Zum Hauptinhalt springen

Beste IDPS-Tools: Der Schlüssel zum Schutz Ihres Netzwerks vor sich entwickelnden Bedrohungen

Veröffentlicht am:
.
13 Minuten Lesezeit
.
Für die Englische Version

Unternehmen verlassen sich heute vollständig auf Technologie für alles, von der Kommunikation bis zum Hosting von Apps auf Servern. Die Angriffsfläche, die Hacker ausnutzen können, wächst mit dem Fortschritt der Technologie. Laut einer Studie aus dem Jahr 2021 gab es 50 % mehr wöchentliche Angriffe auf Unternehmensnetzwerke im Jahr 2021 als im Jahr 2020. Infolgedessen stärken Unternehmen aller Größen und Branchenvertikalen ihre Sicherheitsmaßnahmen, um ihre digitale Infrastruktur auf allen Ebenen vor Cyberangriffen zu verteidigen.

Die erste Verteidigungslinie gegen unerwünschten und verdächtigen Datenverkehr, der in ein System eindringt, ist eine Firewall. Es ist leicht zu glauben, dass feindlicher Verkehr eine Firewall nicht durchdringen kann und dass Firewalls 100% sicher sind. Aber Cyberkriminelle hören nie auf, neue Wege zu entwickeln, um Sicherheitssysteme zu umgehen. Ein Intrusion Detection and Prevention System (IDPS) hilft in dieser Situation. Das IDPS kontrolliert, was das System durchläuft, während eine Firewall kontrolliert, was eintritt. Es arbeitet häufig in Kombination mit Firewalls, die direkt hinter ihnen stehen.

Ein Intrusion Detection and Prevention System funktioniert ähnlich wie die Sicherheitskontrolle und der Gepäckaufgabe am Flughafen. Beim Betreten eines Flughafens müssen Reisende ihr Ticket oder ihre Bordkarte vorzeigen, und sie dürfen ihr Flugzeug erst besteigen, wenn alle obligatorischen Sicherheitsverfahren abgeschlossen sind. Ähnlich dazu überwacht ein Intrusion Detection System lediglich Regelverstöße oder bösartigen Datenverkehr. Es war der Vorläufer des Intrusion Detection and Prevention Systems, oder Intrusion Prevention Systems (IPS). Mit automatischen Maßnahmen überwacht und warnt das IPS nicht nur, sondern versucht auch, potenzielle Probleme abzuwenden.

In diesem Artikel werden wir die folgenden Themen im Zusammenhang mit IDPS besprechen.

  • Was ist ein Intrusion Detection and Prevention System?
  • Wie funktioniert ein IDPS?
  • Was sind die grundlegenden Funktionen eines IDPS?
    1. Snort
    2. Suricata
    3. OSSEC
    4. Cisco NGIPS
    5. FireEye Intrusion Prevention System
    6. Hillstone S-Series
    7. McAfee Virtual Network Security Platform
    8. Trend Micro TippingPoint
    9. AlienVault USM (from AT&T Cybersecurity)
    10. Blumira Automated Detection & Response
    11. Vectra Cognito
    12. BluVector Cortex
    13. CrowdSec
  • Wie wählt man das richtige IDPS aus?

Was ist ein Intrusion Detection and Prevention System?

Der Begriff "Intrusion Detection and Prevention System" ist ein anderer Name für das Intrusion Prevention System. Es ist ein Netzwerksicherheitstool, das potenziell schädliche Aktivitäten in Netzwerken oder Systemen überwacht. Die Identifizierung schädlichen Verhaltens, das Sammeln von Informationen darüber, das Melden davon und der Versuch, es zu blockieren oder zu stoppen, sind die Hauptaufgaben von Intrusion Prevention Systemen.

Da sowohl Intrusion Prevention Systeme (IPS) als auch Intrusion Detection Systeme (IDS) den Netzwerkverkehr und die Systemoperationen auf bösartiges Verhalten überwachen, werden sie oft als Ergänzung zu IDS betrachtet.

IPS erstellt normalerweise Berichte, warnt Sicherheitsadministratoren vor bedeutenden beobachteten Vorkommnissen und protokolliert Informationen über beobachtete Ereignisse. Darüber hinaus können viele IPS versuchen, eine Bedrohung zu stoppen, bevor sie überhaupt eine Chance hat, erfolgreich zu sein. Sie setzen eine Vielzahl von Reaktionsstrategien ein, wie zum Beispiel das direkte Stoppen des Angriffs durch das IPS, das Ändern der Sicherheitseinstellungen oder das Modifizieren des Inhalts des Angriffs.

Wie funktioniert ein IDPS?

IDS- und IDPS-Systeme untersuchen die Systemaktivität und den Netzwerkverkehr mithilfe einer Mischung aus Anomalie- und signaturbasierten Erkennungsmethoden. Wie IDPS funktioniert, wird im Folgenden erklärt:

  • Signaturbasierte Erkennung: Eingehender Netzwerkverkehr oder Systemereignisse werden mit einer Datenbank bekannter Angriffsmuster oder Signaturen verglichen, die von IDS/IDPS-Systemen auf dem neuesten Stand gehalten wird. Eine Warnung wird gesendet, wenn ein Treffer entdeckt wird, was auf einen möglichen Eindringling oder eine Sicherheitsgefahr hinweist.
  • Anomalie-basierte Erkennung: Im Laufe der Zeit erstellen diese Systeme eine Basislinie typischer System- und Netzwerkaktivitäten. Jede Abweichung von diesem Referenzpunkt wird als mögliche Anomalie markiert. Wenn es darum geht, unerwartete Bedrohungen oder Angriffe ohne bekannte Signaturen zu erkennen, funktioniert die anomali-basierte Erkennung gut.
  • Echtzeitüberwachung: IDS/IDPS-Systeme überwachen den Netzwerkverkehr genau und suchen nach Mustern oder Verhaltensweisen, die mit bekannten Angriffssignaturen übereinstimmen oder stark von der Norm abweichen.
  • Alarmierung und Berichterstattung: IDS/IDPS-Systeme geben Warnungen aus, wenn sie potenziell schädliches oder verdächtiges Verhalten identifizieren. Diese Benachrichtigungen können Informationen über die identifizierte Gefahr, deren Schweregrad und das betroffene System oder Netzwerksegment enthalten. Sicherheitsmitarbeiter erhalten diese Warnungen, und sie werden mit SIEM (Security Information and Event Management) Systemen für zusätzliche Analyse und Reaktion gekoppelt.
  • Reaktionsmechanismen: IDPS-Lösungen können Bedrohungen identifizieren und neben deren Erkennung automatische Maßnahmen ergreifen, um sie in Echtzeit zu stoppen oder zu mildern. Potenzielle Sicherheitsverletzungen sind aufgrund dieser präventiven Strategie weniger wahrscheinlich.

