Konnektivität vergrößert Sicherheitslücken und Angriffsfläche
Unter einer Sicherheitsverletzung oder einem Eindringen versteht man jeden unbefugten Zugriff oder jede Aktivität in einem Netzwerk oder Computersystem. Bedrohungsakteure nutzen verschiedene Verfahren und Schwachstellen aus, um Zugriff auf vertrauliche Ressourcen zu erlangen, private Daten zu stehlen, Daten zu verändern, Ressourcen zu zerstören oder den legitimen Zugriff auf Ressourcen zu blockieren und so den produktiven Geschäftsbetrieb zu beeinträchtigen. Bedrohungsakteure haben die unterschiedlichsten Ziele, die von finanziellem Gewinn, Rache, verärgerten Mitarbeitern, ideologischen oder politischen Konflikten bis hin zu einfachen Wettbewerbsvorteilen reichen.
Die Angriffsfläche ist der Bereich Ihres Netzes und anderer digitaler Vorgänge, in den Unbefugte eindringen können. Die Angriffsfläche ist umso größer, je stärker Ihr Netz und Ihre Ressourcen miteinander verbunden sind.
Früher wurden interne Unternehmensnetzwerke von der Außenwelt abgeschirmt, indem der Internetzugang entweder ganz verweigert oder nur hinter der massiven Firewall im Rechenzentrum zugelassen wurde. Aber im Zuge der digitalen Transformation mit Trends wie Mobilität, Internetzugriff von überall, Cloud-basiertem Computing, Cloud-nativen Unternehmen und Diensten sowie Home-Office in einem Ausmaß, das vor 2020 unvorstellbar war, hängt der Erfolg oder Misserfolg von Unternehmen nun vom Ausmaß ihrer Konnektivität ab. Die Angriffsfläche ist riesig. Überwachung wie IPS/IDS ist zwingend erforderlich.
Wie erkennt IDS/IPS Bedrohungen?
IDS/IPS-Systeme erkennen unter anderem verdächtige oder unbefugte Aktivitäten wie Phishing-Angriffe, Vireninfektionen und -verteilungen, die Installation und das Herunterladen von Malware und Ransomware, Denial-of-Service-Angriffe (DOS), Man-in-the-Middle-Angriffe, Zero-Day-Angriffe und SQL-Injection. Aufgrund der Verbreitung von Cloud-WAN und Mobilität ist es schwieriger geworden, Cyberangriffe zu stoppen. Gleichzeitig sind die Taktiken der Angreifer immer geschickter geworden.
Bedrohungen für Ihr Unternehmen verstehen
Bekannte Bedrohungen werden in der Regel durch den Abgleich von Verkehrsmustern mit Signaturmustern erkannt. Regelmäßig aktualisierte Datenbanken enthalten große Mengen an Signaturen, die bestehende Bedrohungen charakterisieren. IDS/IPS-Systeme suchen ständig nach Übereinstimmungen mit bekannten Signaturen.
Unterunbekannten Bedrohungen versteht man bösartige Muster, die noch nie zuvor gesehen wurden. Manchmal handelt es sich dabei um ausweichende Varianten bekannter Bedrohungen, deren Erkennung wesentlich schwieriger ist. IDS/IPS verwendet Verhaltensanalysen, um potenziell anormale Verkehrsmuster zu erkennen. Modelle des „normalen“ Netzwerkverhaltens werden mithilfe von maschinellem Lernen, Heuristiken und KI erstellt und aktualisiert. IDS/IPS vergleicht den tatsächlichen Netzwerkverkehr kontinuierlich mit diesen Modellen, um potenziell inkonsistentes Verhalten zu erkennen, das auf ein Eindringungsereignis hinweisen könnte.