Wer kann was? Wir vergleichen IPS vs. Network Detection & Response vs. Vulnerability Management

Immer wieder werde ich von Kunden gefragt ob sie IPS (Intrusion Prevention System) wirklich benötigen. Vor allem bei Kunden mit NDR (Network Detection & Response) und/oder Vulnerability-Management Lösungen taucht die Frage vermehrt auf. Die Frage lässt sich auf jeden Fall mit einem klaren Ja beantworten. Kurz gesagt lässt sich sagen, dass die drei Lösungen sich gegenseitig perfekt ergänzen. Im Folgenden möchte ich die Lösungen kurz beschreiben und auf deren Unterschiede eingehen.

Intrusion Prevention Systeme (IPS) schützen mittels Signatur basierten Erkennungen vor bekannten Schwachstellen. Dabei können teilweise auch generische Angriffstechniken, welche nicht einer Vulnerability zugeordnet sind, geblockt werden. Beispiele dafür sind etwa SQL- oder Command-Injections. IPS wird heute mehrheitlich auf Firewall-Systemen direkt eingesetzt. Dort können sie erkannten bösartigen Verkehr direkt blockieren und den Angriff damit verhindern. Als Alternative dazu gibt es IDS (Intrusion Detection System) Lösungen, welche nur passiv im Netzwerk mithören und erkannte Angriffe detektieren. Manchmal wird bei IDS Lösungen über Integrationen ins Netzwerk auch ein aktiver Teil implementiert, welcher versucht den Angriff zu unterbinden.

Zentraler Punkt bei IPS (oder IDS) Lösungen ist, dass diese “nur” auf bekannte Schwachstellen reagieren können. Der Hauptgrund, warum diese trotzdem grossflächig eingesetzt werden, ist, dass die Signaturen für neue Schwachstellen in der Regel massiv schneller verfügbar sind, als die Hersteller der Applikationen Patches veröffentlichen. Je nach Hersteller sind Signaturen für neue Schwachstellen innert 24 bis 48 Stunden verfügbar und schützen das Netzwerk vor der Schwachstelle bis die Patches eingespielt sind. Bis Updates der Hersteller verfügbar sind, vergehen gut und gerne 30 Tage. Bis diese dann im kompletten Netz ausgerollt sind, dauert es nochmals mehrere Tage oder Wochen.

Über Network Detection & Response (NDR) Lösungen habe ich schon einige Beiträge verfasst. Daher hier nur noch eine kurze Zusammenfassung. NDR Lösungen sind passiv im Netzwerk integriert und überwachen den Netzwerk-Verkehr. Dieser wird auf bekannte Angriffsmuster oder Techniken untersucht. Auch Anomalien im Netzwerkverkehr, z.B. wenn sich ein Endpoint auf einmal anders verhält, werden detektiert. Mittels Integrationen mit anderen Lösungen im Netzwerk kann auch eine automatische Response implementiert werden.

Ein grosser Unterschied zu IPS Lösungen ist, dass viele NDR Lösungen keinen rein Signatur basierten Ansatz verfolgen. Zudem wird ein grösseres Zeitfenster im Traffic überwacht, anders wäre eine Anomalie-Erkennung gar nicht möglich. Bei IPS hingegen werden oftmals nur einzelne Pakete einer Session gescannt. Die Systeme haben also, abgesehen von einem kleinem Buffer, kein Gedächtnis.

Vulnerability Management (manchmal auch Vulnerability Scanning), ist eigentlich eine komplett andere Geschichte, welche aber vor allem im Zusammenhang mit IPS/IDS auch erwähnt werden sollte. Die Lösungen scannen Systeme im Netzwerk nach bekannten Sicherheitslücken ab. Dazu wird, ähnlich wie bei IPS, ein Signatur basierter Ansatz verwendet. Man erhält dadurch also einen Überblick, welche Systeme im Netzwerk für welche Attacken anfällig sind. Vulnerability Management Lösungen zeigen dabei die komplette Lebensdauer einer Schwachstelle im Netzwerk auf. Vom bekannt werden der Schwachstelle, bis zur Verfügbarkeit von Workarounds oder Patches, bis zum Punkt wo die Systeme gepatcht worden sind und nicht mehr anfällig sind. Die Informationen sind insbesondere relevant, wenn IPS oder IDS Lösungen allfällige Angriffe nur detektieren. Wenn Logs oder Alerts geprüft werden, ist es für den Analysten von zentraler Bedeutung ob ein System überhaupt anfällig für die Sicherheitslücke ist. Wenn dies nicht der Fall ist, kann die Detection getrost ignoriert werden. Im Idealfall werden die Informationen von IPS/IDS und Vulnerability Management Lösungen automatisch zusammengeführt um die Analyse weiter zu vereinfachen.

Kurz zusammengefasst lässt sich sagen, dass die drei Lösungen sich gegenseitig nicht unnötig machen. Vielmehr ist es so, dass diese sich perfekt ergänzen, um ein gutes Schutz-Level eines Netzwerkes zu erreichen. IPS schützt automatisiert vor vielen Angriffen und erlaubt es, die Sicherheitslücken im Netzwerk in “aller Ruhe” zu beseitigen. Wenn IPS versagt oder ein Angreifer anderweitig ins Netzwerk gelangt, ist die NDR Lösung unsere Rettungsleine, welche dies detektiert und uns ermöglicht, den Angriff abzuwehren. Da Security-Incidents sehr schnell zeitintensiv werden, ist es besser und günstiger einen Grossteil davon mittels IPS gleich abzuwehren. Vulnerability Management sollte eigentlich heute Bestandteil von jedem Netzwerk sein und ergänzt die beiden anderen mit wertvollen Informationen.