Netzwerk-Intrusion-Prevention-Systeme
Wachsame Spürnasen
Fortsetzung des Artikels von Teil 2
Mehr Situationsverständnis
Die Hersteller haben inzwischen damit begonnen, weitere Informationsquellen anzuzapfen, um noch genauere Resultate zu liefern. So pflegen Sourcefire und NFR Security (Check Point) unter anderem die Messergebnisse von Vulnerability-Assessment-Scannern in ihre Management-Plattformen ein. Sourcefire organisiert außerdem eine eigene Inventurdatenbank, in der der Hersteller verzeichnet, welche Betriebssysteme und Anwendungen im Netz installiert sind. All das Wissen um den aktuellen Zustand im Netz fließt in das Event-Management ein und soll die Zahl der Ereignismeldungen drastisch senken.
»Das große Schlagwort heißt situationsbezogenes IPS«, erklärt Skornia. Die Idee dahinter: Warum sollte ein N-IPS bei Unix-Attacken Alarm schlagen, wenn im Netz gar kein Unix aufgesetzt ist? Auch Cisco und Enterasys sind von einer reinen Stand-alone-Positionierung ihres N-IPS abgerückt, indem sie es als wichtiges Element in einem übergeordneten Sicherheitskonzept platzieren. In der »C NAC«-Architektur (Cisco) und dem »Secure Networks« (Enterasys) ist das N-IPS in eine zentrale Monitoring- Software eingebunden. Diese verknüpft dessen Events mit Messdaten von Switches, aber auch mit denen von Firewalls und anderen Security-Produkten. Das Ziel ist es, möglichst zeitnah auf ungewöhnlichen Verkehr zu reagieren, sei es, indem am Ende der Workgroup- Switch einen vom N-IPS als infiziert ausgemachten Rechner isoliert. Auch Hersteller wie Tippingpoint, Deep Nines, Stillsecure oder McAfee folgen dieser NACIdee, in der Stand-alone-IPS durchaus Marktchancen haben.
- Wachsame Spürnasen
- Bessere Ergebnisse erzielen
- Mehr Situationsverständnis
- Versteckt, umsonst und ungenutzt
