Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Die Sicherheits-Evolution

Trends bei Intrusion Detection / Intrusion Prevention

Die Sicherheits-Evolution

2. November 2007, 17:51 Uhr |
Fortsetzung des Artikels von Teil 3

HTTP-Response-Scanning

Beim HTTP-Response-Scanning wird nicht nur nach Angriffen in einer Anfrage gesucht, sondern auch in den Daten, die ein Webserver als Antwort zurück sendet. Diese Daten sind dann zum Beispiel Bilder oder andere Dateien, mit denen eine Sicherheitslücke in der Software auf dem Client, der die Anfrage an einen Webserver gestellt hat, ausgenutzt werden soll.

Nötig wurde so eine Erkennung, als vor wenigen Jahren Angriffe auf Systeme über Webserver, sogenannte Drive-by- oder auch Surf-by-Angriffe, populär wurden.

Seit den Tagen, als eine längere Zeit nicht mit einem Patch zu schließende Sicherheitslücke bei der Verarbeitung von JPEG Dateien massiv ausgenutzt wurde, um Systeme mit Trojanern zu infizieren, ist dies heute eine der wichtigsten Wege geworden, auf denen Systeme infiziert werden. Als Konsequenz versuchen auch Intrusion-Prevention-Systeme hier Schutz zu bieten.

Da es sich bei diesen Angriffen aber häufig um präparierte Dateien oder Scripte handelt, ist eine typische Content-Security-Lösung am Gateway mit eingebundenem Virenscanner besser geeignet, solche Angriffe zu erkennen und zu blocken. Ein IPS kommt nur auf einen Bruchteil der Erkennungsrate, die so eine Lösung beim Herunterladen von maliziösem Content bieten kann.

Zusammenspiel mit Vulnerability-Management

Eine der neuesten Entwicklung im Bereich IDS/IPS ist die Integration mit einem Vulnerability-Management-System (VM). Ein IDS oder IPS für sich alleine sieht nur den Angriff im Netzwerk, von wo er kommt und zu welcher IP-Adresse er gesendet wurde.

Über das hinter der IP-Adresse stehende System selbst weiß es nichts. Eine Evaluierung, ob ein Angriff überhaupt eine Gefährdung für das Zielsystem dargestellt hätte, ließ sich bisher nur mit einem übergeordneten Sicherheits-Management-System vornehmen.

Durch die direkte Integration mit einem VM-System lassen sich die aktuellen Kenntnisse über ein System und die vorhanden Sicherheitslücken in das Management des IDS/IPS importieren. Im Rahmen der Integration lässt sich auch die Überprüfung eines Systems durch einen Vulnerability-Scanner initiieren, um einen aktuellen Status über vorhandene Sicherheitslücken zu erhalten.

Danach kann das IPS beim Erkennen eines Angriffs im Report gleich eine Aussage zur Relevanz dieses Angriffs treffen. Gerade in größeren Netzwerken mit entsprechend vielen anfallenden Meldungen ein sehr hilfreiches Feature um die Meldungen priorisieren zu können.

  1. Die Sicherheits-Evolution
  2. <p
  3. DDoS-Angriffe
  4. <p
  5. Die Sicherheits-Evolution (Fortsetzung)
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
sysob IT-Distribution GmbH & Co. KG

sysob IT-Distribution GmbH & Co. KG
dtm Datentechnik Moll GmbH

dtm Datentechnik Moll GmbH
Redgate Software

Redgate Software
Dahua Technology GmbH

Dahua Technology GmbH
AvePoint Deutschland GmbH

AvePoint Deutschland GmbH
WEKA MEDIA PUBLISHING GmbH

WEKA MEDIA PUBLISHING GmbH