Host Intrusion Prevention System (HIPS): Kritisches Computersystem schützen
Heutige Malware ist so zahlreich und vielfältig, dass Sicherheitsexperten schon seit einiger Zeit wissen, dass signaturbasierte Lösungen nicht mehr ausreichen. Es gibt nicht nur zu viele neue schädliche Dateien jeden Tag, sondern einige von ihnen können auch ihr Aussehen und ihre Signatur während der Verbreitung ändern. Wenn Sie etwas nicht anhand seines Aussehens identifizieren können, können Sie es möglicherweise anhand seines Verhaltens klassifizieren. Methoden wie HIPS (Host Intrusion Prevention System) kommen hier ins Spiel.
Das Host-Intrusion-Detection-System (HIDS) und das Host-Intrusion-Präventionssystem (HIPS) sind hostbasierte Verwandte des Netzwerk-Intrusion-Detection-Systems (NIDS) und des Netzwerk-Intrusion-Präventionssystems (NIPS). Sie führen die Informationsverarbeitung innerhalb des Hosts durch. Sie können den Netzwerkverkehr verarbeiten, sobald er den Host erreicht, obwohl Dateien und Prozesse oft ihre Hauptanliegen sind.
Unser Artikel wird sich darauf konzentrieren, was HIPS ist und wie es funktioniert. Darüber hinaus werden wir die Vor- und Nachteile der Verwendung von HIPS sowie einige wesentliche Unterschiede zwischen HIPS und HISD, Antivirus, erörtern. Im letzten Abschnitt können Sie erfahren, ob Sie ein HIPS benötigen.
Was ist ein Host Intrusion Prevention System (HIPS)?
Das Host-basierte Intrusion Prevention System (HIPS) schützt Ihr System vor bösartiger Software und unerwünschten Aktivitäten, die versuchen, Ihren Computer zu schädigen. HIPS verwendet eine fortschrittliche Verhaltensanalyse in Verbindung mit den Erkennungsfähigkeiten der Netzwerkfilterung, um laufende Programme, Dateien und Registrierungsschlüssel zu überwachen. HIPS unterscheidet sich von der Echtzeit-Dateisystemschutz und ist keine Firewall; es überwacht nur die Betriebssystemoperationen.
Per Definition ist HIPS ein installiertes Softwareprogramm, das Ereignisse auf einem einzelnen Host analysiert, um verdächtige Aktivitäten zu erkennen. Mit anderen Worten, ein Host Intrusion Prevention System (HIPS) ist darauf ausgelegt, Malware zu verhindern, indem es das Verhalten von Code beobachtet. Dies ermöglicht es Ihnen, die Sicherheit Ihres Systems aufrechtzuerhalten, ohne auf eine spezifische Bedrohung warten zu müssen, die zu einem Erkennungsupdate hinzugefügt wird.
HIPS und Firewalls waren historisch eng miteinander verbunden. Während eine Firewall den Datenverkehr zu und von Ihrem Computer basierend auf einer Reihe von Regeln steuert, bietet HIPS eine ähnliche Funktion, jedoch für die wesentlichen Änderungen, die an Ihrem Gerät vorgenommen werden.
Wie funktioniert das Host Intrusion Prevention System (HIPS)?
Das Host Intrusion Prevention System (HIPS) analysiert Ereignisse, die innerhalb eines einzelnen Hosts auftreten, um verdächtige Aktivitäten zu erkennen. HIPS-Lösungen schützen den Host von der Netzwerkschicht bis zur Anwendungsschicht vor sowohl bekannten als auch unbekannten Cyberangriffen. Wenn ein Hacker oder Virus versucht, das Betriebssystem oder eine Anwendung zu verändern, verhindert HIPS den Vorgang und benachrichtigt den Benutzer, damit dieser die richtigen nächsten Schritte unternehmen kann.
Ein HIPS identifiziert Eindringlinge, indem es Systemaufrufe, Anwendungsprotokolle und Dateisystemaktualisierungen analysiert und dabei eine Datenbank von Systemobjekten (Binaries, Passwortdateien, Fähigkeitsdatenbanken und Zugriffskontrolllisten) verwendet. Das HIPS merkt sich die Eigenschaften jedes Objekts und berechnet eine Prüfziffer für den Inhalt jedes Objekts. Diese Daten werden in einer sicheren Datenbank zu Vergleichszwecken gespeichert. Bitte geben Sie den zu übersetzenden Text ein.
Zusätzlich überprüft das System, ob relevante Speicherorte nicht verändert wurden. Anstatt virale Muster zur Erkennung von Schadsoftware zu verwenden, führt es eine Liste vertrauenswürdiger Anwendungen. Software, die ihre Berechtigungen überschreitet, wird daran gehindert, unbefugte Aktivitäten auszuführen.
