02 января 2010
Новый оборонительный рубеж: обзор популярных систем отражения локальных угроз
На своем опыте все успели убедиться в том, что антивирус не обеспечивает абсолютной защиты. Пока вирус не попадет в руки специалистов, не будет изучен и не появится сгенерированная под него сигнатура, система остается полностью беззащитной перед новыми угрозами. Поднять уровень защиты хоста на новую высоту позволит применение HIPS.
Основная цель HIPS (Host Intrusion Prevention System, система отражения локальных угроз) - идентифицировать и блокировать вредоносные действия в системе и не допустить ее заражения. Отслеживаются все потенциально опасные операции, такие как работа с реестром (в первую очередь с ветками, отвечающими за автозапуск), файлами и каталогами, запуск/останов программ/служб, манипулирование потоками, контролируются инжекты в другие процессы и целостность системных файлов. Перехват API-функций осуществляется по типовым методикам, применяемым антивирусными мониторами, брандмауэрами, антикейлоггерами и антируткитами. При обнаружении вызова той или иной функции перехватчик передает информацию поведенческому анализатору, который принимает решение о том, допустим ли данный вызов для выполняющего его приложения или нет.
Чтобы подстроиться под конкретную рабочую среду, в HIPS есть режим обучения. Он создает после установки слепок системы и использует его как точку отсчета. Отклонение в работе программы или появление нового процесса, пытающегося получить доступ к важным системным функциям, воспринимается как попытка проникновения, и действие блокируется. Есть и другие алгоритмы, например, в Prevx (о нем ниже) используется централизованная база, где собраны профили как проверенных (назовем их "заведомо хороших") программ, так и вредоносных. Это позволяет быстро определить характер новой программы или процесса на компьютере.
В виду своей специфики (работа на нижнем уровне, перехват API-функций) HIPS часто "не дружат" с антивирусами и антируткитами. При выборе того или иного решения следует учитывать эту особенность.
Здесь можно возразить: мол, зачем нам еще какой-то HIPS, если в том же Каспере уже есть модуль "Проактивная защита", реализующий нужную функциональность? Все дело в том, что движок антивируса изначально заточен под традиционный метод защиты, а HIPS идет как вкусная добавка, обладающая урезанными возможностями и включенная в продукт больше с маркетинговых позиций.
В настоящее время доступно множество продуктов, имеющих право называться HIPS. Каждый имеет свои особенности и ориентирован на решение определенных задач. Рассмотрим самые популярные.
DefenseWallРазработчик: SoftSphere Technologies
Web:
www.softsphere.com/rusСистемные требования: Intel Pentium x86 300 МГц, 256 Мб / (x86/x64) 1 ГГц, 512 Мб (для WinXP и Vista соответственно)
ОС: Windows NT/2000/XP/2003/Vista
В DefenseWall используется принцип разделения программ/процессов на доверенные и недоверенные. Программы из второй группы удерживаются в песочнице (Sandbox), в отдельном от основных программ пространстве. В список недоверенных программ автоматически попадают все приложения для работы в интернете – веб-браузер, P2P, IM-клиенты и т.д. Все файлы, загруженные или созданные такими приложениями, также становятся недоверенными. По умолчанию к недоверенным относятся и файлы на съемных носителях (для CD/DVD это активируется отдельно). Доверенные программы тоже ограничены в некоторых правах: они не могут модифицировать важные системные файлы, ветки реестра, изменять параметры автозагрузки. Благонадежное приложение может потерять доверие, стоит ему только выполнить действие, считающееся потенциально опасным. Например, запуск доверенной программы из недоверенной автоматически переводит действие в опасное. Статус каждой программы выводится в верхней части окна. В окне настройки есть возможность указать файлы и ресурсы (пароли, игровые аккаунты и т.п.), которые необходимо защищать с особой тщательностью.