Was sind die grundlegenden Funktionen eines IDPS?

Die folgenden Funktionen werden von einem Intrusion Detection and Prevention System bereitgestellt:

Schützt kritische Daten und technische Infrastruktur: In der heutigen Welt datengetriebener Unternehmen kann kein System isoliert funktionieren. Da Daten ständig über das Netzwerk fließen, ist das Verstecken innerhalb der Daten selbst der einfachste Weg, ein System anzugreifen oder darauf zuzugreifen. Die IDS-Komponente des Systems ist reaktiv; sie benachrichtigt Sicherheitsexperten über potenzielle Ereignisse dieser Art. Da das Intrusion Prevention System (IPS) proaktiv ist, können Sicherheitsteams Angriffe verhindern, die ihren Ruf und ihre Finanzen schädigen könnten.

  • Überprüft aktuelle Sicherheits- und Benutzerrichtlinien: Jedes sicherheitsorientierte Unternehmen hat seine eigenen Zugriffs- und Benutzerrichtlinien für seine Systeme und Anwendungen. Durch die Beschränkung des Zugriffs auf wichtige Ressourcen auf eine kleine Anzahl zuverlässiger Benutzergruppen und Systeme verringern diese Richtlinien die Angriffsfläche erheblich. Administratoren können aufgrund der kontinuierlichen Überwachung durch Intrusion Detection- und Prevention-Systeme schnell Schwächen in diesen Richtlinienrahmen erkennen. Administratoren passen die Richtlinien an, um die optimale Sicherheit und Effektivität zu testen.
  • Stellt Daten über Netzwerkressourcen zusammen: Das Sicherheitspersonal kann dank eines IDS-IPS einen Überblick über den Verkehr in seinen Netzwerken behalten. Dies erleichtert ihre Überwachung der Netzwerkressourcen, sodass sie ein System im Falle von übermäßigem Datenverkehr oder Unterauslastung des Servers anpassen können.
  • Hilft bei der Einhaltung von Compliance-Vorschriften: Um die Privatsphäre und Sicherheit der Kundendaten zu schützen, werden Vorschriften zunehmend auf alle Unternehmen angewendet, unabhängig von der Branchenzugehörigkeit. Die Implementierung eines Einbruchserkennungs- und Präventionssystems ist typischerweise der erste Schritt zur Erfüllung dieser Standards.

Ein IDPS überwacht Systemmuster und Benutzerverhalten zusätzlich zur Analyse von Systemdateien und dem Scannen von Vorgängen nach gefährlichen Mustern. Webanwendungsfirewalls und Verkehrsfilterwerkzeuge werden von Intrusion Prevention Systemen (IPS) verwendet, um Vorfälle zu verhindern.

Was sind die besten IDPS-Lösungen auf dem Markt?

Die besten Intrusion Detection and Prevention Systeme (IDPS) auf dem Markt werden im Folgenden behandelt, zusammen mit wichtigen Faktoren und Merkmalen, auf die man beim Vergleichen von Optionen achten sollte:

  1. Snort
  2. Suricata
  3. OSSEC
  4. Cisco NGIPS
  5. FireEye Intrusion Prevention System
  6. Hillstone S-Series
  7. McAfee Virtual Network Security Platform
  8. Trend Micro TippingPoint
  9. AlienVault USM (from AT&T Cybersecurity)
  10. Blumira Automated Detection & Response
  11. Vectra Cognito
  12. BluVector Cortex
  13. CrowdSec

1. Schnüffeln

Trotz seiner Führungsposition in der NIDS-Branche ist Snort immer noch kostenlos verfügbar. Unter den wenigen verfügbaren IDS, die auf Windows eingerichtet werden können, ist dieses hier. Cisco hat es entworfen. Das System ist sowohl ein Eindringungsschutzsystem als auch ein Eindringungserkennungssystem, da es in drei verschiedenen Modi arbeiten und Vertechnikiken anwenden kann. Die drei Snort Modi sind unten aufgeführt:

  • Mode Sniffer
  • Paketrekorder
  • Erkennung von Eindringlingen

Snort benötigt keine Aktivierung seiner Intrusion-Detection-Funktionen, um es als Paket-Sniffer zu verwenden. In diesem Modus können Sie eine Echtzeit-Anzeige der über das Netzwerk laufenden Pakete einsehen. Diese Paketdetails werden in einer Datei aufgezeichnet, wenn der Modus Paketprotokollierung aktiviert ist.

Wichtige Merkmale von Snort sind wie folgt:

  • Spitzen-NIDS in der Branche
  • Mit Unterstützung von Cisco Systems Ein kostenloses Datensuchwerkzeug namens Snort konzentriert sich darauf, Netzwerkaktivitätsdaten zur Identifizierung von Bedrohungen zu nutzen. Sie können die Bedrohungserkennung schnell verbessern, indem Sie Zugang zu kostenpflichtigen Regel-Listen erhalten. Aufgrund der aktiven und hilfsbereiten Snort-Benutzergemeinschaft ist dies ein nützliches System, um bewährte Sicherheitspraktiken zu erlernen.

