2-11-2006 | Aus MONITOR 11/2006 Gedruckt am 28-07-2014 aus www.monitor.co.at/index.cfm/storyid/8555
Thema

Intrusion Prevention Systeme

Antworten auf neue Gefahren

Intrusion Prevention Systeme suchen Datenströme nach Auffälligkeiten ab und blasen im Fall des Falles zum Angriff. Innovative Lösungen kommen dabei nicht nur von den Großen im Business: Ein Blick auf spezialisierte Anbieter in den USA liefert eine kleine, aber feine Palette richtungsweisender Software und Appliances.

Alexandra Riegler

Fast scheint ein kleiner Sieg errungen: Attacken, früher von script kiddies zwischen Hausübung und Nintendo-Session zusammengeklickt, müssen heute ausgefeilter sein, um Unruhe zu stiften - Firewalls, Intrusion Detection-Systeme (IDS) und Virenscanner zeigen ihre Wirkung. Wer damit Herausforderungen im Security-Bereich im Abnehmen vermutet, macht seine Rechnung ohne den Wirt. Gefahren nehmen zwar etwas ab, werden gleichzeitig aber ausgeklügelter. Die Sicherheitsanbieter lehnen sich erneut entspannt zurück: die neue Angriffslage verlangt nach entsprechender Versorgungsleistung.

Die Intrusion Prevention Firewall des kalifornischen Unternehmens iPolicy verlässt sich auf die „Singe Pass Architektur“: Jedes Datenpaket wird nur einmal überprüft.

Aktuelle Sicherheitslösungen versperren daher nicht nur Ein- und Ausgänge von Netzwerken und analysieren oberflächliche Protokollschichten, sondern lassen tief blicken: Intrusion Prevention-Systeme (IPS) geben den Blick bis auf Anwendungsebene frei und versuchen mittels Analyse des Datenverkehrs Gefahren zuvor zu kommen.

Für Greg Young, Research Vice President bei Gartner, rührt die Beliebtheit des Begriffs IPS von der Unzufriedenheit vieler Kunden mit IDS-Systemen: "Unternehmen waren von der Performance von Intrusion Detection-Produkten desillusioniert (...), die Hersteller begannen daher die Lösungen als Intrusion Prevention oder Intrusion Protection zu bezeichnen." Doch weil sich das Marketing schneller veränderte als die Produkte, würden nur wenige Lösungen über jene Funktionalitäten verfügen, die einem schlagkräftigen Abwehrsystem entsprechen.

Maschengröße nach Maß

„Typischerweise sind 20% der IPS-Regeln bei 80% der Bedrohungen erfolgreich“, Greg Young, Gartner.

Wichtiges Unterscheidungsmerkmal gegenüber IDS ist die aktive Funktionsweise von IPS: Module, die das Regelwerk der Firewall beeinflussen, sind im Fall des Falles in der Lage, den Datenverkehr zu unterbrechen oder verändern, indem sie schadhafte Pakete herausfiltern.

Dies bedingt freilich eine erheblich höhere Qualität der Prevention-Systeme beim Identifizieren von Bedrohungen. So genannte "false positive"-Treffer - beispielsweise eine bestimmte Signatur, die fälschlich als Angriff gewertet wird - haben weitreichendere Konsequenzen, da die Verbindung automatisch blockiert würde.

Die wichtigste Anforderung von Gartner-Manager Young an IPS ist es daher, keinesfalls legitimen Traffic zu blocken, auch auf die Gefahr hin, den einen oder anderen Fisch durchs Netz zu lassen: "Typischerweise sind 20 Prozent der Regeln bei 80 Prozent der Bedrohungen erfolgreich, und dies mit nur minimalen Anpassungsaufwand." Um auch die restlichen 20 Prozent der Angriffe automatisiert zu blocken, seien laufend Eingriffe eines Administrators nötig - entweder um die Parameter anzupassen oder false positive-Meldungen zu bearbeiten.

Um bei gutem Schutz die falschen Alarme möglichst gering zu halten, sollten sich im Gegensatz zu einfachen Virenscannern mit ihren signaturbasierten Ansätzen unterschiedliche Algorithmen auf Applikationslevel um die Kontrolle des Datenverkehrs kümmern. Host-basierten Lösungen verlangen Marktbeobachter zudem ab, nicht mehr als zehn Prozent der Systemressourcen für ihre Arbeit zu beanspruchen. Auch sollten Anwender nur zu Lösungen greifen, die das Blockieren nahezu in Echtzeit schaffen, alles im Bereich mehrerer Sekunden gilt als nicht akzeptabel.

Innovation aus Übersee

Ohne große Überraschung bestimmen jene Bereiche, aus denen IPS-Anbieter ursprünglich kommen, meist auch weiterhin die Ausprägung ihrer Portfolios. Infrastruktur-Anbieter konzentrieren sich demnach auf die Interoperabilität mit den Netzwerkkomponenten, Firewall-Verkäufer bieten gerne Lösungen an, die sich gemeinsam mit anderen Security-Komponenten von einem zentralen Management-Interface aus administrieren lassen. Reine IPS- und IDS-Firmen stellen hingegen die Angriffserkennung in den Vordergrund: hier sind die innovativsten Anwendungen zu erwarten.

Zahlreiche Impulse im Bereich von Sicherheitslösungen gehen von kleineren und mittleren Unternehmen aus den USA aus.

iPolicy Networks aus Fremont, Kalifornien, etwa bietet mit seiner Intrusion Prevention Firewall eine Appliance-Lösung, die Netzwerke von Würmern, Spyware, Dos-Attacken und vielerlei anderem Unbill schützt. Hervorgehoben wird dabei die so genannte "Single Pass Architektur", eine gründliche Inspektion der IP-Pakete, die die Netzwerkleistung nur gering beeinflusst, weil jedes Datenpaket nur einmal zur Überprüfung gelangt. Von Gartner im Magischen Quadranten der Enterprise Firewalls in der begehrten rechten oberen Ecke gereiht, waren iPolicy bisher neben den USA noch in Asien vertreten. Dabei soll es nicht bleiben: "Wir investieren in die weitere Marktdurchdringung durch eine Expansion des Channels - neben Nordamerika und dem asiatisch-pazifischen Raum auch in Europa", so iPolicy-CEO Arun Chandra.

Den ausgehenden Datenstrom nehmen indes Fidelis Security Systems ins Visier. Die 2002 gegründete Firma aus Bethesda, Maryland, bietet mit ihrem Fidelis Extrusion Prevention System, kurz Fidelis XPS, das nach eigenen Angaben einzige Extrusion Prevention System am Markt. Kunden sollen durch die verstärkte Beachtung interner Gefahren wirksamer Marke und geistiges Eigentum schützen.

Ganz in der Nähe, in Rockyville, befindet sich der Hauptsitz von NRF Security, deren Appliance Sentivist in der Version 5.0 laut Unternehmensauskunft als einziges Produkt am Markt gleichzeitig gegen automatisierte Malware und Datendiebstahl schützt, bereits vorhandene Lecks ausmacht und zudem die Volatilität in Netzwerken im Griff hat. Möglich wird dies unter anderem durch die "Confidence Indexing"-Technologie, die eine Anpassung von Assetschutz und Erkennungsgenauigkeit zulässt. Experten loben Sentivist aufgrund seiner geringen false positives.

Die munter voranschreitende Konsolidierung im Security-Bereich zeigt sich auch bei den IPS-Anbietern: So übernahm AmbironTrustWave im Sommer Lucid Security und damit dessen Appliance "ipANGEL". Die Lösung entfernt sich vom klassischen Prevention-Ansatz, alle möglichen Gefahren im Auge zu behalten, und geht verstärkt auf die zu schützenden Assets und deren ganz spezielle Anfälligkeiten ein. Eine maßgeschneiderte IPS-Lösung hält Lucid Security auch für Mail Server bereit: "IronMail" verhindert unerlaubte Zugriffe und blockt Malware. Verhaltensorientierte Algorithmen erkennen darüber hinaus Auffälligkeiten im eingehenden und ausgehenden E-Mail-Verkehr.

Ein tadelloses Zeugnis stellen Analysten auch der in Atlanta beheimateten und nach einem 1,3 Mrd. Dollar-Barkauf im August zu IBM gehörigen Internet Security Systems (ISS) aus. Rund die Hälfte der 1.200 Mitarbeiter sind bei ISS mit Forschung und Entwicklung beschäftigt, ein Anteil, der Innovation garantiert und die Konkurrenz in der Vergangenheit oftmals in Bedrängnis brachte. Die Produkte der IPS-Linie firmieren unter "Proventia" und gelten als technologisch richtungsweisend.

Verhaltensanalyse

Sind Firewall und IPS erst einmal installiert, gilt die Aufmerksamkeit der so genannten Network Behavior-Analyse (NBA). Auf diesem Weg sollen sich Angriffe ausmachen lassen, die mit anderen Methoden unentdeckt bleiben. Bis Ende 2007 sollen daher ein Viertel aller großen Unternehmen NBA als Teil ihrer Sicherheitskonzepts im Einsatz haben, so die Einschätzung von Gartner.

Entsprechende Systeme werden etwa von Arbor Networks angeboten, deren Kernkompetenz aus dem Bereich D/DOS-Erkennung stammt und die seit zwei Jahren mit der NBA-Lösung Peakflow X am Markt sind.

Zwei Produkte, die Hand in Hand arbeiten kommen von Mazu Networks: Die Systeme Profiler und Enforcer arbeiten gemeinsam an der Erkennung von Regelabweichungen und leiten im Angriffsfall Gegenmaßnahmen ein.

Das junge Startup GraniteEdge Networks wiederum liefert mit der so genannten "ClearCause"-Technologie eine Möglichkeit, ähnliche, verdächtigte Ereignisse zu verbinden und auf diesem Weg eine zusätzliche Analyseschicht einzuziehen.

Fast schon ein Veteran am Markt ist hingegen die 2000 gegründete Lancope aus Atlanta. Mit seinen auf der "StealthWatch"-Architektur basierenden Produkten gibt das Unternehmen Kunden eine hybride Version der Netzwerkverhaltensanalyse an die Hand.

  • Artikel bookmarken
  • del.icio.us
  • Mister Wong
  • Yahoo MyWeb

Userkommentare

DISQUS ist ein Service von disqus.com und unabhängig von monitor.at - siehe die Hinweise zum Datenschutz der DISQUS-Kommentarfunktion

comments powered by Disqus