Aktive Reaktion (IDS)

---

Ein IDS (Intrusion Detection System) mit aktiver Reaktion geht über die reine Erkennung von Angriffen hinaus und initiiert unmittelbar Abwehrmaßnahmen, um ein Eindringen in das Netzwerk zu verhindern oder einzudämmen. Beispiele für solche Maßnahmen sind das Blockieren von IP-Adressen, das Hinzufügen oder Entfernen von Firewall-Regeln, das Trennen von kompromittierten Sessions oder das Anpassen von Router-Konfigurationen in Echtzeit. Eine aktive Reaktion kann automatisiert sein oder auf Richtlinien basieren, die im Vorfeld definiert wurden. Ziel ist es, Angreifer möglichst schnell von ihrem Angriffsziel abzuhalten und die Ausbreitung von Schadsoftware im Unternehmensnetzwerk einzudämmen. Dabei müssen jedoch False Positives vermieden und Eskalationspfade definiert sein, damit legitimer Verkehr nicht unbeabsichtigt unterbrochen wird.