Kapitel 21. IDSs und IPSs verstehen

Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS) sind wichtige Werkzeuge, die einen Überblick über die Aktivitäten in deinem Netzwerk bieten. Im Gegensatz zu endpunktorientierten Kontrollen wie Antiviren-Software, die auf einzelnen Geräten arbeitet, überwacht ein IDS oder IPS das gesamte Netzwerk. Da es nicht von den Endgeräten abhängt, umgehst du das Risiko, dass ein potenziell kompromittiertes Gerät deine Kontrollen unterläuft, und bewahrst so die Integrität deiner Erkennungs- und Warnmechanismen.

Außerdem können IDS und IPS auf Aktivitäten hinweisen, die von Endpunktsicherheitstools möglicherweise übersehen werden. Bestimmte legitime File-Sharing-Aktivitäten würden zum Beispiel bei einer Antivirenlösung keine Aufmerksamkeit erregen; wenn diese Aktivität jedoch den Server deiner Finanzdatenbank betrifft, sollte sie auf jeden Fall zur Untersuchung markiert werden.

Der Unterschied zwischen einem IDS und einem IPS liegt in ihrer Reaktion auf potenzielle Bedrohungen. Beide Systeme können verdächtigen Datenverkehr aufspüren, protokollieren und dich darüber informieren. Ein IPS geht jedoch noch einen Schritt weiter und versucht, diesen verdächtigen Datenverkehr zu blockieren. Betrachte ein IDS als deine wachsame Sicherheitskamera und ein IPS als einen aktiven Wachmann, der bereit ist, einzugreifen. ...