Typischerweise werden hostbasierte Intrusion-Prevention-Lösungen eingesetzt, um Endgeräte zu schützen. Sobald bösartiges Verhalten erkannt wird, kann das HIPS-Programm eine Vielzahl von Schritten unternehmen, darunter den Computerbenutzer alarmieren, die bösartige Aktivität für eine weitere Analyse dokumentieren, die Verbindung zurücksetzen, bösartige Pakete verwerfen und den Datenverkehr von der verdächtigen IP-Adresse blockieren. Einige Host-Intrusion-Prevention-Systeme ermöglichen es den Benutzern, Protokolle über bösartige Aktivitäten und verdächtige Codefragmente direkt an den Anbieter zur Analyse und möglichen Erkennung zu übermitteln.
Die meisten Host-Intrusion-Prevention-Systeme verwenden Signaturen, die etablierte Angriffsmuster sind, um bösartiges Verhalten zu identifizieren. Die signaturbasierte Erkennung ist erfolgreich, schützt jedoch das Host-Gerät nur vor bekannten Bedrohungen. Es kann nicht gegen Zero-Day-Angriffe oder Signaturen verteidigen, die nicht in der Signaturdatenbank des Anbieters enthalten sind.
Die zweite Methode der Eindringungserkennung erstellt eine Basislinie typischer Aktivitäten, die dann mit der aktuellen Aktivität verglichen wird. Das HIPS sucht nach Anomalien, wie z.B. Bandbreiten-, Protokoll- und Portunregelmäßigkeiten. Ein Eindringen könnte im Gange sein, wenn die Aktivität von einem zulässigen Bereich abweicht, wie zum Beispiel ein entferntes Programm, das versucht, einen normalerweise geschlossenen Port zu öffnen. Eine Abnormalität, wie zum Beispiel ein schneller Anstieg der Bandbreitennutzung, weist jedoch nicht unbedingt auf einen echten Angriff hin. Daher ist diese Strategie eine fundierte Vermutung mit hoher Wahrscheinlichkeit für falsch-positive Ergebnisse.
Stateful Inspection ist ein dritter häufiger Ansatz zur Eindringungserkennung, der die tatsächlichen Protokolle in den Paketen, die das Netzwerk durchqueren, bewertet. Da das Malware-Schutztool den Status jedes Protokolls überwacht, wird die Analyse als zustandsbehaftet bezeichnet. Es weiß zum Beispiel, wie TCP- und UDP-Pakete DNS, SMTP, HTTP und andere Protokolle transportieren können oder nicht, sowie die Werte, die in jedem Paket jedes Protokolls enthalten sein sollten oder nicht. Zustandsbasierte Protokollanalyse sucht nach Abweichungen von den regulären Zuständen des Protokollinhalts und kennzeichnet einen potenziellen Angriff, wenn eine unerwartete Abweichung festgestellt wird. Da die zustandsbehaftete Analyse die tatsächlichen Paketinhalte besser erkennt als die statistische Anomalieerkennung, ist die Wahrscheinlichkeit von Fehlalarmen erheblich reduziert.
Obwohl Antivirus- und Firewall-Unternehmen ihre Scantechniken an die wachsende Anzahl von Bedrohungen anpassen, sind beide häufig reaktiv. Wenn der Angriff versucht, eine Schwachstelle auszunutzen, für die es keine Signatur gibt, wird das Antivirenprogramm ihn nicht blockieren. Host Intrusion Prevention System-Lösungen verfolgen einen anderen Ansatz zur PC-Sicherheit als typische signaturbasierte Antimalware - HIPS übernimmt die Kontrolle über die Integrität von Programmen, anstatt zu versuchen, Signaturen aus den Millionen vorhandener Malware-Proben abzugleichen.
Was sind die Vorteile des Host Intrusion Prevention Systems (HIPS)?
Lassen Sie uns die Benutzerfreundlichkeit und die Vorteile eines hostbasierten Intrusion Prevention Systems (HIPS) untersuchen:
-
Für Unternehmens- und Heimanwender sind Zero-Day-Schwachstellen zu gefährlich. Da HIPS Anomalieerkennung verwendet, hat es eine größere Möglichkeit, einen Zero-Day-Angriff zu erkennen und zu stoppen.
-
Es ist nicht notwendig, auf die Antwort eines Sicherheitsbeauftragten zu warten, bevor präventive Maßnahmen zur Wahrung der Integrität des Hosts durch Intrusion-Prävention umgesetzt werden. Diese Strategie kann nützlich sein, insbesondere angesichts neuerer Forschungsergebnisse, die darauf hinweisen, dass anfällige Systeme innerhalb von Minuten kompromittiert werden können.
-
HIPS verwendet eine einzigartige Präventionstechnik, die solche Angriffe besser verhindern kann als herkömmliche Sicherheitsmaßnahmen.