Sie aktivieren ein Analysemodul, das eine Reihe von Regeln auf den Verkehr anwendet, während er vorbeikommt, wenn Sie die Intrusion-Detection-Funktionen von Snort verwenden. Diese Richtlinien sind als "Basisrichtlinien" bekannt, und Sie können sie von der Snort-Website herunterladen, wenn Sie sich nicht sicher sind, welche Sie benötigen. Dennoch können Sie Ihre eigenen schreiben, wenn Sie Vertrauen in die Methodik von Snort gewinnen. Dieses IDS hat eine große Gemeinschaft, und die Mitglieder beteiligen sich aktiv an Online-Foren auf der Snort-Website. Sie können Regeln herunterladen, die von erfahrenen Snort-Nutzern erstellt wurden, sowie Ratschläge und Unterstützung von anderen Nutzern erhalten.

Ereignisse wie OS-Fingerprinting, Buffer-Overflow-Angriffe, CGI-Angriffe, stealth port scans und SMB-Scans werden alle von den Regeln erfasst. Die Erkennungstechniken, die anomali-basierte Systeme und signaturbasierte Techniken umfassen, hängen von den spezifischen angewendeten Regeln ab.

Die Einrichtung von Snort erfordert viel Arbeit, und Kleinunternehmer ohne technisches Know-how würden es schwierig finden, eine hochwertige Bedrohungserkennung korrekt zum Laufen zu bringen.

Die Vorteile von Snort sind unten aufgeführt:

  • Open-Source und völlig kostenlos
  • Eine große Gemeinschaft verteilt neue Konfigurationen und Regelsets, die Systemadministratoren in ihren Einstellungen implementieren können.
  • Unterstützt sowohl das Protokollscannen als auch das Paket-Sniffing für die Echtzeitanalyse des Datenverkehrs.

Die Nachteile von Snort sind unten aufgeführt:

  • Extrem kompliziert; selbst mit vordefinierten Regeln ist ein tiefes Verständnis erforderlich
  • Auf die Gemeinschaft angewiesen, um Hilfe zu erhalten
  • Hat eine steilere Lernkurve als andere Produkte, die mit spezialisierter Unterstützung geliefert werden.

Abbildung 1. Schnüff

Im Bereich der Softwareentwicklung hat Snorts Berühmtheit Bewunderer angezogen. Eine Reihe von Programmen, die von verschiedenen Softwarefirmen entwickelt wurden, sind in der Lage, eine gründlichere Untersuchung der von Snort gesammelten Informationen durchzuführen. Unter ihnen sind Anaval, BASE, Squil und Snorby. Sie können die unintuitive Benutzeroberfläche von Snort durch die Verwendung solcher Partnerprogramme ausgleichen.

2. Suricata

Wahrscheinlich der beliebteste Ersatz für Snort ist Suricata. Die Tatsache, dass Suricata Daten auf der Anwendungsschicht sammelt, verschafft ihm einen erheblichen Vorteil gegenüber Snort. Durch diese Vorgehensweise wird Snorts Blindheit gegenüber Signaturen, die über viele TCP-Pakete verteilt sind, beseitigt. Suricata wechselt erst in den Analysemodus, wenn alle Daten in den Paketen zusammengefügt wurden.

Wichtige Merkmale von Suricata sind wie folgt:

  • Operationen auf der Anwendungsschicht
  • Nutzt Echtzeitdaten

Anwendungsdaten werden vom netzwerkbasierten Intrusion Detection System (NIDS) Suricata untersucht. Obwohl dies ein Kommandozeilen-System ist, müssen Sie es mit anderen Apps kombinieren, um die Suchergebnisse anzeigen zu können. Dennoch ist das Tool kostenlos zu nutzen.

Das System kann die Protokollaktivität auf niedrigeren Ebenen überwachen, einschließlich IP, TLS, ICMP, TCP und UDP, obwohl es auf der Anwendungsschicht arbeitet. Es analysiert den Netzwerk-Anwendungsverkehr in Echtzeit, wie z.B. FTP, HTTP und SMB. Der Monitor untersucht nicht nur die Paketstruktur, sondern kann sich auch auf HTTP-Anfragen und DNS-Abfragen konzentrieren sowie TLS-Zertifikate überprüfen. Mit Hilfe eines Datei-Extraktionstools können Sie fragwürdige Dateien durchgehen und von denen trennen, die Anzeichen einer Virusinfektion aufweisen.

Die für diesen NIDS-Leiter erstellten VRT-Regeln können mit Suricata verwendet werden, da sie mit Snort kompatibel sind. Suricata kann mit Drittanbieterprogrammen erweitert werden, die mit Snort interagieren, wie Anaval, BASE, Squil und Snorby. Daher kann es für Suricata-Nutzer sehr vorteilhaft sein, Zugang zur Snort-Community für Ratschläge und kostenlose Regeln zu haben. Sie können Regeln mit einem integrierten Skripting-Modul kombinieren, um ein Erkennungsprofil zu erhalten, das genauer ist als das, was Snort bieten kann. Sowohl Signatur- als auch Anomalieerkennungstechniken werden von Suricata verwendet.

Das intelligente Verarbeitungsdesign von Suricata nutzt mehrere Prozessoren für mehrfädige, gleichzeitige Operationen und ermöglicht so Hardware-Beschleunigung. Es kann sogar Ihre Grafikhardware bis zu einem gewissen Grad nutzen. Durch die Aufteilung der Arbeit wird die Last nicht auf einen einzelnen Host konzentriert. Dies ist hilfreich, weil eines der Probleme des NIDS darin besteht, dass es viel Rechenleistung erfordert.

Ähnlich wie andere Open-Source-Systeme auf dieser Liste, einschließlich OSSEC, zeichnet sich Suricata bei der Eindringungserkennung aus, hat jedoch Schwierigkeiten mit der Ergebnisvisualisierung. Daher muss es in Verbindung mit einem System wie Kibana verwendet werden. Du solltest Suricata nicht verwenden, wenn dir der Mut fehlt, ein System zusammenzustellen.

