Система предотвращения вторжений (англ. Intrusion Prevention System , IPS) - программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.

Системы IPS можно рассматривать как расширение Систем обнаружения вторжений (IDS), так как задача отслеживания атак остается одинаковой. Однако, они отличаются в том, что IPS должна отслеживать активность в реальном времени и быстро реализовывать действия по предотвращению атак.

Энциклопедичный YouTube

1 / 5

Основы работы IPS

Анализ защищенности сетевой инфраструктуры

Система обнаружения атак «Форпост» и решения

Контроль приложений с помощью сервисов FirePOWER

Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поколения

Субтитры

Классификация

Сетевые IPS (Network-based Intrusion Prevention, NIPS ): отслеживают трафик в компьютерной сети и блокируют подозрительные потоки данных.

• IPS для беспроводных сетей (Wireless Intrusion Prevention Systems, WIPS ): проверяет активность в беспроводных сетях. В частности, обнаруживает неверно сконфигурированные точки беспроводного доступа к сети, атаки человек посередине , спуфинг mac-адресов.
• Анализатор поведения сети (Network Behavior Analysis, NBA ): анализирует сетевой трафик, идентифицирует нетипичные потоки, например DoS и DDoS атаки.
• IPS для отдельных компьютеров (Host-based Intrusion Prevention, HIPS ): резидентные программы, обнаруживающие подозрительную активность на компьютере.

История разработок

История развития современных IPS включает в себя истории развития нескольких независимых решений, проактивных методов защиты, которые разрабатывались в разное время для разного рода угроз. Под проактивными методами защиты, предлагаемыми сегодня рынком, понимается следующее:

1. Поведенческий анализатор процессов для анализа поведения запущенных в системе процессов и обнаружения подозрительных действий, то есть неизвестных вредоносных программ.
2. Устранение возможностей попадания инфекции на компьютер, блокировка портов, которые используются уже известными вирусами, и тех, которые могут использоваться их новыми модификациями.
3. Недопущение переполнения буфера у наиболее распространенных программ и сервисов, что наиболее часто используется злоумышленниками и для осуществления атаки.
4. Минимизация ущерба, причиненного инфекцией, предотвращение дальнейшего её размножения, ограничение доступа к файлам и директориям; обнаружение и блокировка источника инфекции в сети.

Анализ сетевых пакетов

Обычно в качестве первой угрозы, побудившей к противодействию вторжениям, называют червь Морриса , поразивший подключенные к сети Unix -компьютеры ноября 1988 года.

По другой теории, стимулом для создания нового фортификационного сооружения стали действия группы хакеров совместно со спецслужбами СССР и ГДР. В период с 1986-го по 1989 год группа, идейным руководителем которой был Маркус Хесс, передавала своим национальным спецслужбам информацию, добытую ими путём вторжения в компьютеры. Все началось с неизвестного счета всего на 75 центов в Национальной лаборатории им. Э. Лоуренса в Беркли. Анализ его происхождения в конечном итоге вывел на Хесса, работавшего программистом в небольшой западногерманской компании и одновременно принадлежавшего к экстремистской группе Chaos Computer Club, базировавшейся в Гамбурге. Организованное им вторжение начиналось со звонка из дома через простейший модем, обеспечивающий ему связь с европейской сетью Datex-P и далее проникновение в компьютер библиотеки Бременского университета, где хакер получал необходимые привилегии и уже с ними пробивался в Национальную лабораторию им. Э. Лоуренса в Беркли. Первый лог был зарегистрирован 27 июля 1987 года, и из 400 доступных компьютеров он смог влезть примерно в 30 и после этого спокойно флибустьерствовать в закрытой сети Milnet , используя, в частности, ловушку в виде файла под названием Strategic Defense Initiative Network Project (его интересовало все, что было связано с Стратегической оборонной инициативой президента Рейгана) . Незамедлительной реакцией на появление внешних сетевых угроз оказалось создание межсетевых экранов , как первых систем обнаружения и фильтрации угроз.

Анализ программ и файлов

Эвристические анализаторы

Поведенческий блокиратор

С появлением новых видов угроз вспомнили о поведенческих блокираторах.