Установку рекомендуется производить в "чистой" системе (совет относится и к остальным продуктам этой категории). Программа рассчитана, в первую очередь, на неподготовленного пользователя, поэтому имеет упрощенный интерфейс и минимум настроек. В большинстве случаев решение принимается автоматически. Запрос пользователю выдается лишь при обнаружении кейлоггера, отключении защиты и доступе к защищаемым ресурсам, на которые указал пользователь. Это и есть основной плюс программы перед конкурентами. DefenseWall не нужно обучать, отвечая на многочисленные вопросы. Получить полное представление о происходящем в системе можно в меню "Список событий". Каждое событие содержит следующие поля: Модуль, Время, Путь, Описание и Тип события. При выборе элемента списка в нижнем окне появляется детальная информация по событию. Возможно использование фильтров, ускоряющих поиск, и удаление не представляющих интереса событий.
Также предусмотрено два экстренных режима. При выборе в меню "К банкингу/шопингу" (GoBanking/Shopping) будут остановлены все недоверенные процессы, и запущен браузер в защищенном режиме. Кнопка "Стоп атака" останавливает все недоверенные процессы. Для продвинутого пользователя существует Expert Mode, в котором список недоверенных приложений формируется не программой, а самим пользователем.
Кроме пользовательской, существует версия, созданная специально для защиты серверов (Apache, IIS etc) от взлома с использованием атак, использующих переполнение стека и кучи, от действия червей (CodeRed, Slammer, Sasser, Blaster), вирусов и прочих угроз. В серверной версии используется низкий уровень защиты, и только для приложений, указанных админом, устанавливается максимальная протекция.
Safe'n'SecРазработчик: S.N.Safe&Software
Web:
www.safensoft.ruСистемные требования: Intel Pentium x86 300 МГц, 256 Мб - WinXP / (x86/x64) 1 ГГц, 512 Мб - Vista
ОС: Windows XP/Vista
В HIPS Safe'n'Sec, разрабатываемой Российской компанией S.N.Safe&Software, используется собственная технология защиты V.I.P.O. (Valid Inside Permitted Operations). Суть программы проста. Драйвер Safe'n'Sec загружается на раннем этапе и перехватывает вызовы системных функций на уровне нулевого кольца ядра ОС. После установки клиент сканирует систему, создавая профиль приложений и формируя список доверенных программ (для этого используется хеш SHA-256). При появлении активности, затрагивающей целостность системных файлов, реестра, запуск нового процесса или открытие сетевого соединения, соответствующая операция блокируется, а пользователь получает запрос на ее подтверждение. Для описания поведения используется универсальный язык правил, определяющий, какие действия приложений и пользователей должны блокироваться. Плюс задаются дополнительные условия, вроде частоты проявления определенного действия. База состоит из системных правил, разрабатываемых специалистами, и пользовательских. Последние формируются автоматически на основе ответов на запросы. Для работы Safe'n'Sec не требуется постоянное обновление баз, хотя периодически следует обновлять программные модули.
Существует два варианта продукта. Для персонального использования предназначен Safe'n'Sec 2009. В корпоративной версии Safe'n'Sec Enterprise предусмотрено централизованное управление клиентскими модулями. Задействуется два дополнительных компонента:
Safe'n'Sec Admin Explorer – консоль управления; используется для удаленного администрирования системы;
Service Center - сервер, непосредственно выдающий команды клиентским модулям; он же производит их централизованное обновление, отвечает за создание отчетов и оповещение администратора о возникновении определенных событий.
Кроме обычной, существует версия клиентской программы, в которую включен антивирусный модуль Dr.Web и версия с модулем защиты от программ-шпионов. В этом случае обеспечивается не только блокировка атак, но и лечение зараженных файлов. Корпоративная версия, помимо перечисленных возможностей, имеет и ряд других востребованных функций, например, контроль подключений и мониторинг USB-устройств.
Если в системе уже есть антивирус, перед установкой Safe'n'Sec следует просмотреть таблицу совместимости с другими продуктами, которая приведена на сайте. Например, напротив Kaspersky Anti-Virus 2009 отмечено "не совместим".
