Intrusion Detection – Notwendigkeit oder Hype?

Ordnungsmerkmale

erschienen in: <kes> 2003^#3, Seite 35

Rubrik: BSI Forum

Schlagwort: Intrusion Detection Systems

Zusammenfassung: Die Vernetzung von Geschäftsprozessen, der übergreifende Einsatz von IT-Anwendungen und die Öffnung von Netzen zu Kunden, Partnern, Lieferanten etc. führen zu einem Paradigmenwechsel auch in Fragen der IT-Sicherheitstechnologien. Nachdem trotz vorhandener Firewalls immer mehr Angriffe auf Anwendungssysteme bekannt werden, wird der Ruf nach neuen oder ergänzenden Maßnahmen immer lauter. Intrusion Detection Systems (IDS) können ihren Beitrag zur Informationssicherheit leisten. Doch welche Technologie (Intrusion Detection vs. Prevention, Application Shields etc.) ist für welchen Zweck die richtige? Und wie führt man IDS in Organisationen sinnvoll ein?

Autor: Von Dr. Alfred Scheerhorn, Jens Nedon und Norbert Book, ConSecur GmbH

Der Betrieb von IT-Systemen ist mit Risiken verbunden, zu deren Verringerung sich in den vergangenen Jahren vielfältige Schutzmaßnahmen etabliert haben, sowohl auf der Ebene von IT-Systemen und Applikationen als auch im Bereich vernetzter IT-Systeme. So kann etwa der Einsatz von Firewall-Systemen bei der Kopplung interner Netze an das Internet oder an andere Fremdnetze zur Absicherung der Netzübergänge heute als Standardmaßnahme bezeichnet werden. Auch netzintern sowie bei IT-Systemen sind viele Schutzmaßnahmen entwickelt und implementiert worden (z. B. Zugriffskontrolle, Rollen- und Rechteverwaltung).

Der steigende Kommunikationsbedarf neuer Anwendungen sowie interaktiver Internet-Anwendungen in den Bereichen E-Commerce und E-Business führen jedoch dazu, dass interne Serversysteme und Datenbanken immer häufiger und tiefer in die Interaktion mit Externen einbezogen werden. Diese Systeme und die damit verbundenen Geschäftsprozesse stellen häufig einen hohen Wert für die Organisation dar und weisen einen entsprechend hohen Schutzbedarf auf. Die Internet-Interaktion führt dabei zu einer Erhöhung der Risiken und Missbrauchsmöglichkeiten, insbesondere bei Angriffen, die aus dem Internet initiiert werden. Zudem wird durch die erhöhte Funktionalität von Internet-Angeboten und ihre Kopplung mit internen Systemen auch deren Attraktivität als Angriffsziel erhöht. Dies ist unter anderem daran erkennbar, dass täglich neue Angriffe bekannt werden, die Schwachstellen in Systemen und Anwendungen ausnutzen.

Der Schutz durch Firewall-Systeme ist als alleinige Maßnahme häufig nicht mehr ausreichend. In letzter Zeit werden daher vermehrt Intrusion Detection Systems ( IDS) eingesetzt, mit deren Hilfe Angriffe, Angriffsversuche und Sicherheitsverletzungen erkannt und zeitnah gemeldet werden. Hintergedanke ist, möglichst schnell auf Angriffe zu reagieren und diese individuell abzuwehren. Dadurch sollen die aus den erhöhten Kommunikationsanforderungen und der verringerten Schutzwirkung der Firewall-Systeme resultierenden, zusätzlichen Risiken wieder vermindert werden.

Wann ist ein IDS sinnvoll?

Das Interesse an IDS als moderne IT-Sicherheitsmaßnahme ist derzeit sehr hoch. Dabei werden gelegentlich die Vorteile des IDS-Einsatzes überbewertet und der hohe Betriebsaufwand außer Acht gelassen. Es ist daher wichtig, vorab zu prüfen, inwieweit der Einsatz eines IDS in der betreffenden Organisation tatsächlich sinnvoll ist und welche Ziele mit dem Einsatz verbunden werden.

Grundsätzlich ist der Einsatz von IDS dann sinnvoll, wenn sich daraus ein Zugewinn an Sicherheit erkennen lässt und ein höherer Sicherheits-Zugewinn nicht mit vergleichbarem (oder geringerem) Aufwand durch andere Maßnahmen erzielbar ist.

