Im Bereich von Secure Access Service Edge (SASE) ist die Integration von Intrusion Detection and Prevention Systems (IDPS) nahezu universell. Seine Rolle geht über das bloße Vereiteln bekannter Exploits hinaus. Er dient als wachsamer Wächter für IOC (Indicators of Compromise) und bietet eine umfassende Schutzschicht. Ich würde sogar behaupten, dass das IDPS in der jüngsten Vergangenheit von Unternehmen vermehrt für Indikatoren der Kompromittierung und Indikatoren des Angriffs verwendet wird. Die Stärke von IDPS liegt in seiner Fähigkeit, umfassende Einblicke in den Netzwerkverkehr zu gewähren. Es extrahiert nicht nur die Metadaten der Verbindung, wie z.B. die 5-Tupel der Verbindung, sondern befasst sich auch mit den nuancierten Details der verschiedenen Protokollfelder. Diese Tiefe der Extraktion liefert unschätzbare Informationen über die Eigenschaften der Daten, die das Netzwerk durchqueren, und verbessert das Kontextbewusstsein. IDPS verwendet mehrere Methoden zur Verstärkung der Netzwerksicherheit. Es erkennt und blockiert bekannte Exploits und Malware durch signaturbasierte Erkennungsmethoden. Außerdem schützt es vor anomalen Daten, indem es Regeln anwendet, die unregelmäßige Paket- oder Stream-Muster erkennen können. Diese Regeln erstrecken sich auch auf abnormale Größen von Protokollattributen und unvorhergesehenes Verhalten von Protokollwerten. Obwohl die Funktionen und die Sicherheitseffektivität von IDPS innerhalb des SASE-Rahmens bei den verschiedenen Dienstanbietern leicht variieren können, bleiben die Kernfunktionen weitgehend ähnlich, da Signaturdatenbanken verwendet werden, die in der Regel von Drittanbietern von Bedrohungsdaten bezogen werden. Darüber hinaus sind IDPS-Technologien ausgereift und haben ähnliche Fähigkeiten entwickelt, selbst angesichts der zahlreichen Umgehungstechniken, die von Angreifern eingesetzt werden. Meiner Einschätzung nach liegt der Hauptunterschied zwischen den Anbietern in der Beobachtbarkeit und den Möglichkeiten, die sie für die Bedrohungsjagd bieten, wobei der Schwerpunkt auf der Minimierung von falsch-positiven und falsch-negativen Ergebnissen liegt. In diesem Artikel geht es nicht darum, die IDPS-Funktionen zwischen den SASE-Diensten zu unterscheiden. Vielmehr soll untersucht werden, an welchen Stellen im Paketpfad IDPS-Funktionen von SASE-Diensten ausgeführt werden und ob diese Einfügepunkte effektiv Angriffsmuster im ursprünglichen Datenverkehr erkennen. Einige sind der Ansicht, dass die Integration von IDPS-Funktionen (Intrusion Detection and Prevention System) auf Proxy-Ebene in SASE-Dienste (Secure Access Service Edge) ausreichend ist. Der Grund dafür ist die Tatsache, dass viele Unternehmen bereits OnPrem IDPS für die Erkennung von Eindringlingen in den allgemeinen Datenverkehr einsetzen. Die größte Herausforderung bei OnPrem IDPS besteht darin, dass es nicht in der Lage ist, TLS-verschlüsselten Datenverkehr zu prüfen. Da SASE-Proxys eine Man-in-the-Middle (MITM) TLS-Inspektion durchführen, erhalten sie Zugang zu unverschlüsseltem Datenverkehr. Daher ist man der Meinung, dass der IDPS-Einfügepunkt an den Proxys ausreichend ist. Außerdem argumentieren einige, dass eine beträchtliche Anzahl von Systemen ausreichend gegen Angriffe auf Netzwerkebene (L3/L4) und TLS-Ebene gepatcht ist. Als Reaktion darauf haben die Angreifer ihren Schwerpunkt auf ausgefeiltere Taktiken auf der Anwendungs- (L7) und Datenebene verlagert. Daher herrscht die Meinung vor, dass eine Ausweitung der IDPS-Funktionalität über die Proxy-Ebene innerhalb des Netzwerks hinaus nicht zu rechtfertigen ist. Dieses Argument trifft jedoch nicht in allen Fällen zu. Denken Sie an IoT-Geräte, die weiterhin mit älteren, selten aktualisierten Betriebssystemen arbeiten. Diese Geräte sind möglicherweise für ein breiteres Spektrum von Angriffen anfällig, so dass ein umfassender Sicherheitsansatz erforderlich ist. Viele erkennen auch an, dass von SASE-Diensten erwartet wird, dass sie IDPS sowohl auf der Proxy- als auch auf der L3-Ebene integrieren, um eine gründliche Prüfung des gesamten Netzwerkverkehrs zu gewährleisten. Um eine umfassende Angriffserkennung zu erreichen, sollte die IDPS-Funktionalität nicht nur auf der Proxy-Ebene eingesetzt werden, wie bereits erwähnt, sondern auch auf der Ebene der WAN-Schnittstellen, wo der Datenverkehr an den Schnittstellen ein- und ausgeht, die für den Datenverkehr ins und aus dem Internet vorgesehen sind. Dieser Ansatz stellt zwar eine Verbesserung gegenüber dem Einsatz von IDPS ausschließlich auf Proxy-Ebene dar, birgt aber auch eine Herausforderung. In Fällen, in denen der Datenverkehr durch die Proxys fließt, hat IDPS möglicherweise keinen Einblick in den ursprünglichen Datenverkehr in beide Richtungen der Sitzungen. Proxys beenden normalerweise Verbindungen und bauen neue auf. Da sie sich auf den lokalen TCP/IP-Stack stützen, setzen sie die ursprünglichen Pakete wieder zusammen, reihen die TCP-Daten neu aneinander, erstellen IP/TCP-Optionen neu und generieren TLS-Handshake-Nachrichten neu. Folglich kann IDPS auf der WAN-Schnittstellenebene keinen Einblick in den ursprünglichen Datenverkehr aus dem internen Netzwerk haben, was dazu führen kann, dass es Angriffsmuster übersieht, die Teil des ursprünglichen Datenverkehrs waren. Es ist erwähnenswert, dass die Angreifer nicht immer von außen kommen, sondern dass es sich auch um interne Angreifer handeln kann. Außerdem können Angriffe von internen Systemen ausgehen, die zuvor mit Malware infiziert wurden. Daher muss sichergestellt werden, dass das IDPS den ursprünglichen Datenverkehr in beiden Richtungen konsequent beobachtet, um Bedrohungen effektiv zu erkennen und zu verhindern.

