks, um zu verhindern, dass die Bedrohung Zugang erhält. Ein Beispiel für eine solche Reaktion ist die Neukonfiguration einer Firewall.
  • Modifizieren des Bedrohungsinhalts Bei dieser Technik wird der Bedrohungsinhalt automatisch verändert. Wird beispielsweise eine geprüfte E-Mail als verdächtig eingestuft, entfernt das IDPS die Teile der E-Mail, die für das Netzwerk schädliche Inhalte enthalten könnten, wie beispielsweise E-Mail-Anhänge.

Vorteile eines IDPS

Ein IDPS kann für die Sicherheitsteams Ihres Unternehmens und für die gesamte Organisation ein nützliches Tool sein. Mit einem IDPS können Sie:

  • Aktivitäten scannen und auf Bedrohungen reagieren, ohne dass menschliches Eingreifen erforderlich ist. Obwohl komplexe Bedrohungen oft ein menschliches Eingreifen erfordern, ermöglicht ein IDPS eine methodische und schnelle Reaktion auf einfachere Bedrohungen, und es kann komplexe Bedrohungen schneller für ein menschliches Eingreifen kennzeichnen. So können Sicherheitsteams auf Bedrohungen reagieren, bevor sie Schaden anrichten, und eine wachsende Zahl von Bedrohungen bewältigen.
  • Bedrohungen finden, die möglicherweise übersehen werden. Ein IDPS (insbesondere wenn es anomaliebasierte Erkennung einsetzt) kann Bedrohungen erkennen, die von menschlichen Sicherheitsfachkräften möglicherweise übersehen werden.
  • Nutzer- und Sicherheitsrichtlinien kontinuierlich durchsetzen. Die regelbasierte Natur eines IDPS bedeutet, dass die Bedrohungserkennung konsistent erfolgt.
  • Compliance-Anforderungen erfüllen. Die Verwendung eines IDPS bedeutet, dass weniger Menschen mit personenbezogenen Daten interagieren müssen – eine Anforderung, die in vielen Branchen gesetzlich vorgeschrieben ist.

Wie kann Red Hat Sie unterstützen?

Red Hat® Ansible® Automation Platform nutzt Playbooks, lokale Directory Services, konsolidierte Protokolle sowie externe Anwendungen, um Sicherheitslösungen zu automatisieren, und unterstützt IT-Sicherheitsteams bei der koordinierten und einheitlichen Reaktion auf Bedrohungen.

Sicherheitsteams können mit Ansible Automation Platform verschiedene Sicherheitslösungen für Unternehmen orchestrieren – darunter unternehmensweite Firewalls, SIEM-Systeme (Security Information and Events Management), IDPS und PAM-Lösungen (Privileged Access Management) – und diese unterschiedlichen Tools zu einem einheitlichen Sicherheitsapparat verbinden.

Gründe für die Verwendung von Ansible Automation Platform mit einem IDS oder IDPS

Ansible Automation Platform unterstützt Unternehmen beim Automatisieren ihrer Sicherheitslösungen und fungiert als zentraler Hub für die Integration verschiedener Sicherheitstechnologien. Mithilfe von Ansible Playbooks können die Outputs eines Sicherheits-Tools automatisch von einem anderen gelesen werden. Mehrere Sicherheits-Tools, die miteinander kommunizieren, sind eine wesentliche Komponente bei der Bedrohungserkennung – eine zentrale Funktion eines IDPS. Mit Ansible Automation Platform kann Ihr Unternehmen:

  • Neue IDPS-Regeln dynamisch und flexibl bereitstellen, gefolgt von einer automatisierten Konfiguration zwischen der neuen IDPS-Regel und dem zugehörigen SIEM.
  • Das Signatur-Management vereinfachen, sodass automatische Updates mit einem IDPS integriert werden können, das Signaturen aus Sicherheitsbulletins verwendet.
  • Suchvorgänge und Event-Automatisierung innerhalb von SIEM-Systemen korrelieren. So können Analystinnen und Analysten auf der Basis von Aktionen oder Änderungen, die auf anderen Sicherheitsgeräten durchgeführt werden, neue Warnmeldungen generieren.

