Intrusion Detection System (IDS)
Konzept und Architektur zur Erkennung von Eindringversuchen durch Überwachung und Analyse von Netzwerk- oder Hostdaten.
Klassifikation
- KomplexitätHoch
- AuswirkungTechnisch
- EntscheidungstypArchitektur
- OrganisationsreifeFortgeschritten
Technischer Kontext
Prinzipien & Ziele
Use Cases & Szenarien
Kompromisse
- Überwältigung des SOC durch Rauschen und Fehlsignale
- Falsche Konfigurationen führen zu blinden Flecken
- Abhängigkeit von veralteten Signaturen gegen neue Bedrohungen
- Kombination aus netzwerk- und hostbasierten Sensoren verwenden
- Regelmäßiges Tuning und Validierung der Signaturen durchführen
- Alerts kontextualisieren mit Asset- und Benutzerinformationen
I/O & Ressourcen
- Netzwerk-Traffic/Packet-Captures
- Host- und System-Logs
- Threat Intelligence und Signatur-Feeds
- Alarmmeldungen mit Kontext
- Protokolldaten zur forensischen Analyse
- Metriken zur Wirksamkeitsmessung
Beschreibung
Ein Intrusion Detection System (IDS) überwacht Netzwerke oder Hosts, um verdächtige Aktivitäten und Sicherheitsverletzungen zu erkennen. Es analysiert Protokolle, Verkehr und Systemzustände, um Alarme zu generieren und Vorfälle zu korrelieren. IDS-Modelle unterscheiden Signatur- und Anomalie-basierte Erkennung und erfordern Abstimmung, Monitoring und Reaktion.
✔Vorteile
- Frühzeitige Erkennung von Angriffen und Anomalien
- Erhöhte Transparenz über Netzwerk- und Hostaktivitäten
- Unterstützung für forensische Analyse und Incident Response
✖Limitationen
- Hohe Fehlalarmrate ohne sorgfältiges Tuning
- Begrenzte Erkennung verschlüsselter oder stark getarnter Angriffe
- Betriebsaufwand für Wartung, Signatur-Updates und Monitoring
Trade-offs
Metriken
- True Positive Rate (Erkennungsrate)
Anteil der tatsächlich erkannten bösartigen Ereignisse an allen tatsächlichen Vorfällen.
- False Positive Rate
Anteil der Fehlalarme an allen generierten Alarmen.
- Mean Time to Detect (MTTD)
Durchschnittliche Zeit zwischen Angriffsbeginn und erster Erkennung durch das IDS.
Beispiele & Implementierungen
Suricata zur netzwerkbasierten Erkennung
Open-Source-Netzwerk-IDS, das Signatur- und Protokollanalyse kombiniert und in vielen Umgebungen als NIDS eingesetzt wird.
OSSEC als hostbasierte Lösung
Hostbasierte IDS/Log-Management-Lösung mit Datei-Integritätsüberwachung, Log-Analyse und Härtungsfunktionen.
Kombination aus IDS und SIEM im SOC
Einsatz eines IDS zur Detektion plus SIEM zur Langzeitkorrelation und Orchestrierung von Reaktionen in einem Security Operations Center.
Implementierungsschritte
Anforderungen und Abdeckungsziele definieren; Sensoren und Platzierung planen.
Sensoren deployen, Telemetrie anbinden und Signaturen initialisieren.
Tuning-Phase durchführen; Fehlalarme analysieren und Regeln anpassen.
Integration mit SIEM/SOAR für Korrelation und Response automatisieren.
⚠️ Technische Schulden & Engpässe
Tech Debt
- Veraltete Signaturdaten und ungepflegte Regelsets
- Mangelnde Automatisierung bei Alert-Triage
- Unzureichende Skalierbarkeit der Analyseinfrastruktur
Bekannte Engpässe
Beispiele für Missbrauch
- IDS als alleinige Sicherheitsmaßnahme ohne Response-Prozess
- Signatur-Feeds ungeprüft übernehmen und überfrachtetes Regelwerk erzeugen
- Sensoren an ungeeigneten Punkten platzieren, die keinen relevanten Traffic sehen
Typische Fallen
- Unzureichende Zeit für Tuning einplanen
- Log-Retention unzureichend für forensische Analysen
- Fehlende Validierung von Threat-Feeds
Erforderliche Fähigkeiten
Drivers (Architectural Drivers)
Constraints
- • Rechtliche Einschränkungen bei Packet-Capture und Datenschutz
- • Netzwerkarchitektur kann Sensorplatzierung limitieren
- • Ressourcenlimits (CPU, Speicher) auf Sensoren