Intrusion Prevention System

Waarom Intrusion Prevention?

U bent niet volledig beschermd, ook al denkt u van wel. 

Dat gaat in elk geval op voor het Intrusion Prevention System, kortweg IPS. Nog te veel mensen verkeren in de veronderstelling dat een firewall en antivirus scanner het netwerk voldoende beschermen; dit is niet het geval. In tegenstelling tot deze vertrouwde vorm van netwerk beveiliging, kijkt een IPS namelijk ook naar het gedrag van binnenkomend en uitgaand netwerkverkeer. Grenscontrole op z’n best. Een firewall werkt op basis van routeringen en antivirussoftware scant inkomende data alleen op basis van signalementen van bekende virussen, de zogenaamde signatures. Deze twee beveiligers blijken in de meeste gevallen niet meer voldoende.

Zijn alle applicaties wel up-to-date?

Een IPS kan snel constateren of een applicatie of OS up-to-date is en voorzien van de laatste versie. Is dit niet het geval loopt uw computer en netwerk direct groot gevaar. IPS kan gelijk traceren om welk type aanval het gaat en welk lek hiervoor gebruikt is. Voor de IT-medewerkers een noodsignaal om snel tot de nieuwste update over te gaan. In sommige gevallen, bijvoorbeeld in een productieomgeving, kan de angst bestaan dat een wat ouder besturingssysteem door patching instabiel wordt. Daarmee is de software beschermd, maar ligt de productie stil. Het middel is in dat geval erger dan de kwaal. Dan is een IPS ideaal: de update kan achterwege blijven en het IPS neemt de bescherming over.

allen4

Wat biedt een Intrusion Prevention Systeem?

Onbekende virussen en malware herkennen.

Een intrusion Prevention System (IPS) daarentegen monitort niet alleen alle netwerkverkeer op basis van signatures, maar combineert dat met het controleren van het gedrag van data en software. Dat betekent dat ook nog onbekende virussen en malware kunnen worden herkend. Een IPS bestrijkt dus een ander gedeelte van de netwerkcontrole dan de vertrouwde firewall en antivirussoftware. Een IPS beperkt zich bovendien niet tot het inkomende verkeer, maar let ook op wat het netwerk uitgaat. Op die manier kan sneller een geïnfecteerde pc getraceerd worden, waarbij contact wordt gelegd met een onbekend IP-adres of host. IPS kan dit gelijk melden en desgewenst blokkeren. 

Preventieve beveiliging en verdediging 

De SecPoint IPS module heeft Zero Day ondersteuning en zal het netwerk en haar gebruikers beschermen tegen day exploit attacks (ZETA). Een zero day exploit attack (zero day-aanval) vindt plaats op dezelfde dag waarop er een lek wordt ontdekt in de software. De software wordt op dat moment misbruikt voordat de ontwikkelaar een oplossing beschikbaar stelt. Wanneer een gebruiker ontdekt dat er een beveiligingsrisico bestaat in een applicatie, kan de gebruiker dit melden bij de programmaontwikkelaars. Deze ontwikkelt dan een beveiligingsupdate om het probleem te verhelpen. De programmaontwikkelaars maken meestal snel een oplossing waarmee de beveiliging van het programma wordt verbeterd. Soms horen hackers echter als eerste over het probleem en maken ze hier snel misbruik van. Met de Zero Day module is uw bedrijf veel beter beveiligd tegen hackers.

Zero Day Protectie wel zo veilig

De diepte van Intrusion Prevention

Maximale veiligheid met Intrusion Prevention

De eerste network-based Intrusion Prevention/Detection oplossingen kampte met een lage acceptatiegraad. Met name door de hoge leercurve van dergelijke systemen aangaande het filteren van false-positives. De SecPoint Intrusion Detection Module is mede door de lange jaren ervaring voorzien van een goed getrainde database. Deze aanpak levert namelijk een effectieve, zichtbare bijdrage aan de verhoging van de beveiliging van uw infrastructuur.

Surfen op het web vormt steeds meer een risico. Kwetsbaarheden die voorheen uitsluitend misbruikt konden worden vanuit het LAN zijn door de open toegang tot het world wide web ook vanaf het internet te misbruiken. Niet alleen met opzet ontwikkelde, kwaadwillende websites maar ook goedwillende websites die alledaags door velen worden geraadpleegd kunnen kwaadwillende code bevatten. Code die door een kwaadwillende aan de website is toegevoegd middels bijvoorbeeld SQL Injects en Cross Site Scripting (XSS). Op het moment dat een argeloze bezoeker de geïnfecteerde website bezoekt wordt ofwel de kwaadaardige code, bijvoorbeeld een exploit, direct uitgevoerd op de computer van de bezoeker of wordt een verbinding opgezet met een derde website. Deze derde website kan kwaadaardige code bevatten die misbruik maakt van een kwetsbaarheid in een op de host geïnstalleerde applicatie (exploit). Een Intrusion Detection in combinatie met het SecPoint web filter welke als inline in het netwerk geplaatst dient te worden beschermd dan all uw gebruikers. Bij inline plaatsing moet al het netwerkverkeer door het IPS Module heen stromen en kan de IPS Module ingrijpen zodra het verdacht verkeer waarneemt.