Vor- und Nachteile eines modernen Intrusion Detection Systems

Ein Intrusion Detection System (kurz IDS) ist ein Angriffserkennungs-System, das anhand von Filtern, Signaturen oder heuristischen Methoden einen Angriff auf ein Computersystem möglichst früh erkennen und einen Alarm auslösen kann. Das IDS ist ein Baustein der gesamten Sicherheit, bringt allerdings Vor- und Nachteile mit sich und stellt keinen hundertprozentigen Schutz dar.

IDS Varianten

IDS gibt es in zwei Basisvarianten, das NIDS (Network Intrusion Detection System), das den Netzwerkverkehr auf Netzwerkebene überwacht, und das HIDS (Host Intrusion Detection System), das als Software direkt auf dem Host ausgeführt wird. Oftmals werden die beiden Varianten gleichzeitig als Hybrid IDS betrieben, um einen möglichst hohen Schutzgrad zu erreichen.

NIDS

Ein Netzwerk-basiertes Intrusion-Detection-System kann den gesamten Netzwerkverkehr überwachen und in ein bestehendes Netzwerk integriert werden, ohne den Netzwerkverkehr zu beeinträchtigen. NIDS sind für Angreifer nur schwer erkennbar, da diese lediglich einen Alarm auslösen. Die Schwierigkeit bei einem NIDS in modernen Netzwerken ist, die Masse des gesamten Netzwerkverkehrs, welcher überwacht werden muss. Ein NIDS ist in der Lage einen Scan, der über ein ganzes Netzwerk läuft zu erkennen, wozu ein HIDS nicht in der Lage ist, da es isoliert nur einen Host überwacht. Bei NIDS äussern sich die negativen Punkte darin, dass verschlüsselter Netzwerkverkehr nicht überwacht werden kann. Einige NIDS können durch Fragmentation der Netzwerkpakete, mit Hilfe von TTL (Time to Live, Lebensdauer eines Netzwerkpaketes) oder durch Session Splicing getäuscht werden. Eine weitere Angriffsmethode gegenüber NIDS ist der Denial of Service, bei dem der Server zugemüllt wird und der Angriff aufgrund der Überlastung durchgeht.

HIDS

Das Host Intrusion Detection System wird direkt als Software-Agent auf einem Host ausgeführt. Ein HIDS kann sämtliche Systemaktivitäten, Log Files sowie den Netzwerkverkehr überwachen. Während ein NIDS nur den Angriff erkennen kann, ist das HIDS auch in der Lage zu erkennen, ob der Angriff erfolgreich war. Ein Vorteil eines HIDS ist, dass verschleierte Angriffe eher erkannt werden können. Die Nachteile eines HIDS liegen beim Verwaltungsaufwand, dem beschränkten Bereich, der überwacht wird und bei den Einschränkungen, die vom Betriebssystem auferlegt werden, beim benutzten Speicherplatz sowie einer allfälligen Performance-Einschränkung. Sollte es einem Angreifer gelingen, die Kontrolle über einen Host zu erlangen, wird das HIDS deaktiviert und es werden keine Alarme mehr ausgelöst.

Erkennungsmethoden

Bei modernen IDS werden unterschiedliche Varianten von Erkennungsmethoden eingesetzt. Die Profil- oder Anomalie-basierende und die Signatur-basierende Alarmierung. Die profilbasierende Erkennungsmethode versucht, anhand eines definierten Normalzustandes Abweichungen zu erkennen, während die signaturbasierende Alarmierung ähnlich wie ein Antivirus-System Angriffsmethoden anhand einer Signaturdatei erkennt und einen Alarm auslöst. Beide Varianten weisen ihre Stärken und Schwächen auf.

Signaturbasierende Erkennung

Signaturdateien werden anhand bekannter Angriffsmethoden und Netzwerkaktivitäten erstellt. Dies bringt die Nachteile mit sich, dass neue oder unbekannte Angriffe sowie Varianten von bereits bekannten Angriffen nicht erkannt werden. Daher ist die Erkennung nur so gut wie die Signaturdateien, die gepflegt und regelmässig aktualisiert werden müssen. Diese Signaturen werden vom Hersteller oder im Open-Source-Fall teilweise durch eine Community zur Verfügung gestellt. Genau diese Regeln nutzt auch der Angreifer, um zu testen, ob sein Eindringen durch eine der Regeln des IDS erkannt wird.

