Технологии HIPS

Алексей Чередниченко,
ведущий консультант Symantec в России и СНГ

С развитием сетевых технологий встала острая необходимость контроля сетевого трафика. Появившиеся для решения данной задачи межсетевые экраны могут легко регламентировать доступ к различным информационным ресурсам на уровне протоколов взаимодействия, однако они не контролируют действия, которые выполняются в рамках этих разрешенных протоколов. В итоге вредоносные действия, в основном направленные на реализацию уязвимостей приложений, могут без труда проводиться в рамках нормальной работы по разрешенному протоколу. В результате необходимости контроля таких действий в рамках разрешенного регламента работы появились системы обнаружения вторжений - IDS (Intrusion Detection System). По причине значительного роста в этом направлении процесс обнаружения деструктивных действий дополнился еще более важной задачей - противодействием им. Поэтому достаточно быстро IDS-системы трансформировались в IPS (Intrusion Prevention System), то есть в системы противодействия вторжениям.

На сегодняшний день существуют два класса IPS - NIPS (Network based Intrusion Prevention System - сетевые системы противодействия вторжениям) и HIPS (Host based Intrusion Prevention System - системы противодействия вторжениям для защиты хост-компьютеров). NIPS давно стали стандартом де-факто, и рассматривать здесь мы их не будем. Остановимся более подробно на том, что представляют собой HIPS и какие технологии они используют. К тому же на текущий момент именно они являются более эффективным средством обеспечения безопасности в силу изменившихся условий. Чем же это обусловлено?

Факты, влияющие на подходы к ИБ

Аналитические отчеты об Интернет-угрозах за последний год показывают существование двух важных фактов, которые повлияют на подходы к ИБ.

Первый - это резкое повышение мобильности компаний. В результате такой тенденции сетевой периметр "размывается", и периметральная защита становится малоэффективной.

Второй факт - изменение мотивов злонамеренной активности. Если раньше нарушения ИБ были уделом самоутверждающихся либо обиженных чем-то личностей, то сейчас это хорошо построенный бизнес. Явная коммерциализация такой активности резко видоизменила тактику нарушений ИБ: попытки взлома сетевого периметра с использованием различных уязвимостей операционных систем сменились методами заманивания пользователей на предварительно подготовленные популярные Интернет-ресурсы, через которые производится взлом, применяя уязвимости Интернет-приложений, чаще всего Web-браузеров.

В результате мы приходим к выводу, что наибольшей эффективностью обладает подход, когда в качестве объекта защиты является конечный информационный ресурс.

Подходы и реализация HIPS

В качестве основы при разработке современных средств HIPS используются технологии оценки поведения приложений, запускаемых на компьютере, или так называемый поведенческий анализ. Кроме того, оценивается состояние и доступ к наиболее критичным точкам системы, которых в зависимости от реализации насчитывается от нескольких сотен до нескольких тысяч. Обычно это файлы настроек и наиболее важные процессы. Таким образом, система HIPS пытается обеспечить целостность системы и приложений, имеющих возможность деструктивно повлиять на работоспособность компьютера. Однако надо отметить, что для защиты серверов и рабочих станций существует разница в подходах и реализациях HIPS.

Как правило, для защиты рабочих мест пользователей технология HIPS применяется как часть интегрированного продукта обеспечения ИБ. Обычно такой пакет состоит из взаимосвязанных модулей, работающих как единая система, которая осуществляет антивирусную защиту, локальный контроль сетевого трафика, проходящего через сетевые адаптеры защищаемого хоста, анализ поведения процессов операционной системы и приложений.

Основной задачей является создание универсальной безопасной рабочей среды для надежной и конфиденциальной работы конкретного десктопа или ноутбука. Средства администрирования HIPS и интерфейс пользователя обычно находятся на том же компьютере.

Серверные HIPS

Для серверов средства HIPS несколько отличаются от описанных выше. И это понятно, потому что сервер, как правило, является более критичным информационным ресурсом. Количество контрольных точек на сервере обычно значительно больше, чем на рабочей станции.

Кроме того, при создании серверных HIPS пытаются обеспечить кросс-платформенность, возможность работать на разных операционных системах. Также стоит отметить, что на самих серверах устанавливаются только программы-агенты, обеспечивающие безопасность сервера, а средства администрирования и интерфейс пользователя обычно находятся на другом компьютере. Поэтому очень часто архитектурно серверный HIPS выполнен по технологии клиент-сервер, как правило, с центральной консолью управления. Необходимо отметить о стремлении обеспечить высокую гибкость при настройке работы серверных компонентов HIPS. Это нужно для того, чтобы не только максимально защитить сервер, но и не мешать работе критичных приложений, обеспечивающих его основную функциональность.