Первое поколение поведенческих блокираторов появилось ещё в середине 90-х годов. Принцип их работы - при обнаружении потенциально опасного действия пользователю задавался вопрос, разрешить или запретить действие. Теоретически блокиратор способен предотвратить распространение любого - как известного, так и неизвестного - вируса . Основным недостатком первых поведенческих блокираторов было чрезмерное количество запросов к пользователю. Причина этого - неспособность поведенческого блокиратора судить о вредоносности того или иного действия. Однако, в программах, написанных на VBA , можно с очень большой вероятностью отличить вредоносные действия от полезных.

Второе поколение поведенческих блокираторов отличается тем, что они анализируют не отдельные действия, а последовательность действий и уже на основании этого делают заключение о вредоносности того или иного ПО.

Тестирование от Current Analysis

В 2003 году компания Current Analysis, под руководством Майка Фратто, пригласила для тестирования продуктов HIP следующих поставщиков - компании Argus Systems Group, Armored Server, Computer Associates (CA), Entercept Security Technologies, Harris, Network-1, Okena, Tiny Software, Tivoli (в составе IBM) и WatchGuard. В результате в лаборатории RealWorld Сиракузского университета были протестированы только следующие продукты: PitBull LX и PitBull Protector компании Argus, eTrust Access Control компании CA, Web Server Edition компании Entercept, STAT Neutralizer компании Harris, StormWatch и StormFront компании Okena, ServerLock и AppLock/Web компании WatchGuard.

Для участников были сформулированы требования:

1. Продукт должен позволять централизованно управлять политикой безопасности хостов, ограничивающей доступ приложений только теми системными ресурсами, которые требуются им (приложениям) для работы.
2. Продукт должен иметь возможность самим формировать политику доступа для любого серверного приложения.
3. Продукт должен контролировать доступ к файловой системе, сетевым портам, портам ввода/вывода и прочим средствам коммуникации ОС с внешними ресурсами. Помимо этого, дополнительный уровень защиты должен обеспечить возможность блокирования переполнения буфера стека и кучи .
4. Продукт должен установить зависимость доступа к ресурсам от имени пользователя(приложения) или его принадлежности к той или иной группе.

После полутора месяцев тестирования победил продукт StormWatch компании Okena (позже приобретена Cisco Systems , продукт получил название Cisco Security Agent).

Дальнейшее развитие

В 2003 г. был опубликован отчёт компании Gartner , в котором доказывалась неэффективность поколения IDS того времени и предсказывался их неизбежное оснащение IPS. После этого разработчики IDS стали часто совмещать свои продукты с IPS.

Методы реагирования на атаки

После начала атаки

Методы реализуются уже после того, как была обнаружена информационная атака. Это значит, что даже в случае успешного выполнения защищаемой системе может быть нанесён ущерб.

Блокирование соединения

Если для атаки используется TCP -соединение, то реализуется его закрытие с помощью посылки каждому или одному из участников TCP-пакета с установленным флагом RST. В результате злоумышленник лишается возможности продолжать атаку, используя это сетевое соединение. Данный метод, чаще всего, реализуется с помощью имеющихся сетевых датчиков.

Метод характеризуется двумя основными недостатки:

1. Не поддерживает протоколы, отличные от TCP, для которых не требуется предварительного установления соединения (например, UDP и ICMP).
2. Метод может быть использован только после того, как злоумышленник уже получил несанкционированное соединение.

Блокирование записей пользователей

Если несколько учётных записей пользователей были скомпрометированы в результате атаки или оказались их источниками, то осуществляется их блокирование хостовыми датчиками системы. Для блокировки датчики должны быть запущены от имени учётной записи, имеющей права администратора.

Также блокирование может происходить на заданный срок, который определяется настройками Системы предотвращения вторжений.

Блокирование хоста компьютерной сети

Для МЭ, не поддерживающих протоколы OPSEC, для взаимодействия с Системой предотвращения вторжения может быть использован модуль-адаптер:

• на который будут поступать команды об изменении конфигурации МЭ.
• который будет редактировать конфигурации МЭ для модификации его параметров.
Активное подавление источника атаки

Метод теоретически может быть использован, если другие методы окажутся бесполезны. IPS выявляет и блокирует пакеты нарушителя, и осуществляет атаку на его узел, при условии, что его адрес однозначно определён и в результате таких действий не будет нанесён вред другим легальным узлам.