Ein grosser Pluspunkt für die signaturbasierte Erkennung ist, dass diese für die Security Admins leichter zu verstehen, implementieren und kontrollieren ist und weniger falsche Alarme (false positive) ausgelöst werden als bei einer profilbasierenden Erkennungsmethode. Zudem können einzelne Regeln aktiviert, getestet und bewertet werden.

Profil- oder Anomalie-basierende Erkennung

Die Profil- oder Anomalie-basierende Erkennung sucht nach Netzwerkverkehr/Aktivitäten, die eine Abweichung zum als normal definierten Netzwerkverkehr/Aktivitäten («Normal») aufzeigen. Dieses «Normal» muss durch einen Security Admin definiert werden. Meist werden diese Normalzustände für einzelne Gruppen, die aus Usern oder Computern bestehen definiert. So wird zum Beispiel für Webserver, Datenbankserver und Mailserver je ein spezifisches Profil ausgearbeitet. Diese Profile werden anhand diverser Techniken erstellt, einige IDS können das Profil durch Lernen selbst erstellen, andere werden durch statistische Stichproben regelbasiert oder unter Verwendung neuronaler Netze aufgebaut.

Bei den statistischen Stichproben wird der Normalzustand definiert, indem die Aktivitäten sowie der Netzwerkverkehr für einen bestimmten Zeitraum ausgewertet werden. Die Normalität wird anhand des Median der ausgewerteten Daten erstellt. Alarme werden aufgrund von Abweichungen zur Normalität ausgelöst.

Beim Erstellen eines regelbasierten Profils werden die Computer-/Netzwerkaktivitäten über einen definierten Zeitraum erfasst. Jeder Datenverkehr, der nicht diesen Regeln entspricht löst einen Alarm aus.

Profile anhand neuronaler Netze werden trainiert, indem man dem IDS-System grosse Datenmengen und Regeln für Datenbeziehungen zur Verfügung stellt. Mithilfe von künstlicher Intelligenz werden Matrizen aufgebaut nach dem Vorbild von biologischen Neuronen wie sie im menschlichen Gehirn vorkommen. Dieses neuronale Netzwerk kann als Definition der «Normalität» eingesetzt werden. Jede Aktivität, die nicht in der Matrix abgebildet ist, löst einen Alarm aus. Diese Variante zeigt viele Vorteile, es gibt aber auch in diesem Fall einige Punkte, die nicht positiv gewertet werden können. Der initiale Aufwand für die Erstellung des Profils ist sehr hoch, während der Erstellung des Profils besteht kein Schutz, die Definition des Normalzustandes kann sich als sehr schwer herausstellen, falsche Alarme (false positives) sind häufige oder Alarme werden nicht ausgelöst (false negatives), wenn dies erwartet wird. Zudem ist es sehr schwierig, die Definitionen zu verstehen und falsche Alarme entsprechend zu korrigieren.

Wichtig ist, dass sich beim Erstellen der Profile nicht bereits ein Eindringling/eine Schadsoftware im Netzwerk befinden, die dann als «normal» angesehen werden.

Fazit

Um einen möglichst hohen Schutzgrad zu erreichen, empfiehlt es sich, eine hybride IDS Umgebung aufzubauen, die aus einem zentralen Management-/Log-System, den Host-basierten Sensoren (HIDS) und den Netzwerk-basierenden Sensoren (NIDS) besteht. Die seriöse Umsetzung, der Betrieb und die Überwachung (24x7x365) erfordert einen sehr hohen Aufwand. Je nach Wert der «Kronjuwelen» eines Unternehmens, kann sich dieser aber sehr schnell wieder lohnen.

---

Autor: Benjamin Zulliger

Blogpost wurde erstellt
im Rahmen vom CAS Cybersecurity & Information Risk Management.

Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Cristian Manganiello (PwC)
Andreas Wisler (goSecurity GmbH)

Beim nächsten CAS live dabei sein?
Hier der Link zur Ausschreibung:
CAS Cybersecurity & Information Risk Management
Starttermin ist jeweils im Frühjahr.

Persönliche Beratung für den Lehrgang gewünscht?
Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.