Система предотвращения вторжений на хосты (Host Intrusion Prevention System — HIPS) — это относительно новая технология защиты оконечных устройств, которая в немалой степени строится на существующих системах безопасности. Так, от антивируса HIPS унаследовала защиту от вирусов, у ПО защиты от вредоносных программ (anti-malware) позаимствовала средства выявления вредоносного кода, а от системы предотвращения сетевых вторжений — мониторинг сетевого интерфейса.
Те организации, у которых все эти элементы уже реализованы, могут справедливо удивиться: а зачем, собственно, добавлять еще один?
Однако HIPS — это нечто большее, нежели простая сумма перечисленных составляющих. Наши тестирование и анализ показали, что на текущий момент данный сегмент рынка, по-видимому, предлагает наиболее всеобъемлющие решения для защиты настольных систем. Ни один отвечающий за свои слова поставщик таких решений не гарантирует вам 100% отражения атак “нулевого дня” (zero-day), но решения HIPS наиболее близки к этому показателю за счет применения в них технологий защиты памяти и среды исполнения, предотвращающих построение злоумышленником кода в сегменте данных и его исполнение, а также за счет отслеживания случаев неавторизованного и вообще необычного доступа к файлам.
В условиях множащихся векторов атак против машин, вынужденно находящихся за пределами относительно безопасной внутренней сети предприятия, наряду с новыми мерами защиты корпоративной ИТ инфраструктуры HIPS также привносит сюда средства для идентификации и нейтрализации источников атак и укрепления ее слабых мест.
Технология эта продолжает развиваться. Нынешние предложения, однако, не обеспечивают защиты всех типов устройств — например, некоторые поставщики стремятся предложить защиту для КПК и смартфонов, но на деле этого пока еще нет. Также остаются открытыми вопросы: всегда ли необходимы агенты HIPS? не являются ли они чересчур навязчивыми? и вообще, как HIPS проделывает свои “фокусы”?
Чтобы найти ответы на некоторые из этих вопросов, мы исследовали продукты компаний Determina, ISS и McAfee (см. nwc.com/2006/1005), и оказалось, что какого-то единого подхода к HIPS не существует, поскольку поставщики приходят в эту область из разных сфер деятельно-сти и с различным опытом. Общим знаменателем для них является уровень защиты (который их продукты обеспечивают вашим серверам и настольным системам), превышающий все, что предлагалось до сих пор.
Вы все еще не уверены, нужна ли вашей организации система HIPS? Рассмотрим такой сценарий. Новое вредоносное ПО (malware) проникло через ваш межсетевой экран — скажем, его по неведению скачал пользователь. Теперь, когда оно уже внутри, ваша система NIPS (предотвращающая сетевые вторжения) не позволит ему распространиться по сети, правильно? Но вредоносное ПО, маскируясь под обычный сетевой трафик, медленно расползается по всей вашей организации, по пути инсталлируя “клавиатурные шпионы” (перехватчики нажатий клавиатуры — keylogger) для сбора недурной коллекции паролей, и сообщает, кому надо, всю эту информацию по HTTP, так что ваш фильтр контента видит всего лишь какой-то “мусор”, а не набор паролей, к тому же передаваемый по разрешенному протоколу. Или, что еще ужаснее, это ПО передает вовне в зашифрованном виде информацию о кредитных картах ваших клиентов.
Эти вирусные технологии всегда тут как тут. Одно-единственное опрометчивое скачивание — и для вас начнется настоящий кошмар.
Что день грядущий нам готовит
В развитии технологии бывают интересные моменты, оторвитесь немного от текучки, взгляните вперед на несколько лет, и вы увидите проблески будущего. Для нас же будущее — за HIPS.
Антивирусы по сути своей не изменились за последние 10–15 лет. Конечно, их поставщики постоянно обновляют БД сигнатур и совершенствуют средства сканирования, но ничего принципиально нового они не изобрели — антивирусное ПО по-прежнему выполняет антивирусное сканирование по команде. Разумеется, некоторые поставщики инициируют такую команду прозрачно для пользователя — при записи файла на диск или пересылке по электронной почте, но все равно это та же самая технология, только задействуется она по-другому. Большинство антивирусов, как и раньше, используют сигнатуры, хотя в некоторых продуктах реализован принцип анализа поведения программ.
А теперь обратимся к HIPS.
Эти продукты в основном выполняют те же операции, что и антивирусное ПО, но добавляют к уже имеющемуся их арсеналу возможность выявлять “скверное поведение” приложений во время их выполнения, находить входящие в систему, будь то сервер или ПК, потоки, не укладывающиеся в нормальные рамки IP-коммуникаций, а также “выслеживать и отстреливать” вредоносное ПО.
Куда придет этот рынок лет через пять? Будет ли он предлагать решения для домашнего или корпоративного пользователя, но антивирусы в том виде, в каком мы их сейчас знаем, прекратят свое существование. Пользователям нужна всеобъемлющая защита, требующая от них проводить как можно меньше инсталляций и обновлений ПО. Если HIPS обеспечит защиту не хуже, чем антивирусы, но при этом предоставит дополнительную функциональность, то исчезновение антивирусов представляется неизбежным.
Одна только защита от переполнения буфера оправдывает переход с антивирусного ПО на HIPS. Программисты не в состоянии предусмотреть все возможные условия возникновения переполнения. Таким образом, иметь в своем распоряжении автоматическую систему, отлавливающую переполнения в момент их возникновения, гораздо предусмотрительнее, нежели прибегать к практике реагирования на совершившиеся атаки.
У вас, разумеется, уже имеется антивирусное ПО, и, вполне возможно, недорогое. Но что для вас главное — экономия денег или наилучшая защита? Программисты, как и все люди, совершают ошибки — это неизбежно. Управление рисками станет только тогда эффективным, когда организации будут принимать данное обстоятельство в расчет.
Камни преткновения
Конечно, покупка такой системы сейчас — определенный риск. Любой сегмент рынка должен пройти через этап взросления. И HIPS не исключение.
Прежде всего еще нет согласия по поводу того, что собой представляет HIPS. Должна ли она включать проверку переполнения буфера? А если она не отслеживает порты с целью выявления поведенческих аномалий, то не является ли такая система всего лишь слегка усовершенствованным антивирусом? Кое-кто уверен, что продукт с некоторым сетевым элементом — сканером портов, потоков или трафика — уже имеет право носить имя HIPS. Путаницу еще больше усугубляет то, что многие поставщики предлагают специализированные HIPS-решения для определенного серверного ПО.
Неудивительно, что отделы ИТ предприятий и организаций, стремящиеся найти обоснования для внедрения HIPS, со скепсисом относятся к заявлениям поставщиков. Продукты, предназначенные для защиты приложений, не являются HIPS-решениями. Они обеспечивают защиту конкретного приложения. Предохраняя БД SQL Server от взлома, такая система оказывает мне неоценимую услугу, но не защищает при этом сам хост.
А теперь некоторые поставщики вдобавок к перечисленному соединили защиту приложений с HIPS-функциональностью, но это скорее отличительная, а не определяющая характеристика их продукции. Базовая HIPS-функциональность сводится к защите хост-системы — и точка. Защита портов, памяти, а также (что бы там ни говорили!) антивирусная защита и защита файлов/реестра — вот базовые функции HIPS. Все прочие средства — это всего лишь добавления; они вполне могут стать источником дополнительного дохода — ну и на здоровье, если поставщик проявит ловкость.
HIPS промолчит
У пользователей имеются некоторые опасения по поводу оказываемого HIPS негативного влияния на производительность систем. Тут-то и должны проявить себя с лучшей стороны поставщики и на деле доказать, что такие опасения беспочвенны, либо, честно взглянув в лицо проблеме, помочь пользователям осознать все предстоящие расходы. Судя по результатам нашего тестирования, мы думаем, что влияние на производительность, конечно, будет ощутимым, но нечрезмерным. Все, что нам нужно, так это реальные цифры от поставщиков: сервер, работающий с 60%-ной нагрузкой на ЦПУ, с трудом вынесет еще 5% сверх этого, но настольная система с нагрузкой 1–2% спокойно выдержит HIPS.
Другая проблема, которая должна серьезно беспокоить поставщиков, — это опасения пользователей, что HIPS станет для них помехой в выполнении их обычных задач. В нашем опросе почти 50% респондентов, пользующихся HIPS, заявили, что столкнулись не с одной жалобой от сотрудников (см. nwcanalytics.com). Кое-что из того, что делает HIPS, особенно в области защиты памяти, происходит без оповещения пользователя о предпринятых ею корректирующих (remedial) действиях. Представьте, вы сохраняете файл, а Excel вам “заявляет”: “Запись на диск невозможна” (“Cannot write to disk”) — без дальнейших объяснений. Скверно, особенно, если, скажем, этот файл — финансовая смета вашей организации.
Такого рода опасения сопровождают любой продукт со словом “предотвращение” в названии; поставщики должны выяснить, что не в порядке, и устранить проблему прежде, чем она приведет к замедлению развития технологии, которая, как мы считаем, знаменует собой шаг вперед в деле защиты информационных систем. И ситуацию совсем не делает более простой тот факт, что эту “навязчивую” технологию вам придется развертывать на всех настольных системах в вашей организации.
И последняя — и, наверное, самая пугающая — проблема с HIPS связана с уведомлением об остановке того или иного процесса. Если система HIPS, запущенная не в режиме обучения, обнаружит кусок кода или поток, поступающий на машину, и решит, что он носит враждебный характер, то она попросту его прервет.
Угадайте, какую функцию при этом не выполняют некоторые из этих продуктов? Они не уведомляют пользователя! Какие-то из них предупреждают об атаках, некоторые — обо всех, но большинство не уведомляет о предотвращенной угрозе. Ваши документация, годовой отчет, рекомендация босса о продвижении по службе… да, вам, поскольку вы пользователь, следовало бы знать, что ваш запрос на сохранение или отправку файла электронной почтой не был выполнен, как ожидалось. В процессе нашего тестирования (см. “Системы предотвращения вторжений на хосты: результаты тестирования”) выяснилось, что HIPS обычно не пре-дупреждает пользователя о том, что прерывает поток или процесс либо закрывает порт. Вместо этого HIPS, вероятно, “рассчитывает” на то, что приложение само обнаружит сбой и сообщит о нем пользователю.
Мы считаем, что это основной недостаток продукта. Конечно, HIPS работает в фоновом режиме и ей пришлось бы “попотеть”, чтобы корректно идентифицировать каждое приложение и функцию, которые она останавливает. Но мы все же хотим получать уведомления. Полагаться на то, что неведомое приложение предупредит ИТ-службу или конечного пользователя о том, что такая-то функция не сработала, — значит почти наверняка “убить” и продукт и всю технологию.
Когда вы будете рассматривать варианты HIPS с целью приобретения, в число обязательных опций включите поддержку уведомлений. А помимо этого, настаивайте на получении списка приложений, протестированных поставщиком HIPS, чтобы быть уверенным, что пользователь не останется в неведении, если его задание будет отвергнуто. Это все же лучше, чем ничего, — вам, конечно, по-прежнему придется беспокоиться о приложениях, разрабатываемых в вашей организации и не упомянутых в списке, но вы хотя бы будете иметь представление о том, что может пойти не так.
Режим обучения
Для выполнения некоторых HIPS-функций системе требуется “пройти обучение”, чтобы “понять”, что является нормой. Обучение осуществляется путем наблюдения за происходящими событиями в сети и на машине и протоколирования аномального поведения. Сотрудники отдела ИТ должны либо “показать” системе, какое “поведение” допустимо, либо предоставить системе решать это самой. Это молчаливое признание того факта, что наши системы и их разработчики несовершенны, что дает ИТ-службе возможность ска-зать: мол, “данный трафик через порт 1337 хороший — просто это один из наших разработчиков развлекался”.
Режим обучения — превосходная идея, но у нее есть некоторые недостатки. Поинтересуйтесь у поставщика необходимо-стью в “переобучении” в случае серьезных (или незначительных) системных обновлений. HIPS наблюдает за доступом к памяти, портам, файлам и реестру — значит, переобучение может потребоваться даже после обновления приложения, например после установки заплаты Internet Explorer. Если изменения вы вносите часто и не хотите тратить силы и выделять ресурсы на переобучение HIPS, то вам лучше выбрать продукт, характеризующийся большей “реактивностью” и менее зависимый от поведенческой БД, либо вы можете отключить режим обучения после первоначальной инсталляции и при внесении обновлений проверять установки в вашей тестовой среде.
Нам понравился режим обучения, и мы считаем, что и переобучение стоит затраченных на него часов. Сопровождение вручную часто приводит к ошибкам и отнимает много времени. Лучше дать возможность системе самой выяснить все, что она сможет, а затем результат подправить.
Системный подход
Пакеты HIPS обеспечивают широкий охват системных ресурсов — от сетевых карт до содержимого оперативной памяти. Но это также означает, что им присуща некая, так сказать, “навязчивость”. Как только вы поместите сетевой драйвер в цепочку контролируемых драйверов и задействуете функцию перехвата, чтобы позволить HIPS останавливать и запускать потоки, вы тем самым перейдете грань, отделяющую приложение от сервиса.
И не только это. Такого рода продукты работают прямо на пути выполнения программ (execution path), отслеживая переполнения буфера и построение кода в сегментах данных. Они жестко “привязаны” к защищаемой ОС. Поэтому обновления Windows могут привести к тому, что ваши настольные системы утратят защиту или, что еще хуже, ОС вовсе перестанет загружаться. Ну что ж, мы же не обещали, что защита для всей системы достанется вам даром.
В данном случае платой станет требование постоянного координирования основных системных обновлений (включая все, что меняет базовый код ОС) с поставщиком HIPS, либо тестирование изменений на совместимость с HIPS для выявления тех из них, что могут вызвать проблемы. Ну и, разумеется, реализация HIPS может замедлить ваш цикл модернизации ПО. Но мы не считаем это чрезмерной платой, ведь, судя по имеющимся у нас реальным данным, HIPS хорошо справляется с защитой от уязвимостей “нулевого дня”: респонденты нашего опроса — это практики, и все они были согласны с тем, что HIPS свое дело делает.
Кроме того, все поставщики, с которыми мы беседовали, выработали весьма агрессивные графики тестирования своих продуктов, поскольку признают существование этой потенциальной проблемы. Они обещают вовремя отслеживать основные обновления к ОС и проверять совместимость с ними своих приложений, чтобы не рисковать потерей своего бизнеса. Раз уж это лучшее, на что мы можем рассчитывать (за исключением, пожалуй, уменьшения числа обновлений), то будем считать, что все хорошо.
Обеспечьте управление
Как и в отношении любой другой технологии, предназначенной для широкого развертывания в корпоративной среде, успех внедрения HIPS невозможен без централизованной консоли управления. Большинство поставщиков либо уже имели ранее какое-то приложение централизованного управления, либо разработали его как составную часть первоначального HIPS-предложения. Различаются ли такие решения поставщиков между собой? Не особенно. Действительно важные вещи, такие, как централизованное управление, они обеспечивают.
Наилучшие продукты, например от компаний McAfee и ISS, позволяют устанавливать политику безопасности на корпоративном уровне с исключениями на уровне отдельных машин. Менее функциональные приложения управления требуют для работы наличия центрального сервера, т. е. защищаемая машина должна всегда находиться в корпоративной среде, что на практике не всегда выполнимо.
И наконец, некоторые поставщики, в том числе и ISS, подключили к своим продуктам разнообразные внешние средства управления идентификацией для обеспечения управления группами машин на базе имеющихся корпоративных конфигураций, тогда как другие — предпочли обеспечивать группирование встроенными средствами. Но поскольку HIPS обеспечивают защиту машин, а не пользователей, то мы не видим особого преимущества ни у одного из этих подходов. Однако организации, где все машины определены и сгруппированы на сервере управления идентификацией, могут счесть неприемлемым требование перейти на что-либо другое..
Автор Дон Маквитти
Вязто с Сети и системы связи