Suchen Sie SASE-Dienste mit mehreren IDPS-Einfügepunkten

Wir plädieren dafür, dass die SASE-Dienste die Flexibilität bieten, IDPS an mehreren Stellen einzufügen, die alle gleichzeitig aktiv sind. Unternehmen sollten die Wahl haben, ob sie IDPS an jeder L3-Schnittstelle und auf Proxy-Ebene einsetzen wollen. Mit diesem Ansatz ist IDPS in der Lage, den ursprünglichen Datenverkehr sowohl von den Client- als auch von den Server-Endpunkten der Sitzungen zu untersuchen, selbst wenn der Datenverkehr TLS-verschlüsselt ist und durch die Proxies läuft. Darüber hinaus sollten Unternehmen aktiv nach SASE-Diensten suchen, die keine doppelten Warnmeldungen und Protokolle aufgrund mehrerer Einfügepunkte erzeugen. So kann beispielsweise Datenverkehr, der keine Proxys durchläuft, aber über mehrere L3-Schnittstellen läuft (auf einer Schnittstelle empfangen und über eine andere gesendet wird), von zwei IDPS-Instanzen gesehen werden, was zu doppelten Alarmen und Protokollen führen kann. Es ist ratsam, dass Unternehmen dafür sorgen, dass diese Redundanz in den Protokollen minimiert wird, um eine Überlastung des Verwaltungspersonals zu vermeiden, das sich ohnehin schon mit einer großen Menge an Protokollen auseinandersetzen muss, die von den Sicherheitsfunktionen erzeugt werden. Idealerweise sollten SASE-Dienste Intelligenz auf der Basis einzelner Verkehrssitzungen aufweisen und auf intelligente Weise die doppelte Ausführung von IDPS-Funktionen vermeiden, wenn innerhalb des SASE-Dienstes keine Verkehrsänderungen stattfinden. Darüber hinaus sollten Unternehmen nach Lösungen suchen, die die Korrelation von Protokollen ermöglichen, die von mehreren Sicherheitsfunktionen, einschließlich verschiedener IDPS-Instanzen, für eine bestimmte Datenverkehrssitzung erstellt wurden. Diese Korrelation trägt zu einer besseren Beobachtbarkeit bei und erleichtert die Arbeit von Bedrohungsjägern, indem sie die Zuordnung von Sicherheitsereignissen vereinfacht. In Anbetracht der rechenintensiven Natur von IDPS sollten Unternehmen auch bestrebt sein, Ressourcen zu sparen, wo immer dies möglich ist. Wenn Unternehmen zum Beispiel bereits Host IDS (HIDS) oder On-Prem IDPS einsetzen, möchten sie vielleicht die Kontrolle über die Deaktivierung von IDPS auf bestimmten Instanzen für bestimmte Arten von Datenverkehr behalten. Mit SASE-Diensten, die eine richtlinienbasierte IDPS-Steuerung bieten, können Unternehmen festlegen, welcher Datenverkehr von verschiedenen IDPS-Instanzen innerhalb des SASE-Frameworks geprüft werden soll. Zusammenfassend lässt sich sagen, dass die Effektivität von IDPS im Rahmen des SASE-Paradigmas über seine Funktionen hinausgeht. Sie hängt von der Flexibilität ab, die SASE in Bezug auf die IDPS-Einfügepunkte bietet, sowie von dem Maß an Kontrolle, das es Unternehmen ermöglicht, sich an ihren spezifischen Anforderungen zu orientieren.

  • CTO Insights Blog

    Die Blogserie Aryaka CTO Insights bietet Denkanstöße zu Netzwerk-, Sicherheits- und SASE-Themen.
    Aryaka Produktspezifikationen finden Sie in den Aryaka Datenblättern.