"Intrusion Detection ist tot", erklärte John Pescatore, Vice-President Internet Security auf der diesjährigen RSA-Conference in San Francisco. In das gleiche Horn stößt Mike Rasmussen, Analyst bei Forrester Research: "IDS hat auf breiter Front versagt." Der Spezialist hat "viele verschiedene Systeme eingesetzt, und ungefähr 75 Prozent davon sind unbrauchbar."
Gartner-Analyst Allan Anthony erläutert die Gründe für das harte Urteil seiner Kollegen: "IDS kämpfen noch immer mit Performance-Problemen. Sie erkennen nicht alle Angriffe und neigen zu Fehlalarmen. Außerdem sind sie bei hohen Transferraten im Netz nicht in der Lage, tatsächlich alle Datenpakete zu untersuchen."
Alarmsystem ohne Schutz
Problematischer ist aus Sicht von Gartner jedoch die generelle Funktionsweise von IDS: "Im Grunde handelt es sich dabei um ein Alarmsystem, das keinerlei Schutz bietet, sondern Unternehmen lediglich potenziell schädliche Aktivitäten anzeigt", erklärt Anthony. Sowohl Lösungen für den Einsatz im Netz- (Network-based Intrusion Detection = NIDS) als auch im Server-Bereich (Host-based Intrusion Detection = HIDS) reagieren nur mit Alarmen, tun aber nichts gegen unerlaubte Eindringlunge. Gartner rät daher Unternehmen, nicht mehr in solche Lösungen zu investieren, sondern eher zu Intrusion-Prevention-Tools zu greifen.
Im Gegensatz zu IDS sind IPS in der Lage, auch Gegenmaßnahmen einzuleiten, wenn schädliche Aktivitäten oder Übertragungen erkannt werden. IPS unterscheiden sich jedoch nicht grundsätzlich von IDS, sondern stellen vielmehr eine Erweiterung der Funktionalität dar. Daher lösen sie auch deren Probleme nicht. Johan Beckers, Director of Technology Solutions bei Internet Security Systems (ISS), betont, dass eine strikte Trennung zwischen IDS und IPS außerdem nicht sinnvoll ist: "Ohne eine leistungsfähige Technik zur Einbruchserkennung ist auch keine Abwehr möglich."
Versprechen nicht immer gehalten
Auf Basis der Ergebnisse der IDS-Engine können IPS eingreifen und schädlichen Code blocken, bevor dieser tiefer ins Netz eindringen kann, erklärt ISS-Mann Beckers. Letztlich sei dies eine "logische Weiterentwicklung der Intrusion Detection".
Eine Einschätzung, die Detlef Weidenhammer, Geschäftsführer von GAI-Netconsult in Berlin, teilt. Der Experte hält IDS und IPS für eine durchaus sinnvolle Ergänzung bestehender Sicherheitslösungen, die "jedoch noch mit Fehlern behaftet" sind. Weidenhammer kritisiert unter anderem, dass "gerade bei neueren IPS Anspruch und Wirklichkeit noch ein Stück voneinander entfernt sind". Die Versprechen der Hersteller in Bezug darauf, welche verdächtigen Aktionen ihre Produkte wie genau erkennen können, würden nicht immer erfüllt.
Toralv Dirro, Sicherheitsspezialist bei Network Associates aus Hamburg, räumt ein, dass "sich niemals alle Attacken hundertprozentig erkennen lassen". Er vertritt jedoch die Ansicht, dass Lösungen zur Einbruchserkennung seit ein, zwei Jahren den Kinderschuhen entwachsen sind: "Inzwischen gibt es Produkte, die nicht mehr sofort bei jeder kleinen Ungewöhnlichkeit im Netz einen Alarm auslösen. Daher muss ich nicht extra jemanden einstellen, der sich nur um das IDS kümmert." Auch nicht speziell geschulte Administratoren seien in der Lage, ein solches Produkt zu betreuen.
Dem widerspricht Experte Weidenhammer entschieden. Beim Einsatz eines netzbasierenden Einbruchserkennungssystems in der Standardkonfiguration "ertrinkt man schier in gemeldeten Ereignissen", fasst er seine Erfahrungen zusammen. Die Produkte so anzupassen, dass sie nur das melden, was weiterverarbeitet werden muss, sei kein triviales Unterfangen. Er warnt Unternehmen deshalb davor, den personellen Aufwand beim Einsatz einer IDS-Lösung zu unterschätzen. Besonders während der Einführungs- und Anpassungsphase sei der Betreuungsaufwand "ziemlich groß."
Viel Know-how gefragt
Das bestätigt auch Klaus Hornung, Enterprise Technical Account Manager bei Symantec. "Der Erfolg von IDS hängt auch vom Know-how im Unternehmen ab", gibt er zu bedenken. Die Betreuer vor Ort müssten wissen, wie sie jeweils reagieren müssen. Alternativ bestehe jedoch auch die Möglichkeit, einen externen Dienstleister mit der Aufgabe des IDS-Monitoring zu beauftragen. Symantec selbst bietet dies an, aber auch beispielsweise der Provider Equant im Rahmen seines "Managed Intrusion Detection Service".
Inzwischen hat sich laut Gartner die Einstellung der Unternehmen zu IDS gebessert. Allerdings würden die Lösungen immer noch nicht als unverzichtbar angesehen. Auch wenn die Analysten von Datamonitor dem Markt für IDS und IPS bis 2006 jährliche Wachstumsraten von 20 Prozent prophezeien, lässt der Durchbruch derartiger Lösungen derzeit noch auf sich warten. Immerhin glaubt Weidenhammer, dass "allmählich Bewegung in das Thema kommt", was unter anderem daran liege, dass die Hersteller unter dem Druck von Open-Source-Alternativen wie "Snort" ihre Preise gesenkt haben.
Gartner-Mann Anthony berichtet, dass sehr viele Unternehmen dennoch keine derartigen Produkte einsetzen. "Von denen, die eins betreiben, sind viele nicht sehr glücklich oder haben zumindest den Eindruck, die gebotene Leistung entspricht nicht dem dafür bezahlten Preis." Ähnlich sieht das ein Anwender, der anonym bleiben möchte: "Letztlich bringt IDS kaum einen Mehrwert", lautet sein Resümee.
Sein Unternehmen hatte sich zur Anschaffung einer netzwerkbasierenden IDS-Lösung entschlossen, um damit Angriffe abzufangen, die von der Firewall oder Antivirenlösungen nicht entdeckt werden. Die Bedienung der Software erwies sich jedoch als "nicht zeitgemäß", auch die Auswertung der Ergebnisse beschreibt der Experte als "kompliziert".
Wann kommt der Durchbruch?
Außerdem ärgert sich der Sicherheitsspezialist, dass "die Hersteller das Problem der Fehlalarme immer herunterspielen". Letztlich müsse man anhand der Alarme selbst herausfinden, "ob es sich um einen tatsächlichen Angriff handelt oder nicht". Es sei überdies durchaus keine Seltenheit, dass Fehler in den Angriffssignaturen falsche Alarme zur Folge hätten. Dann sei man gezwungen, spezielle Filter zu definieren, was wiederum einen großen Aufwand bedeute.