Der Einsatz eines IDS ist primär eine reaktive Maßnahme. Aus diesem Grunde sollte zunächst geprüft werden, ob die Einsatzmöglichkeiten präventiver Maßnahmen bereits sinnvoll ausgeschöpft sind. Auch ist zu beachten, dass sich ein Sicherheitsgewinn beim Einsatz von IDS erst dann ergeben kann, wenn im Rahmen einer geeigneten Incident-Response-Organisation auf erkannte Ereignisse auch reagiert wird. Darüber hinaus sind folgende Randbedingungen zu berücksichtigen:

Vor dem Einsatz eines IDS sollten vorhandene Möglichkeiten zur Verbesserung des aktiven Schutzes optimiert werden.
Ob der Einsatz eines IDS als ergänzende Schutzmaßnahme sinnvoll ist, hängt stark von den Kommunikationsanforderungen ab. Grundsätzlich gilt: Je höher der Kommunikationsbedarf und der Grad an automatisierter Interaktion mit internen Systemen, desto höher ist die Wahrscheinlichkeit, dass ein Einbruch erfolgt. Auch wächst mit der Anzahl der Regeln die Wahrscheinlichkeit von Fehlkonfigurationen der Firewall-Systeme.
Der sinnvolle Einsatz eines IDS setzt erheblichen organisatorischen und personellen Aufwand zur Bewertung von IDS-Meldungen, ihrer Nachverfolgung und der Reaktion darauf voraus. Daher sollte vor dem Einsatz eines IDS auch geprüft werden, ob bestehende Restrisiken nicht effizienter durch die Verbesserung anderer organisatorischer Maßnahmen reduziert werden können (z. B. ein zeitnahes Identifizieren und Einspielen sicherheitsrelevanter Software-Patches etc.).

Letztlich ist ein Einsatz von IDS nur dann sinnvoll, wenn die mit dem Einsatz verbundenen Zielsetzungen auch realen Nutzenaspekten von IDS entsprechen:

Früherkennung von Angriffsversuchen und Angriffen im Netzverkehr sowie Sicherheitsverletzungen und Störungen von IT-Systemen, um durch eine zeitnahe Reaktion Schäden zu vermeiden oder zu minimieren.
Aufzeichnung von Angriffskontexten (zur Beweissicherung oder Angreiferrückverfolgung),
Darstellung der Angriffslast (als Basis für die Begründung von Sicherheitsmaßnahmen),
Erhöhung der Transparenz der Netznutzung und des Systemverhaltens (als Basis für Konfigurationsoptimierungen).

IDS oder nicht? Entscheidungsfindung im Überblick

Phasen der IDS-Einführung

Zur Illustration der bei der Einführung von IDS zu durchlaufenden Phasen wird als Beispiel das Szenario eines Netzübergangs zwischen internem Netz und Internet genutzt. Im Detail auf jede einzelne Einführungsphase einzugehen, würde allerdings den Rahmen dieses Beitrags sprengen. Für Einzelheiten sei daher auf den Leitfaden zur Einführung von Intrusion-Detection-Systemen verwiesen, der im Auftrag des BSI ausgearbeitet wurde und im Internet kostenlos verfügbar ist ( [externer Link] www.bsi.bund.de/literat/studien/ids02/).

Anforderungsanalyse und Grobkonzept

Zur Erstellung des Grobkonzepts wird ermittelt, welche Anforderungen ein IDS erfüllen muss und wie es einzusetzen ist, um die zuvor ermittelten Zielsetzungen zu erreichen.

Hierzu ist zunächst eine Ist-Aufnahme der technischen Infrastruktur notwendig, in die später die Komponenten des IDS integriert werden sollen. Aufgenommen werden sollten auch bereits bestehende Prozesse für die Verfolgung von Sicherheitsvorfällen, da der Einsatz des IDS mit diesen zu koordinieren ist. Viele der Anforderungen an ein IDS können direkt aus dem Einsatzzweck und dem Einsatzumfeld des IDS abgeleitet werden (Einsatz netz- bzw. hostbasierter Sensoren, Intrusion-Response-Funktionen etc.).

Platzierung der Komponenten

Ein wesentlicher Punkt des Grobkonzepts ist die Festlegung, an welchen Positionen im Netz und auf welchen Systemen Sensoren platziert werden sollen: Hostsensoren sind natürlich auf den zu überwachenden Systemen zu platzieren. Die Positionierung eines Netzsensors hängt insbesondere davon ab, welcher Netzverkehr überwacht werden soll.

Bei der Platzierung der IDS-Managementstation im überwachten Netz ist zu beachten, dass bei einem Angriff auf das Netz auch die Funktion und interne Kommunikation des IDS beeinträchtigt werden kann. Sicherer, jedoch mit erhöhtem Aufwand verbunden, ist der Aufbau eines separaten Netzes für die IDS-Kommunikation und die Platzierung der IDS-Managementstation in diesem Netz.

