Intrusion-Detection- und Prevention-Systeme – Geschicktes Tuning statt Plug-and-Play

Netzdesign

Der Einsatz von IDS/IPS ist wie alles in der Informationssicherheit ein Prozess: Ein entsprechendes Sicherheitsniveau kann nur entstehen, wenn das System kontinuierlich überwacht und auf dem neuesten Stand gehalten wird. Man sollte sich hier nicht von „vollautomatischen“ Intrusion-Prevention-Systemen täuschen lassen: Der Stein der Weisen wurde auch hier noch nicht gefunden.

Wer übernimmt die Konfiguration und das Tuning, die Überwachung des Betriebs, das Update der Signaturen und die Analyse der protokollierten Ereignisse? Wie sieht die Vorgehensweise beim Auftreten von Ereignissen bestimmter Kategorien aus: Protokollierung von Angriffsversuchen (Logging der Datenpakete eines Angriffs inklusive Quell-, Zielinformation) aus Audit/Compliance-Gründen heraus, Ignorieren von Ereignissen, zugehörige Pakete verwerfen, System abschalten et cetera?

Diese Fragen müssen unbedingt vor der Konfiguration und Inbetriebnahme vollständig geklärt sein. Die Aufgaben können in einem Computer Incident Reponse Team (CISRT) zusammengefasst werden: Damit lässt sich effektiv auf Security Incidents durch zuvor klar definierte Abläufe reagieren. Zu weiteren Aufgaben eines CISRT gehören die Isolation von kompromittierten Systemen, die Suche nach weiteren Problemstellen, die Sammlung und Speicherung von Beweismitteln sowie die Kommunikation mit den betroffenen Stellen. Außerdem gehören die Wiederherstellung des Ausgangszustands, so weit möglich, und die Verhinderung weiterer Zugriffe/Angriffe auf die entsprechenden Systeme dazu.