Die Vorteile von Suricata sind unten aufgeführt:

  • Sammelt Informationen auf Anwendungsebene und bietet damit eine klare Sichtbarkeit, die Werkzeuge wie Snort nicht bieten können.
  • Zerlegt und rekonstruiert Protokollpakete effektiv
  • In der Lage, mehrere Protokolle im Auge zu behalten und die Gültigkeit von TLS-, HTTP- und SSL-Zertifikaten zu überprüfen
  • Es entspricht anderen Instrumenten, die die VRT-Regelstruktur verwenden.

Die Nachteile von Suricata sind unten aufgeführt:

  • Es könnte einfacher sein, die integrierte Skripterstellung zu nutzen.
  • Es ist kostenlos; jedoch ist die Benutzerbasis kleiner als die von Programmen wie Zeek oder Snort.
  • Die Grafiken des Live-Dashboards könnten etwas verbessert werden.

Abbildung 2. Suricata

Suricata verfügt über ein sehr elegantes Dashboard mit integrierten visuellen Elementen, die die Analyse und Problemerkennung erheblich vereinfachen. Suricata ist kostenlos, trotz seines opulenten Erscheinungsbildes.

3. OSSEC

Das Akronym für Open Source HIDS Security ist OSSEC. Es ist das beste HIDS auf dem Markt und kann kostenlos verwendet werden. Die Anwendung konzentriert sich auf die Protokolldateien auf der Maschine, auf der sie installiert ist, da es sich um eine hostbasierte Intrusion-Detection-Lösung handelt. Es überwacht alle Prüfzumschriften Ihrer Protokolldateien, um mögliche Manipulationen zu erkennen. Es wird alle Änderungen an der Registrierung unter Windows überwachen. Es wird alle Versuche überwachen, auf das Root-Konto auf Unix-ähnlichen Systemen zuzugreifen. OSSEC ist ein Open-Source-Projekt, obwohl Trend Micro, ein bekannter Hersteller von Sicherheitssoftware, der wahre Eigentümer des Projekts ist.

Wichtige Merkmale von OSSEC sind wie folgt:

  • Aktenprüfer
  • Kostenlose Policen
  • Warnmechanismus

Ein kostenloses hostbasiertes Intrusion-Detection-System heißt OSSEC. Diese Anwendung analysiert nicht nur Protokolldateien; sie umfasst auch eine Methode zur Erkennung von Registry-Manipulationen. Um Protokollnachrichten zu sammeln und zu kompilieren und eine Benutzeroberfläche anzubieten, erfordert die einfachste Version dieses Programms die Integration von Drittanbieteranwendungen.

Das primäre Überwachungsprogramm sammelt Daten über eine einzige Schnittstelle und kann einen oder mehrere Hosts abdecken. Während ein Windows-Agent die Überwachung von Windows-PCs ermöglicht, ist die Hauptanwendung auf die Installation auf Unix-ähnlichen Systemen beschränkt, zu denen Linux, Mac OS und Unix gehören. Die Hauptsoftware hat eine OSSEC-Schnittstelle, aber sie muss separat installiert werden und wird nicht mehr gewartet. Häufige OSSEC-Nutzer haben festgestellt, dass Splunk, Kibana und Graylog nützliche Programme sind, die gut als Front-End für das Datenerfassungstool funktionieren.

Die Protokolldateien des FTP-, Mail- und Webservers sind im Umfang von OSSEC enthalten. Darüber hinaus überwacht es Verkehrsprotokolle, Firewall- und Antivirusprotokolle sowie Ereignisprotokolle des Betriebssystems. Die Richtlinien, die Sie auf OSSEC installieren, bestimmen, wie es sich verhält. Diese sind als Add-Ons für die große Benutzerbasis verfügbar, die sich mit diesem Produkt beschäftigt. Eine Alarmbedingung wird durch eine Richtlinie definiert. Diese Warnungen haben zwei mögliche Zustellmethoden: E-Mail-Benachrichtigungen oder Konsolenausgaben.

Für die Bedrohungserkennung wird OSSEC hoch geschätzt und ist unglaublich zuverlässig. Um eine effektive Protokollverwaltung und Anzeigen für die Statistiken und Warnungen zu erreichen, die OSSEC bereitstellt, müssen Sie etwas Aufwand in die Kombination des Tools mit anderen Paketen investieren; typischerweise wird aus diesen Gründen das kostenlose ELK-System verwendet. Sie wären besser beraten, eines der anderen Werkzeuge auf dieser Liste zu verwenden, wenn Sie kein Interesse daran haben, diese Anpassungsarbeiten durchzuführen.

Abbildung 3. OSSEC

Die Vorteile von OSSEC sind unten aufgeführt:

  • Open-Source und kostenlos
  • Verwendet Prüfziffern, um die Integrität von Dateien und Protokollen zu bestätigen
  • Unterstützt die Überwachung des Root-Kontos auf Linux- und Unix-Systemen
  • Eine robuste Gemeinschaft, die neue Vorlagen und Profil-Scans bereitstellt

Die Nachteile von OSSEC sind unten aufgeführt:

  • Benötigt Hilfe aus der Gemeinschaft; es gibt jedoch auch kostenpflichtige Unterstützung.
  • Die Berichts- und Visualisierungsoptionen sollten verbessert werden.

4. Cisco NGIPS

Cisco ist ein weltweit bekannter Experte für Netzwerktechnologie und Cybersicherheitslösungen. Cisco IPS-Systeme bieten zahlreiche Bereitstellungsoptionen; sie können hinter einer Firewall, vor Ort im Rechenzentrum oder am Netzwerkrand eingerichtet werden. Zusätzlich kann es für die passive Erkennung oder Inline-Inspektion eingerichtet werden. Die Lösung funktioniert gut mit verschiedenen Plattformen und Tools, zusätzlich zu anderen Cisco-Produkten.

Die Sichtbarkeit und Funktionalität dieses Produkts sind umfangreich und universell. Administratoren können mehr über Geräte, Dateipfade, Sandboxing, Schwachstellen, Host-Profile und Anwendungen erfahren. Administratoren können dann Richtlinien ändern, um die Sicherheit nach Bedarf zu stärken.

