|
Host Intrusion Prevention System (HIPS), sunuculara ve istemcilere gelen tüm ataklarý engellemek üzere tasarlanmýþtýr. HIPS bir güvenlik yazýlýmýdýr ve kaynaklarý korur. HIPS ürünü ataðýn nerden geldiði ile ilgilenmez. Internet’ten, lokal aðdan ya da sunucu üzerinden… Önemli olan atak ve hedefidir.
Eskiden Host Intrusion Detection ürünlerinde sadece bir atak bilgi bankasý bulunuyordu. Yeni türemiþ ataklarý engellemek için bu ürünlerin güncellemeye ihtiyacý bulunurdu. HIPS ürünleri ise güncellemeye ihtiyaç duymaksýzýn ataklarý anlayabilir ve engelleyebilir þekilde tasarlandý. Sýfýr gün korumasý (Zero-Day Protection) HIPS ürünleri ile doðmuþ bir güvenlik stratejisidir ve güncellemeye ihtiyaç duymadan, güvenlik açýðýnýn tespit edildiði anda sistemlerin koruma altýnda olmasýný ön görür.
HIPS ürünlerinin tamamýnda bazý ortak özellikler bulunmaktadýr. Bunlardan en önemlisi Buffer Overrun Protection özelliðidir. Bir önceki sayýmýzda Coþkun Kamiloðlu Buffer Overrun ataklarýnýn nasýl yapýldýðýný anlatmýþtý. Sql Slammer, Nimda, Blaster, Code Red gibi solucanlar da buffer overrun tekniðini kullanýr ve bu ataklar HIPS tarafýndan korunan sunucu ve istemcilerde etkisiz kalýr.
HIPS ürünlerindeki diðer önemli bir özellik kaynak korumasýdýr. Örneðin asp veya html gibi web sayfalarýný koruma altýna alarak izin verdiðimiz kimseler haricinde deðiþtirilmesini engelleyebilir, web defacement’ýn önüne geçebiliriz. Ayrýca Windows Registry’sini tam olarak koruma altýna alabiliriz. Kullanýcý kendi bilgisayarýnda Administrator yetkisine sahip olmamasýna karþýn solucanlar standart Windows güvenliði kýrabilir ve kendilerini Registry kayýtlarýna ekleyebilirler. HIPS ürünleri bu tarz istenmeyen yazýlýmlarý güncelleme gereksinimi olmadan engellemek için tek yöntemdir.
HIPS ürünlerinin bazýlarýnda, deðiþik platformlar için deðiþik versiyonlar sunulmaktadýr. Örneðin SQL 2000 kullanan bir sistemde SQL ataklarýný engellemek, IIS kullanan bir sistemde hem IIS metabase’ini hem de http protokolünü HIPS denetimi altýna almak mümkün.
HIPS ürünleri önceleri sunucular için tasarlandý ve agent baþýna 1500$-2500$ fiyat aralýðýnda satýþa sunuldu. Daha sonra, özellikle laptop kullanýcýlarýnýn artmasý ile HIPS ürünlerinin istemci versiyonlarý üretildi ve 300$ fiyatla satýlmaya baþlanmýþtý.
Bugün ise sunucu versiyonlarýnda liste fiyatlarý 800$’a kadar gerilemiþ durumda. Ýstemci versiyonlarý ise 20$-30$ fiyat aralýðýndan satýlýyor. Hatta McAfee Desktop Firewall ürününü sonlandýrýp yerine tüm müþterilerini Desktop Firewall’un tüm özelliklerini de barýndýran McAfee Host Intrusion Prevention ürününe geçirmeye baþladý. Ayný þekilde McAfee HIPS, standart antivirus paketlerinin bazýlarýnda ücretsiz olarak veriliyor ve tüm güvenlik yazýlýmlarýnýn tek noktadan yönetimi saðlanýyor.
Peki bir HIPS ürünü seçerken nelere dikkat edeceðiz?
Öncelikle HIPS ürününü mevcut güvenlik yazýlýmlarý ile ayný platformda yönetmeliyiz. Çünkü her bir yönetim yükü ürünün iþlevselliðini azaltýr ve yürütme maliyetini arttýrýr. Tek bir yönetim konsolu ile 100.000 bilgisayardaki HIPS ve Antivirus yazýlýmýný yönetmeyi mümkün kýlan ürünler mevcut.
Önemsememiz gereken ikinci nokta imza bilgi bankasý. Bilgi bankasý olmayan HIPS ürünlerinin ürettiði raporlarda atak türleri hakkýnda detay bulunmuyor. Koruma altýnda olmamýza raðmen sistemimize gelen ataklarý istatistiksel olarak takip etmeli ve gerekli önlemleri almalýyýz.
HIPS ürünlerinin bazýlarýnda að seviyesi korumasý oldukça zayýftýr. Özellikle web ve e-mail sunucularýmýz için að seviyesi güçlü HIPS ürünleri kullanmalýyýz.
Alacaðýmýz ürünün direk olarak NIPS ürünü ile entegre olmasý ya da bir Security Management ortak platformunda birlikte raporlamayý saðlamasý toplam güvenlik yönetimi için vazgeçilmez bir unsurdur. Raporlama ve yönetim entegrasyonunu mutlaka göz önünde bulundurmamýz gerekiyor.
HIPS ürünlerinden sadece eski adý ile Entercept, yeni adý ile McAfee Host Intrusion Prevention NSS testlerine gönüllü olarak girmek için baþvurdu ve teste tabi tutuldu. Dolayýsý ile tüm HIPS ürünlerinde baðýmsýz yapýlmýþ, karþýlaþtýrmalý net bir test raporu bulunmuyor. Bu durumda performans analizi için güvenlik danýþmanlarý ile görüþmek tek etkin yol gibi görünüyor.
HIPS ürünleri artýk sadece atak aramýyor. Bazý ürünlerde tüm bilgisayarlardaki USB aygýtlarýný yönetebilen özellikler de mevcut. Aslýnda HIPS ürünlerinde USB aygýtlarýný engellemek sistem yöneticilerinin yaratabileceði özel imzalar ile mümkündü. Yeni versiyonlarda daha kolay kullaným için bu özellik hazýr bir imza haline getirildi. Gün geçtikçe sistem yönetimi ile ilgili bu imzalarýn sayýsý artmaya devam edecek.
Gerek NIPS gerekse HIPS ürünlerinde görüldüðü üzere çok fazla dikkat edilmesi gereken nokta var. Ürünlerin getirdiði çok önemli özellikleri iyi incelemek ve að ihtiyaçlarý ile örtüþtürmek projelendirme sürecinin en önemli adýmý. Bu esnada tüm ürünlerin özelliklerini iyi derecede bilmek kadar siber tehditleri de yakýndan tanýmak gerekir. NSS raporlarýný incelediðinizde hiçbir ürünün detaylýca konfigürasyonu yapýlmadan ataklarý %100 engelleyemediðini görebilirsiniz. Bu sebeple NIPS ve HIPS projelerine bir ürün satýn almak gibi bakmamak, bir güvenlik hizmeti alýyor gibi düþünmek “Bilgi Güvenliði” açýsýndan zorunludur.
Ayrýca NIPS ve HIPS ürünleri kullanýlýyor olmasý o sistemin hack edilemeyeceði anlamýna gelmez. Hem yatýrýmý yapýlmýþ ürünlerin performansýný test etmek hem de anlýk risk analizi yapabilmek için beyaz þapkalý bilgi güvenliði uzmanlarýndan penetration test ve denetim hizmetleri alýnmasý akýllýca olacaktýr.
Saygýlar..
|