Was ist ein Intrusion Detection System?

Read in English (Auf Englisch lessen)

Ein Intrusion Detection System (IDS) ist eine wachsame Anwendung oder ein Tool, das ein Netzwerk proaktiv auf bösartige Bedrohungen untersucht, überwacht und analysiert. 

Die Cybersicherheitslandschaft profitiert von den unterschiedlichen, aber miteinander verknüpften Sicherheitsmerkmalen von Intrusion Detection Systeme und Intrusion Prevention Systeme (IPS). Ein IDS fungiert als „wachsames Auge”, das die Netzwerkaktivitäten kontinuierlich überwacht und frühzeitig vor potenziellen Bedrohungen warnt. In der Zwischenzeit verhindert das IPS, dass entdeckte Bedrohungen dem Netzwerk Schaden zufügen, und hält sie auf. 

Arten von Systemen zur Erkennung von Einbrüchen

IDS-Lösungen gibt es in verschiedenen Formen, jede mit ihren eigenen Fähigkeiten, die auf spezifische Sicherheitsanforderungen zugeschnitten sind. Im Folgenden werden zwei gängige Arten von Intrusion Detection Systemen vorgestellt:

• NIDS: Network Intrusion Detection Systeme sind strategisch in der internen Netzwerkinfrastruktur eines Unternehmens platziert, um aktiv jeden bösartigen oder verdächtigen Datenverkehr zu überwachen und zu identifizieren, der von Geräten ausgeht, die mit dem Netzwerk verbunden sind.

• HIDS: Ein Host Intrusion Detection System (HIDS) schützt alle Geräte, die sowohl mit dem Internet als auch mit dem internen Netzwerk des Unternehmens verbunden sind. Es erkennt interne Pakete und zusätzlichen bösartigen Datenverkehr, der vom NIDS übersehen wurde. HIDS identifiziert auch Host-basierte Bedrohungen, z. B. Malware, die versucht, sich im System eines Unternehmens zu verbreiten.

Wie funktionieren Systeme zur Erkennung von Eindringlingen?

Ein IDS unterstützt Unternehmen bei ihren Cybersicherheitsstrategien, indem es auf eine von drei Arten Hilfe leistet:

• Signaturbasierte Erkennung: Das IDS untersucht alle Pakete, die das Netzwerk eines Unternehmens durchqueren, und gleicht sie durch einen String-Vergleich mit einer Datenbank bekannter Angriffssignaturen ab.

• Anomalie-basierte Erkennung: Das IDS vergleicht Definitionen dessen, was als normal gilt, mit aufgezeichneten Ereignissen, um Abweichungen in der Netzwerkaktivität zu erkennen. Anomalie-basierte Systeme verwenden maschinelles Lernen, um einen Referenzpunkt für normales Verhalten zu ermitteln. Diese Erkennungsmethode kann sich bei der Bekämpfung neuartiger Bedrohungen als hilfreich erweisen. 

• Zustandsbezogene Protokollanalyse: Das IDS analysiert beobachtete Ereignisse mit vordefinierten Profilen von Protokollaktivitäten, die sicher oder gutartig sind. Der Prozess wiederholt sich für jeden Protokollstatus.

IDS vs. Firewall: Was ist der Unterschied? 

Ein IDS beobachtet passiv die Netzwerkaktivität und alarmiert Incident Responder oder Security Operations Center (SOC)-Analysten über potenzielle Bedrohungen. Es bietet jedoch keinen Schutz für Endgeräte oder Netzwerke, der über die Reaktion auf Vorfälle hinausgeht.

Im Gegensatz dazu überwacht und blockiert eine Firewall aktiv Bedrohungen, um Zwischenfälle zu verhindern. Sie fungiert als Barriere, die den Netzwerkverkehr auf der Grundlage vorkonfigurierter Regeln selektiv zulässt oder blockiert.

Verwandte Begriffe

• CIA-Trias

• Computerforensischer Ermittler

• Cybersecurity-Analyst

• Sicherheitsingenieur

• Analyst für Informationssicherheit

• Kryptoanalytiker

Erste Schritte mit Coursera

Machen Sie den nächsten Schritt in Richtung einer Karriere in der Cybersicherheit, indem Sie sich für das Google Cybersecurity (Berufsbezogenes Zertifikat) auf Coursera anmelden. Dieses Zertifikat ist Ihr Einstieg in Berufsbezeichnungen wie Security Analyst, SOC (Security Operations Center)-Analyst und mehr. Nach Abschluss des Kurses haben Sie exklusiven Zugang zu einer Jobplattform mit über 150 Mitarbeitern, die für Einstiegspositionen im Bereich Cybersicherheit suchen, sowie zu weiteren Ressourcen, die Sie bei Ihrer Jobsuche unterstützen.