Gleichzeitig haben sich die Zeitfenster vom Patch bis zum ersten Angriff dramatisch verkürzt: Verging beim Wurm Nimbda fast ein ganzes Jahr von der Ausgabe des Patches bis zum Angriff, erfolgte der Sasser-Angriff ganze 17 Tage, nachdem Microsoft einen Patch für die betroffene Windows-Systemdatei bereitgestellt hatte.
In Zukunft wird sich die Situation noch weiter verschärfen: Der Day-Zero-Angriff auf neue, unbekannte Sicherheitslücken ist bereits in Sichtweite.
Für die IT-Verantwortlichen in Unternehmen besteht dringend Handlungsbedarf. Firewalls, Antiviren-Software und reguläre Patch-Zyklen können die steigende Geschwindigkeit, mit der neue Bedrohungen aus dem Internet auftauchen, nicht mehr abdecken. Vielmehr erfordern die immer häufiger und schneller lancierten Angriffe gegen Schwachstellen in Betriebssystemen und Programmen integrierte Lösungsansätze. Die Systeme benötigen einen temporären Schutzschild, damit genügend Zeit bleibt, Patches auf die Systeme zu bringen.
Eine Lösung bieten Intrusion Prevention Systeme (IPS), die Gefahren blocken, bevor diese durch ein Unternehmensnetzwerk dringen.
Intrusion Prevention Systeme: Wirksamer Schutz gegen Angriffe
Nähert man sich dem Begriff Intrusion Prevention System von der rein wörtlichen Bedeutung, so handelt es sich um eine Lösung, die das Ziel hat, einen Angriff zu verhindern. IPS sitzen im LAN und untersuchen die Datenpakete, die die Firewall zuvor mit ihren beschränkten Analyseverfahren als legitimen Netzwerkverkehr eingestuft hat. Zu diesem Zweck kommen Hardware- oder Software-Agenten zum Einsatz, die den Netzwerk-Traffic überwachen und entscheiden, ob Datenpakete passieren dürfen. Dabei werden Angriffe nicht nur angezeigt, sondern auch geblockt.
Zwei IPS-Modelle
In der Praxis unterscheidet man zwei Arten von Intrusion Prevention Systemen: Netzwerk- und Host-IPS. Netzwerk-IPS sind in der Regel Appliances, die wie andere Komponenten innerhalb des Netzwerkes sitzen. Sie überwachen den gesamten Datenfluss zwischen einem bestimmten Segment, das sie schützen sollen, und dem übrigen Netzwerk.
Als harmlos eingestufte Datenpakete werden wie in einem Layer-2- oder Layer-3-System weitergeleitet. Sind die Datenpakete eindeutig als gefährlich identifiziert, verwirft das IPS das Paket.