Jeder Cyberangriff stellt eine einzigartige Herausforderung dar: Einheitslösungen für die Sicherheit sind selten effektiv. Zwei bestimmte Methoden werden manchmal als alternative Lösungen zur Bekämpfung von Bedrohungen verglichen: Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS).
Die beiden Systeme haben viele Gemeinsamkeiten und können je nach den Fähigkeiten und spezifischen Bedürfnissen des Unternehmens oder der Website-Administratoren gleichermaßen nützlich sein. Was also sind IDS und IPS, und ist eines besser als das andere?
IDS vs. IPS
- Instrusion Detection System (IDS)
IDS scannen den eingehenden Datenverkehr auf potenzielle Bedrohungen und Cyberangriffe. Mithilfe verschiedener Erkennungsmethoden (mehr dazu später) suchen sie nach verdächtigen Aktivitäten, die die von ihnen abgedeckten Netzwerke oder Geräte bedrohen könnten. Wenn das System eine verdächtige oder verbotene Aktion entdeckt hat, sendet es einen Bericht an eine Website oder einen Netzwerkadministrator.
- Intrusion Prevention Systems (IPS)
IPS verfolgen einen proaktiveren Ansatz und versuchen, den eingehenden Datenverkehr zu blockieren, wenn sie eine Bedrohung erkennen. Dieser Prozess baut auf denselben Erkennungsmechanismen wie IDS auf, unterstützt sie aber mit proaktiven Präventionsmaßnahmen.
Wie funktionieren Intrusion Detection Systeme?
Ein IDS ist im Wesentlichen ein Ausguck, der den ankommenden Feind entdeckt und seine Vorgesetzten alarmiert. Der Ausguck selbst ist nur dazu da, nach Bedrohungen zu suchen, nicht um sie zu neutralisieren. Es handelt sich um ein System, das für die Zusammenarbeit mit menschlichen Administratoren konzipiert ist, die dann auf jede einzelne Bedrohung wirksam reagieren können. Die meisten IDS fallen in diese beiden Kategorien:
- Network Intrusion Detection System (NIDS): Ein NIDS überwacht den Netzwerkverkehr auf potenzielle Bedrohungen, ohne sich auf ein bestimmtes Gerät zu konzentrieren. Dies ist das bevorzugte System für Administratoren, die ein großes Ökosystem von angeschlossener Hardware oder Anwendungen betreiben; mit einem NIDS können sie ein größeres Netz auswerfen.
- Host Intrusion Detection System (HIDS): Dieser Ansatz ist viel spezifischer als NIDS. Anders als sein Gegenstück konzentriert sich ein HIDS nur auf einen einzigen „Host“, ein Gerät wie einen Computer oder einen Server. Neben der Überwachung des eingehenden Datenverkehrs, den die Hardware empfängt, wird auch die Software auf diesem Gerät auf ungewöhnliche Aktivitäten überprüft.
Es ist wichtig zu verstehen, dass sich diese Systeme nicht gegenseitig ausschließen. Während NIDS große netzwerkweite Sicherheitsverbesserungen bieten kann, bietet HIDS gerätespezifischen Schutz. Zusammen können diese beiden Ansätze hervorragende Werkzeuge zur Verbesserung der Sicherheit auf allen Ebenen bieten.
Erkennungsmethoden
Es gibt zwei Erkennungsstrategien, die hauptsächlich von IDS verwendet werden. Beide haben ihre eigenen Vor- und Nachteile, und ihr Nutzen hängt weitgehend vom Kontext ab.
- Auf Anomalien basierende Systeme arbeiten auf der Grundlage eines vorgegebenen Verständnisses von „unverdächtigen“ Netzwerkaktivitäten. Das bedeutet, dass die Administratoren bei der Installation der Software die Regeln für „normale“ Aktivitäten festlegen, so dass das System „lernen“ kann, was normal ist. Sobald ein auf Anomalien basierendes System definiert hat, was als „normaler“ Benutzerverkehr gilt, kann es Verhaltensweisen vergleichen und erkennen, wenn sie anomal werden.
- Signaturbasierte Systeme stützen sich auf eine voreingestellte Datenbank mit bekannten Bedrohungen und den damit verbundenen Verhaltensweisen. Ein signaturbasiertes IDS scannt jeden eingehenden Datenverkehr und vergleicht ihn mit seiner „schwarzen Liste“. Diese Liste kann alles enthalten, von verdächtigen Datenpaketen, die mit einem DDOS-Angriff in Verbindung gebracht werden, bis hin zu E-Mail-Betreffzeilen, die zuvor mit Malware in Verbindung gebracht wurden.