Alle zwei Stunden aktualisiert sich das System automatisch, um sicherzustellen, dass es über die neuesten Bedrohungen informiert ist. Es stellt sicher, dass Ihr Netzwerk vor allen bekannten Bedrohungen geschützt ist, indem es eine umfangreiche Bedrohungsbibliothek nutzt. Durch die Sicherstellung, dass Zeit und Aufwand nicht für Bedrohungen mit niedriger Priorität verschwendet werden, beschleunigt die Bedrohungspriorisierung die Reaktionszeiten auf Bedrohungen und senkt den Personalaufwand.

Abbildung 4. Cisco NGIPS

Von der Firepower 1000-Serie, die eine Bedrohungsinspektion von 650 Mbps bis 2,2 Gbps bietet, bis hin zu Firepower Threat Defense für ISR, die eine IPS-Bedrohungsinspektion von bis zu 800 Mbps ermöglicht, bietet Cisco ein Spektrum an IPS-Lösungen, um eine Vielzahl von Unternehmensgrößen abzudecken.

5. Trellix Netzwerksicherheit (NX)

Mit Sitz in Kalifornien, USA, ist FireEye, jetzt im Besitz von Trellix, ein angesehener Anbieter in der Cybersicherheitsbranche, insbesondere für seine leistungsstarke Intrusion Prevention-Lösung, Trellix Network Security (NX). Es bietet eine gründliche Inspektion und Verhinderung aller bösartigen Web-Traffic, bevor er Ihr Unternehmensnetzwerk erreicht, und verhindert, dass bösartiger Code die Server erreicht und Sicherheitsverletzungen verursacht. Die Lösung fügt sich gut in die meisten Systeme ein, einschließlich Microsoft, Windows und Apple. Es bietet eine Vielzahl von Bereitstellungsoptionen, einschließlich On-Premise, Cloud und Hybrid. Es wird oft im Pfad des Internetverkehrs platziert, um eine 24/7-Überwachung und -Prävention zu gewährleisten.

Die Lösung integriert leistungsstarke KI- und Machine-Learning-Technologien mit der Multi-Vector Virtual Execution (MVX)-Plattform von Trellix. MVX ist eine signaturlose Engine, die Anomalien identifiziert, die typischen signatur- oder richtlinienbasierten Abwehrsystemen entgehen. Es besteht aus vordefinierten und anpassbaren Richtlinien. Das Intrusion Prevention System (IPS) der Lösung funktioniert gut gegen typische Versuche zur Signaturerkennung. Alles in allem ist NXs Verteidigung gegen netzwerkbasierte Angriffe stark; es kann sowohl gängige als auch ausgeklügelte Angriffe erkennen und stoppen, einschließlich Ransomware, mehrstufiger, mehrflüssiger, Zero-Day- und anderer ausgeklügelter Angriffe.

Das System bietet einen einheitlichen und umfassenden Ansatz zur Netzwerksicherheit und kann mit E-Mail- und Inhaltsicherheitsmaßnahmen verknüpft werden. Die Echtzeit-Angriffsprävention ist aktiviert, mit schnellem Blockieren, das Geschwindigkeiten von 250 Mbps bis 10 Gbps ermöglicht.

Da die NX-Lösung von Trellix äußerst skalierbar ist, ist sie eine gute Option für mittelgroße bis große Unternehmen.

Abbildung 5. Trellix Netzwerksicherheit

6. Hillstone S-Serie

Wenn es um Intrusion-Schutzsysteme geht, ist Hillstone mit Sitz in Suzhou, China, eine großartige Option. Mit seinen anpassungsfähigen Bereitstellungsoptionen ist das Network Intrusion Prevention System (NIPS) S-Series eine überzeugende Wahl für jedes Unternehmensnetzwerk. Es kann je nach den Anforderungen Ihres Unternehmens im passiven Netzwerk-Tap-Modus oder im Inline-Modus implementiert werden. Die Einfachheit von Konfiguration, Bereitstellung und Verwaltung ist weithin bekannt.

Die NIPS S-Serie ist gut darin, Bedrohungen abzuwehren, sobald sie auftreten, und hat eine hohe Leistungsrate. Es erkennt und blockiert erfolgreich alle typischen Bedrohungen wie Spam, Botnets und Viren und arbeitet in Kombination mit der Next-Generation-Firewall von Hillstone. Das System verfügt über eine ausgeklügelte Bedrohungs-Engine und eine Cloud-Sandbox zusätzlich zur Firewall und NIPS. Seine Sicherheit ist allumfassend, da es das Netzwerk von Layer 2 bis Layer 7 überwachen kann. Es kann Tausende von Apps in einem Netzwerk überwachen. Es werden wenige falsch-positive Ergebnisse und eine gute Erkennungsgenauigkeit beobachtet.

Alles in allem bietet Hillstone eine starke, zuverlässige und stabile Lösung zur Eindringungserkennung. Für große Unternehmen, die strengen Compliance-Vorgaben folgen müssen, würden wir es empfehlen.

Abbildung 6. Hillstone S-Serie

7. McAfee Virtual Network Security Platform

Ein großer Name in der Cybersicherheit, McAfee, bietet ein Intrusion Detection System (IDS) namens McAfee Host Intrusion Prevention for Desktop an. Es umfasst eine Server-Version sowie einen Schutz gegen Zero-Day-Bedrohungen für Ihre PC-Endpunkte. Darüber hinaus koordinieren IT-Administratoren die gesamte Lösungslandschaft mithilfe der McAfee Host Intrusion Prevention Administration.

