Intrusion Detection-Systeme: im eigenen Netz gefangen?

Die Skepsis von Gartner gegenüber IDS hat eine Branche auf den Boden der Tatsachen zurückgeholt, die ohnehin damit zu kämpfen hat, unter ihren Kunden für eine breite Akzeptanz ihrer Technologien zu sorgen. Dennoch wird das in den letzten Jahren zunehmende Bewusstsein für Fragen der Sicherheit nicht ohne Folgen bleiben. In dem Maße, wie die Technologie verbessert wird – und die MSSP ihren Wert all den Kunden vermitteln können, die bislang mit dem Outsourcing eines so kritischen Bereichs wie die IT-Sicherheit eher zurückhaltend waren -, wird sie sicherlich ihren beschwerlichen Weg auf den Markt für Unternehmens-Sicherheit fortsetzen.

Zumindest hat die META Group vor kurzem prognostiziert, dass die Umsätze mit IDS langsam zunehmen werden, da sich die Technologie weiterentwickelt und Unternehmen immer öfter bisher noch eher seltene Sicherheitsrichtlinien verabschieden. Außerdem stellte IDC im Juli zwar die relative langsame Zunahme der Akzeptanz von IDS fest, prognostizierte aber nichtsdestotrotz ein jährliches Umsatzwachstum von 25 Prozent für entsprechende Produkte in der Asien-Pazifik-Region (von 54,7 Mio. US-Dollar 2002 auf 164,2 Mio. US-Dollar 2007).

Allerdings stellt die Zahl für 2002 im Vergleich zu 2001 tatsächlich einen Rückgang um 0,7 Prozent dar, was zweierlei belegt: dass die Technologie bislang noch zu kämpfen hat und dass erhebliche Verbesserungen erforderlich sind, damit Prognosen wie die von IDC auch nur annähernd erfüllt werden.

„Man kann nicht einfach nur ‚ja‘ oder ’nein‘ zu Intrusion Detection sagen“, argumentiert Mark Gardner, General Manager of Strategies and Solutions bei SecureNet. „Man muss überlegen, ob man ein wahrscheinliches Angriffsziel für Hacker ist, und dann beurteilen, wie viel an Sicherheitsmaßnahmen angemessen ist. Bei jedem Sicherheitssystem wird es immer Fehlalarme geben, aber wir sind überzeugt, dass mit einer ordnungsgemäß installierten und gewarteten [IDS-] Technologie der Anteil der Fehlalarme auf ein akzeptables Maß gedrückt werden kann.“

Und die Anbieter ziehen alle Register, um das akzeptable Maß Realität werden zu lassen. Erst kürzlich verschaffte sich das Desktop-Sicherheitsunternehmen Network Associates mit der Übernahme der IDS-Unternehmen Intruvert und Entercept ein Standbein im Intrusion Detection-Markt – ein Schachzug, um es mit dem langjährigen Rivalen Symantec aufnehmen zu können. Andere Anbieter integrieren IDS-artige Funktionen in ihre Firewalls.

Symantec selbst hat vor kurzem seine Produkte Host IDS, Intruder Alert und ManHunt Intrusion Detection um Decoy Server ergänzt, einen Honeypot, der eine echte Produktionsumgebung simuliert, um Hacker zum Angriff auf ein vermeintlich leichtes Ziel zu verleiten, so dass sie beobachtet und zurückverfolgt werden können. Zu den weiteren führenden Anbietern von IDS-Systemen gehören Internet Security Systems (ISS) und Computer Associates.

Im Zuge der Entwicklung der IDS-Systeme wird eine der größten Veränderungen die zunehmende Rolle von MSSP-gehosteten Korrelations-Engines und separaten Netzwerkverwaltungs-Anwendungen sein, die schrittweise auch immer mehr Sicherheitsaspekte berücksichtigen. Solche Plattformen, die bereits seit langem Korrelations-Engines einsetzen um unnötige Meldungen von Netzwerkfehlern zu vermeiden, sind die logische Ergänzung zu IDS-Systemen und könnten richtungweisend für die Technologie sein, indem Intrusion-Reporting mit Anwendungs-Performance-Problemen verknüpft wird. Wenn beispielsweise MySAP nicht wie erwartet arbeitet, würde die Verwaltungsplattform dies feststellen, wobei das IDS in der Lage wäre, das Problem selbständig zu identifizieren und zu beheben.

Obwohl die Technologie allmählich Fortschritte macht, ist immer noch nicht klar, ob die Kunden IDS-Systeme ausreichend kennen und schätzen, um ihre Absicherung nach außen einer Technologie mit einer so zweifelhaften Reputation anzuvertrauen.

Wie immer wird es entscheidend auf eine effektive Marktpositionierung ankommen. „Da landen wir wieder bei dem Bericht von Gartner über IDS“, sagt John Donovan, Managing Director von Symantec. „Hat die Technologie zu viel versprochen und zu wenig gehalten? So wie sie bisher angepriesen wurde, wird man das bejahen müssen. IDS sollte eher als Teil eines Prozesses angeboten werden. Korrelations- und Normalisierungsverfahren reduzieren die Menge der Rohdaten auf eine Reihe von Ereignissen, die tatsächlich etwas bedeuten. Damit kommt man den Erwartungen schon einen Schritt näher. Falls Informationen nicht nutzbar sind, verschwendet man nur Zeit und Geld.“