Was ist Intrusion Detection?
Intrusion Detection befasst sich mit dem Bemerken nicht autorisierter Versuche, auf ein Computernetzwerk oder ein physisches Computersystem zuzugreifen. Ziel ist es, alle Bedrohungen zu erkennen, die den Zugriff auf nicht autorisierte Informationen ermöglichen, die Datenintegrität beeinträchtigen oder zu einem Verlust des Zugriffs innerhalb eines Netzwerks führen können. Die Implementierung erfolgt normalerweise mithilfe eines Intrusion Detection-Systems (IDS), das verschiedene Informationen zu anderen Personen, die eine Verbindung zum Netzwerk herstellen oder auf einen physischen Host zugreifen, erkennt, aufzeichnet und protokolliert. Diese Systeme können von Softwarelösungen reichen, die lediglich Verkehrsinformationen aufzeichnen, bis hin zu physischen Systemen, die Sicherheitspersonal, Kameras und Bewegungssensoren umfassen.
Es gibt drei Haupttypen der Angriffserkennung, darunter netzwerkbasierte, hostbasierte und physikalische Methoden. Netzwerkbasierte Methoden versuchen, verdächtigen Netzwerkverkehr zu kennzeichnen, und verwenden normalerweise Programme, die den Verkehr und die Pakete aufzeichnen, die durch ein Netzwerk fließen. Hostbasierte Methoden suchen nach möglichen Eingriffen in ein physisches Computersystem und prüfen die Dateiintegrität, identifizieren Rootkits, überwachen lokale Sicherheitsrichtlinien und analysieren Protokolle. Physische Methoden behandeln auch das Erkennen von Sicherheitsproblemen an physischen Geräten und verwenden physische Steuerelemente wie Personen, Sicherheitskameras, Firewalls und Bewegungssensoren. In vielen Unternehmen mit vertraulichen Daten und kritischen Systemen ist eine Kombination dieser Methoden für die bestmögliche Sicherheit wünschenswert.
Einbruchsicherungssysteme verhindern normalerweise nicht das Auftreten von Einbrüchen. Stattdessen protokollieren sie einfach Ereignisse, damit andere die Informationen sammeln und analysieren können. Dies gilt zwar insbesondere für netzwerkbasierte und hostbasierte Angriffserkennungsmethoden, jedoch möglicherweise nicht für einige physische Methoden, z. B. Firewalls und Sicherheitspersonal. Firewalls bieten häufig die Möglichkeit, verdächtigen Datenverkehr zu blockieren und zu erfahren, welcher Zugriff zulässig ist und welcher nicht. Sicherheitspersonal kann auch verhindern, dass Personen physisch in ein Unternehmen oder Rechenzentrum eindringen. Überwachte Fallen und Zugangskontrollsysteme sind andere physische Methoden, die das Eindringen von Personen verhindern können.
Die Einschränkungen von Intrusion Detection-Systemen bedeuten, dass viele Unternehmen auch ein Intrusion Prevention-System (IPS) verwenden, um Maßnahmen zu ergreifen, wenn verdächtige Aktivitäten auftreten. Viele dieser Systeme umfassen die Funktionen eines Intrusion Detection-Systems und bieten ein umfassenderes Sicherheitssystem, das bei der Reaktion auf Sicherheitsverletzungen von entscheidender Bedeutung ist. Wenn das IPS verdächtigen Datenverkehr oder Richtlinienverstöße erkennt, führt es die in seinen Richtlinien konfigurierte Aktion aus. Informationssicherheitsmitarbeiter oder Systemadministratoren konfigurieren normalerweise die Richtlinien, die IPS verwendet, um auf jedes Ereignis zu reagieren.