Die McAfee Virtual Network Security Platform ist am besten für Einzelpersonen und Organisationen jeder Größe geeignet, die nach skalierbaren Desktop-IDS suchen. Die folgenden sind die Hauptmerkmale, die McAfee bietet:

  • Eine zustandsbehaftete Firewall verwendet vordefinierte Einstellungen, um Eindringlinge zu vermeiden.
  • Blockierung von unerwünschtem eingehendem Datenverkehr
  • Standortbasierte Richtlinien, um Ihre Endpunkte vor Hackern zu schützen
  • Es gibt drei Verteidigungsebenen auf Anwendungs-, Endpunkt- und Netzwerkniveau.
  • Automatisierte Sicherheitsupdates basierend auf der umfangreichen Bedrohungssammlung von McAfee
  • Mehrere Firewalls und IP-Sicherheitsregeln sollten mithilfe von Richtlinien- und IP-Sicherheitskatalogen verwaltet werden.

Abbildung 7. McAfee Virtual Network Security Platform

Die branchenführenden Bedrohungsdatenbanken des Unternehmens bilden die Grundlage für diese Lösung, die sowohl bekannte Angriffe als auch Zero-Day-Bedrohungen abwehrt.

Die Kosten der McAfee Virtual Network Security Platform werden durch die Art der Lizenz und die Anzahl der Knoten bestimmt.

Es gibt mehrere Alternativen mit McAfee, die von der Erkennung von Serverangriffen und administrativer Unterstützung zur Festlegung von Regeln, Bereitstellung von Richtlinien und Analyse von Ereignissen bis hin zur unabhängigen Erkennung von Hostangriffen auf Desktop-PCs reichen. Jeder Benutzer mit technologischem Know-how kann von dieser Lösung profitieren.

8. Trend Micro TippingPoint

Tokio-Im Bereich der Datensicherheit und Cybersicherheit ist Trend Micro ein globaler Marktführer. TippingPoint NGIPS, eines seiner leistungsstarken, häufig cloudbasierten Angebote, ist eine leistungsstarke Intrusion-Prevention-Lösung. Das System bietet vollständige Sichtbarkeit und Berichterstattung über den gesamten Netzwerkverkehr durch automatisierte Inline-Inspektion, die strategisch im gesamten Netzwerk verteilt ist. Dieses System der nächsten Generation bietet eine Vielzahl von Bereitstellungsoptionen, wie Hybrid-, On-Premises- und Cloud-Lösungen.

TippingPoint kann alle Unregelmäßigkeiten im Netzwerkverkehr, eingehend, ausgehend und lateral, untersuchen, identifizieren und hervorheben, aber im Moment kann es nur IP-Adressen blockieren, nicht Domainnamen. Es bietet eine gründliche Inspektion, die alle Bereiche der Blindheit abdeckt, sowie eine robuste Analyse fortgeschrittener Bedrohungen. Es ist ein sehr anpassungsfähiges System, das eine Anpassung an das Sicherheitsrisiko eines Unternehmens ermöglicht. Es bietet skalierbare Leistung, die von 250 Mbps bis 120 Gbps reicht, ohne die Leistung des Netzwerks oder anderer Werkzeuge zu beeinträchtigen. Zusätzlich funktioniert das Produkt im Layer 2 des Netzwerks, wodurch es für Eindringlinge nicht erkennbar ist.

Abbildung 8. Trend Micro TippingPoint

Für jedes Unternehmen, das die Netzwerksicherheit mit einem System verbessern möchte, das nicht nur leistungsstark ist und umfangreiche Berichtsfunktionen bietet, sondern auch für Angreifer unsichtbar bleibt, ist Trend Micro's TippingPoint NGIPS eine hervorragende Wahl. Wir raten allen Unternehmen, von kleinen und mittelständischen Firmen bis hin zu großen Konzernen, diesen Dienst zu nutzen.

9. AlienVault USM (von AT&T Cybersecurity)

Mit Hauptsitz in Dallas, Texas, USA, ist AT&T Cybersecurity ein weltweit bekannter Marktführer im Bereich Cybersicherheitslösungen. Sein cloud-basiertes Sicherheitsmanagementsystem, AlienVault USM, nutzt starke Bedrohungsintelligenz aus seinen AT&T Alien Labs, um Bedrohungserkennung, Vorfallreaktion und Compliance-Management zu kombinieren. Um sicherzustellen, dass USM die neuesten Informationen zum Schutz vor neuen Bedrohungen verwendet, wird das Produkt regelmäßig aktualisiert. Aufgrund seiner cloudbasierten Architektur kann es auf jedem Server oder Netzwerk installiert werden und beeinträchtigt nicht die Netzwerkleistung. Der Ansatz ist äußerst skalierbar, und Bereitstellung, Einrichtung und Verwaltung sind für ihre Einfachheit bekannt.

Umfangreiche und anpassbare Konfigurationsoptionen ermöglichen es Ihnen, die Untersuchung und Reaktion auf Vorfälle entsprechend den Bedürfnissen Ihres Unternehmens zu automatisieren. Sobald konfiguriert, arbeitet USM im Hintergrund, ohne Lärm zu machen, und benachrichtigt Administratoren nur, wenn manuelle Eingaben unbedingt erforderlich sind. Ereignisse können vom System in Echtzeit verarbeitet werden, gefolgt von Korrelation, Untersuchung und, falls erforderlich, Alarmierung. Um nützliche Berichte zu erstellen, sammelt USM Daten aus verschiedenen Infrastrukturen, einschließlich Cloud-Diensten.

Abbildung 9. AlienVault USM

Große Unternehmen, die strengen Compliance-Vorschriften unterliegen, könnten AlienVault USM als eine praktikable Lösung wählen; es erfüllt die Anforderungen von PCI-DSS, Microsoft Azure, GDPR und anderen Vorschriften. Es ist eine wirklich teure Lösung. Das Essentials-Paket für kleine Teams, das bei 1075 $ pro Monat beginnt, ist das erste Angebot von AT&T für dieses Produkt. Die Enterprise-Stufe, die bei $2595 pro Monat beginnt, ist der nächste Schritt nach oben.

