Firewall und Antivirus

Trennungen können beispielsweise durch physikalische Trennungen, den Gebrauch von Switchen, Voice-LANs, Routern von Router und Firewall erreicht werden. Zahlreiche Attacken können heute von Firewall-Systemen nicht mehr erkannt werden. Diese werden daher durch den Gebrauch von IDS und IPS (Intrusion Detection System) erweitert. Die beiden Syteme beobachten den kompletten Datenverkehr im Netzwerk und suchen nach verdächtigen Mustern, die Anomalien genannt werden.

Der IDS protokolliert die Übertragung für eine genaue Auswertung und gibt bei Auftreten einer Anomalie eine Alarmmeldung aus. Der IPS kann dagegen gezielt intervenieren und z. B. den Netzverkehr abbrechen, um einen Anschlag zu vereiteln. Beide Rechner nehmen die Aufgaben wahr, die ein Antivirenprogramm auf Datei- und Netzebene ausführt. Virenschutzprogramme durchsuchen die Datei nach Inhalten, um Signaturen oder bösartige Handlungen zu entdecken.

Die IDS und IPS kontrollieren die Daten des kompletten Netzverkehrs, um Attacken zu detektieren, abzufangen oder in Zukunft abzufangen. Mit IDS und IPS können auch unbekannter Malware erkannt werden. Ist es ausreichend, einen Anschlag zu entdecken und später zu untersuchen, oder sollte er möglichst umgehend unterbunden werden?

Die Verwendung eines Hybridsystems wird empfohlen. Dabei ist die genaue Untersuchung des Netzverkehrs nach einem erfolgreichen oder erfolglosen Anschlag von immenser Wichtigkeit. Mit einer detaillierten IT-forensischen Untersuchung des kompletten Netzverkehrs ist es möglich, einen Vorfall zu untersuchen. Darüber hinaus können die gewonnenen Erkenntnisse über das Vorgehen von Malware und Agenten genutzt werden, um in Zukunft Attacken besser und rascher zu erkennen und zu verhindern.

Wir sind Spezialisten für Datensicherheit, IT-Sicherheit und IT-Forensik und beraten in Deutschland.