Intrusion Prevention System (IPS)
Was ist Intrusion Prevention System (IPS)?
Intrusion Prevention System (IPS)Eine inline arbeitende Sicherheitskomponente, die bösartigen Verkehr erkennt und in Echtzeit aktiv blockiert, zurücksetzt oder filtert.
Ein Intrusion Prevention System (IPS) sitzt inline im Datenpfad und wendet dieselben Erkennungsmethoden wie ein IDS an – Signaturen, Anomaliemodelle, Protokollanalysen, Reputationsdaten –, ist aber befugt, Pakete zu verwerfen, Sessions zu schließen, Flows zu isolieren oder automatisierte Reaktionen anzustoßen. Moderne IPS sind meist Teil von NGFWs oder werden als SASE-Cloud-Inspektion ausgeliefert. Da Falschalarme Ausfälle verursachen können, werden Regeln zunächst im Detection-Modus betrieben und nach Tuning auf Blocken umgestellt. Wirksamkeit setzt aktuelle Threat-Intel-Feeds, gegebenenfalls Inspektion verschlüsselten Verkehrs, korrekte Durchsatzdimensionierung, Fail-Open/Fail-Closed-Planung und SIEM/SOAR-Integration voraus.
● Beispiele
- 01
Ein Snort- oder Suricata-IPS verwirft Pakete, die einer EternalBlue-Exploit-Signatur entsprechen.
- 02
Das Threat-Prevention-Modul einer Palo-Alto-NGFW blockiert ein ausgehendes C2-Beacon anhand einer URL-Kategorie.
● Häufige Fragen
Was ist Intrusion Prevention System (IPS)?
Eine inline arbeitende Sicherheitskomponente, die bösartigen Verkehr erkennt und in Echtzeit aktiv blockiert, zurücksetzt oder filtert. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet Intrusion Prevention System (IPS)?
Eine inline arbeitende Sicherheitskomponente, die bösartigen Verkehr erkennt und in Echtzeit aktiv blockiert, zurücksetzt oder filtert.
Wie schützt man sich gegen Intrusion Prevention System (IPS)?
Schutzmaßnahmen gegen Intrusion Prevention System (IPS) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Intrusion Prevention System (IPS)?
Übliche alternative Bezeichnungen: IPS.