Beide Systeme haben ihre Vor- und Nachteile. Bei der anomaliebasierten Erkennung ist die Wahrscheinlichkeit, dass ein nicht bösartiges Verhalten als Bedrohung erkannt wird, viel größer, da alles, was von seinem Verständnis von „normal“ abweicht, den Alarm auslöst. Bei der Verwendung eines IDS ist das natürlich kein so großes Problem, da es einfach einen Menschen benachrichtigt und nicht wie ein IPS den gesamten Datenverkehr blockiert.
Signaturbasierten Systemen fehlt die Flüssigkeit und die Fähigkeit zum maschinellen Lernen, von der ein anomaliebasiertes IDS profitiert. Jede Datenbank mit Bedrohungen ist endlich, und es tauchen ständig neue Angriffsmuster auf. Wenn die Liste nicht aktualisiert wird, ist das System nicht in der Lage, die Bedrohung zu erkennen.
Bei der Wahl der besten Erkennungsmethode für ihr IDS sollten Unternehmen, die stark frequentierte Websites betreiben, daher zur anomaliebasierten Option tendieren.
Wie funktionieren Intrusion Prevention Systeme?
Am einfachsten lässt sich ein IPS als IDS mit einer zusätzlichen (und potenziell bahnbrechenden) Funktion verstehen: der aktiven Prävention.
Wenn es um Ähnlichkeiten geht, lassen sich die meisten IPS ähnlich wie IDS in netzwerkweite und hostspezifische Systeme einteilen. Außerdem erkennt ein IPS Bedrohungen auf die gleiche Weise wie ein IDS, indem es entweder eine schwarze Liste mit Signaturen oder eine auf Anomalien basierende Methode verwendet.
Der Hauptunterschied zwischen den beiden Systemen wird deutlich, sobald ein IPS eine potenzielle Bedrohung erkannt hat. Anstatt einen menschlichen Administrator zu benachrichtigen, leitet es sofort einen Präventivprozess ein, der die Aktionen derjenigen blockiert und einschränkt, die den verdächtigen Datenverkehr senden.
Abhängig von der Software kann ein IPS das verdächtige Datenpaket zurückweisen oder die Firewall des Netzwerks aktivieren. In drastischen Fällen kann es die Verbindung ganz unterbrechen und die Website oder Anwendung für denjenigen, den es als Bedrohung ansieht, unzugänglich machen.
Unterschiede zwischen IDS und IPS
Auf den ersten Blick mag IPS viel effektiver erscheinen als IDS. Warum sollten Sie eingehende Cyberbedrohungen nur erkennen wollen, wenn Sie sie auch automatisch verhindern können?
Ein Problem bei IPS ist das der falsch positiven Ergebnisse. Das passiert zwar nicht oft, aber wenn es passiert, reagiert das System nicht mit dem gleichen Feingefühl wie ein menschlicher Administrator. Sobald eine Bedrohung erkannt wird, wird sie sofort blockiert, auch wenn es sich um einen Fehler handelt. Dies kann dazu führen, dass Website-Funktionen für nicht böswillige Benutzer ohne menschliche Aufsicht deaktiviert oder entfernt werden.
Ein IDS blockiert einen Angriff oder ein verdächtiges Paket nicht, sondern erkennt es und alarmiert Website-Administratoren. Dieses System ist vielleicht nicht das schnellste, aber es erlaubt den Administratoren, die endgültige Entscheidung zu treffen, wie eine Bedrohung verhindert werden kann. Dies könnte eine bessere Strategie sein, als sich auf ein fehlerhaftes automatisches System als alleinigen Schiedsrichter des Website-Verkehrs zu verlassen.
Fairerweise muss man sagen, dass die IPS-Software immer besser wird und die Zahl der Fehlalarme sinkt. Das System könnte also eine gute Lösung für Websites sein, die auf ein hohes Volumen an ungestörtem Verkehr angewiesen sind.
Kontext ist alles
So verlockend es auch ist, absolute Schlussfolgerungen zu ziehen, der Kontext ist der entscheidende Faktor, wenn es darum geht, eine Lösung der anderen vorzuziehen.
Jedes Unternehmen und jeder Benutzer hat seine eigenen Sicherheitsbedürfnisse und ist mit unterschiedlichen Bedrohungen und Herausforderungen konfrontiert. Ein IPS mag für das interne Netzwerk eines Unternehmens geeignet sein, aber für eine große Website mit mehreren Servern könnte ein IDS die bessere Wahl sein.
Wägen Sie die Vorzüge der einzelnen Systeme ab und prüfen Sie, wie sie Ihren eigenen Sicherheitsanforderungen gerecht werden können. Eine maßgeschneiderte Lösung ist immer am effektivsten.
Für weitere Einblicke in die Cybersicherheit können Sie unseren monatlichen Blog-Newsletter abonnieren!