-
Mehrere PC-schutzende Sicherheitslösungen, wie Antiviren-, Anti-Spyware- und Software-Firewall, können zu einer einzigen zusammengeführt werden.
-
TCO ist ein weiterer Vorteil von HIPS. HIPS ist eine einzelne Sicherheitslösung, die im Gegensatz zu dreien erworben werden kann.
Das Host Intrusion Prevention System (HIPS) bekämpft effektiv:
-
Diebstahl privater Informationen
-
Fragwürdige Verwendungen zur Verhinderung gefährlicher Aktivitäten
-
Vertraute Gefahren, da sie deren Entstehung verhindern
-
Die Verbreitung der neuesten Bedrohungen, bevor die Antiviren-Datenbanken aktualisiert werden
![Vorteile von HIPS] Kontext: ![Vorteile von HIPS] (/img/resources/netsec/what-is-host-intrusion-prevention-system-hips/hips-advantages.png "Vorteile von HIPS") \nText zu übersetzen: (/img/resources/netsec/what-is-host-intrusion-prevention-system-hips/hips-advantages.png "Vorteile von HIPS")
Abbildung 1. Vorteile von HIPS
Was sind die Nachteile des Host Intrusion Prevention Systems (HIPS)?
Das HIPS besteht darin, dass die Reaktion den Host ineffektiv machen oder die Zugänglichkeit einer lebenswichtigen Ressource beeinträchtigen kann. Es ist eine Sache, wenn ein IDS ein falsch-positives Ergebnis erzeugt, aber ein falsch-positives Ergebnis, das eine reflexartige Reaktion auslöst, könnte schlimmer sein.
Bestehende HIPS, die Firewall, systemweite Aktionskontrolle und Sandboxing in ein einheitliches Erkennungsnetz integrieren, zusätzlich zu einem typischen AV-Produkt, können einen hohen Systemressourcenbedarf haben.
Was sind die Unterschiede zwischen HIPS und HIDS?
Ein Host Intrusion Prevention System (HIPS) ist neuer als ein Host Intrusion Detection System (HIDS), wobei der Hauptunterschied darin besteht, dass ein HIPS eine erkannte Attacke abschwächen kann. Zum Beispiel kann eine HIPS-Implementierung einen Port-Scan erkennen und die gesamte Kommunikation vom scannenden Server blockieren. Ein HIPS überprüft oft den Speicher, den Kernel- und Netzwerkstatus, Protokolldateien und die Ausführung von Prozessen. Ein HIPS schützt auch vor Pufferüberläufen.
-
HIPSs basieren hauptsächlich auf der Anomalieerkennung der Systemaktivität, während HIDSs sich hauptsächlich auf die Anomalieerkennung der Netzwerkaktivität konzentrieren.
-
HIPS wird für Windows-Computer empfohlen, während HIDS für Linux-PCs empfohlen wird (OSSEC HIDS ist beispielsweise für beide Plattformen verfügbar).
Was sind die Unterschiede zwischen HIPS und Antivirensoftware?
Das Hauptziel einer Antivirenlösung besteht darin, bösartige Dateien zu erkennen und den Zugriff darauf zu blockieren, während eine HIPS-Lösung ein breiteres Ziel hat: Sie kann Änderungen im Dateisystem verfolgen (um Änderungen zu erkennen, die nicht unbedingt bösartigen Code implizieren, wie z.B. eine unerwartete Änderung der Einstellungen), Protokolldateien analysieren (System- und Anwendungsprotokolle), die Systemkomponenten überprüfen, um Unregelmäßigkeiten zu erkennen, und versuchen, potenzielle Malware zu erkennen. Antivirus Software kann die einzige Komponente einer HIPS-Lösung sein, oder man kann sich für eine All-in-One-Lösung entscheiden, die all diese Aufgaben in einer einzigen Anwendung kombiniert.
Die heutigen Endbenutzer-Antivirus-Programme sind mehr als nur einfache Antivirenprogramme; im Laufe der Zeit haben sie eine Vielzahl von Funktionen gesammelt und sich in Sicherheitssuiten verwandelt, die als HIPS-Lösungen für Endbenutzer betrachtet werden können.
Brauchen Sie ein Host Intrusion Prevention System (HIPS)?
Ja, Sie benötigen HIPS als ergänzende Lösung zu Endpoint-Sicherheitslösungen wie Antivirus. Die Mehrheit der modernen Einstellungen umfasst Sicherheitssoftware, um Kompromittierungen des Hosts zu vermeiden, wie zum Beispiel eine Endpunktlösung und ein Host-Intrusion-Prevention-System. Die Endpoint-Lösung wird die Dateien des Hosts auf bekannte Malware untersuchen, während das HIPS die Pakete inspizieren und unautorisierte Verbindungen beenden wird.