Ansible Automation Platform kann Sicherheitslösungen mit dem Rest der Infrastruktur und dem Netzwerk Ihres Unternehmens verbinden. Dies bedeutet, dass verschiedene Sicherheitslösungen automatisiert und integriert werden können, um auf Bedrohungen im gesamten Unternehmen koordiniert und einheitlich zu reagieren – unter Verwendung einer kuratierten Sammlung von Modulen, Rollen und Playbooks.

Ihre Teams können auch die Vorteile bewährter zertifizierter Content Collections nutzen, die von Red Hat und unseren Partnern zertifiziert wurden. Mit dem Zugriff auf Hunderte von Modulen, mit der Nutzende die verschiedenen Aspekte von IT-Umgebungen und Verwaltungsprozessen automatisieren können, kann Ansible Automation Platform Ihre Sicherheitsteams bei der Zusammenarbeit unterstützen, um komplexe Sicherheitsperimeter besser zu schützen.

Use Cases zur Sicherheitsautomatisierung ansehen

Weiterlesen

ARTIKEL

Was ist DevSecOps?

Wenn Sie die Agilität und Reaktionsfähigkeit von DevOps vollständig ausschöpfen möchten, muss die IT-Sicherheit im gesamten Lifecycle Ihrer Apps eine Rolle spielen.

ARTIKEL

Was ist das Besondere an der Cloud-Sicherheit?

Die wichtigsten Sicherheitslücken gefährden sowohl traditionelle IT- als auch Cloud-Systeme. Lernen Sie die Unterscheidungsmerkmale kennen.

ARTIKEL

Was ist SOAR?

SOAR umfasst drei wichtige Software-Funktionen, die Sicherheits-Teams verwenden: Case- und Workflow-Management, Aufgabenautomatisierung sowie eine zentrale Methode, um Bedrohungsinformationen (die so genannte Threat Intelligence) aufzurufen, zu durchsuchen und zu teilen.

Mehr über Sicherheit erfahren

Produkte

Red Hat Certificate System

Ein Sicherheits-Framework, in dem Nutzeridentitäten verwaltet werden und Kommunikation verschlüsselt wird.

Red Hat Advanced Cluster Security Kubernetes

Eine unternehmensfähige, Kubernetes-native Lösung für Container-Sicherheit, mit der Sie cloudnative Anwendungen zuverlässiger entwickeln, bereitstellen und ausführen können.

Red Hat Insights

Ein Service für prädiktive Analytik, mit dem sich Probleme mit der Sicherheit, Performance und Verfügbarkeit Ihrer Red Hat Infrastruktur erkennen und beheben lassen.

Red Hat Advanced Cluster Management Kubernetes

Eine zentrale Konsole mit integrierten Sicherheitsrichtlinien, mit der Sie Kubernetes-Cluster und -Anwendungen verwalten können.

Verwandte Artikel

Ressourcen

E-Book

Vereinfachen Sie Ihr Security Operations Center

Red Hat Blog

Finden Sie mehr zum Thema Sicherheit im Red Hat Blog

Video

Sicherheit und Compliance mit Red Hat: Die Arbeit ist nie getan

Mehr erfahren

WHITEPAPER

Ein mehrschichtiger Sicherheitsansatz für Container und Kubernetes

E-BOOK

State of Kubernetes Security Report 2023

Mehr Sicherheit, bessere Compliance

ÜBERSICHT

Wie Sie eine umfassende DevSecOps-Lösung bereitstellen

Verbesserung der Cyber-Compliance mit Infrastrukturautomatisierung

CHECKLISTE

Wichtige Aspekte der IT-Modernisierung: Sicherheit und Compliance

Sechs Methoden zur Optimierung Ihrer IT-Umgebung

DATENBLATT

Red Hat Insights: Prädiktive Analysen für Red Hat Enterprise Linux