Основная идея технологии HIPS (host intrusion prevention system - система предотвращения вторжений на хост) заключается в том, что она пытается защитить вас в тех случаях, когда традиционный AV-сервер на основе подписи выходит из строя, в первую очередь путем наблюдения за поведением программ, которые позволяет запускать ваш AV-сервер. Если он увидит, что программа ведет себя некорректно, HIPS остановит ее (надеюсь, до того, как она сделает что-то слишком плохое). Ранее я утверждал, что в сознании потребителя все это AV; это просто еще одна хитрая штука, которая пытается предотвратить появление плохих вещей.
Кого волнует, что он делает? Если вас это интересует, то отличие, которое обычно подчеркивают производители HIPS, заключается в том, что AV обеспечивает соответствие всех подписей — люди пишут подписи, и они отправляются конечным пользователям. HIPS, по их словам, работает на опережение, а не реагирует. Он распознает неправильное поведение и, надеюсь, обнаружит новые вещи, в которых у AV-продуктов нет сигнатур.
Ба, чушь собачья! В AV-продуктах почти без исключения используется технология HIPS. Это может называться “эвристическим обнаружением” или чем-то безобидным в этом роде, но оно есть! Автономные продукты HIPS, как правило, обеспечивают более проактивное обнаружение, чем обычные AV-продукты, но это связано с тем, что обычные продукты HIPS дают слишком много ложных срабатываний.
Людям не нравится, когда их раздражают всплывающие окна, особенно из-за программного обеспечения, которое они купили и которое должно улучшить их жизнь. Технология HIPS, которая не генерирует ложных срабатываний, часто используется в AV-продуктах. Любая другая технология HIPS никогда не должна работать в среде, где люди могут устанавливать множество различного программного обеспечения. Кроме того, оказалось, что HIPS не очень эффективен в проактивном режиме.
Анализ поведения не решает ни одной из самых больших проблем AV. В частности, поставщики HIPS могут подразумевать, что они решают то, что я назову “проблемой тестирования”, но это абсолютно не так. В чем проблема с тестированием? Если злоумышленник хочет заразить людей вредоносным ПО, не будучи пойманным крупными поставщиками, он покупает все их продукты и продолжает тестировать и настраивать свое вредоносное ПО до тех пор, пока его больше никто не обнаружит. Если злоумышленник способен на такое, то у него, вероятно, есть как минимум месяц, прежде чем его обнаружат все крупные производители видеоигр, а возможно, и гораздо больше.
То же самое тестирование работает против технологий блокировки поведения. Вы можете подумать: “Разве технология HIPS не может просто указать все возможные неправильные действия?” К сожалению, ответ таков (для всех практических целей): “Нет, не без ложных срабатываний” (блокирование программ, которые люди могут на законных основаниях захотеть запустить). Например, у вас может быть правило поведения, которое гласит: “Если программа перехватывает нажатия клавиш, предназначенные для какой-либо другой программы, заблокируйте ее”.
Это правило остановит клавиатурные шпионы (программы, считывающие и записывающие нажатия клавиш), которые пытаются перехватить данные вашей кредитной карты. Это также остановит законные программы, которые хотят предоставить своим опытным пользователям возможность выполнять какие-либо действия в своих приложениях, не открывая окно. Какие программы могут захотеть это сделать?! Например, Skype. Я был удивлен, когда узнал об этом, но у Skype, похоже, есть какая-то стоящая причина для этого, и это не единственный законный поставщик, который занимается подобными вещами. Вот немного более сложный пример. Допустим, есть программа (IsItBad.exe), которая ведет себя следующим образом:
1. Программа записывает на диск много всякой ерунды, включая изображения, файлы данных и один или несколько исполняемых файлов.
2. Эти исполняемые файлы начинают расшифровываться сами по себе при запуске.
