Hulp op afstand Inloggen
088 099 0000
Zoeken
November 6, 2023

Intrusion detection en intrusion prevention systems: wat zijn het en wat heb je eraan?

Inzicht en waakzaamheid zijn essentieel op de moderne digitale snelweg. Door de evolutie en professionalisering van cybercriminaliteit groeit het aantal digitale dreigingen, zowel op het gebied van volume als variatie. Tegelijkertijd worden netwerken complexer. Applicatielandschappen en het aantal onderlinge afhankelijkheden tussen systemen en netwerkcomponenten groeien, terwijl de opkomst van de cloud en de stijgende populariteit van flexibel en remote werken er tevens voor zorgen dat steeds meer mensen en (externe) apparaten met een netwerk zijn verbonden.

Om te voorkomen dat cyberdreigingen heimelijk netwerken binnensluipen en zich daar als een digitaal haardvuur verspreiden, is het snel signaleren van gevallen van ongeoorloofde toegang cruciaal. Intrusion detection en intrusion prevention systems zijn hulpmiddelen die je hier uitstekend bij kunnen helpen. Maar wat zijn dit precies voor systemen? Wat zijn de overeenkomsten en verschillen tussen intrusion detection en prevention? En wat heb je er concreet aan? Je leest het in dit blogartikel.

Lees ook de blog: SAAS-beveiliging: bescherm je gegevens in de cloud.

Wat is intrusion detection (IDS)?

Een intrusion detection system (IDS) is een geautomatiseerd systeem dat jouw netwerkverkeer analyseert en bewaakt en daarbij attent is op tekenen die wijzen op mogelijke inbraakpogingen. Een IDS maakt meestal gebruik van sensoren binnen het netwerk of op systemen, een console van waaruit je gebeurtenissen en alarmen in de gaten houdt, en een engine die de regels beheert. Een IDS krijgt doorgaans een kopie van het netwerkverkeer via een zogenaamde span of een tapverbinding.

Een intrusion detection system identificeert verdachte gebeurtenissen binnen een netwerk en stuurt op basis van die waarnemingen alarmen naar ‘incident responders’ of SOC-analisten. Deze waarschuwingen stellen securityspecialisten in staat om de gemelde problemen te onderzoeken en de juiste tegenmaatregelen te nemen voordat een cyberincident serieuze schade (processen die stilvallen, datalekken, complianceproblemen die uitmonden in hoge boetes) aanricht.

Er zijn verschillende typen intrusion detection. De belangrijkste varianten zijn:

  • Network intrusion detection. Je kiest een bepaald punt binnen het netwerk en onderzoekt al het verkeer richting alle apparaten en applicaties vanaf dat punt.
  • Host intrusion detection analyseert alleen het verkeer van en naar onafhankelijke en externe apparaten binnen je netwerk.
  • Protocol-based intrusion detection plaatst bescherming tussen een apparaat en server en monitort al het verkeer tussen de twee.
  • Application protocol-based intrusion detection. Je plaats bescherming tussen een groep servers en kijkt hoe de afzonderlijke servers met elkaar communiceren.

Met intrusion detection krijg je inzicht in patronen (vreemde en ongebruikelijke requests, abnormaal grote packages), bekende aanvallen, aanvalstactieken (het systeem markeert alle bijzonderheden van een aanval die ooit op een andere server heeft plaatsgevonden) en securitydata.

Een belangrijk voordeel van een intrusion detection system is dat het snel en relatief makkelijk op te zetten is. Daarnaast maakt een IDS het lastig voor aanvallers om inzicht te krijgen in jouw securitystructuur. Een nadeel van een IDS is dat je vooral passieve technologie gebruikt bij het detecteren van een intrusie. Dit kan ertoe leiden dat je waardevolle tijd verliest tussen het moment van detectie en het oplossen van het probleem.

Wat is intrusion prevention (IPS)?

Intrusion prevention gaat net een stapje verder dan intrusion detection. Een intrusion prevention system (IPS) monitort een netwerk, apparaten en systeem(activiteiten) op ongewenst gedrag en eventuele inbraakpogingen. Het verschil met een IDS is dat een IPS niet alleen zoekt en bij verdachte activiteit een alarm afgeeft, maar tevens in realtime kan reageren op de potentiële bedreiging door bepaalde activiteiten en verdacht verkeer te blokkeren. Als het systeem een aanval detecteert, is een IPS in staat om de ‘verdachte’ pakketten te stoppen (drop), terwijl het overige netwerkverkeer gewoon doorgang vindt.

Schade voorkomen is dan ook het hoofddoel van een intrusion prevention system. Terwijl je security-experts informatie krijgen over een (mogelijke) aanval, werkt het systeem achter de schermen al aan een oplossing die je netwerk en IT-infrastructuur veilig houdt. Er zijn vier IPS-hoofdtypen:

  • Network intrusion prevention. Deze variant analyseert en beschermt het (data)verkeer op je netwerk.
  • Wireless intrusion prevention observeert alles wat gebeurt binnen een draadloos netwerk en beschermt je IT-landschap tegen aanvallen vanuit die omgeving.
  • Network behavior intrusion prevention spot aanvallen die te herkennen zijn aan verdacht en ongebruikelijk verkeer binnen het netwerk.
  • Host-based network intrusion prevention scant gebeurtenissen binnen een door jou aangewezen of gespecificeerde host.

Een IPS kan bij het identificeren van een verdachte activiteit of mogelijk malicieus verkeer verschillende acties ondernemen. Veelvoorkomende voorbeelden zijn het sluiten van sessies (een TCP-sessie beëindigen, een IP-adres blokkeren), het versterken van firewalls en het opschonen van een systeem door beschadigde of kwaadaardige content te verwijderen.

Het belangrijkste voordeel van een intrusion prevention system is dat het in realtime werkt. De geavanceerde technologie inspecteert elk pakket dat door de beschermde ruimte beweegt. Het IPS onderneemt snel en effectief actie als reactie op een aanval. Heeft het systeem een aanval opgemerkt en afgeslagen? Dan beschik je dankzij IPS over een rapport dat haarfijn aantoont wat er mis is gegaan en wat het systeem heeft gedaan om het probleem te verhelpen. Je kunt deze gegevens gebruiken om jouw netwerk weerbaarder te maken tegen toekomstige aanvallen.

Een nadeel van intrusion prevention is dat veel systemen die gebruikmaken van de technologie nogal wat valse positieven genereren. Wanneer dat gebeurt, kan het verkeer binnen je netwerk zonder duidelijke reden aan snelheid inboeten.

De overeenkomsten tussen intrusion detection en intrusion prevention: gemeenschappelijke voordelen

Je kunt intrusion detection en intrusion prevention zien als twee leden van dezelfde familie. Ze delen bepaalde kenmerken, maar er zijn zeker ook verschillen. Laten we eerst een blik werpen op de overeenkomsten tussen een IDS en IPS.

Ze leveren verregaande automatisering

Intrusion detection en intrusion prevention systems maken allebei gebruik van verregaande automatisering. Het manueel monitoren van netwerken, wat tegenwoordig bijna onmogelijk is door het hoge aantal access points en het hoge volume aan dataverkeer binnen moderne netwerken, wordt in beide gevallen ingeruild voor een geautomatiseerde aanpak. Zowel een IDS als IPS ontvangt regelmatig updates om moderne cyberdreigingen het hoofd te kunnen bieden.

Ze zijn signature-based of gebaseerd op gedragsmodellen

Beide systemen gebruiken een aanpak die ‘signature-based’ is of een model dat gebaseerd is op specifiek gedrag van systemen, apparaten, netwerkcomponenten of gebruikers. In het eerste geval vergelijkt een IDS of IPS netwerkdata met een vooraf bepaalde lijst van indicatoren die duiden op een inbraak of cyberaanval. Als er sprake is van een zogenoemde ‘signature match’, geeft het systeem een alarm af of neemt het beschermende maatregelen om de dreiging in de kiem te smoren.

Een op gedrag gebaseerd IDS of IPS gebruikt bekende data en nieuwe, via machine learning verworven inzichten om een referentiepunt voor ‘normaal gedrag’ te creëren. Netwerkactiviteiten die niet binnen de bandbreedte van normaliteit vallen en atypisch zijn, worden aangemerkt als verdacht en potentieel schadelijk.

Ze maken compliance een stuk makkelijker

Een IDS en IPS helpen je allebei om de naleving van wetten, regels en branchestandaarden te garanderen. Je krijgt namelijk een veel beter inzicht in cyberdreigingen en kunt ingrijpen voordat malicieuze data en software daadwerkelijke schade aanrichten binnen je netwerk. Bovendien houden de systemen auditgegevens bij die erg nuttig zijn tijdens compliance-onderzoeken.

Ze kunnen je bedrijfsvoering verbeteren

De laatste belangrijke overeenkomst tussen IDS en IPS? Ze beschikken allebei over het vermogen om door het handhaven van een strikt veiligheidsbeleid een veilige en ethische bedrijfsvoering te garanderen. Je kunt gerichte oplossingen voor inbraakdetectie en -preventie opzetten om het beveiligingsbeleid op bedrijfsnetwerkniveau te waarborgen.

De verschillen tussen een IDS en IPS

Naast de overeenkomsten zijn er ook duidelijke verschillen tussen een IDS en IPS. We zetten de belangrijkste voor je op een rij.

Passief versus actief

Een IDS is een passieve tool, terwijl een IPS juist actief van aard is. Intrusion detection scant, spoort op en waarschuwt, maar heeft niet het vermogen om zelf een oplossing te presenteren en toe te passen. Je moet dus zelf actie ondernemen om het probleem te verhelpen. Intrusion prevention gaat het gevaar gelijk te lijf en zoekt aan de hand van threat signatures en databases actief en autonoom naar een remedie voor het geconstateerde probleem.

De impact van valse positieven

Als een IDS je een waarschuwing geeft terwijl er in werkelijkheid weinig aan de hand is, levert dat alleen ongemak en wat extra werk voor jezelf op. Het werk kan meestal gewoon doorgaan of snel weer hervat worden. Een IPS kan echter traffic binnen je netwerk tijdelijk stilleggen. Als dit gebeurt bij een vals alarm, kunnen veel mensen binnen je organisatie en zelfs partnerorganisaties hier last van hebben.

Verschillend bereik

IDS werkt binnen het bedrijfsnetwerk en monitort en analyseert het verkeer in realtime. Het scant pakketten overal op het netwerk op indicatoren van een inbraak of cyberaanval. Het systeem markeert vervolgens alle gedetecteerde bedreigingen of afwijkingen. Een IPS werkt doorgaans op dezelfde netwerklocatie als een firewall en onderschept verkeer op het kruispunt waar het interne netwerk het internet ontmoet. Het bereik van een IPS is meestal beperkter dan dat van een IDS.

Profiteren van het beste van twee werelden

Intrusion detection en intrusion prevention hebben allebei hun voordelen, sterke punten en beperkingen. Het mooie is dat je niet per se een keuze hoeft te maken, maar de twee technologieën ook prima naast elkaar kunt gebruiken. Een IPS is bijvoorbeeld prima in te zetten voor het waarborgen van actieve netwerkbescherming en aanvalspreventie, terwijl IDS je een beter en exacter inzicht geeft in hoe verschillende vormen van digitaal verkeer zich door je netwerk bewegen. Als je intrusion detection en intrusion prevention naast elkaar gebruikt en goed op elkaar afstemt, profiteer je van een complementaire technologieset die jouw cyberveiligheid naar een hoger niveau tilt.

Wil je meer weten over de mogelijkheden die intrusion detection en intrusion prevention bieden? Neem dan gerust vrijblijvend contact met ons op. Bij ACC ICT zijn we gespecialiseerd in het inrichten van specifieke beveiligingsmaatregelen en het beheren van verschillende bedrijfskritische applicaties in online-omgevingen. Het waarborgen van de IT-continuïteit binnen jouw organisatie is onze specialiteit en voornaamste zorg.

Security
Deel deze post
Merijn Plaisier
Merijn is Lead Engineer en tevens Partner bij ACC ICT. Merijn is vanaf 2010 werkzaam bij ACC ICT in verschillende rollen en maak je blij met de meest technische vraagstukken waar hij zich in vast kan bijten. Merijn schrijft graag over ontwikkelingen in de IT-branche.

Blogs

AWS-beveiliging: 15 best practices en tips

AWS-beveiliging: 15 best practices en tips

De NIS2 komt eraan: wat moet je weten?

De NIS2 komt eraan: wat moet je weten?

Hoe voldoe je als SaaS-leverancier aan de veiligheidseisen van je klanten?

Hoe voldoe je als SaaS-leverancier aan de veiligheidseisen van je klanten?

Intrusion detection en intrusion prevention systems: wat zijn het en wat heb je eraan?

Intrusion detection en intrusion prevention systems: wat zijn het en wat heb je eraan?

Over ons

ACC ICT staat voor samen groeien, samen groeien we sneller. Dit doen wij door voorop te lopen en continu alert en ambitieus te blijven. Met deze kennis voorzien wij onze klanten van de nieuwste technieken, waardoor klanten en collega’s graag en langdurig met ons blijven samenwerken. Samenwerkingen van 10 jaar en langer zijn daarom meer regel dan uitzondering. Hier zijn wij enorm trots op!
Privacyverklaring
services
Managed KubernetesManaged CloudManaged OTAPManaged CI/CDBlueBoxContinuïteitsregelingen
Branches
SoftwareontwikkelingTransport & LogistiekFinanciële dienstenOverheid & Non-profit
Bedrijf
Ons bedrijfKlantcasesBlogsWerken bijVacatures
Contact
Coltbaan 27
3439 NG Nieuwegein
[email protected]
Neem contact opRoutebeschrijvingHulp op afstand