INFORMATION SECURITY

Intrusion Prevention System (IPS)

Die Evolution hybrider Attacken mit multiplen Angriffsvektoren macht die Notwendigkeit deutlich, sich vor konstant ändernde Bedrohungen zu schützen. Standard Firewalls oder AV Systeme können kaum helfen. Ein proaktives, realtime Präventionssystem wird nötig, das Intrusion Prevention System (IPS). IPS fügt den simplen IDS Angriffs Signaturen Vulnerability-basierte Signaturen sowie Non-Signatur-basierte Angriffserkennung hinzu. Ferner operieren IPS Sensoren mit Wire Speed und ermöglichen damit automatisiertes in-line Attack Blocking.

Ein IPS schützt vor Malware wie z.B. Keylogger und Worms, die die Integrität von Informationen bedrohen. Die Hauptfunktion eines IPS ist die eines "Pre-Patch Schutzwalls" der Angriffe auf bekannte System- oder Software Schwächen bis zur endgültigen Patchung dieser CN Komponenten blockiert. Viele IPS Anbieter veröffentlichen Vulnerability-Signaturen innerhalb eines Intervalls von 24 Stunden zum Patch Release. Da eine globale Patchung aller involvierten Systeme bei einer Fortune-500 Firma i.d.R. erheblich länger dauert, gewinnt die Firma mit einem IPS als Pre-Patch Shield wertvolle Wartungszeit für ihre noch nicht gepatchten, verwundbaren Systeme.

In der Praxis dürfte aber gelten, dass in der Regel nicht alle Systeme gepatcht werden bzw. neue unvollständig gepatchte Systeme ans CN angeschlossen werden und Angreifer weiterhin die Schwächen dieser vereinzelten Systeme exploitieren. Deshalb werden IPS Vulnerability-Signaturen nicht überflüssig und IPS Server benötigen eine wachsende Signature Processing Throughput Capability.

Host-IPS

Host IPS kommt bei sensiblen Firmenrechnern etwa in den Bereichen Audit oder Compliance zum Einsatz. Gezielt werden individuelle Rechner mit hoher Firmenrelevanz eigens mit lokalen Host IPS Agents ausgestattet, die den gesamten I/O Traffic dieses Servers einer Inspektion unterziehen und das Verhalten von Betriebssystem und Applications auf Angriffsspuren hin analysieren. Bei Detektion eines Angriffs wird das Host IPS die Attacke entweder auf der Netzwerkebene blockieren oder Instruktionen an OS bzw. Application zur Unterbindung des Angriffsverhaltens senden. Beispielsweise können Buffer Overflow Attacks durch Verhinderung der Ausführung maliziösen Codes im infiltrierten Program Address Space unterbunden werden. Die Vorteile eines solchen Systems:


Network-IPS

Network IPS Sensoren können vor einer external Edge Firewall, in dieser Firewall, innerhalb einer DMZ, in einer internal Edge Firewall, am Zugangspunkt zu einem Data Center oder Branch Office installiert werden. In allen Fällen wird ein Network IPS Sensor aber in-line zu dem zu schützenden Netzwerk Segment platziert und damit wird der gesamte Traffic zwischen dem Segment und dem Rest des Netzwerks einer Intrusion Inspection unterzogen.

Die besten Network IPS Systeme integrieren verschiedene Techniken zur Angriffserkennung. Die Qualität der Erkennung ist besonders wichtig, um legitimen Traffic nicht zu beeinträchtigen. Ferner ist ein hoher Sensor Throughput erforderlich, um die Verzögerung des Payload Transfers durch den Sensor absolut zu minimieren. Wird ein Angriff identifiziert, verwirft oder blockiert das Network IPS die involvierten Daten. Die Vorteile eines solchen Systems:


Reputation Filtering

Neuere IPS Appliances enthalten eine "Reputation Filtering" Funktion. Die Arbeitsweise: