Показано с 1 по 2 из 2.

Новый оборонительный рубеж: обзор популярных систем отражения локальных угроз

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166

    Новый оборонительный рубеж: обзор популярных систем отражения локальных угроз

    На своем опыте все успели убедиться в том, что антивирус не обеспечивает абсолютной защиты. Пока вирус не попадет в руки специалистов, не будет изучен и не появится сгенерированная под него сигнатура, система остается полностью беззащитной перед новыми угрозами. Поднять уровень защиты хоста на новую высоту позволит применение HIPS.

    Основная цель HIPS (Host Intrusion Prevention System, система отражения локальных угроз) - идентифицировать и блокировать вредоносные действия в системе и не допустить ее заражения. Отслеживаются все потенциально опасные операции, такие как работа с реестром (в первую очередь с ветками, отвечающими за автозапуск), файлами и каталогами, запуск/останов программ/служб, манипулирование потоками, контролируются инжекты в другие процессы и целостность системных файлов. Перехват API-функций осуществляется по типовым методикам, применяемым антивирусными мониторами, брандмауэрами, антикейлоггерами и антируткитами. При обнаружении вызова той или иной функции перехватчик передает информацию поведенческому анализатору, который принимает решение о том, допустим ли данный вызов для выполняющего его приложения или нет.

    Чтобы подстроиться под конкретную рабочую среду, в HIPS есть режим обучения. Он создает после установки слепок системы и использует его как точку отсчета. Отклонение в работе программы или появление нового процесса, пытающегося получить доступ к важным системным функциям, воспринимается как попытка проникновения, и действие блокируется. Есть и другие алгоритмы, например, в Prevx (о нем ниже) используется централизованная база, где собраны профили как проверенных (назовем их "заведомо хороших") программ, так и вредоносных. Это позволяет быстро определить характер новой программы или процесса на компьютере.

    В виду своей специфики (работа на нижнем уровне, перехват API-функций) HIPS часто "не дружат" с антивирусами и антируткитами. При выборе того или иного решения следует учитывать эту особенность.

    Здесь можно возразить: мол, зачем нам еще какой-то HIPS, если в том же Каспере уже есть модуль "Проактивная защита", реализующий нужную функциональность? Все дело в том, что движок антивируса изначально заточен под традиционный метод защиты, а HIPS идет как вкусная добавка, обладающая урезанными возможностями и включенная в продукт больше с маркетинговых позиций.

    В настоящее время доступно множество продуктов, имеющих право называться HIPS. Каждый имеет свои особенности и ориентирован на решение определенных задач. Рассмотрим самые популярные.
    дальше http://www.xakep.ru/post/50612/

    Добавлено через 5 минут

    Цитата Сообщение от SDA Посмотреть сообщение
    Здесь можно возразить: мол, зачем нам еще какой-то HIPS, если в том же Каспере уже есть модуль "Проактивная защита", реализующий нужную функциональность? Все дело в том, что движок антивируса изначально заточен под традиционный метод защиты, а HIPS идет как вкусная добавка, обладающая урезанными возможностями и включенная в продукт больше с маркетинговых позиций.

    ]
    Хочется услышать комментарии представителей антивирусных вендоров
    Последний раз редактировалось SDA; 22.12.2009 в 21:21. Причина: Добавлено

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1815
    Цитата Сообщение от SDA Посмотреть сообщение
    а HIPS идет как вкусная добавка, обладающая урезанными возможностями и включенная в продукт больше с маркетинговых позиций.
    Увы. Бета девятки KIS была с этой точки зрения особенно печальна. Возможно, сейчас что-то подлатали пакетами исправлений, но вряд ли.

    Сколько бы я ни говорил, что для разных групп пользователей нужны разные интерфейсы, одобрения эта мысль до сих пор так и не получила. Без нее же компании так и суждено пытаться удовлетворить одним интерфейсом как начинающих, так и продвинутых пользователей, что, на мой взгляд, заведомо бесперспективно.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

Похожие темы

  1. Сетевые регулировщики: обзор популярных дистрибутивов-роутеров
    От SDA в разделе Маршрутизаторы (routers), модемы xDSL
    Ответов: 0
    Последнее сообщение: 19.03.2010, 10:44

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01259 seconds with 16 queries