Organisation

Abschließend sollte bereits im Grobkonzept analysiert und bewertet werden, welche Organisationseinheiten beziehungsweise Rollen welche Funktionen beim IDS-Betrieb übernehmen können. Typischerweise unterscheidet man die folgenden IDS-spezifischen Rollen:

IDS-Manager: vertritt die Belange des IDS gegenüber der Entscheidungsebene.
IDS-Administration: kümmert sich um Verwaltung, Wartung, Konfiguration, Kalibrierung und Auswertung der Meldungen des IDS.
IDS-Monitoring: initiiert die entsprechende Eskalation an das IDS-Incident-Response.
IDS-Incident-Response: ist zuständig für eine zeitnahe und angemessene Reaktion auf Alarme sowie eine gegebenenfalls erforderliche, weitere Eskalation. Es ermittelt Ursachen und Auswirkungen des gemeldeten Ereignisses und leitet bei Bedarf schadensreduzierende oder -behebende Maßnahmen ein.

Von Entscheidungsvorlage bis Beschaffung

In der Entscheidungsvorlage wird auf Basis der Vorüberlegungen die Machbarkeit verifiziert: Es wird dargelegt, ob IDS-Lösungen am Markt verfügbar sind, die den Anforderungen entsprechen. Budget-Obergrenzen oder verfügbare personelle Kapazitäten für Einführung und Betrieb des IDS sollen bereits berücksichtigt werden. Falls eine Entscheidung für einen der dargestellten Lösungsansätze getroffen wurde, sind Grobkonzept und Anforderungsanalyse diesem Lösungsansatz anzupassen und zu verfeinern.

Im Feinkonzept sind anschließend sämtliche Einzelheiten zur Integration des IDS festzulegen, die nicht vom einzusetzenden IDS-Produkt abhängen, etwa Änderungen an der bestehenden Netzinfrastruktur oder zusätzliche Komponenten für die Integration des IDS.

Auf Basis der dem Lösungsansatz angepassten Anforderungen erfolgt letztlich entweder eine Ausschreibung oder es werden Angebote eingeholt, ein IDS wird ausgewählt und beschafft. Alternativ kann neben der Integration auch der IDS-Betrieb mit ausgeschrieben werden. Dabei sind zusätzlich Argumente pro und contra eines IDS-Outsourcing zu beachten; auch hierzu sind dem genannten BSI-Leitfaden nähere Hinweise zu entnehmen.

Integration des IDS

Die Integration umfasst sowohl technische als auch organisatorische Aspekte. In der Integrationsphase sollen auch alle Aspekte des IDS-Betriebs festgelegt werden. Zur technischen Integration ist zunächst die Infrastruktur vorzubereiten: Die Komponenten für den Abgriff des Netzverkehrs sind zu integrieren, die Systemplattformen für die IDS-Komponenten vorzubereiten und die IDS-Komponenten zu installieren.

Die Management- und Auswertestation ist inklusive der erforderlichen Zusatzkomponenten, wie Datenbank oder Webserver, in Betrieb zu nehmen. Dazu zählen auch, soweit verfügbar, die Benutzer- und Rechteverwaltung, die Einrichtung von Wartungsfunktionen wie Remote-Management sowie die Konfiguration der Intrusion-Response-Mechanismen.

Installation und Inbetriebnahme sollten Sensor für Sensor erfolgen. Jeder Sensor ist zu installieren und an die Management- und Auswertungsstation anzubinden. Abschließend sind die Sensoren zu kalibrieren: Für jeden Sensor wird festgelegt, was er erkennen soll und wie er (bzw. das IDS) auf das erkannte Ereignis reagieren soll. Das Erreichen der Einsatzziele hängt daher wesentlich von der Kalibrierung des IDS ab. Hierzu wird ein zweistufiges Vorgehen empfohlen, bestehend aus einer Basiskalibrierung im Rahmen der Inbetriebnahme und der schrittweisen Verfeinerung der Kalibrierung im laufenden Betrieb.

Im Rahmen der Basiskalibrierung werden die Signaturen (Angriffsmuster) festgelegt, die relevant für die Einsatzziele des IDS sind, die Übrigen deaktiviert. Für Signaturen, bei denen die zugrunde liegenden Ereignisse mit hoher Wahrscheinlichkeit schadenverursachend sind, wird eine Alarmierung vorgesehen. Erfahrungsgemäß empfiehlt es sich, zurückhaltend mit der Festlegung von Alarmen umzugehen, bei denen das IDS-Incident-Response alarmiert wird: Fehlalarme beeinträchtigen die Sensibilität des Incident-Response-Personals und mit ihr die Akzeptanz des IDS als relevantes Instrument zur Erkennung von Sicherheitsverletzungen.

