Intrusion Prevention

Intrusion preventionsystemen (IPS) detecteren de typische handelingen van digitale inbrekers of inbraken, slaan vervolgens alarm en voorkomt op proactieve basis door onderschepping dat een bedreiging het netwerk kan bereiken. Flink wat gecamoufleerde inbraakpogingen ontsnappen immers aan de aandacht van andere beveiligingssystemen zoals antivirus of firewall.

Om deze taak op zich te nemen, dient een IPS, zoals steeds, van updates voorzien te worden, zodra een nieuwe kwetsbaarheid bekend wordt gemaakt in een of andere softwaretoepassing. Intrusion Prevention (IPS) is gebaseerd op de herkenning van patronen waarmee hackers op een netwerk binnendringen (zogenaamde 'fingerprints') en vervolgens het automatisch blokkeren van ongewenst of verdacht verkeer. Daarvoor is niet alleen een grondige controle van ieder individueel IP-pakket ('deep packet inspection') essentieel, maar ook de actualiteit van de fingerprint database. IPS is dus een technologie die continu beheer vergt. Op die manier kan een nieuwe bedreiging afgeblokt worden nog voor ze kans heeft impact te hebben.

IPS kent twee verschillende manieren qua aanpak: host- of netwerkgebaseerde IPS-systemen. Hostgebaseerde intrusion prevention is software die op de server is geïnstalleerd of aangesloten is en die dient om kwetsbaarheden op servers meteen te kunnen counteren. Ze kunnen een policy opleggen en toepassen, die gebaseerd is op vooraf vastgelegde regels. Netwerkgebaseerde intrusion preventionsystemen zorgen dan weer voor een grondige inspectie van alle pakketten die op het netwerk voorbijkomen. Ze zijn vaak gekoppeld aan firewalls en gateways. Wordt een kwaadaardige sessie ontdekt door de analyse van pakketten, dan laat het IPS die sessie vallen, waardoor ook de bedreiging verdwijnt. 

Een netwerkgebaseerd intrusion preventionsysteem mag de normale werking van het netwerk niet hinderen of vertragen. Anderzijds mag een host-preventionsysteem niet meer dan tien procent van de systeemmiddelen in beslag nemen. Een goed IPS moet bovenal het verschil kennen tussen normaal gedrag en echte aanvallen. In de praktijk moet een IPS meerdere algoritmes gebruiken om bedreigingen op te vangen. Er moet de zogeheten signature-based blocking zijn, waarbij bekende kenmerken van bekende bedreigingen herkend worden en de bedreigingen worden tegengehouden. Daarnaast moet echter ook rekening worden gehouden met algoritmes die gebaseerd zijn op een policy en die ook eventueel abnormaal gedrag van gebruikers onderkennen.

Een netwerkgebaseerd intrusion preventionsysteem komt in de meeste gevallen als een appliance: gespecialiseerde hardware die gebundeld werd met andere beveiligingssoftware. Bedrijven die vaak meer aandacht aan security besteden, zullen eerder opteren voor specifieke IPS-toepassingen. Deze oplossingen bieden doorgaans meer mogelijkheden, en ze kunnen ze meer aanpassen aan hun eigen wensen. 

Wilt u meer weten over Intrusion Prevention, neem dan contact op met uw adviseur bij SurfPlan!