Такой метод реализован в нескольких некоммерческих ПО:

• NetBuster предотвращает проникновение в компьютер «Троянского коня» . Он может также использоваться в качестве средства «fool-the-one-trying-to-NetBus-you» ("обмани того, кто пытается проникнуть к тебе на «Троянском коне»). В этом случае он разыскивает вредоносную программу и определяет запустивший её компьютер, а затем возвращает эту программу адресанту.
• Tambu UDP Scrambler работает с портами UDP. Продукт действует не только как фиктивный UDP-порт, он может использоваться для «парализации» аппаратуры хакеров при помощи небольшой программки UDP flooder.

Так как гарантировать выполнение всех условий невозможно, широкое применение метода на практике пока невозможно.

В начале атаки

Методы реализуют меры, которые предотвращают обнаруженные атаки до того как они достигают цели.

С помощью сетевых датчиков

Сетевые датчики устанавливаются в разрыв канала связи так, чтобы анализировать все проходящие пакеты. Для этого они оснащаются двумя сетевыми адаптерами, функционирующими в «смешанном режиме», на приём и на передачу, записывая все проходящие пакеты в буферную память, откуда они считываются модулем выявления атак IPS. В случае обнаружения атаки эти пакеты могут быть удалены.

Анализ пакетов проводится на основе сигнатурного или поведенческого методов.

Системы предотвращения вторжений (IPS-системы).
Защита компьютера от несанкционированного доступа.

Системы предотвращения вторжений – активные средства информационной защиты, которые не только обнаруживают, но и защищают от вторжений и нарушений безопасности. Для таких систем традиционно используется аббревиатура IPS (от англ. Intrusion Prevention System – система предотвращения вторжений). IPS-системы являются улучшенной версией систем обнаружения вторжений , в которых реализуется функционал автоматической защиты от киберугроз. Системы предотвращения вторжений способны обнаруживать вредоносную активность, посылать сигналы администратору, блокировать подозрительные процессы, разрывать или блокировать сетевое соединение, по которому идёт атака на хранилища данных или сервисы. Также IPS могут выполнять дефрагментацию пакетов, переупорядочивание пакетов TCP для защиты от пакетов с измененными SEQ и ACK номерами.

Наибольшее распространение на сегодняшний день получил такой тип систем предотвращения вторжений, как HIPS (от англ. Host-based Intrusion Prevention System – система предотвращения вторжений на уровне хоста). Технология HIPS является основой продуктов и систем по обеспечению безопасности, кроме того элементы HIPS-защиты стали использовать традиционные средства борьбы с вредоносным ПО – например, антивирусные программы.

Если говорить о преимуществах систем предотвращения вторжений типа HIPS, то главным, несомненно, является исключительно высокий уровень защиты. Эксперты по информационной безопасности сходятся во мнении, что системы HIPS способны дать практически 100% защиту от любого, даже новейшего, вредоносного ПО, а также любых попыток несанкционированного доступа к конфиденциальной информации. Это защита, которая превосходно выполняет свою главную функцию – защищать. Ни одно традиционное средство информационной безопасности не способно похвастать таким уровнем защиты.

Инструменты и методики HIPS лежат в основе средств информационной безопасности компании SafenSoft. В наших продуктах сочетаются все преимущества систем предотвращения вторжений и традиционных средств защиты. Проактивная защита SoftControl предотвращает любые попытки несанкционированного доступа к данным и программной среде домашних ПК (продукты SysWatch Personal и SysWatch Deluxe), рабочих станций корпоративных сетей (комплекс Enterprise Suite), банкоматов и платёжных терминалов (TPSecure и TPSecure Teller). Наша запатентованная технология контроля приложений V.I.P.O.® объединяет в себе 3 уровня защиты: контролирует все исполняемые приложения, использует динамическую песочницу для запуска подозрительных процессов и управляет доступом приложений к файловой системе, ключам реестра, внешним устройствам и сетевым ресурсам. Решения SoftControl способны работать параллельно с антивирусными пакетами, обеспечивая полную защиту программной среды компьютера. При работе в локальной сети, продукты SoftControl имеют удобное централизованное управление и систему оповещения администратора об угрозах. В отличие от традиционных средств защиты, решения SoftControl не требуют постоянных обновлений баз данных сигнатур.

Современные системы защиты информации состоят из множества компонентов, обеспечивающих комплексные меры защиты на всех этапах обработки и хранения информации. Один из важнейших элементов систем защиты - системы предотвращения вторжений (Intrusion Prevention Systems, IPS).