Im Verlauf des IDS-Betriebs erfolgt die Verfeinerung der Kalibrierung. Die möglichen und realen Auswirkungen gemeldeter Ereignisse werden untersucht, auf dieser Basis die zugehörigen Signaturen neu bewertet. Je detaillierter die Einsatzziele des IDS formuliert wurden und je genauer spezifiziert ist, was erkannt werden soll, desto einfacher gestaltet sich die Kalibrierung.

Zuweisung der IDS-Funktionen an Organisationseinheiten

Im Rahmen des Grobkonzepts wurde bereits überlegt, welche Organisationseinheiten/Rollen oder Mitarbeiter die Funktion von IDS-Administration, IDS-Monitoring oder IDS-Manager übernehmen sollen. Diese Zuordnung ist auf Grundlage der konkretisierten Informationen zu überprüfen und bei Bedarf anzupassen. Die Aufgabenbeschreibungen der für die Übernahme der Funktionen vorgesehenen Stellen sind um die entsprechenden Aufgaben, Zuständigkeiten und Verantwortlichkeiten zu erweitern. Die Mitarbeiter, die in den IDS-Rollen tätig werden, sind in ihre Aufgabenstellungen einzuweisen und zu schulen.

Wie Mitarbeiter (IDS-Monitoring), die Alarme entgegennehmen, bei Eintritt von Alarmen zu reagieren haben, gibt ein IDS-Eskalationsplan vor. Typischerweise dienen dabei am IDS einstellbare oder vorgegebene Alarmlevel als Grundlage.

Beim Betrieb von IDS sind zudem rechtliche Vorgaben zum Datenschutz und zur Arbeitnehmer-Mitbestimmung zu berücksichtigen, da vom IDS protokollierte Daten teilweise personenbezogen sind und IDS grundsätzlich zur Überwachung des Mitarbeiterverhaltens eingesetzt werden können. Aus diesen Gründen sollten zusammen mit dem Datenschutzbeauftragten und dem Betriebs- und Personalrat Vorgaben für den Betrieb des IDS abgestimmt werden.

Betrieb und Revision des IDS

Vor der Aufnahme des regulären IDS-Betriebs sind sämtliche betriebsrelevanten Punkte zu klären und in einem IDS-Betriebshandbuch zu dokumentieren. Ein IDS soll revisionssicher betrieben, Richtlinien für die Revision des IDS sollten in einer Revisionsrichtlinie dokumentiert werden. Grundlage für die Revision des IDS bildet die Dokumentation. Geprüft wird, ob Eskalationsplan, Betriebshandbuch und Dokumentation der IDS-Softwareversionen und Aktualisierungen vorliegen und inhaltlich vollständig sind. Ferner ist zu prüfen, ob der IDS-Einsatz und Betrieb gemäß dieser Dokumentation erfolgt. Die Prüfung der Wirksamkeit des IDS beinhaltet sowohl eine Kontrolle der Konfiguration und Kalibrierung des IDS als auch eine praktische Kontrolle der Wirksamkeit des IDS durch geeignete Penetrationstests.

Fazit

Es wird immer deutlicher, dass die bloße Installation eines IDS allein noch keinen wesentlichen Vorteil erbringt, dabei aber erheblicher Aufwand bei der Einführung und Betrieb des IDS sowie der Integration in interne Organisationsprozesse entsteht, der oftmals unterschätzt wird.

Ein IDS ist demnach immer als Ergänzung präventiv arbeitender Sicherheitsmaßnahmen zu betrachten, durch die Schäden abgewendet, verzögert oder begrenzt werden. Die Funktion eines IDS besteht im Wesentlichen darin, das Eintreten von Schäden oder Bedrohungen zu melden beziehungsweise einen Alarm auszulösen.

Im laufenden Betrieb eines IDS ist es sinnvoll, einen intensiven Informationsaustausch über aktuelle Schwachstellen und akute Angriffe im Rahmen einer vertrauenswürdigen CERT-Infrastruktur zu betreiben oder sich aus einschlägigen Internetquellen zu informieren (siehe etwa [externer Link] http://cve.mitre.org/ oder www.cert.org). Eine Marktübersicht über IDS finden Sie in dieser <kes> auf Seite 69, vergleichende IDS-Produkt-Testberichte (teilweise kostenpflichtig) etwa auf www.nss.co.uk.

Fragen und Anregungen sind per E-Mail an info@consecur.de gerne willkommen.