Złośliwe oprogramowanie ma dziś tak dużo odmian i rodzajów, że powszechnie uważa się, że rozwiązania oparte na sygnaturach nie są wystarczające do zapewnienia pełnej ochrony. Sprytny malware lub wyszkolony hacker bez problemu zmodyfikuje kod wirusa w taki sposób, aby nie był wykrywany przez systemy antywirusowe. Rozwiązanie tutaj nasuwa się samo. Jeśli nie jesteśmy w stanie rozpoznać czegoś po jego wyglądzie, to należy skupić się na jego zachowaniu. Tak samo do problemu podchodzą nowe systemy bezpieczeństwa, które klasyfikują złośliwe oprogramowanie pod kątem zmian jakie wywołuje w środowisku. Jedna z klas takich systemów to HIPS (Host-based Intrusion Prevention System).


Definicja

Z definicji HIPS to zainstalowane bezpośrednio na urządzeniu końcowym oprogramowanie, które monitoruje pojedynczy host pod kątem podejrzanej aktywności, analizując zdefiniowane zdarzenia występujące na tym hoście. HIPS ma za zadanie zapobiec włamaniom i działaniom malware poprzez monitorowanie zachowania procesów aplikacji i akcji jakie podejmują w środowisku. Pozwala to bez konieczności aktualizowania informacji o nowych zagrożeniach w bazie sygnatur, skutecznie wykrywać złośliwe oprogramowanie.

Systemy zapobiegania oparte na hostach są głównie używane do ochrony urządzeń końcowych. Po wykryciu szkodliwej aktywności narzędzie HIPS może podjąć zdefiniowany wcześniej szereg działań. Wysłać alarm, rejestrować aktywność malware w logu, resetować połączenia sieciowe, blokować ruch sieciowy z określonych adresów czy portów. Niektóre systemy HIPS mają możliwość wysyłania w czasie rzeczywistym dzienników szkodliwej aktywności i fragmentów kodu bezpośrednio do dostawy lub zewnętrznego SOC w celu analizy i ewentualnej identyfikacji malware.

Historycznie narzędzia klasy HIPS wywodzą się od zwykłego firewalla. Koncepcja jest podobna. Zapora sieciowa reguluje ruch wchodzący oraz wychodzący z komputera na podstawie zestawu reguł, a HIPS dopuszcza lub blokuje zmiany wykonywane na komputerze również na podstawie zdefiniowanych zasad.


Zasada działania – 3 podejścia

Pierwsze podejście w systemach klasy HIPS polega na sygnaturach i jest w rzeczywistości uzupełnieniem dwóch kolejnych mechanizmów detekcji. Oprogramowanie obronne używa tutaj znanych wzorców wirusów, robaków i trojanów. Skutecznie chroni przed znanymi atakami, ale nie ochroni przed zero-day czy złośliwym kodem, który nie znajduje się w bazie sygnatur.

Dlatego właśnie podstawą do podjęcia akcji jest drugie podejście. Polega ono na zdefiniowaniu tego, co nazwiemy linią bazową aktywności w systemie, a następnie porównywanie wszystkich zachowań i detekcja odchyleń od normy. HIPS szuka anomalii między innymi w przepustowości łącza, w użyciu CPU i RAM, w używanych portach i protokołach, w tworzeniu nowych procesów potomnych itp. Gdy aktywność wystąpiła poza dopuszczalnym zakresem – na przykład zdalna aplikacja próbuje łączyć się do hosta na zamkniętym porcie – następuje alarm lub blokada niektórych czynności. Anomalie, na które szczególną uwagę zwracają systemy HIPS to gdy nowy proces lub program:

  • przejmuje kontrolę na inną aplikacją bez zgody użytkownika i na przykład wysyła maila lub łączy się z witryną i pobiera złośliwy kod
  • modyfikuje rejestr
  • kończy działanie innych programów – na przykład antywirusa
  • instaluje sterowniki czy pluginy
  • ingeruje w pamięć innych procesów

Warto tutaj zaznaczyć, że narzędzia HIPS polegają tylko na zestawie reguł zdefiniowanych przez użytkownika lub dostarczonych przez producenta. Nie są wyposażone w algorytmy uczenia maszynowego. Przez są ciężkie do wdrożenia w organizacji i alarmują wiele zdarzeń „false-positive”.

Trzecia powszechna metoda wykrywania włamań w systemach obronnych HIPS wykorzystuje kontrolę protokołów w pakietach przychodzących do urządzenia. Również wymaga zdefiniowania, jak powinien wyglądać pakiet z protokołu DNS, SMTP czy HTTP i jakie wartości powinny być w nich zawarte. Analiza protokołów szuka odchyleń od stanu normalnego i może wskazać ewentualny atak. Metoda ta jest bardziej świadoma od poprzedniej i zwykle wykazuje mniej zdarzeń false-positive.


Network-based Intrusion Prevention System

Narzędzia cyberbezpieczeństwa pod akronimem NIPS działają według tej samej koncepcji co HIPS, z jednym tylko wyjątkiem. Monitorowanie i detekcja odbywają się tutaj od strony ruchu sieciowego, a nie od strony konkretnego hosta. Taki system przystosowany jest głównie do wykrywania ataków DDoS, ruchu C&C oraz podejrzanych zapytań HTTP czy DNS.

Po instalacji w środowisku, NIPS tworzy w sieci zabezpieczone fizycznie strefy, które są czymś w rodzaju kwarantanny dla złośliwego ruchu.


Dobre rady

Jest kilka rzeczy, o których warto pamiętać odnośnie systemu HIPS, a także NIPS.

Przede wszystkim, jak przy większości takich artykułów przestrzegamy, że takie narzędzia nie są „złotym środkiem” i szczepionką na wszystko. Mogą być świetnym dodatkiem do innych warstw ochrony jak firewall, antywirus czy IDS, ale nie powinny próbować zastąpić istniejących technologii.

Po drugie, wdrożenie rozwiązania HIPS może być trudne i żmudne. Konfigurowanie właściwej linii bazowej często wymaga zrozumienia jak działają inne aplikacje w systemie i doświadczalne sprawdzanie wprowadzonych reguł. Z pewnością doświadczymy też dużej ilości fałszywych alarmów (false-positive) lub co gorsze, możemy przeoczyć zdarzenia, które powinny zostać wskazane jako anomalia (false-negative).

Często organizacje nie podejmują decyzji zakupu systemów HIPS, ponieważ wdrożenie go w rozległej infrastrukturze przekracza budżet na produkty bezpieczeństwa. Ciężko jest też przekonać Zarząd i dyrekcję, co do wartości dodanej jaką posiadają takie systemy w stosunku do popularnych i dużo tańszych antywirusów. Warto może pomyśleć, co firma może stracić, jeśli atak nastąpi i takiego systemu nie będzie. Jakie koszty wtedy zostaną poniesione i czy nie przekroczą one kosztów HIPS.