McAfee Host Intrusion Prevention for Desktops and ServersРазработчик: Network Associates
Web:
www.mcafee.com,
www.mcafeesecurity.ruСистемные требования: минимальные системные
ОС десктоп: Windows XP/Vista
ОС сервер: Windows 2000/2003/2008 (x86/x64), RHE Linux 4.0 (x86), Solaris 8/9/10
В HIPS от McAfee объединены возможности продуктов Desktop Firewall и HIPS Entercept (до 2003 года разрабатывался одноименной компанией, которая была выкуплена Network Associates). Доступен как самостоятельное решение и как часть комплексного продукта Total Protection for Endpoint. Поведенческий анализатор отслеживает и блокирует нежелательную активность, используя три уровня защиты: поведенческий анализ, сигнатурный и контроль соединений брандмауэром. В результате обеспечивается защита от известных и еще неизвестных атак, направленных на переполнение буфера, а также защита приложений, – в том числе от попыток обмена данными с другими приложениями. Из дополнительных функций отметим возможность контроля приложений (можно определить список разрешенных и запрещенных) и блокировку USB-носителей.
Брандмауэр контролирует исходящий трафик и блокирует несанкционированные внешние подключения. Для мобильных систем можно устанавливать различные уровни безопасности, в зависимости от того, находятся они в защищенной или незащищенной сети, подключены ли через VPN. Предусмотрен карантин для тех систем, которые не выполняют всех требований безопасности. Управление упрощается за счет присутствия стандартных настроек (политик), обеспечивающих защиту после установки. При этом изначально IPS активирован на высоком уровне, приложения и процессы защищены, приложения от McAfee находятся в списке доверенных. В процессе работы вполне естественно, что изначальных настроек будет недостаточно. Поэтому HIPS подстраивается, работая в адаптивном (самостоятельно) или обучаемом режиме (по подсказкам пользователя). Версия Server, кроме указанных выше функций, обеспечивает защиту веб-серверов (Apache 1.3.х/2.х, Sun ONE/Java Web Server) и серверов баз данных (SQL Server 2000) от некоторых типов атак (Directory traversal, DoS, SQL injection и др.).
Эта HIPS может работать только совместно с системой централизованного управления политиками, сбора данных, установки обновлений - ePolicy Orchestrator (ее можно использовать для управления остальными продуктами McAfee). На клиентской системе устанавливается агент, обеспечивающий связь HIPS с сервером ePO.
На сегодня доступны две версии ePO: в 3.6.1 консоль реализована в виде MMC, а в 4.0.0 - в виде веб-сервиса. Использование во втором варианте протокола HTTP/HTTPS позволяет управлять настройками с любой платформы.
Для установки ePO-сервера понадобится компьютер под управлением Win2k SP4/2003 SP1/SP2/R2, консоль Win2k/XP/2003/Vista. В качестве SQL-сервера для небольших организаций рекомендован SQL Server 2005 Express Edition; поддерживается SQL Server 2000/2005.
Prevx 3.0Разработчик: Prevx Limited
Web:
www.prevx.comСистемные требования: минимальные системные
ОС: Windows 98/NT/2000/XP/2003/Vista/2008/Se7en
Система Prevx появилась в начале 2004 года и была представлена как первая Community IPS, предназначенная для защиты отдельных узлов. Термин Cloud computing в то время еще не использовался, но все признаки предоставления ПО как услуги (software-as-service, SAAS) и удаленные хранилища данных в Prevx уже имелись. В Prevx для определения угроз используются правила, описывающие поведение и контрольные суммы программ. В список рулесетов попадают как заведомо хорошие программы, так и плохие. Это позволяет быстро определить характер новой программы или процесса на компьютере. Вся информация хранится в единой базе данных (Prevx Cloud Community Database). В качестве сенсоров этой гигантской IPS выступают агенты, установленные на клиентских машинах.
