Network Intrusion Detection Systems (NIDS) #2: Die zehn größten Fehlannahmen über NIDS, denen sich Unternehmen bewusst sein sollten

1. „Mit einem NIDS werde ich nur bei kritischen Bedrohungen benachrichtigt.“

Die Realität: Zu Beginn wird ein NIDS in der Regel Tausende von Warnmeldungen generieren und die meisten davon sind unbedenklich oder lediglich informativ, denn das NIDS ist zu diesem Zeitpunkt noch nicht auf das Unternehmensnetzwerk abgestimmt und wendet generische Richtlinien und Regeln an. Damit lösen auch viele eigentlich harmlose Aktivitäten, beispielsweise das Scannen einer Dateifreigabe, Warnmeldungen aus. Das NIDS muss nach und nach und kontinuierlich auf das Unternehmensnetzwerk optimiert werden, um ungewöhnliche Aktivitäten und potenzielle Bedrohungen und Risiken zuverlässig zu erkennen.

2. „Das Optimieren eines NIDS ist einfach und erfordert nur ein paar Klicks.“

Die Realität: NIDS-Optimierung ist aufwändig. Der Prozess erfordert sowohl fundierte Kenntnisse über das zu überwachende Netzwerk, einschließlich welche Komponenten innerhalb des Netzwerks üblicherweise miteinander kommunizieren und wie, als auch ein Verständnis von Netzwerkprotokollen wie SMB, Modbus oder DNP3 und eine risikobasierte Beurteilung der vom NIDS generierten Warnmeldungen. Und selbst nach der ersten Optimierung können neue Geräte im Netzwerk oder Änderungen am Netzwerk selbst eine Neuoptimierung erforderlich machen – damit ein NIDS zuverlässig funktioniert, muss es kontinuierlich geprüft und regelmäßig nachjustiert werden.

3. „Ein NIDS kann sich mithilfe automatischer Lernfunktionen selbst optimieren.“

Die Realität: Die meisten modernen NIDS-Lösungen verfügen zwar über automatische Lernfunktionen, aber diese sammeln lediglich Muster des überprüften Datenverkehrs. Sie sind nicht dazu da, zu entscheiden, ob überprüfte Netzwerkaktivitäten legitim oder potenzielle Bedrohungen sind und sind zudem nicht in der Lage, den breiteren Unternehmenskontext, in dem der beobachtete Datenverkehr stattfindet, zu verstehen. Dies bedeutet, dass Unternehmen die vom NIDS erlernten Muster und Vorgehensweisen manuell überprüfen müssen, um sicherzustellen, dass das NIDS in der Lage ist, tatsächliche Bedrohungen zu erkennen, einschließlich solcher, die normale Netzwerkaktivitäten imitieren.

4. „Ein erfahrener Cybersicherheitsexperte kann NIDS-Warnmeldungen sofort optimieren.“

Die Realität: Selbst erfahrene Cybersicherheitsexperten benötigen mehrere Wochen, bevor sie ein NIDS auf fundierter Basis optimieren können, denn selbst mit langjähriger Erfahrung lassen sich nicht alle Verhaltensweisen des Datenverkehrs im Netzwerk unmittelbar nach der NIDS-Implementierung vorhersagen. Vielmehr müssen sie jeden Einzelfall manuell überprüfen, um sicherzustellen, dass keine tatsächlichen Bedrohungen vom System unerkannt bleiben. Die meisten NIDS-Projekte sollten deshalb eine ca. 30- bis 60-tätige Baseline-Phase einplanen, um das Netzwerkverhalten genau zu analysieren und zu verstehen.

5. „Ein NIDS blockiert Angriffe automatisch.“

Die Realität: Das D in NIDS steht für „Detection“ (Erkennung), nicht „Prevention“ (Prävention). Die Aufgabe eines NIDS besteht darin, vor verdächtigen Netzwerkaktivitäten zu warnen, Protokolle für genauere Überprüfungen bereitzustellen und so für mehr Transparenz zu sorgen. Von sich aus blockiert ein NIDS keinen bösartigen Datenverkehr, außer es ist in Firewalls oder andere aktive Netzwerksicherheitssysteme integriert. Microsoft Defender for IoT lässt sich beispielsweise in eine Palo Alto-Firewall integrieren, um Bedrohungen automatisch zu blockieren – dies erfordert jedoch eine Konfiguration, die über ein NIDS hinausgeht.

