28 Ağustos 2015 Cuma

Host-based Intrusion Prevention System (H.I.P.S)


(Host-based Intrusion Prevention System)
(Bilgisayar-tabanlı Atak Önleme Sistemi)

   Güvenlik duvarları (Firewall) ve Anti-Virüs yazılımları kurulu oldukları bilgisayarları (ev sahiplerini yani “Hostları”) korumak için iletişim verilerinden oluşan paketleri izleyip inceleyerek anlık iletişimi ve verileri iyi veya kötü olarak tanımlamaya çalışırlar. Bazı güvenlik duvarlarının ve anti-virüs yazılımlarının tamamlayıcı bir unsuru ise atak tespit ve önleme sistemleridir.


   Benzer tekniği kullanan sistemler için; IDS (Intrusion Detection System - Atak Tespit Sistemi), IPS (Intrusion Prevention Systems - Atak Önleme Sistemi), HIDS (Host-based Intrusion Detection Systems - Bilgisayar tabanlı Atak Tespit Sistemi), HIPS (Host-based Intrusion Prevention Systems - Bilgisayar tabanlı Atak Önleme Sistemi) gibi benzer isimler kullanılmıştır. Aralarında teknik olarak bazı ufak farklılıklar olsa da, temel çalışma mantıkları, kullandıkları yöntem, amaç ve hedefleri benzerdir. Dolayısı ile, bu gruba “Atak Tespit ve Önleme Sistemleri” (IDPS - Intrusion Detection and Prevention Systems) demek doğru olacaktır.

   HIPS olarak ifade edilen bilgisayar tabanlı atak önleme sistemlerinin daha çok odaklandığı ve diğerlerinden ayrıldığı konu ise; iletişim ağındaki trafiğin analizinden çok, bilgisayar sistemi üzerindeki (kurulu oldukları ev sahibi bilgisayar yani “Host” üzerindeki) faaliyetlerin izlenmesi ve gereken alarmların verilmesi şeklindedir.

   Bilgisayar tabanlı atak tesbit ve önleme sistemleri, bilgisayara yüklü uygulamaların (programların) çalışmalarını izleyerek bilgisayarı riskli durumlara karşı korumaya çalışırlar. Atak önleme sistemleri; veri paketlerine, servis ve kaynakları kullanan çağrılara ve diğer sistem faaliyetlerine bakarak çalışan uygulamaların ne yaptığını anlamaya çalışır. Bu analizler belirli şartların tanımlandığı kurallar (rule) ile eşleştirilerek yapılabildiği gibi, bazı kritik faaliyetler için tanımlanmış derecelendirmeler ile de yapılabilir. Bu gözleme ve analizler sonucunda atak tespit ve önleme sistemleri belirlenmiş parametre ve şartlara göre kötü olduğu kesinleşen faaliyeti durdururlar. Şüpheli durumlarda ise, bilgisayar kullanıcısını uyararak izlenen faaliyetin devamına veya durdurulmasına onun karar vermesini sağlarlar.

Atak tespit ve önleme sistemleri anti-virüs veya anti-spyware yazılımları gibi sürekli güncellenen bir zararlı (veya virüs) izleri veritabanına (Virus Signature Database) bakarak çalışmazlar. Atak tespit ve önleme sistemlerin temel çalışma mantığı “pro-aktif” ‘dir. Yani, zararlının veya atağın tespiti için karşılaştırma yapacağı bir örnek yoktur, sadece daha önce bahsedildiği gibi sürekli yapılan faaliyetleri izleyerek belirli şartların sağlanması durumunda harekete geçerler, engellerler veya uyarırlar.

Atak tespit ve önleme sistemleri ilk başlarda kurumsal alanda kullanıldı. Bağımsız (standalone) veya bir network donanımına (switch, router) ilave edilen modüller veya yazılımlar ile kullanılan atak tesbit ve önleme sistemleri ağırlıklı olarak iletişim ağı (network) için düşünülmüştü. Daha sonra sunucu (server) ortamı için bilgisayar tabanlı atak tesbit ve önleme yazılımları kullanıldı. Günümüzde artık masaüstü bilgisayarlar içinde değişik çözümler mevcut hale geldi.

   Evlere kadar ulaşan kişisel bilgisayarlarda da bir yerde minyatürüze edilerek farklı firmalar tarafında HIPS, HIDS, IDS veya IPS gibi isimler ile ortaya çıktılar. Yine bu gelişimin başında daha çok kişisel güvenlik duvarlarına (personal firewall) ilave bir özellik olarak kullanılmaya başladılar. Daha sonra, atak tespit ve önleme sistemlerinin kısıtlı özellikleri antivirüs yazılımlarının içine entegre edilmeye başladı.

Kişisel bilgisayarlar için için düşünecek olursak;

   Antivirüs dünyası için HIPS kullanımının gelişmekte olduğu söyleyebiliriz. Benzer güncel teknikler; Panda (TruePrevent), McAfee Enterprise, F-Secure (BlackLight), Norman (Sandbox) ve KAV/KIS 6.0 (ProActive Protection) gibi tanınmış yazılımlarda kullanılmaktadır. Program ve program modüllerinin ve registry kayıtlarının izlenmesi olarak gerçekleştirilen kontroller HIPS yazılımın özelliklerine benzer bir güvenlik sağlamaktadır. Windows Vista ile birlikte 64-bit ortamını da destekleyen gelişmiş HIPS özellikleribe sahip antivirüs yazılımlarını; Symantec, Sophos ve McAfee’de çıkardılar ve 64-bit ortamı içinde geliştiriyorlar. Elbette çok popüler antivirüs ürünleri dışında HIPS kullandığını söylemeyenlerde yok değil, mesela; Viguard, ClamAV gibi. Bazılarına göre de, iyi bir antivirüs’ün yine kaliteli bir sezgisel (heuristic) motoru/çekirdeği (engine) HIPS özelliklerini görebilir. Zaten bazı antivirüs yazılımlardaki sezgisel (Heuristic) motorların kullandıkları teknikler de HIPS teknikleri ile yapılandan çok farklı şeyler değildir, kısmende olsa HIPS yazılımları ile yapılanların benzerleri karşımıza çıkmaktadır.

   Asıl HIPS veya NIPS (Network Intrusion Prevention System - İletişim ağı Atak Önleme Sistemi) özelliklerini yaygın olarak gördüğümüz ürünler güvenlik duvarlarıdır. Zaten atak tespit ve önleme sistemleri antivirüs yazılımlarından çok daha önce güvenlik duvarlarında (firewall) kullanılmaya başlanmıştı. Kişisel güvenlik duvarlarında HIPS/NIPS veya yakın benzerini kullananlar içinden en bilinenleri; Kerio Personal Firewall 4, Norton Personal Firewall, Tiny Personal Firewall, Agnitum Outpost’dur. Bunlara başkalarıda ilave olabilir.

   HIPS, NIPS ve antivirüs yazılımlarında kullanılan sezgisel (Heuristic) özelliklerin artık birbirine karışmaya başlaması ile birlikte birçok ürün tüm bu tekniği tek bir ifade altında birleştirmeye başladı. “Pro-aktif Güvenlik” (Proactive Defense) olarak anlamını bulmaya başlayan güvenlik tekniğigünümüzde çok daha önemli bir hale geldi. Pro-aktif güvenlik unsurlarının ve teknolojisinin amacı da aslında, iletişim ağı ve bilgisayar sistemindeki hareketlerin ve verilerin izlenerek; belli şartlara, öngörülere ve derecelendirmelere göre iyi veya kötü analizlerinin yapılarak, faaliyetin engellemesi veya gerekli uyarıların verilmesidir.

   Atak önleme sistemleri kategorisi içinde birçok yazılım vardır. Bunların içinde masaüstü kişisel bilgisayarlarda kullanılabilecek tanınmış ve öne çıkanlar; “McAfee Host Intrusion Prevention”, “Internet Security Systems - BlackIce” ve “Snort” örnek gösterilebilir. Bunların dışında HIPS özellikleri taşıdığı söylenen bir çok yazılımda mevcut. Sadece HIPS özelliklerini kapsayan ve değerlendiren bir test ve inceleme olmadığı için bu işi hangisi daha iyi beceriyor bilemiyoruz, ancak yazılımların HIPS tekniği içinde değerlendirilen özellikleri kullandıklarını söyleyebiliriz. McAfee, Symantec (Sygate), Kerio, Outpost, Tiny gibi tanınmış yazılımların masaüstü kişisel bilgisayarlarda uzun süredir kullanılıyor olması nedeni ile bir tecrübe ve bilgi birikimi var. Yazılımların ne kadar HIPS özelliklerini taşıyor bilemiyoruz. Çünkü daha önce ifade edildiği gibi, artık bu tip güvenlik özellikleri “pro-aktif güvenlik” olarak ifadesini bulan yeni bir teknik içinde değerlendirilmeye başlanıyor.

HIPS yazılımlarının ücretsiz olanları içinde en ilgi çekici olanlarından başlarsak;
- AntiHook SDK
- http://free.prevx.com
- http://www.diamondcs.com.au/processguard
- syssafety.com
- Libero - Community - I siti personali

   Ücretsiz olanlar içinde yukarıdakiler daha fazla tercih edilen HIPS yazılımlarıdır. Ücretli olan ve başka birçok HIPS özellikleri taşıyan benzer yazılımlar da var elbette.
Ücretsiz seçeneklerde yer HIPS yazılımların çoğu kullanıcıya göre değişmektedir kullanım açılarından ve yazılım dili açısından.İnternette araştırın bu konu ile ilgili bir çok yazılım mevcut.

   HIPS yazılımları kullandıkları teknikler nedeni ile farklılıklar gösterdiklerinden değişik şekillerde sınıflandırılabilir.;

Anormallik analizi yapanlar;
- AbuseShield
- AllSeeingEye
- AntiHook
- AppDefend/GhostSecurity Suite
- BrowserSentinel
- CyberHawk
- Dynamic Security Agent
- NeovaGuard
- Ossurance Desktop
- Parador Security
- Primary Response SafeConnect
- ProSecurity
- ProcessGuard
- Safe’n'Sec
- SafePC
- Securitask2005
- SensiveGuard
- Softclan Integrity/Softclan Security Suite
- System Safety Monitor
- ThreatMon
- WinPooch

İz/imza veritabanı (signature) kullanıp anormallik analizi yapanlar;
- A2 (A-Squared)
- Online Armor
- Safe’n'Sec Plus
- SpyWall
- WinPooch (ClamWin)
- KAV6 ve KIS6 ‘daki HIPS’de bu sınıfa sokulabilir.

Beyaz liste (White list), suistimal ve anormallik analizi yapanlar;
-PrevX

Sadece beyaz liste analizi yapanlar;
- Abtrusion Protector
- Anti-Executables
- Zorro PC Protector

Bütünlük/doğruluk kontrolü ve anormallik analizi yapanlar;
- Invircible
- Viguard

Beyaz liste ve/veya virtualization (kaynakların özelliklerinin gizlenmesi) ve/veya sandboxing (çalışma ortamı için sınırlanmış bir alan yaratılması) ve/veya politika kısıtlamaları tekniklerini kullananlar;
- CoreForce
- DefenseWall
- GesWall
- SandBoxie

Sadece virtualization (kaynakların özelliklerinin gizlenmesi) tekniğini kullananlar;
- BufferZone
- GreenBorder
- V-Elite
- Virtual Sandbox

Bunların dışında sadece; “rootkit” (kritik sistem dosyalarını değiştirip bilgisayara dışardan erişilmesini sağlayan ve gizleyen zararlılar), “zero day attack” (sıfır gün atağı), “buffer overflow” (tampon bellek taşmaları), “data theft attacks” (bilgi/veri çalma atakları) v.b. gibi özel durumlara ve risklere yönelik HIPS yazılımları da var.