Кто-то в сфере безопасности может подумать: “Вероятно, это ”дроппер", устанавливающий вредоносное ПО". И, по статистике, вероятность того, что это так, очень высока, и у вас может быть правило HIPS для блокировки, основанное на таком поведении. Тем не менее, IsItBad.exe также может быть игра, в которой установлена куча дерьма, и это дерьмо зашифровано, потому что разработчики игр не хотят, чтобы людям было легко получить доступ к их интеллектуальной собственности.
Конечно, мы должны уметь определять поведение, которое никогда не должно использоваться законным программным обеспечением. Однако мы должны быть осторожны, потому что нас легко удивить тем, на что способны легальные программы (опять же, вспомните пример Skype). Проблема в том, что по мере того, как мы создаем все больше правил, основанных на поведении, вредоносные программы будут пытаться выглядеть как можно более похожими на легальные программы. Всегда будут существовать поведенческие "серые зоны", в которых технология безопасности, работающая на одной машине, не может определить, является ли программа плохой. Для принятия такого решения потребуется некоторое понимание человеком.
На самом деле, некоторые вещи, которые исследователи безопасности могут назвать шпионскими программами, могут легко попасть в "серую зону", где разумные люди могут расходиться во мнениях о том, насколько они плохи. Например, если вы не прочитали мелкий шрифт лицензионного соглашения (end user license agreement) с каким-либо программным обеспечением, которое вы устанавливали, и оно показывает вам рекламу, которую вы не ожидали (даже если это было явно указано в лицензионном соглашении), это плохо? Некоторые люди могут сказать, что это просто рекламное ПО. Все подумают, что это плохо, если оно рассылает вам сотни рекламных сообщений. Но чем менее навязчива реклама, тем менее очевидно, что что-то действительно плохое.
Мы не можем ожидать, что программное обеспечение для обеспечения безопасности всегда будет давать “правильный” ответ, если иногда правильного ответа нет. Предполагается, что HIPS делает еще кое-что, чего не делают традиционные AV-приложения, - это обеспечивает защиту, когда у законных приложений есть уязвимости в системе безопасности, которые могут атаковать злоумышленники. Некоторые AV-продукты включают эти функции HIPS в той степени, в какой это имеет смысл. (Помимо рисков ложного срабатывания, которые намного серьезнее, чем просто попытка отделить хорошие программы от плохих, такого рода технологии, как правило, оказывают значительное негативное влияние на производительность.)
Как я уже говорил, технология HIPS, которая работает без ложных срабатываний, только что была внедрена в AV-продукты, потому что она решает те же проблемы и в корне перекрывает “традиционные” AV-продукты. То есть технологии действительно защищают от множества одних и тех же вещей, но каждая из них имеет ценность, которой нет у другой (даже если эта ценность чисто техническая, из области вещей, о которых мало кто вообще захочет заботиться).
Но есть места, где люди могут не так сильно беспокоиться о ложных срабатываниях. Например, крупные компании могут рассмотреть возможность запуска HIPS на своих серверах, если программное обеспечение на этих серверах меняется нечасто. Теоретически, вы можете запустить продукт HIPS в режиме мониторинга на своих рабочих серверах в течение нескольких месяцев, чтобы увидеть, какие ложные срабатывания могут возникнуть. Затем вы указываете продукту HIPS, чтобы он больше никогда не показывал вам ни одно из этих предупреждений. Затем вы настраиваете его на блокировку в любое время, когда в будущем появится какое-либо предупреждение. Это может сработать, но есть проблемы, к которым компании должны быть готовы.
Одна из проблем заключается в том, что этот этап “обучения” может быть слишком дорогостоящим, и его необходимо выполнять каждый раз, когда вы устанавливаете новую версию программного обеспечения (например, более безопасную или более многофункциональную версию). Кроме того, некоторые технологии по-прежнему могут иметь высокий риск ложных срабатываний даже после нескольких месяцев эксплуатации.
http://tl.rulate.ru/book/118738/4780215
Готово:
Использование:
