Zunehmen werden die Angriffe auf die IT-Infrastruktur immer professioneller und die Angreifer wissen um die Funktionen eines Virenscanners. Daher werden die Angriffe auf die Infrastruktur so angelegt, dass diese nicht eingreifen können.
IDP (Intrusion Detection Prevention) Systeme werden aus diesem Grund immer wichtiger weil sie die Lücken schließen, die die normalen Virenscanner offen lassen. So lange es sich um Schadcode im herkömmlichen Sinne handelt, finden die meisten Virenscanner diesen auch. Aber wenn es sich um Angriffe mit manipulierten PDF-Dateien, Bildern oder anderen Formaten handelt sind die Virenscanner oft nicht in der Lage dies zu erkennen. Schlimmer noch, wenn ein Angreifer darauf abzielt den Virenscanner zu kompromittieren. Dann ist es ohne den Schutz eines IDP-Systems oft zu spät.
Der Virenscanner selbst ist für jeden Angreifer ein lohnendes Ziel, zumal dieser auf einem Windows-System mit System-Rechten ausgestattet ist und diese sogar noch über dem Administrator stehen. Hat ein Angreifer den Virenscanner unter Kontrolle, so kontrolliert er das ganze System und dies ganz ohne Administrator-Rechte. Der andere Vorteil für den Angreifer liegt in der Verteilung der Virenscanner auf den Client- und Server-Systemen im Netzwerk. Hat er einmal einen Weg gefunden über den Virenscanner in der Systeme einzudringen, so steht im jedes System offen.
Hier kommen jetzt die Vorteile von IDP und Quell-Reputation zum tragen. Unabhängig vom enthaltenen Schadcode sperrt die Reputation den Zugriff auf Quellen im Internet, wenn diese als potentiell gefährlich eingestuft werden. Dadurch können sich Clients nicht mit diesen Systemen verbinden. Sei es bei einem Link in einer Mail oder auf einer Webseite, wenn ein Client versucht Schadcode aus dem Internet nachzuladen wird der Zugriff gesperrt.
Zusätzlich kontrolliert das IDP System die Daten im Netzwerk auf Exploits, Pufferüberläufe, DoS, Schadcode, usw. über eine Mustererkennung. Diese kommt dann zum tragen, wenn die Quelle zwar bezüglich der Reputation gut genug war, diese aber trotzdem Schadcode verteilt. Dazu kommt noch der Vorteil bei einem Exploit einer Applikation, wie zum Beispiel dem IE. Um hier nicht auf den Microsoft Patch Day zu warten, kann das IDP System anhand der Signaturen solche Exploits erkennen und sperren. Ein weiterer wichtiger Punkt bei IDP Systemen ist der Schutz der VPN-Verbindungen. So kann sich ein Wurm nicht uneingeschränkt über alle Standorte verbreiten. Wird eine solche Signatur in den Daten erkannt, so wird der Datenfluss unterbunden.
Daher wird der Einsatz von IDP Systemen immer wichtiger und gehört heute zu den notwendigen Sicherheitssystemen einer jeden IT-Infrastruktur. Viele Hersteller haben dies erkannt und bieten einen entsprechenden Schutz auch schon für „kleine“ Netze. So ist die Anschaffung nicht mehr so kostenintensiv wie noch vor wenigen Jahren.
Bei Fragen zu diesen Themen, sprechen Sie uns an.