6. „Nach der Implementierung braucht ein NIDS keine weiteren Updates.“

Die Realität: Ohne regelmäßige Updates ist ein NIDS nicht in der Lage, neuartige Bedrohungen und Angriffsvektoren zu erkennen, Netzwerkschwachstellen auf Basis von CVEs (Common Vulnerabilities and Exposures) zu identifizieren und erkennt unter Umständen sogar legitime Anwendungen, die kürzlich aktualisiert wurden, fälschlicherweise als Bedrohungen. Ein NIDS sollte also – genau wie eine Antiviruslösung – regelmäßige Signatur- und Verhaltensbibliothek-Updates erhalten.

7. „Alle NIDS-Lösungen bietet das gleiche Level an Transparenz.“

Die Realität: Verschiedene NIDS-Lösungen sind auf unterschiedliche Netzwerkumgebungen und Anwendungsszenarien spezialisiert. Einige wie Microsoft Defender for Endpoint oder Snort eignen sich besser für traditionelle IT-Netzwerke, während andere wie Microsoft Defender for IoT, Nozomi Networks oder Dragos sich am besten für industrielle OT-Umgebungen eignen. Ein für eine Umgebung nicht geeignetes NIDS kann unter Umständen bestimmte Protokolle oder Teile des Datenverkehrs nicht auslesen oder nicht in der Lage sein, potenzielle Bedrohungen und Risiken korrekt zu priorisieren. Unternehmen sollten also die für ihren Anwendungsfall richtige Variante wählen und idealerweise direkt beim Anbieter nachfragen, für welche Umgebung sich die angebotene Lösung am besten eignet.

8. „Mit einem optimierten NIDS ist keine Netzwerksegmentierung mehr erforderlich.“

Die Realität: Netzwerksegmentierung und NIDS-Optimierung sollten gemeinsam zum Einsatz kommen, um Angriffsfläche zu reduzieren und potenziellen Bedrohungen zuvorzukommen – und den Optimierungsprozess an sich zu vereinfachen. Ohne Netzwerksegmentierung überwacht eine einzelne NIDS-Lösung möglicherweise zu viel irrelevanten Datenverkehr, was zu einem zu großen Volumen an Fehlalarmen führt – und dazu, dass tatsächliche Bedrohungen übersehen werden.

9. „Ein NIDS erkennt Zero-Day-Angriffe sofort.“

Die Realität: Ein NIDS kann signaturbasiert bekannte Bedrohungen und verhaltensbasiert Anomalien im Netzwerk erkennen. Zero-Day-Angriffe nutzen jedoch häufig neuartige Angriffsvektoren, bisher nicht identifizierte Schwachstellen oder Exploits oder legitim erscheinenden Datenverkehr. Ein gutes NIDS kann zwar Netzwerkanomalien erkennen, die indirekt mit einem Zero-Day-Angriff zusammenhängen, aber nicht garantiert oder zuverlässig. Deshalb sollten Unternehmen ein NIDS stets in Kombination mit Lösungen zum Endpoint-Schutz, Verhaltensanalysen und Threat Intelligence nutzen, um einen umfassenderen Schutz zu gewährleisten.

10. „Nach der Implementierung braucht es kein spezialisiertes Personal für die Wartung eines NIDS.“

Die Realität: Um zuverlässig zu funktionieren, benötigt ein NIDS kontinuierliche Überwachung, regelmäßige Aktualisierung von Richtlinien und Regeln, Überprüfung und Reaktion auf Vorfälle und eine kontinuierliche Weiterbildung der für das NIDS verantwortlichen Experten. Ohne letztere wird selbst das beste NIDS zu einem unübersichtlichen Flickenteppich. Unternehmen, die nicht über die notwendige Expertise verfügen, sollten überlegen, die NIDS-Verwaltung an einen Managed Security Service Provider auszulagern.

Fazit

Ein NIDS kann die Cybersicherheit eines Unternehmens signifikant verbessern – wenn das Unternehmen die notwendigen Maßnahmen ergreift, um das NIDS und seine Anforderungen zu verstehen. Ein NIDS ist kein Produkt, dass einmal gekauft wird, sondern ein Asset, das Unternehmen kontinuierlich aufbauen und verbessern. Bei korrekter Implementierung und Verwaltung wird ein NIDS zu einem effektiven Frühwarnsystem, das die Cybersicherheit eines Unternehmens verbessert und Bedrohungen erkennt, bevor diese zu einem tatsächlichen Risiko werden.

‍

Dies war der zweite Artikel unserer dreiteiligen NIDS-Serie. Freuen Sie sich auf den dritten und letzten Beitrag, der in Kürze erscheint.

‍