Auch eine feine Justierung ist notwendig: Die Filter eines IPS sollten sich genau definieren lassen. Zudem ist es sinnvoll, wenn sich das System sowohl im Intrusion Detection- als auch im Intrusion Prevention-Modus betreiben lässt, so dass IT-Verantwortliche zwischen reiner Überwachung und aktivem Blocken wählen können.
Moderne Intrusion Prevention Systeme verfügen darüber hinaus über einen Simualationsmodus, der anzeigt, was das System geblockt hätte. Dieser Modus ist hilfreich, wenn es darum geht, das IPS an den tatsächlichen Datenverkehr anzupassen.
Ein zentrales Management aller eingesetzten IPS-Appliances ist ebenfalls wichtig. Damit einher geht die Korrelation der umfangreichen Analyse-Daten zu einem sinnvollen Reporting: Meldungen verschiedener Agenten zu ein und demselben Angriff beispielsweise sollten zu einem einzigen Bericht gebündelt beim Administrator eingehen.
Rundum geschützt
Alles in allem sind Intrusion Prevention Systeme wichtige Bestandteile einer jeden IT-Sicherheitsstrategie. Für Unternehmen, denen die ein Multi-Layer-Ansatz - also Firewall, Antivirus, IPS/IDS und andere Sicherheitsvorrichtungen von verschiedenen Herstellern - zu aufwändig und kostspielig ist, bieten einige Anbieter Multifunktions-Appliances.
Diese verfügen über ein "Best of Breed": VPN- kombiniert mit IDS/IPS-, Firewall- und Antiviren-Funktionen, Content-Filter und Anti-Spam. Solche All-in-One-Appliances sind weniger aufwändig zu administrieren und eignen sich für Unternehmen mit bis zu 2.500 Usern oder ähnlich große Niederlassungen von Konzernen.
Last but not least gilt: Ein Intrusion Prevention System, ob als Stand-alone oder Teil einer Multifunktions-Appliance betrieben, ist immer nur so gut wie das Wissen des Herstellers um Schwachstellen und schädliche Codes. Unablässige Suche nach Sicherheitslücken in Systemen ist daher unabdingbar. Das ISS-eigene Forschungszentrum mit über 150 Experten, das so genannte X-Force, findet beispielsweise acht bis neun neuen Sicherheitslücken pro Tag. Schon allein aufgrund dieser Statistik zeigt sich einmal mehr die Notwendigkeit für zusätzliche Schutzmaßnahmen.
Macht IPS Intrusion Detection Systeme überflüssig?
Intrusion Detection Systeme (IDS) spielen als Ergänzung zur Firewall schon seit längerem eine Rolle. IDS sind eine Art Alarmanlage für IT-Sicherheit, die den Datenverkehr überprüfen und Attacken melden. Die Analyse funktioniert in der Regel genau wie bei einem IPS. Bei einem Angriff informiert das System den Adminstrator und protokolliert alle Details zur späteren Analyse.