Дистрибутив программы очень маленький, – всего 768 Кб. После установки агент сканирует систему на предмет установленных приложений и отправляет запрос на центральный сервер, а на основании полученной информации делает вывод. Все происходит довольно быстро. Так, первое и полное сканирования занимают всего 2-4 минуты. Последующие обычно и того быстрее, менее минуты. Если в центральной базе данных нет сведений о программе, то она помечается как неизвестная, модуль заносит ее в базу, а пользователь предупреждается о возможном риске. Профиль любой программы содержит более сотни параметров. И в большинстве случаев сервер способен определить ее характер самостоятельно, основываясь на поведенческих характеристиках. Уже через 4 года существования база знала о 10 миллиардах событий, что практически сводит на нет вероятность ошибки. Ежедневно в базу заносятся до 250 тысяч событий.
В ходе работы агент использует три слоя защиты: эвристический (оценивает поведение), возрастной (время появления) и известность программы. В случае обнаружения вредоносной программы возможна очистка системы. Prevx выдаст подробные инструкции, например, запросит установочный диск Windows; предусмотрен также вариант автоматической закачки целого системного файла с другого компьютера сообщества.
Кроме варианта Home, ориентированного на персональное использование, имеются Business и Enterprise версии, в которых реализовано централизованное управление агентскими модулями. Для организаций предлагается Free Malware Monitor, распространяющийся бесплатно, но агент, входящий в его состав, имеет лишь функции обнаружения. Бороться с обнаруженными неприятностями придется при помощи других утилит, или купив полную версию.
Prevx может использоваться как автономно, так и быть усилена другими продуктами: межсетевым экраном, антивирусом, антишпионами и пр. Обычно проблем с совместимостью не бывает. Хотя этот продукт имеет единственный, но существенный минус - он привязан к серверу и без него фактически беспомощен.
ЗаключениеЕще каких-нибудь пару лет назад о системах отражения локальных угроз практически ничего не было слышно, но сейчас можно утверждать, что произошел прорыв. Существующие варианты HIPS довольно разнообразны. Каждое решение имеет свои особенности и тщательно скрываемые разработчиками алгоритмы.
Cisco Security Agent (CSA)Корпорация Cisco, выкупив в 2003 году компанию Okena, которая разрабатывала HIPS под названием StormWatch Agent, через некоторое время представила решение на его основе. CSA может быть установлен на десктопе или сервере, работающем под управлением Windows от 2k до Vista, RHEL 3.0/4.0, Solaris 8/9 и VMware. Агент после установки составляет снимок работающей системы. Затем, перехватывая все системные вызовы, связанные с работой с файлами, доступом к сети и реестру, динамически используемым ресурсам (страницы памяти, общие модули библиотек и COM-объекты), определяет, насколько они отклонены от нормы. Сверяясь с политиками безопасности, агент принимает решение, разрешая или запрещая действие, и внося при необходимости запись в журнал. Политики безопасности по умолчанию способны остановить большинство известных и неизвестных угроз. Администратор может их корректировать. Например, можно установить правила использования подключаемых устройств (флешек, фотоаппаратов, CD/DVD), запретить скачивать файлы определенного типа и т.д.
Централизованное управление осуществляется при помощи Cisco Management Center for Cisco Security Agents. Кроме этого, CSA интегрируется с другими продуктами Cisco - сетевыми IPS, межсетевыми экранами, устройствами контроля доступа к сети (NAC), системой управления безопасностью Cisco MARS. Продукт обладает широкими возможностями, но достаточно сложен в освоении.
INFOОсновная цель HIPS - по заданным критериям идентифицировать и блокировать вредоносные действия в системе и не допустить ее заражения.
Поведенческий анализатор решения от McAfee использует три уровня защиты: поведенческий анализ, сигнатурный и контроль соединений брандмауэром.
Prevx все данные о программах хранит централизованно.
Тесты, которые ты без труда найдутся в интернете, показывают преимущество HIPS во всех реализациях над привычными антивирусами с включенными проактивными модуляли.