10. Blumira Automatisierte Erkennung und Reaktion

Blumira ist eine Bedrohungserkennungs- und Reaktionsplattform, die in der Cloud läuft und eine schnelle Einrichtung in wenigen Stunden bietet. Seit seiner Gründung im Jahr 2018 hat das kleine bis mittelgroße Unternehmen eine explosive Entwicklung durchgemacht und Partnerschaften mit Branchenriesen im Bereich Sicherheit, darunter Cisco, Palo Alto und CrowdStrike, geschlossen.

Blumira ist ideal für IT-Teams unterschiedlicher Größen. Zu den bemerkenswertesten Eigenschaften von Blumira gehören folgende:

  • Ein großes Maß an Automatisierung, Protokollverarbeitung, Alarmpriorisierung, Beweissammlung und Analyse
  • Sicherheitsexperten, die bei der Erstellung von Erkennungsregeln helfen
  • Integrationen für die Alarmzustellung mit MS Azure, G Suite, Office 365 und weiteren Schnittstellen
  • Verhinderung von Eindringlingen mit automatischen Reparaturfähigkeiten
  • Techniken für geführte Reaktionen zur Unterstützung der IT bei der Bewältigung von Eindringlingen
  • Umfassende Berichte entsprechen NIST 800-53, PCI DSS, FFIEC, HIPAA und anderen Standards.

Abbildung 10. Blumira

Blumira erleichtert den Einsatz von Honeypots, die ein virtuelles Netzwerkgerät erzeugen, das scheinbar wichtige Informationen enthält. Dies schadet nicht; es lockt nur böswillige Eindringlinge dazu, sich selbst zu entlarven.

Blumira ist ideal für kleine bis mittelgroße Installationen, da es vollständig in der Cloud gehostet wird. Mit seiner umfassenden Dokumentation, den Sicherheitsdiensten und den schnellen Implementierungszeiten können Sie IDS problemlos nutzen.

11. Vectra Cognito

Um bösartige Angriffe zu identifizieren und zu stoppen, verwendet die Cognito IPS-Plattform von Vectra künstliche Intelligenz (KI), um den Verkehr aus öffentlichen Cloud-Quellen, Software-as-a-Service (SaaS), Benutzeridentifikationsinformationen, Netzwerken und EDR zu überwachen.

Die Vorteile von Vectra Cognito sind wie folgt:

  • Liefert Ergebnisse im erkennbaren Zeek-Format.
  • Verbindet sich mit einer Reihe von Sicherheitsinstrumenten
  • Wird Daten aus mehreren Quellen extrahieren.
  • Bietet umfassende Unterstützung für Container (Kerberos) und die Cloud
  • Nutzt hauptsächlich Anomalieerkennung

Die Nachteile von Vectra Cognito sind unten aufgeführt:

  • Eine kostspieligere Wahl
  • Fehlt ein geografisch anpassbarer Standort für die Datenverarbeitung
  • Verwenden Sie ein proprietäres Format für das Protokollieren
  • Kann eine große Anzahl von falsch positiven Ergebnissen erzeugen, wenn es nicht richtig konfiguriert oder angepasst ist.

Abbildung 11. Vectra Cognito

12. BluVector Cortex

BluVector, früher bekannt als Cortex und derzeit im Besitz von Comcast, ist eine fortschrittliche Bedrohungserkennungstechnologie, die einen bestehenden Sicherheitsstapel mit künstlicher Intelligenz (KI) verbessert. Die KI soll umso leistungsfähiger werden, je länger sie in der Umgebung bleibt, und ist in der Lage, Zero-Day-Bedrohungen und fileless Malware zu erkennen.

Die Vorteile von BluVector Cortex sind wie folgt:

  • Vor Ort
  • Sammelt Protokolle
  • Baut auf den zuverlässigen Technologien von Zeek und Suricata auf
  • Kombiniert mit anderen Instrumenten
  • Offene Plattform: Daten sind leicht zugänglich
  • Sammelt Informationen aus mehreren Geheimdienstquellen und Sandboxes
  • Verbessert die Fähigkeiten mithilfe eines proprietären maschinellen Lernalgorithmus
  • Breite Abdeckung für MITRE ATT&CK, keine Notwendigkeit für Signaturtechnologie
  • Integrierte Abstimmhilfe zur mühelosen Reduzierung von Fehlalarmen

Die Nachteile von BluVector Cortex sind unten aufgeführt:

  • Benötigt lokale Ressourcen und ist nicht für die Arbeit mit der Cloud ausgelegt.
  • Der Vergleich mit anderen Systemen ist schwierig, da die Lizenzpreise nicht offengelegt werden.

Abbildung 12. BluVector Cortex

13. CrowdSec

Die CrowdSec Security Engine, ein vollständiger Sammler für die lokale Installation, ist ein Merkmal des hybriden HIDS-Dienstes CrowdSec. Protokolldateien werden von dieser Einheit von allen Endpunkten in Ihrem Netzwerk gesammelt. Für die Bedrohungserkennung werden diese in den CrowdSec-Dienst hochgeladen. Sie haben Zugang zur CrowdSec-Oberfläche, einer serverseitigen Schnittstelle, die Statistiken über Ihre Daten anzeigt.

Die Community-Version von CrowdSec ist ein leistungsstarkes Tool, das kostenlos verfügbar ist. Dies bedeutet, dass ein effektives Intrusion Prevention System (IPS) kostenlos erhältlich ist und eine breite Nutzerbasis von seiner Kompatibilität mit allen gängigen Betriebssystemen (mit Ausnahme von macOS) profitieren kann. Bevor Hacker jemals Ihre Website erreichen, schützt die globale Sperrliste Ihr Netzwerk vor ihren Angriffen.

An jedem Endpunkt in Ihrem Netzwerk muss die Sicherheitsengine installiert werden. Sie können die Sicherheits-Engine auf Hardware-Netzwerk-Firewalls installieren. Als Nächstes benennen Sie einen einzelnen Netzwerkserver als Weiterleiter. Wir bezeichnen dies als LAPI. Mit diesem Setup werden alle Security Engine-Instanzen Protokolle über das lokale Netzwerk an das LAPI übertragen, das sie dann über eine sichere Tunnelverbindung an den CrowdSec-Server hochlädt.

