IDS-Anbieter (Intrusion Detection System) im Überblick

Fragen, die Sie während der Evaluierungsphase stellen sollten

1. Wo würden Sie die primären Komponenten eines IDS/IPS-Produkts oder eines entsprechenden Services platzieren (zum Beispiel direkt hinter der Firewall oder zwischen DMZ und internem Netzwerk)? Hier kommt es natürlich darauf an, wer Schutz mithilfe von IDS/IPS benötigt, wie die Netzwerkkonfiguration aussieht und wie viel Budget zur Verfügung steht.
2. Ist das IDS/IPS-Projekt Teil eines gemanagten Security Services? Wie wird man dort die IPS/IDS-Sensoren instand halten? Welches Zugriffsniveau werden die Security-Service-Mitarbeiter auf das IDS/IPS des Kunden brauchen? Zieht man Compliance-Direktiven wie zum Beispiel PCS DSS in Betracht, welche Authentifizierungs-Methoden, Netzwerk-Verschlüsselung und administrative Audit-Kontrollen sind mit den gemanagten Security-Services kompatibel?
3. Hat der Anbieter bei einem gemanagten Security-Service-Szenario Zugriff auf den Netzwerk-Traffic, der durch den IDS/IPS-Sensor fließt? Hier kommen Paketerfassung und andere Optionen in Frage. Kann der Kunde diese Möglichkeit deaktivieren? Wird der Netzwerk-Traffic des Kunden nur durch das IDS/IPS des Anbieters geroutet oder fließt der Datenverkehr auch durch andere Netzwerke?
4. Welche Arten an Netzwerkereignissen lassen sich von einem IDS/IPS-Produkt erkennen? Wie effizient ist das System beim Erkennen von Angriffen wie zum Beispiel DDoS (Distributed Denial-of-Service), Netzwerk-basierten Buffer Overflows, Netzwerk-Scans und Botnet-Kommunikation? Bringt das Systeme DLP (Data Loss Prevention), fortschrittliche Malware-Erkennung und Schwachstellenbewertung für Betriebssysteme mit? Ist Paketerfassung (Packet Capture) mit im Funktionsumfang?
5. Welche Art an Sensoren-Management benötigt man für die IDS/IPS-Sensoren? Handelt es sich dabei um eine Appliance, eine Software für die Installation auf einem physischen Server oder eine virtuelle Maschine? Lässt sich ein existierendes Management-Produkt wie zum Beispiel McAfee ePolicy Orchestrator verwenden und man muss kein neues anschaffen? Welche Einschränkungen gibt es bei diesen Herangehensweisen? Wir sprechen hier von den Reporting-Optionen und die Anzahl der maximal unterstützten Sensoren. Wie wird das Sensor-Management aktualisiert und konfiguriert? Kann das System Sensorenausfälle automatisch erkennen und wie reagiert es in so einem Fall auf die Situation? Sind diese Sensoren echte High-Availability-Produkte, die automatisches Failover durchführen können? Wie wirkt sich ein Ausfall der Sensoren auf das Netzwerk aus?
6. Wie viele Netzwerkaggregatoren und IDS/IPS Load Balancers benötigen Sie? Hier kommt es natürlich auf den Netzwerkdurchsatz an und welche Art an unterstützenden Geräten Sie brauchen. Handelt es sich auch hierbei um echte High-Availability-Produkte, die automatisches Failover beherrschen? Wie sind die Auswirkungen auf das Netzwerk, wenn diese Geräte ausfallen? Auf welche Weise managt man die hier genannten unterstützenden Geräte?
7. Lässt sich das gewünschte IDS/IPS-Produkt mit existierenden Kunden-Security-Kontrollen integrieren? Wir sprechen hier zum Beispiel von Endpunkt-Host-IPS, UTM-basiertes (Unified Threat Management) IDS/IPS oder existierenden Open-Source-IDS/IPS-Produkten wie Snort?
8. Wie wird man die Daten der Sensoren in eine gegenseitige Beziehung stellen und analysieren? Wird das Produkt oder der Service Vorfälle zu einer Plattform für Datenaggregation von Dritten wie zum Beispiel Splunk weiterleiten? Kann es mit SIEM-Produkten (Security Incident and Event Management) wie zum Beispiel LogRhythm, HP ArcSight, McAfee NitroSecurity oder Splunk Enterprise Security umgehen? Wie viel menschlicher Aufwand ist notwendig, um die IDS/IPS-Daten zu analysieren? Wie viel der Analysetätigkeiten lässt sich automatisieren?
9. Wie funktionieren Betriebssystem-Updates bei IDS/IPS-Sensoren? Lässt sich dieser Vorgang automatisieren? Handelt es sich dabei um einen manuellen Prozess? Wie viel Downtime ist notwendig, um die Sensoren nach einem Betriebssystem-Update neu zu starten? Lassen sich Updates für die Angriffssignaturen automatisch einspielen? Wenn ja, wie oft kann man den Vorgang durchführen lassen? Wie oft werden die Signaturen überhaupt aktualisiert? Wie werden das Betriebssystem des Sensors und die Angriffssignaturen vor MitM-Angriffen (Man-in-the-Middle) geschützt? Sind spezielle Firewall-Regeln notwendig, damit man die Updates erhält?
10. Wie kann die IDS/IPS-Architektur hohen Netzwerkdurchsatz, High Availability und exakte Erkennung Netzwerk-basierter Bedrohungen unter einen Hut bringen? Auf welche Weise kann man die Sensoren von Intrusion-Detection- und Intrusion-Prevention-Systemen feineinstellen? Lassen sie sich auf neue Angriffsarten anpassen, ohne dass der Netzwerkdurchsatz negativ beeinflusst wird?

Anbieter im Überblick

Nachfolgend finden Sie eine repräsentative Liste an Anbietern, die Intrusion-Detection- und Intrusion-Prevention-Systeme im Portfolio haben:

• Check Point
• Cisco
• Core Security
• Corero Network Security (zuvor Top Layer Security)
• Dell
• Extreme Networks (hat Enterasys akquiriert)
• F5 Networks
• FireEye
• Fortinet
• Gigamon
• GuidePoint Security
• HP
• IBM
• Juniper Networks
• ManageEngine
• McAfee
• NitroSecurity (wurde durch McAfee übernommen)
• Palo Alto Networks
• Radware
• Snort (Sourcefire/Cisco)
• Solutionary (wurde durch NTT übernommen)
• Sourcefire (wurde durch Cisco übernommen)
• Splunk
• StoneSoft (McAfee)
• Trend Micro

Über den Autor:
Bill Hayes hat früher Meeresforschung studiert und ist ein ehemaliger Militär-Veteran. Weiterhin hat er ein einen Abschluss als Journalist. Nachdem er mit Computer-Spiele-Design in den 1980ern geflirtet hat, begann Hayes eine Karriere im IT-Support. Derzeit arbeitet er als Cybersecurity-Analyst für eine Utility-Firma, sowie als freiberuflicher Consultant-Experte und Autor.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!