IDS vs. IPS : Was ist der Unterschied ?

Intrusion Detection Systems (IDS) analysieren den Netzwerkverkehr im Hinblick auf Signaturen, die mit bekannten Cyber-Angriffen übereinstimmen. Intrusion Prevention Systems (IPS) führen auch eine Paketanalyse durch, können aber je nach erkanntem Angriffstyp auch die Auslieferung des Pakets verhindern – und so den Angriff stoppen.

Die Funktionsweise von Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS)

Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) sind beides Bestandteile der Netzwerkinfrastruktur. IDS/IPS vergleichen Netzwerkpakete mit einer Cyber-Angriffsdatenbank, die Signaturen bekannter Cyber-Angriffe enthält – und übereinstimmende Pakete kennzeichnet.

Der wichtigsten Unterschied zwischen ihnen ist, dass das IDS ein Überwachungs- und das IPS ein Kontrollsystem ist.

Ein IDS nimmt keinerlei Änderungen an Netzwerkpaketen vor, während das IPS die Auslieferung von Paketen je nach Inhalt des Pakets verhindert, so wie ein Firewall den Traffic in Abhängigkeit der IP-Adresse unterbindet.

• Intrusion Detection Systems (IDS) analysieren und überwachen den Netzwerkverkehr auf Anzeichen dafür, dass Angreifer eine bekannte Cyber-Bedrohung zur Infiltration oder zum Diebstahl von Daten aus Ihrem Netzwerk nutzen. IDS-Systeme vergleichen die laufende Netzwerkaktivität mit einer Datenbank bekannter Bedrohungen, um mehrere Verhaltensweisen wie Verstöße gegen Sicherheitsrichtlinien, Malware und Port-Scanner zu erkennen.
• Intrusion Prevention Systems (IPS): Sind im selben Bereich des Netzwerks wie eine Firewall beheimatet, zwischen der Außenwelt und dem internen Netzwerk. Ein IPS kann Netzwerkverkehr auf der Grundlage eines Sicherheitsprofils aktiv ablehnen, wenn das Paket eine bekannte Gefahr darstellt.

Viele IDS/IPS-Anbieter haben neuere IPS-Systeme in Firewalls integriert, um eine Unified Threat Management- (UTM) Technologie zu schaffen, bei der die Funktionen dieser beiden ähnlichen Systeme in einer einzigen Einheit kombiniert sind. Einige Systeme bieten die Funktionen von sowohl IDS als auch IPS in einer Einheit.

Unterschiede zwischen IDS und IPS

Sowohl IDS als auch IPS lesen Netzwerkpakete und vergleichen deren Inhalt mit einer Datenbank bekannter Gefahren. Der Hauptunterschied besteht darin, was danach passiert. IDS sind Erkennungs- und Überwachungstools, die keine eigenständigen Handlungen vornehmen. IPS sind Kontrollsysteme, die Pakete anhand ihres Regelsatzes annehmen oder zurückweisen.

Bei einem IDS muss ein Mensch oder ein anderes System die Ergebnisse beurteilen und bestimmen, welche Aktionen eingeleitet werden sollen. Das könnte je nach dem täglich anfallenden Netzwerkverkehrsvolumen ein Vollzeitjob sein. IDS eignen sich besser als forensisches Werkzeug für den CSIRT bei der Untersuchung von Sicherheitsverletzungen.

Der Zweck des IPS ist hingegen, gefährliche Pakete abzufangen und auszufiltern, bevor sie an ihr Ziel gelangen. Es ist passiver als ein IDS. Nur die Datenbank muss regelmäßig mit neuen Bedrohungsdaten aktualisiert werden.

* Nota bene: Die Effektivität von IDS/IPS hängt von der Qualität ihrer Cyberangriffsdatenbank ab. Sie müssen sie auf dem aktuellen Stand halten und bereit sein, manuelle Anpassungen vorzunehmen, wenn ein neuer Angriff im Umlauf ist und/oder die Angriffssignatur nicht Bestandteil der Datenbank ist.

Warum IDS und IPS für Cybersicherheit unverzichtbar sind

Sicherheitsteams sind mit einer immer weiter wachsenden Gefahr von Datenschutzverletzungen und Compliance-Bußgeldern konfrontiert, wobei sie gleichzeitig mit Budgetbeschränkungen und Unternehmensrichtlinien zu kämpfen haben. IDS/IPS-Technologie deckt bestimmte und wichtige Aufgaben in einer Cybersicherheitsstrategie ab:

• Automatisierung: IDS/IPS-Systeme bedürfen kaum manuelle Interventionen, weshalb sie die perfekten Kandidaten für den Einsatz im aktuellen Sicherheitsstack sind. Ein IPS verschafft Ihnen das gute Gefühl, dass das Netzwerk mit begrenzten Ressourcenanforderungen gegen bekannte Gefahren geschützt ist.
• Compliance: Im Rahmen der Compliance müssen Sie häufig nachweisen, dass Sie in Technologien und Systeme für den Datenschutz investiert haben. Die Implementierung einer IDS/IPS-Lösung hakt ein Kästchen auf dem Compliance-Formular ab und geht auf eine Reihe der CIS-Sicherheitskontrollen ein. Noch wichtiger ist, dass die Audit-Daten einen wichtigen Teil der Compliance-Untersuchungen bilden.
• Richtliniendurchsetzung: IDS/IPS können so konfiguriert werden, dass bei der Durchsetzung interner Sicherheitsrichtlinien auf Netzwerkebene helfen. Wenn Sie zum Beispiel nur ein VPN unterstützen, können Sie das IPS allen sonstigen VPN-Verkehr blockieren.

Varonis DatAlert als Ergänzung von IDS/IPS: Netzwerksicherheit ist ein kritischer Bestandteil des Schutzes gegen Datenschutzverletzungen – und IDS/IPS-Lösungen erfüllen diese Rolle perfekt. Varonis hingegen überwacht die Datenaktivität in Echtzeit, was eine entscheidende Ebene einer jeden Cybersicherheitsstrategie ist.

Bei Ausbruch eines neuen Ransomware-Angriffs verfügt das IDS/IPS möglicherweise nicht über die Signaturen, um den Angriff auf Netzwerkebene zu verhindern. Varonis andererseits beinhaltet nicht nur signaturbasierte Ransomware-Erkennung, sondern erkennt die Eigenschaften und das Verhalten eines Ransomware-Angriffs – wie zum Beispiel die Änderung zahlreicher Dateien innerhalb eines kurzen Zeitraums – und löst automatisch eine Benachrichtigung aus, um den Angriff zu stoppen, bevor er sich verbreiten kann.

Möchten Sie erfahren, wie das funktioniert? Lassen Sie sich bei einer 1:1-Demo zeigen, wie Varonis Ihr IDS/IPS ergänzt, um Ihre Cybersicherheitsstrategie zu stärken.