Die Bedrohungserkennung wird vom CrowdSec-System übernommen, das eine Warnung in der Konsole protokolliert, wenn es ein Problem findet. Zusätzlich überträgt es einen Befehl zurück an die LAPI, die ihn an die Firewall und die entsprechenden Security Engines weiterleitet. CrowdSec wird dadurch zu einem Intrusion Prevention System.

Eine IP-Adresse, die auf die schwarze Liste gesetzt werden muss, ist die Benachrichtigung, die das Bedrohungserkennungssystem der Website gibt. Wenn ein Gerät verdächtige Aktivitäten zeigt, initiiert die Sicherheits-Engine eine "Bouncer"-Operation, die eine weitere Verbindung mit der verbotenen Adresse verhindert. Die IP-Adresse wird gleichzeitig auf die Blacklist der Website-Firewall gesetzt. Der Hacker wird daran gehindert, auf die gesamte Website zuzugreifen.

Auf seinem Server bedient CrowdSec eine große Anzahl von Benutzern gleichzeitig. Die IP-Adresse der Quelle wird von dem Bedrohungsermittler, der mit einem bestimmten Benutzerkonto verbunden ist, bei Erkennung bösartiger Aktivitäten zur globalen Sperrliste hinzugefügt. Diese Informationen wurden sofort mit allen Benutzern geteilt. Die Konsole eines Kontos benachrichtigt die LAPI umgehend über eine neue zu blockierende Adresse, sobald sie dieses Signal erhält.

Die CrowdSec-Methode ist für jede Art von Unternehmen von Vorteil. Wertvoll an sich ist sein Bedrohungsintelligenz-Feed, der eine Sperrliste schädlicher Quellen an Ihre Firewall liefert. Da dieses Instrument ein Intrusion Detection System ist, ist es verständlich, dass es keine Insider-Bedrohungen anspricht.

Abbildung 13. CrowdSec

Die Vorteile von CrowdSec sind wie folgt:

  • Für die Mehrheit der Unternehmen reicht die kostenlose Version aus.
  • Einfach zu verwenden
  • Stärkt Firewalls gegen von Hackern verwendete IP-Adressen

Sie können dieses Tool nicht nutzen, wenn alle Ihre Endpunkte Mac OS X sind. Sie können zumindest von dem universellen Bedrohungsdatenstrom profitieren, wenn Sie eine Maschine besitzen, die Linux, Windows oder Unix ausführt. Sie können CrowdSec ganz einfach auf Ihrer OPNsense-Firewall installieren und konfigurieren.

Wie wählt man das richtige IDPS aus?

Es gibt eine Reihe wichtiger Überlegungen, die bei der Auswahl eines Intrusion Detection and Prevention Systems (IDPS) für Ihr Unternehmen zu beachten sind, die im Folgenden aufgeführt sind:

  • Flexibilität: Das System muss vor allem in der Lage sein, die Größe und Komplexität Ihres speziellen Netzwerks zu bewältigen. Dies impliziert, dass das IDPS stark genug sein muss, um das Volumen an Geräten, Benutzern und Verbindungen in Ihrem Unternehmen zu verwalten, zusammen mit allen speziellen Konfigurationen oder Netzwerkdesigns.
  • Skalierbarkeit: Das IDPS, das Sie auswählen, muss in der Lage sein, das Wachstum und die Veränderungen, die Ihr Unternehmen im Laufe der Zeit voraussichtlich erleben wird, zu bewältigen. Dies könnte die Installation weiterer Geräte, ein größeres Netzwerk oder mehr Datenverkehr bedeuten. Das gewählte System sollte all dies mühelos bewältigen können, ohne dabei auf irgendeine Funktionalität oder Effizienz zu verzichten.
  • Branchenerfahrung: Darüber hinaus muss das System in der Lage sein, die spezifischen Arten von Risiken zu identifizieren und zu bekämpfen, denen Ihr Unternehmen am wahrscheinlichsten begegnen wird. Dies bedeutet, sich der spezifischen Cybersicherheitsbedrohungen in Ihrem Sektor bewusst zu sein und sicherzustellen, dass das IDPS in der Lage ist, diese zu mindern.
  • Ansehen des Anbieters: Es ist auch wichtig, den Ruf des Anbieters, die Wirksamkeit seines Systems und sein Engagement für kontinuierliche Unterstützung zu berücksichtigen. Dies beinhaltet die Untersuchung der Erfolgsbilanz, der Systemleistung in realen Szenarien und der Kundenservice-Philosophie jedes Anbieters. Die Auswahl eines Anbieters, der nicht nur hochwertige Produkte erstellt, sondern auch kontinuierliche Updates zur Bekämpfung neuer Bedrohungen und starken Support bietet, ist unerlässlich.
  • Benutzerfreundlichkeit: Neben diesen technischen und leistungsbezogenen Aspekten müssen Sie auch berücksichtigen, wie einfach es zu bedienen ist und wie gut es sich in Ihr aktuelles Sicherheitssetup integriert. Ein IDPS verursacht mehr Schaden als Nutzen, indem es unnötige Komplexität oder Lücken in Ihren Verteidigungen hinzufügt, wenn es schwierig zu bedienen ist oder nicht gut mit Ihren aktuellen Sicherheitsverfahren funktioniert. Starke Integrationsfähigkeiten und eine benutzerfreundliche Oberfläche garantieren, dass das System Ihre aktuellen Sicherheitsverfahren stärken und verbessern wird, anstatt sie zu erschweren.
  • Kosten: Last but not least ist die Gesamtkostenbetrachtung ein wichtiger finanzieller Aspekt. Der Preis eines IDPS umfasst mehr als nur den ursprünglichen Kauf; er deckt die Implementierung, die laufende Wartung und alle erforderlichen Upgrades oder Updates ab. All dies sollte im gesamten Budgetierungsprozess berücksichtigt werden, um die langfristige finanzielle Tragfähigkeit des Systems für Ihr Unternehmen zu gewährleisten.
Letztes Update am von Zenarmor