Co je to HIDS/HIPS a k čemu slouží

HIPSHost Intrusion Detection System zkr. HIDS a Host Intrusion Prevention System zkr. HIPS jsou řešení, které umožňují ochránit uživatele resp. jeho systém a data před útoky po síti a škodlivým kódem.

HIPS je zpravidla chápáno jako novější verze HIDS, někdy se však jako HIDS označují spíše řešení, která detekují nežádoucí komunikaci z/do internetu a uživatele na to upozorňují a mnohdy po něm požadují i rozhodnutí, zda danou komunikaci povolit nebo ne.

V tomto kontextu se pak jako HIPS označují řešení, která by měla detekovat nežádoucí aktivitu na zařízení uživatele. Např. když se nějaký malware snaží zapsat do klíče RUN a zajistit si tak své spuštění po restartu počítače nebo když se malware snaží nahradit nějakou systémovou knihovnu, spustit jako služba, případně injektovat nějaký proces apod.

To jsou všechno události, ke kterým běžně nedochází a vyskytují se jen ojediněle, zpravidla jen tehdy, když si uživatel stáhne z internetu nějakou aplikaci a nainstaluje ji. Dobrý HIDS/HIPS by pak měl být schopen rozpoznat, kdy se jedná o událost, která byla vyvolána legitimní aplikací, a kdy se naopak jedná o nežádoucí aktivitu malwaru.

Problém je, že odlišit od sebe chování legitimní a škodlivé aplikace není až tak triviální, jak by se mohlo na první pohled zdát, neboť HIDS/HIPS zpravidla není schopen vyhodnotit, zda stažení a spuštění dané aplikace probíhá plně v režii uživatele, nebo se jedná o nějaký drive-by download malware nebo phishing e-mail se škodlivou přílohou.

Bývá proto nakonfigurován tak, aby sporná rozhodnutí o tom, zda je nějaká aktivita žádoucí nebo nikoliv, ležela na uživateli. Ten pak kliknutím na tlačítko „Povolit“ nebo “Zakázat“ rozhodne o tom, zda daná komunikace z/do internetu nakonec proběhne a stejně tak rozhodne i o tom, zda dojde k zápisu do registru nebo ke zkopírování souboru do určitého adresáře.

Je zřejmé, že v některých případech může HIPS/HIDS určitou komunikaci/akci blokovat rovnou, někdy však bude rozhodnutí ležet pouze na uživateli. A zde narážíme na vůbec největší slabinu tohoto řešení, která spočívá v tom, že uživatel nemusí vždy učinit správné rozhodnutí. Obzvlášť, když je zvyklý klikat výhradně na tlačítka „Yes“ a „Continue“. Je proto žádoucí, abych těch dotazů na uživatele bylo co nejméně.

Poznámka: HIPS je k dispozici jako open source, vizte stránky OSSEC, ale stejně tak je i součástí některých antivirových řešení, která již dávno neslouží jen k detekci virů, ale veškerého malwaru.

Má někdo z vás s řešením HIPS praktické zkušenosti? Ať už s OSSEC, WHIPS, DefenseWall nebo jakýmkoliv jiným řešením? Kolik procent malwaru, který nebyl zachycen na základě signatur, HIPS detekovalo? O jaký malware se jednalo? Detekovali jste v poslední době pomocí HIPS ransomware a bankovní malware? Napište.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Co je to HIDS/HIPS a k čemu slouží” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: