Beim Betreiben eines oder mehrerer Server ist es ratsam, die eigenen Dienste gegen Angriffe abzusichern und zu überwachen, um die Schutzziele der Informationssicherheit (Vertraulichkeit, Verfügbarkeit und Integrität) zu wahren. Neben den manuell wiederkehrenden Maßnahmen, wie einem aktiven Patchmanagement oder regelmäßigen Sicherheitsaudits, kann ein Intrusion Detection System (IDS) zur Erkennung und ein Intrusion Prevention System (IPS) zur Unterbindung von Angriffen auf interne IT-Systeme eingesetzt werden.

Welche Intrusion Detection Systems existieren?

Network-based Intrusion Detection Systems (NIDS) haben sich lange Zeit als Mittel der Wahl zur Analyse des Netzwerkverkehrs bewährt. Hierbei wird der Netzwerkverkehr an einer zentralen Stelle mittels einer Signaturerkennung ausgewertet. Ein maßgeblicher Vorteil hiervon ist die Unabhängigkeit zu der eingesetzten Soft- und Hardware der Clients und Server. Bei NIDS handelt es sich vor allem um hardwarebasierte Komponenten, die z. B. hinter einer Firewall angeschlossen werden, um den Datenverkehr auszuwerten.

Die zunehmende Verbreitung von Verschlüsselung erschwert jedoch den Einsatz dieser Art der Intrusion Detection oder reduziert zumindest die Anwendungsgebiete. Zusätzlich kann die Bandbreite der zu überwachenden Einheit die Bandbreite des NIDS übersteigen, wodurch Pakete verworfen oder der Datenverkehr gedrosselt werden müssen.

Aufgrund dieser Einschränkungen und der vorrangig zentralen Architektur von NIDS, beschäftigt sich die aktuelle Forschung vorrangig mit Host-based Intrusion Detection Systems (HIDS). Die Analyse findet nicht mehr in den Netzwerkkomponenten, sondern durch die Auswertung von Systemcalls oder Logs der einzelnen Dienste statt. Hierdurch sind die gesammelten Informationen deutlich vielseitiger als bei NIDS. Außerdem sind HIDS durch den dezentralen Aufbau skalierbarer als NIDS. Um die Auswertung dieser hohen Datenmenge zu bewältigen, kommt hier vermehrt Machine Learning zur Anomalieerkennung zum Einsatz.

Funktionsweise von Host-based Intrusion Detection Systems

Das HIDS benötigt Zugriff auf alle zu analysierenden Logs, um diese zu auswerten zu können.

HIDS unterstützen die Administration von Diensten, indem die bei der Analyse angefallenen Daten in regelmäßigen Abständen zu Berichten zusammengefasst und visualisiert werden. Die ausgewerteten Logdaten werden auf Anomalien durchsucht und für die spätere Durchsicht protokolliert. Das erleichtert die Suche und verhindert, dass im Falle einer Kompromittierung die Logdaten der einzelnen Dienste mühsam durchsucht werden müssen. Die angefallenen Daten unterstützen nicht nur bei der Absicherung der Dienste gegen ungewollte Zugriffe, sondern auch während der Fehlersuche bei Ausfällen einzelner Systemkomponenten oder Dienste.

All das kann nur funktionieren, wenn das HIDS korrekt konfiguriert wurde. Hierzu zählt auch ein regelmäßiges Prüfen der Erkennungseinstellungen im wandelnden Unternehmensumfeld.

Für einen besseren Schutz empfiehlt es sich nicht nur auf eine Technologie zu verlassen, sondern eine Symbiose aus HIDS und NIDS zu nutzen, da keines der beiden Systeme selbstständig einen vollumfänglichen Schutz bieten kann. NIDS können bei kurzfristigen Anomalien im Netzwerk sofort Alarm schlagen, während HIDS komplexere und langfristige Angriffsvektoren beleuchten können.

IDS lassen sich über die Funktionsweise in zwei Kategorien einteilen: Anomalieerkennung und Signaturerkennung.

Die Anomalieerkennung funktioniert mit der Analyse des Datenverkehrs, der Systemcalls oder Logs über die Erkennung von Abweichungen zu historischen oder definierten Normalzuständen.

Die Signaturerkennung hingegen verlässt sich auf vorher definierte Eigenschaften, welche für spezielle Angriffsszenarien sprechen. Ein Beispiel hierfür ist der Leipzig Intrusion Detection - Data Set (LID-DS): https://github.com/LID-DS/LID-DS.

Der LID-DS ist ein Datensatz, welcher bekannte Angriffsmuster beinhaltet. Außerdem verfügt er über ein Framework zum Hinzufügen weiterer Angriffsmuster. Hierbei wird zwischen "Simplen"-Anfragen, die einen direkten Angriffsschritt darstellen, und "Multi"-Anfragen, die ein Teil einer längeren Kette von Anfragen für einen Angriff sind, unterschieden.

Neben diesem Forschungsprojekt existieren eine Reihe HIDS-Tools, die einen großen Werkzeugkasten mitbringen und aktiv weiterentwickelt werden. Die Marktsituation ist sehr divers und bietet Anwendungen für alle Organisationsgrößen an.

Unterschied zwischen IDS und SIEM

Sicherheitsaffine werden bereits bemerkt haben, dass die Funktionsweise von IDS einige Überschneidungen zu SIEM aufweist.

SIEM steht für Security Information and Event Monitoring. Diese Systeme sind als ganzheitlicher Ansatz konzipiert, die eigene Hard- und Softwarelandschaft auf ungewünschte Zustände zu überwachen.

Ein SIEM aggregiert wie ein HIDS seine Informationen aus verschiedenen Quellen zu einer Gesamtübersicht. Der Unterschied liegt jedoch in der Diversität der akzeptierten Eingangsdaten. Datenquellen können unter anderem Server, Hardwarekomponenten in der Netzwerktopologie und sowohl NIDS als auch HIDS sein. Somit verbindet ein SIEM die Funktionsweisen von NIDS und HIDS und dient als zusammenfassende Instanz dieser. SIEM sind in ihrer Ausrichtung somit eine skalierbare Option, um verschiedene bestehende Datenquellen zu vereinen und mit systemindividuellen Agenten zu erweitern.

Das macht SIEM zu einer wichtigen Schicht im Überwachungsprozess der eigenen Systeme zur Zusammenfassung wichtiger Echtzeitinformationen und zeitnahen Reaktion auf Anomalien.

Zusammenfassung

Host-based Intrusion Detection ist eine sinnvolle Ergänzung zu netzwerkbasierenden Schutz- und Überwachungsmechanismen. Damit HIDS funktionieren, benötigen sie Zugriff auf die Ressourcen der Dienste. Dadurch sind das Einrichten sowie die Pflege eines HIDS mit einem gewissen Aufwand verbunden. Im Gegenzug erhält man automatisiert Berichte zum Zustand der betriebenen Dienste und kann Gefahren erkennen, ohne sich mühsam durch Logs wühlen zu müssen. In einer wachsenden Unternehmensstruktur kann ein HIDS dabei unterstützen, die betreuten Systeme im Blick zu behalten. Bei steigenden Anforderungen kann es zusätzlich um ein SIEM ergänzt werden.