IDS-Systeme können eine große Hilfe sein – oder aber heftige Kopfschmerzen verursachen. Hier einige Tipps, wie man mit IDS Erfolg haben kann:
- Man sollte mit einer Datenflut rechnen. Wenn es eine Sache gibt, die ein IDS gut kann, dann ist es das Erzeugen von gewaltigen Datenmengen. Dies sollte man voraussehen und eine Möglichkeit schaffen, all diese Informationen zu speichern, und zwar auf eine Weise, die jederzeit eine Analyse möglich macht.
- Man sollte klein anfangen und dann schrittweise aufbauen. So kann man das Datenaufkommen klein halten und unnötige Komplexität vermeiden. Man sollte mit einem passiven Überwachungs-Modus anfangen, um zu sehen, welche Arten von Daten das IDS liefert, und dann schrittweise bekannte Attacken abblocken. Heuristische Überwachungsverfahren sollte man erst einsetzen, wenn man sicher ist, dass alles richtig funktioniert.
- Man sollte nicht mit einer perfekten Funktionsweise rechnen. Ein IDS geht beim Sammeln und Analysieren von Daten zum Netzwerk-Traffic nur wenig gezielt vor, wobei die Technologie zu deren Auswertung noch in den Kinderschuhen steckt.
- Die meisten Daten sind überflüssig. Einige wenige sind für die Sicherheit entscheidend. Das Problem ist, die einen von den anderen zu trennen. Dabei erweisen sich Korrelations-Engines als äußerst hilfreich. Man sollte sich von Sicherheits-Experten beraten lassen, wie man die IDS-Logdateien am besten auf sinnvolle Informationen hin durchforstet.
- IDS-Systeme nehmen keine Rücksicht auf legitime Daten. Da sie so hohe Fehlerquoten („False Positives“) aufweisen, ist es durchaus möglich, dass IDS-Engines auch für das Unternehmen wichtige Datenströme beeinträchtigen, falls man ihnen bei der Eindämmung von verdächtigem Traffic zu viel freie Hand lässt. Man sollte daher darauf achten, welche Arten von Daten das System beanstandet, um nicht das Kind mit dem Bade auszuschütten.
- Man sollte einen MSSP hinzuziehen. Egal, was man von den Managed Security Service Providern auch halten mag, es ist unzweifelhaft von Vorteil, wenn sich jemand anderes den Kopf über der Masse von Daten zerbricht, die das IDS hervorbringt. Wer ruhig schlafen will, sollte sich nach einem verlässlichen MSSP umsehen, der das Netzwerk im Blick behält. Das ist nicht billig, aber schließlich geht es um das Unternehmen.
- Es gelten die üblichen Vorschriften. In der Welt der Sicherheit bedeutet dies, dass man erst entsprechende Sicherheitsrichtlinien aufstellen muss, ehe irgendwelche Technologien bei deren Umsetzung helfen. Man sollte gemeinsam mit einem Sicherheitsberater klären, welche Bereiche geschützt werden müssen, was passiert, wenn dies nicht geschieht, und wie ein IDS bei all dem helfen kann.
- Pu der Bär ist nicht der einzige, der Honig mag. So genannte Honeypots werden zwar noch weniger gezielt vermarktet als IDS-Systeme, dennoch können diese als Köder dienenden Server, die für potentielle Angreifer exakt wie echte Netzwerke aussehen, eine interessante Ergänzung zu IDS-Systemen sein. Man lockt Hacker in das Netzwerk und lässt sie den Honeypot erkunden, während das IDS mehr über ihre Angriffsmethoden lernt und sich so für den Ernstfall wappnen kann.
- Geschwindigkeit ist der kritische Punkt. Obwohl die Idealvorstellung von einem omnipräsenten Netzwerk-IDS-System verlockend klingt, ist eine Menge Rechenleistung erforderlich, um all die Daten zu verarbeiten. Gartner nimmt 600 MBit/s als maximale kumulative Bandbreite an, mit der ein IDS-System noch klarkommt, wobei viele wahrscheinlich selbst das nicht schaffen dürften. Man sollte auch spezielle Sicherheitsanwendungen in Betracht ziehen, deren ASIC-basierte Filter schneller als eine Server-basierte Technologie funktionieren.
- Intrusion Prevention ist ein Widerspruch in sich. Den Anbietern gefällt dieser Begriff zwar sehr gut, aber ein vollständiges Verhindern jeglichen unerlaubten Eindringens ist unmöglich. Jedes Sicherheitskonzept schiebt das Unvermeidliche nur hinaus und schafft bestenfalls einen ausreichenden Vorsprung, um den Angreifer zu stoppen, bevor er Schaden anrichten kann.