Rootkit’ler için;
- Helios
- Gmer

Sıfır gün atakları veya güvenliği için;
- SocketShield
- PreEmpt

Tampon bellek taşmaları için;
- AttackShield
- BufferShield
- BoWall
- DefensePlus
- StackDefender
- WehnTrust

Bilgi/veri çalma atakları için;
- DeviceLock
- DeviceWall
- MobileGov

   Yukarıdakiler sadece örnek olarak verilmiştir, burada ismi geçmemiş daha birçok kendi başına çalışan (standalone) veya bir firewall (güvenlik duvarı) veya bir antivirüs ile bütünleşik bilgisayar tabanlı atak önleme yazılımı olabilir.

   “Atak Tespit ve Önleme Sistemleri” ‘de apayrı bir dünya. Kişisel bilgisayarlar üzerinde çalışan çok değişik türde bilgisayar tabanlı atak önleme yazılımları var. Genellikle atak tespit ve önleme yazılımlarının çoğunun yaptığı iş/analiz ve metodoloji aynı olmayabiliyor. Bunların ne derece başarılı ve yeterli olduklarını söylemek ve birbiri ile karşılaştırmak, bugünlerde bu kavramlar yeni ve gelişmekte olduğu için biraz zor. Güvenlik alanında HIPS, NIPS v.b. gibi teknolojileri de içeren “pro-aktif güvenlik” sağlayan ürünler, kimi zaman kendi başına, kimi zaman bir ürünün içinde, niteliksel ve niceliksel olarak yaygınlaşmaya başlamıştır.

   Benim sadece atak tespit ve önleme amaçlı olarak kullandıklarım ve beğendiklerim; “McAfee HIP”, “BlackIce”, “ProcessGuard”, “System Safety Monitor” yazılımlarıdır. “McAfee HIPS” özellikle bana daha çok güven veren bir yazılım olmuştu, zaten test ve incelemelerde öne çıkıyor, ancak ağırlıklı olarak kurumsal bir ürün olduğundan ev kullanıcısı için ne kadar anlamlı olabilir bilemiyorum. BlackIce’ı uzun bir süre kullanmıştım ve hatta sunucu (server) sürümlerinide kurmuş kullanmıştık ve windows ortamında çok memnun kaldığımız bir yazılım idi. Sadece Unix ortamında bilgisayar kilitlenmeleri gibi ciddi sorunlara neden olmuştu. Daha çok doğruluk/bütünlük kontrolü yapan bir algoritmaya sahip. “ProcessGuard” biraz hakimiyet ve üzerinde kontrol gerektiren bir yazılım, biraz bilgisayar konusunda bilgili ve bilinçli olunmasını gerektiriyor. “System Safety Monitor” yazılımıda başarılı ücretsiz bir yazılım, ancak onunda “ProcessGuard” gibi bilinçli ve dikkatli kullanılması gerekiyor. “ProcessGuard” ve “SSM” verilen uyarıları doğru anlamak ve yanlış birşey yapmamak için öğrenilmesi gereken yazılımlar.

   Bunların dışında; kişisel firewall olarakta “Kerio Personal Firewall” ise NIPS ve HIPS içeren, diğerlerinden farklı bir firewall. “Agnitum Outpost” içinde atak tespit özelliği olan bir firewall, ne derece iş görüyor emin değilim, çoğu insan Outpost ile birlikte başka bir HIPS yazılımını kullanmayı tercih ediyorlar. Norton’un personal firewall’ındaki atak tespit ve önleme sistemi ciddi bir araştırma yapmamış olsam da kullandığım süre boyunca sanki Kerio ve Outpost’tan daha iyi gibi geldi bana. Norton Personal Firewall NIPS ve HIPS özelliği içeren ve ilginç bir şekilde atak tiplerini güncelleyen bir firewalldı. Beğeni anlamında; NIPS ve HIPS anlamında Norton’dan sonra Kerio’yu koyabilirim, en sonra da outpost.

