Intrusion Detection-Systeme: im eigenen Netz gefangen?

Die Beurteilung des IDS-Markts durch Gartner rief jedoch die Verfechter dieser Technologie auf den Plan und wurde von den wenigen Anwendern, die herausgefunden hatten, wie sie IDS zu ihrem Vorteil einsetzen können, als lachhaft eingestuft. Doch wie es in solchen Fällen fast immer geschieht, beließen es viele Anbieter dabei, sich einfach vom Konzept IDS zu distanzieren und ihre Produkte schlicht als IPS anzubieten (Intrusion Prevention Systems).

Wenn man einen Anbieter nach der Definition von IPS fragt, klingt die Antwort vertraut. In der Tat ist es prinzipiell nur möglich, ein Eindringen zu verhindern, wenn man über ein zu 100 Prozent effektives Sicherheitssystem verfügt. Und das ist bekanntermaßen ein fast unmögliches und nur mit hohem finanziellen Aufwand zu erreichendes Ideal. Definitionsgemäß hat man es erst dann mit einem Eindringling zu tun, wenn der das Netzwerk bereits angegriffen hat. Die entscheidende Frage ist deshalb, wie schnell man auf eine Attacke reagieren kann.
Diese Aufgabe wird nicht dadurch gelöst, dass man einfach neue dreibuchstabige Akronyme erfindet. „Ich bin der festen Überzeugung, dass es so etwas wie Intrusion Prevention gar nicht gibt“, gibt Dick Bussiere zu, Asia-Pacific CTO von Enterasys Networks, die über ihr Dragon Intrusion Defence System Funktionen zur Intrusion Detection anbieten.

„Das ist alles nur Marketing um den Leuten vorzugaukeln, dass sie Angriffe verhindern könnten. Ich bin von der [IDS-]Technologie überzeugt und glaube, dass sie nutzbringend eingesetzt werden kann, aber bis sie ausgereift ist, werden noch ein paar Jahre ins Land gehen. Das ist ein langsamer und evolutionärer Prozess.“

Das heißt natürlich nicht, dass ein IDS-System nicht schon heute durchaus sinnvoll sein kann. Entscheidend ist dabei die Festlegung, an welchen Fronten man kämpfen will, statt sich einfach kopfüber in eine Technologie zu stürzen, die man nicht durchschaut. Man sollte auf jeden Fall klein anfangen und vielleicht nur den Detection-Modus aktivieren, aber noch keinen Traffic blockieren, so dass man sehen kann, was ausgefiltert worden wäre. Danach könnte man selektive Schutzmaßnahmen einführen, die bekannte Attacken wie SYN-Flooding abblocken. Und schließlich kann man aufs Ganze gehen und das IDS heuristische Verfahren einsetzen lassen, um neue Verhaltensweisen aufzuspüren, die verdächtig erscheinen.

Die meisten Unternehmen dürften allerdings Schwierigkeiten haben, ein IDS effektiv zu nutzen. „Das ist eine altbekannte Weisheit“, sagt Michael Warrilow, Asia-Pacific Research Analyst for Security and Risk Strategies der META Group. „Technologie alleine löst nie ein Problem.“

Aus diesem Grund könnten IDS-Systeme genau die Killeranwendung sein, mit der Unternehmen scharenweise in die Arme der neuen MSSP (Managed Security Service Provider) getrieben werden.

Auf den Rat – und die Personalressourcen – eines MSSP zurückzugreifen, kann äußerst hilfreich sein, um den Nutzen der IDS-Technologie auszuschöpfen. Genauso wie ein normaler Sicherheitsdienst eine sofortige Reaktion bietet, wenn die Alarmanlage in einer Firma losgeht, stellt ein MSSP Teams von in Sicherheitsfragen versierten Mitarbeitern zur Verfügung, die sich um den unangenehmen Teil des Betriebs eines IDS kümmern: die Suche nach Problemen, das Aussortieren der Unmengen von Fehlalarmen und die Durchführung entsprechender Gegenmaßnahmen im Fall eines echten Angriffs.

Solange Unternehmen nicht bereit sind, exorbitante Summen für die Anstellung eigener Sicherheits-Fachleute zu bezahlen, dürfte die Entscheidung zugunsten eines MSSP denjenigen nicht schwer fallen, die ihre IT-Sicherheit ernsthaft verbessern wollen. „Wenn man IDS richtig einsetzen will, braucht man einen MSSP“, so Bussiere. „Ich glaube nicht, dass die meisten Unternehmen über die entsprechenden Mitarbeiter verfügen, um wirklich analysieren zu können, was diese Systeme ihnen mitteilen wollen. Wenn man die Kosten für solche Mitarbeiter in Betracht zieht, werden kleinere Unternehmen immer auf einen MSSP zurückgreifen müssen.“

»Ich glaube nicht, dass die meisten Unternehmen über die entsprechenden Mitarbeiter verfügen um wirklich analysieren zu können, was diese Systeme ihnen mitteilen wollen.«

Da sie sich ausschließlich mit Sicherheit beschäftigen, bieten MSSPs ein unerreichtes Niveau an Expertise für Netzwerk-Attacken und entsprechende Abwehrmaßnahmen. Außerdem haben sie oft Zugang zu ausgefeilten Tools mit Fähigkeiten wie Event-Korrelation, die die Flut von IDS-Alarmen eindämmen, indem sie zusammengehörige Ereignisse in Gruppen zusammenfassen, um sie gemeinsam statt einzeln zu bearbeiten.

Aber selbst mit Hilfe eines MSSP müssen Unternehmen ihre Erwartungen in Bezug auf diese Technologie zurückschrauben: Es kann recht lange dauern, ehe diese Programme genug über den normalen Netzwerk-Traffic gelernt haben um Anomalien feststellen zu können. „IDS-Systeme können drei bis sechs Monate brauchen, ehe sie eingespielt sind, und bis dahin ist ein enormer Aufwand erforderlich“, meint Arthur Argyropoulos, CEO des MSSP Zento, der für die IDS-Systeme von 10 der insgesamt 45 MSSP-Kunden des Unternehmens verantwortlich ist.

Argyropoulos räumt ein, dass für die Kunden das Warten auf die Einsatzbereitschaft eines IDS frustrierend sein kann, aber er ist überzeugt, dass sich die Technologie letztlich als vorteilhaft erweist. „Der Nutzen, den man innerhalb dieser ersten drei Monate erzielen kann, wäre in einer Rentabilitätsberechnung zu vernachlässigen, wenn nicht sogar negativ. Selbst wenn das System eingespielt ist, sind immer noch ungefähr 80 Prozent aller Alarme Fehlalarme. Aber wir haben eine Korrelations-Engine entwickelt, die diesen Wert auf etwa 50 bis 60 Prozent drückt.“

Wie bei allen Vorgängen im Bereich IT-Sicherheit ist es wichtig, formelle, schriftliche Richtlinien zu entwickeln, die Unternehmensziele und -regeln beschreiben. Sicherheitstechnologien wie IDS spiegeln dann diese Richtlinien wider und setzen sie um. Zum Beispiel kann man ziemlich sicher sein, dass die meisten Mitarbeiter sich kaum zwischen Mitternacht und 6 Uhr morgens einloggen werden. Jedes ungewöhnlich hohe Aufkommen an Traffic zu dieser Zeit oder wiederholte Versuche, sich unter einem bestimmten Benutzernamen anzumelden, wären demnach ein Indiz dafür, dass etwas nicht in Ordnung ist.

Argyropoulos berichtet, dass Zento als Sicherheitsunternehmen selbst häufig das Angriffsziel von Hackern sei und aus diesen Erfahrungen gelernt habe, seine IDS-Praxis entsprechend anzupassen. „Der Höhepunkt der Aktivität ist immer gegen 3 Uhr nachts“, sagt er. „Da gehen regelmäßig Tausende von Warnmeldungen ein.“

Ein weiterer wichtiger Aspekt für im Marketing-Rummel der Software-Anbieter verlorene Unternehmen besteht nach Ansicht von Argyropoulos in der Tatsache, dass IDS-Systeme nicht teuer sein müssen. Da wäre zum Beispiel SNORT, ein kostenloses Open-Source-IDS, das derzeit in Version 2.0.1 erhältlich ist. Dieses Programm kann Unternehmen, die eine bessere Kontrolle über ihren Netzwerk-Traffic wünschen, wirklich die Augen öffnen. SNORT dürfte für viele Unternehmen schon ausreichend sein oder zumindest einen Einstieg in die wesentlich komplexeren kommerziellen Systeme darstellen, die noch ausgefeiltere Funktionen bieten, beispielweise die Integration in Firewalls und andere Komponenten für Netzwerksicherheit.