Die Hersteller weisen jede Schuld von sich. Schenkt man ihnen Glauben, sind ihre Systeme inzwischen tatsächlich in der Lage, die meisten Fehler zuverlässig zu erkennen. Untersuchungen belegen jedoch, dass die Leistung von Einbruchserkennungssystemen sehr unterschiedlich ist. Erst kürzlich nahmen die Experten der auf Netz- und Sicherheitstests spezialisierten NSS Group beispielsweise mehrere IDS-Lösungen in einem Umfeld mit 100 Mbit/s Übertragungsgeschwindigkeit unter die Lupe. Es ging dabei unter anderem um die Fähigkeit, 82 verschiedene Netzattacken zu erkennen. Ohne spezielle Anpassungen gelang dies zum Beispiel den neuen "Proventia"-Appliances von ISS in 88 Prozent (72 Treffer) aller Fälle. Ciscos "IDS 4235" erreichte 95 Prozent (78 erkannte Attacken), und Snort kam auf 77 Prozent (63 Treffer). Nach einem Update konnte die ISS-Lösung auf 100 Prozent zulegen und zog damit am Konkurrenten Cisco vorbei. Der ausführliche und umfassendere Testbericht steht unter
www.nss.co.uk zum kostenpflichtigen Download bereit. Gartner-Analyst Anthony geht davon aus, dass zukünftige IPS-Techniken bestimmte Attacken mit einer sehr großen Wahrscheinlichkeit erkennen und blocken werden. "Alles können sie jedoch nicht entdecken", gibt er zu bedenken. Die Zahl der Einbruchsversuche, die mit hoher Wahrscheinlichkeit erkannt werden, nehme jedoch zu und werde sich positiv auf die Sicherheit von Unternehmensnetzen auswirken.
|
Spurensuche Heute verfügbare IDS nutzen verschiedene Verfahren, um mögliche Angriffe zu erkennen. NIDS beispielsweise überprüfen zum einen sämtliche in einem bestimmten Netzsegment übertragenen Datenpakete - ähnlich wie Virenscanner - auf bestimmte Muster, die auf eine Attacke hinweisen. Stellen sie eine Übereinstimmung mit einer vordefinierten und vom jeweiligen Hersteller bereitgestellten Signatur fest, lösen sie eine Alarmmeldung aus. Eine wichtige Rolle spielen außerdem Untersuchungen auf Protokollanomalien. Dabei wird überprüft, ob alle Übertragungen auch den offiziellen Spezifikationen, etwa den Requests for Comment (RFC) der Internet Engineering Task Force (IETF), entsprechen. Damit tragen die Tools der Entwicklung Rechnung, dass viele Angriffe wie Buffer Overflows Schwachstellen ausnutzen, die durch die Übertragung von nicht standardgemäßen Datenpaketen ausgelöst werden. Eine weitere Methode betrifft Verhaltensanomalien. Dabei alarmiert das System bei nicht der Norm entsprechenden Aktionen, etwa extrem kurz hintereinander folgenden, gleichartigen Übertragungen. Host-basierende Lösungen konzentrieren sich im Gegensatz dazu auf einen bestimmten zu schützenden Server oder Arbeitsplatzrechner. Die Programme werten die von den Systemen angelegten Log-Dateien aus und überwachen wichtige System-Dateien und Registrierschlüssel auf eventuelle, nicht authorisierte Veränderungen. |
Berater Weidenhammer rät seinen Kunden derzeit, "den Einstieg in das Thema IDS/IPS zu focieren." Das sei notwendig, um sich mit der Technik und dem dafür erforderlichen Aufwand vertraut zu machen. Außerdem stellen die Lösungen für ihn eine zusätzliche Sicherung dar. Er empfiehlt, zunächst ein NIDS innerhalb der demilitarisierten Zone (DMZ) des Netzes zu platzieren. Als nächstes könnte der Einsatz eines IDS im internen Netz erfolgen, um zu sehen, "was da so alles passiert". Schließlich sollte man darangehen, vorhandene Web-Anwendungen mit Hilfe eines Host-basierenden Systems abzusichern.
Es ist davon auszugehen, dass an Einbruchserkennungslösungen schon bald kein Weg mehr vorbei führen wird. Immer mehr Hersteller gehen derzeit dazu über, ihre Tools mit anderen Sicherheitsprodukten zu integrieren und gemeinsam anzubieten. Auch die Analysten von Gartner erwarten, dass IDS-, IPS- und Firewall-Funktionen innerhalb der nächsten Jahre zu einer Peripherielösung, vielleicht in Form einer Appliance verschmelzen werden.