   HIPS özellikleri yazılıma kendi başına bir karar verme olanağı verdiğinden, atak uyarılarının yanlış tespit/uyarı/alarm (false positive) olma olasılığı da artıyor. Ve bu nedenle de birçok firma HIPS yazılımlarında daha çok kullanıcıyı uyarma ve onun tercihine göre önlem alma yolunu seçiyorlar. Teknolojinin tam oturmadığı ve güvenlik açıklarının sürekli artarak çeşitlendiği bir dönemde HIPS özelliğine sahip olduğu ifade edilen bir yazılımın kendi başına karar verip kullanıcıya müdahale şansı vermeden bir eylemi gerçekleştirmesi de aynı derece risk taşıyor. Genellikle kullanıcı tarafından öngörülmüş ayarlar ve zamanında uyarılar ile kullanıcıya tercih yaptırma metodunu kullananlar çoğunlukta. Ve sanırım içinde bulunduğumuz dönemde en doğru olanı da bu. Ancak, kullanıcılarında HIPS yazılımının fonksiyonlarını, ne için neyin yapılması gerektiğini iyi biliyor olması lazım. Yoksa, yanlış veya bilinçsiz bir kullanım bilgisayardaki bazı fonksiyonların iptaline veya durmasına ya da atak nedeni ile zarar görülmesine neden olabilir. Yazılımların HIPS özellikleri geliştikçe bilgisayar kullanıcılarında bu tip yazılımlara hakimiyetlerinin artması şart. Ve elbette kullanıcının hakimiyetinin artması içinde yazılımın Türkçe olmasının önemi büyük.


   Masaüstü bilgisayarlarda HIPS, NIPS, Sezgisel tanımlama gibi teknikleri artık “pro-aktif güvenlik” başlığı altında tanımlamak gerekiyor. Çünkü, artık gelişen teknoloji, yeni atak türlerinin ve güvenlik açıklarının ortaya çıkması ile birlikte bu kavramlar iyice birbiri içine girmeye başladı. Nereye kadar HIPS, nereye kadar sezgisel tanımlama, nereye kadar NIPS olduğunu ayırmak gittikçe güçleşiyor veya gereksiz olmaya başlıyor. Zaten HIPS içinde kullanılan tekniklerde farklılıklar gösteriyor, her yazılım genel HIPS özelliklerinin sadece bir kısmını kullanıyor. Bu doğrultuda güvenlik sektöründe gelişmeler genel olarak “pro-aktif güvenlik” başlığı altında toparlayabileceğimiz bir alanda daha fazla hissediliyor. Birçok firewall ve antivirüs gibi üründe bu teknikleri kullanan ürünler var ve gün geçtikçe daha fazla karşımıza çıkıyor. Elbette bir kişisel güvenlik duvarında veya antivirüs yazılımında HIPS veya NIPS özelliklerinin olması bilgi güvenliği için önemlidir. Kişisel güvenlik duvarlarında NIPS özelliği olmalı, HIPS ise ayrı bir yazılım olarak ve/veya yine kişisel güvenlik duvarı ve/veya antivirüs yazılımının bir özelliği olarak yer almalıdır. Pro-aktif güvenlik özellikleri, birçok güvenlik yazılımının bir bileşeni veya yazılımın temel çalışma tekniği olarak karşımıza çıkıyor. Yani artık güvenlik alanında daha çok “pro-aktif güvenlikten” bahsedeceğimiz bir dönemi yaşıyoruz ve yaşayacağız.


==Yazımız ilerleyen değişkenliğe göre güncellenecekdir.==




Blogumuza Abone Olun
Yeni Yazılar E-posta Adresinize Gelsin
Not: Gelen Maili Aktif  Etmeyi Unutmayınız!

Hiç yorum yok:

Yorum Gönder