Системы IPS предназначены для обнаружения и блокирования атак в сети и проводят полное сканирование трафика, проходящего через контролируемые точки сети. При обнаружении вредоносного трафика поток блокируется, что препятствует дальнейшему развитию атаки. Для поиска атак системы используют разнообразные алгоритмы и базы сигнатур, которые могут содержать несколько тысяч определений атак, что позволяет блокировать большинство известных видов атак и их комбинаций.

Для увеличения эффективности системы IPS необходимо выбрать точки контроля трафика, в которых атаки будут блокироваться, что предотвратит распространение нежелательного трафика на другие участки сети. Как правило, в каждой организации точки контроля выбираются в зависимости как от бизнес-задач, так и от множества других факторов.

В настоящее время производители оборудования реализуют два метода размещения: метод подключения устройства в разрыв сети и метод перенаправления потоков информации. Оба имеют свои преимущества и недостатки, которые необходимо учитывать при проектировании системы защиты.

Метод подключения в разрыв сети обеспечивает полный контроль всего трафика, проходящего через контролируемую точку, что не позволяет «пройти незаметно». Но при этом появляется единая точка отказа, и для ее устранения необходимо поддерживать избыточность. Другой недостаток этого метода в том, что при таком подключении вносятся задержки в весь трафик, проходящий через устройство, что требует устройств, способных работать на скорости канала передачи данных.

Метод перенаправления предполагает установку сенсора (или нескольких сенсоров) для поиска подозрительного трафика в потоке данных. Проверяемый поток направляется на сенсор с зеркальных портов коммутатора или дублируется другими доступными средствами. При обнаружении подозрительного трафика маршрут изменяется и поток трафика перенаправляется на устройство, проводящее полную проверку, которое в итоге и принимает решение о блокировке или пропуске трафика. В случае решения о пропуске трафик возвращается на прежний маршрут. При выходе из строя сенсора или устройства IPS передача данных по сети не прерывается; кроме того, в «нормальный» трафик не вносится задержек. Однако при таком методе атаки, реализуемые одним сетевым пакетом, могут оказаться успешными даже в случае обнаружения этого пакета. Еще один недостаток - жесткие требования к сетевому оборудованию, с которым будет происходить взаимодействие.

Устройства IPS размещаются в соответствующих точках в соответствии с выбранной моделью. Как правило, такие точки находятся на границе сетей или представляют собой пограничные точки доступа к сетям провайдеров. В последнее время в результате совершенствования систем IPS и усиления внутренних угроз появилась тенденция к размещению устройств внутри сетей - для более полного контроля трафика между отделами, серверами и подсетями компаний. В результате заметно повысились требования к надежности и корректности срабатывания, а также к производительности устройств.

При этом традиционные проблемы с устранением единой точки отказа по прежнему решаются традиционным же способом - за счет дублирования оборудования и компонентов, что в принципе соответствует общим тенденциям в развитии оборудования для критических задач. Рассмотрим подробнее проблемы надежности срабатывания и производительности устройств.

Начнем с производительности. Данная проблема традиционно решается двумя способами: это либо усиление мощности процессора и параллельная обработка, либо создание специализированных микросхем, выполняющих требуемые операции аппаратно. Второй способ достаточно дорог из-за применения сложных и «ветвистых» процедур проверки пакетов, что, в свою очередь, сильно усложняет микросхемы и увеличивает их стоимость. Производители систем IPS используют различные комбинации этих способов, а также традиционные методы кластеризации устройств с распределением нагрузки, что позволяет создавать устройства с необходимыми параметрами скорости работы.

А теперь поговорим о самой сложной проблеме, которая преследует устройства IPS, – проблеме ложных срабатываний. Та же проблема актуальна и для систем обнаружения вторжений (Intrusion Detection System, IDS), но им, в отличие от IPS, не требуется особая аккуратность в работе, поскольку данные системы отвечают только за обнаружение и информирование. С системами IPS все гораздо сложнее – при ложном срабатывании (как и при реальной угрозе) трафик блокируется, что может нанести существенный вред организации.

Практически у всех производителей систем IPS существуют «фирменные» алгоритмы, которые сводят к минимуму количество ошибочных срабатываний за счет тщательного тестирования оборудования и обновлений, что обеспечивает достаточно надежную работу сети.

Кроме всего прочего, у разных производителей алгоритмы отличаются по специализации и имеют разную эффективность при обнаружении и блокировании разных типов атак, что усложняет создание решений для защиты.

Если задачу интеграции IPS и других систем безопасности при создании комплексных систем защиты решить все еще сложно, то задачи централизованного управления системами IPS одного производителя решаются средствами, которые предоставляют производители, что позволяет снизить расходы на управление системами, а также централизованно применять политики безопасности.

Таким образом, системы IPS выступают как эффективный элемент систем комплексной безопасности, но их внедрение и поддержка представляют собой весьма непростую задачу, требующую от специалистов высокой квалификации, что практически исключает самостоятельное создание эффективного решения на их основе.

В идеальном мире, в Вашу сеть заходят только те кто нужно - коллеги, друзья, работники компании.. Другими словами те, кого Вы знаете и доверяете.

В реальном же мире, часто нужно давать доступ к внутренней сети клиентам, вендорам ПО и т. д. При этом, благодаря глобализации и повсеместному развитию фрилансерства, доступ лиц которых Вы не очень хорошо знаете и не доверяете уже становится необходимостью.

Но как только Вы приходите к решению что хотите открыть доступ к Вашей внутренней сети в режиме 24/7 Вам следует понимать что пользоваться этой «дверью» будут не только «хорошие парни». Обычно в ответ не такое утверждение можно услышать что-то типа «ну это не про нас, у нас маленькая компания», «да кому мы нужны», «что у нас ломать то, нечего».

И это не совсем верно. Даже если представить компанию, в которой на компьютерах нет ничего, кроме свежеустановленной ОС - это ресурсы. Ресурсы которые могут работать. И не только на Вас.

Поэтому даже в этом случае эти машины могут стать целью атакущих, например, для создания ботнета, майнинга биткоинов, крэкинга хэшей…

Еще существует вариант использования машин Вашей сети для проксирования запросов атакущих. Таким образом, их нелегальная деятельность ввяжет Вас в цепочку следования пакетов и как минимум добавит головной боли компании в случае разбирательств.

И тут возникает вопрос: а как отличить легальные действия от нелегальных?

Собственно, на этот вопрос и должна отвечать система обнаружения вторжений. С помощью нее Вы можете детектировать большинство well-known атак на свою сеть, и успеть остановить атакующих до того как они доберутся до чего-либо важного.

Обычно, на этом моменте рассуждений возникает мысль что то, что описано выше может выполнять обычный firewall. И это правильно, но не во всем.

Разница между функциями firewall и IDS на первый взгляд может быть не видна. Но IDS обычно умеет понимать контент пакетов, заголовки и содержание, флаги и опции, а не только порты и IP адреса. То есть IDS понимает контекст чего обычно не умеет firewall. Исходя из того, можно сказать что IDS выполняет функции Firewall, но более интеллектуально. Для обычного Firewall нетипична ситуация когда нужно, например, разрешать соединения на порт 22 (ssh), но блокировать только некоторые пакеты, в которых содержатся определенные сигнатуры.

Современные Firewall могут быть дополнены различными плагинами, которые могут делать похожие вещи, связанные с deep-inspection пакетов. Часто такие плагины предлагают сами вендоры IDS чтобы усилить связку Firewall — IDS.

В качестве абстракции, Вы можете представить себе IDS в качестве системы сигнализации Вашего дома или офиса. IDS будет мониторить периметр и даст Вам знать когда произойдет что-то непредусмотренное. Но при этом IDS никак не будет препятствовать проникновению.

И эта особенность приводит к тому что в чистом виде IDS, скорее всего, не то что Вы хотите от Вашей системы безопасности (скорее всего, Вы не захотите такую систему для охраны Вашего дома или офиса - в ней нет никаких замков).

Поэтому сейчас почти любая IDS это комбинация IDS и IPS (Intrusion Prevention System - Система предотвращения вторжений).

Далее, необходимо четко понимать чем отличаются IDS и VS (Vulnerability Scanner - Сканер уязвимостей). А отличаются они по принципу действия. Сканеры уязвомостей - это превентивная мера. Вы можете просканировать все свои ресурсы. Если сканер что-нибудь найдет, можно это исправить.

Но, после того момента как Вы провели сканирование и до следующего сканирования в инфраструктуре могут произойти изменения, и Ваше сканирование теряет смысл, так как больше не отражает реальное положение дел. Измениться могут такие вещи как конфигурации, настройки отдельных сервисов, новые пользователи, права существующих пользователей, добавиться новые ресурсы и сервисы в сети.

Отличие же IDS в том что они проводят детектирование в реальном времени, с текущей конфигурацией.

Важно понимать, что IDS, по факту, не знает ничего об уязвимостях в сервисах в сети. Ей это не нужно. Она детектирует атаки по своим правилам - по факту появления сигнатур в трафике в сети. Таким образом, если IDS будет содержать, например, сигнатуры для атак на Apache WebServer, а у Вас его нигде нету - IDS все равно детектирует пакеты с такими сигнатурами (возможно, кто-то пытается направить эксплоит от апача на nginx по незнанию, либо это делает автоматизированный toolkit).

Конечно же, такая атака на несуществующий сервис ни к чему не приведет, но с IDS Вы будете в курсе что такая активность имеет место.

Хорошим решением является объединение периодических сканирований уязвимостей и включенной IDS/IPS.

Методы детектирования вторжений. Программные и аппаратные решения.

Сегодня много вендоров предлагают свои решения IDS/IPS. И все они реализуют свои продукты по разному.

Разные подходы обусловлены разными подходами к категоризации событий безопасности, атак и вторжений.

Первое, что надо учитывать - это масштаб: будет ли IDS/IPS работать только с трафиков конкретного хоста, или же она будет исследовать трафик целой сети.

Второе, это то как изначально позиционируется продукт: это может программное решение, а может быть аппаратное.

Давайте посмотрим на, так называемые, Host-based IDS (HIDS - Host-based Intrusion Detection System)

HIDS является, как раз, примером программной реализации продукта и устанавливается на одну машину. Таким образом, система такого типа «видит» только информацию, доступную данной машине и, соответственно, детектирует атаки только затрагивающие эту машину. Преимущество систем такого типа в том, что будучи на машине, они видят всю ее внутреннюю структуру и могут контролировать и проверять намного больше объектов. Не только внешний трафик.

Такие системы обычно следят за лог-файлами, пытаются выявить аномалии в потоках событий, хранят контрольные суммы критичных файлов конфигураций и периодически сравнивают не изменил ли кто-то эти файлы.

А теперь давайте сравним такие системы с network-based системами (NIDS) о которых мы говорили в самом начале.

Для работы NIDS необходим, по сути, только сетевой интерфейс, с которого NIDS сможет получать трафик.

Далее все что делает NIDS - это сравнивает трафик с заранее заданными паттернами (сигнатурами) атак, и как только что-то попадает под сигнатуру атаки, Вы получаете уведомление о попытке вторжения. NIDS также способны детектировать DoS и некоторые другие типы атак, которые HIDS просто не может видеть.

Можно подойти к сравнению и с другой стороны:

Если Вы выбираете IDS/IPS реализованную как программное решение, то получаете контроль над тем на какое «железо» Вы будете ее устанавливать. И, в случае, если «железо» уже есть, Вы можете сэкономить.

Также в программной реализации существуют и бесплатные варианты IDS/IPS. Конечно, надо понимать, что используя бесплатные системы Вы не получаете такого же саппорта, скорости обновлений и решения проблем, как с платными вариантами. Но это хороший вариант для начала. В ними Вы можете понять что Вам действительно нужно от таких систем, увидите чего не хватает, что ненужно, выявите проблемы, и будете знать что спросить у вендоров платных систем в самом начале.

Если же Вы выбираете hardware решение, то получаете коробку, уже практически готовую к использованию. Плюсы от такой реализации очевидны — «железо» выбирает вендор, и он должен гарантировать что на этом железе его решение работает с заявленными характеристиками(не тормозит, не виснет). Обычно внутри находится некая разновидность Linux дистрибутива с уже установленным ПО. Такие дистрибутивы обычно сильно урезаны чтобы обеспечивать быструю скорость работы, оставляются только необходимые пакеты и утилиты (заодно решается проблема размера комплекта на диске - чем меньше тем меньше нужен HDD - тем меньше себестоимость - тем больше прибыль!).

Программные же решения часто очень требовательны к вычислительными ресурсам.

Отчасти из-за того в «коробке» работает только IDS/IPS, а на серверах с программными IDS/IPS обычно запущено всегда очень много дополнительных вещей.

В настоящее время существует бесчисленное количество разнообразных вредоносных программ. Эксперты в области антивирусного ПО прекрасно понимают, что решения, основанные только на базах данных сигнатур вирусов не могут быть эффективны против некоторых видов угроз. Многие вирусы умеют адаптироваться, изменять размер, имена файлов, процессов и служб.

Если нельзя обнаружить потенциальную опасность файла по внешним признакам, можно определить его вредоносную природу по поведению. Именно поведенческим анализом занимается система предотвращения вторжений Host Intrusion Prevention System (HIPS).

HIPS является специализированным программным обеспечением, которое наблюдает за файлами, процессами и службами в поисках подозрительной активности. Другими словами, проактивная защита HIPS служит для блокировки вредоносных программ по критерию опасного выполнения кода. Применение технологии позволяет поддерживать оптимальную безопасность системы без необходимости обновления баз.

HIPS и фаерволы (брандмауэры) являются тесно связанными компонентами. Если брандмауэр управляет входящим и исходящим трафиком, основываясь на наборах правил, то HIPS управляет запуском и работой процессов на основании выполняемых изменений в компьютере согласно правилам контроля.

Модули HIPS защищают компьютер от известных и неизвестных видов угроз. При выполнении подозрительных действий вредоносной программой или злоумышленником, HIPS блокирует данную активность, уведомляет пользователя и предлагает дальнейшие варианты решения. На какие именно изменения обращает внимание HIPS?

Приведем приблизительный список действий, за которыми в первую очередь пристально наблюдает HIPS:

Управление другими установленными программами. Например, отправление электронных сообщений с помощью стандартного почтового клиента или запуск определенных страниц в браузере по умолчанию;

Попытка внести изменения в определенные записи системного реестра, чтобы программа запускалась при определенных событиях;

Завершение других программ. Например, отключение антивирусного сканера;

Установка устройств и драйверов, которые запускаются перед другими программами;

Межпроцессорный доступ к памяти, который позволяет внедрять вредоносный код в доверительную программу

Что ожидать от успешной HIPS?

HIPS должна иметь достаточные полномочия для прекращения активности вредоносной программы. Если для остановки работы опасной программы требуется подтверждение пользователя, эффективность системы мала. Система предотвращения вторжений должна иметь определенный набор правил, который может применить пользователь. Должны быть доступны операции создания новых правил (хотя должны быть и определенные исключения). Пользователь, работая с HIPS должен четко понимать последствия своих изменений. В противном случае, возможен конфликты программного обеспечения и системы. Дополнительную информацию о работе системы предотвращения вторжения можно узнать на специализированных форумах или в файле справке антивируса.

Обычно технология HIPS работает при запуске процесса. Она прерывает действия во время их выполнения. Однако встречаются HIPS-продукты с предварительным обнаружением, когда потенциальная опасность исполняемого файла определяется еще до его непосредственного запуска.

Существуют ли риски?

Рисками, связанными с HIPS являются ложные срабатывания и неверные пользовательский решения. Система отвечает за определенные изменения, выполняемые другими программами. Например, HIPS всегда отслеживает путь системного реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run , отвечающий за автозагрузку программ при старте системы.

Очевидно, что множество безопасных программ использует данную запись реестра для автоматического запуска. Когда будут выполняться изменения в данном ключе, HIPS опросит пользователя о дальнейшем действии: разрешить или запретить изменения. Очень часто пользователи просто нажимают разрешить, не вникая в информацию, особенно если они в этот момент устанавливают новое ПО.

Некоторые HIPS информируют об аналогичных решениях других пользователей, однако при небольшом их количестве они нерелевантны и могут вводить пользователя в заблуждение. Остается надеяться, что большинство пользователей сделали правильный выбор до Вас. Система прекрасно работает при определении потенциальной опасности и выводе тревожного сообщения. Далее, даже если HIPS корректно определила угрозу, пользователь может выполнить неправильное действие и тем самым инфицировать ПК.

Заключение: HIPS является важным элементом многоуровневой защиты. Рекомендуется также использовать совместно с системой другие модули защиты. Для оптимальной и эффективной работы HIPS пользователь должен обладать определенными знаниями и квалификацией.

По материалам блога Malwarebytes Unpacked

Нашли опечатку? Выделите и нажмите Ctrl + Enter