Biztonsági megoldások, 3. rész:
Megelőző biztonsági megoldások

Bevezetés

Két sarokpontját már részletesen ismertettük a biztonság arany háromszögének – a tűzfalat és az antivírus szoftvereket. A mostani rész a harmadik sarokpontot célozza meg, a megelőző védelmet. Megelőző védelem alatt olyan szoftvereket értünk, amelyek anélkül próbálják meg blokkolni a jogtalan vagy kéretlen alkalmazások tevékenységét, hogy szükségük lenne összehasonlítani e tevékenységeket ismert „ujjlenyomatokkal”, amelyek egyértelműen párosítják azokat egy konkrét fenyegetéssel.

Áttekintés

Nincs egyetemes definíció arra, hogy a megelőző védelem pontosan mit is takar, de az általános megegyezés értelmében bármely olyan megoldást ide sorolunk, amely helyi szinten blokkolja, vagy másképpen mondva elhárítja az illegális, gyanús tevékenységeket.

Ezeknek a megoldásoknak nincs szükségük „ujjlenyomatokra”, hogy azonosítani tudjanak egy lehetséges támadást – e helyett inkább figyelik az alkalmazás viselkedését, hogy felismerjenek egy várható rosszindulatú folyamatot és leállítsák a támadást még azelőtt, hogy az megfertőzné vagy egyéb módon veszélyeztetné a rendszert. Nézzük meg, milyen jelenleg létező kategóriái vannak a megelőző biztonsági megoldásoknak.

Nézzük meg, milyen jelenleg létező kategóriái vannak a megelőző biztonsági megoldásoknak.

HIPS

A HIPS mozaikszó a Host-based Intrusion Prevention System (gazdagép-alapú behatolásvédelmi rendszer) helyett használt rövidítés. Maga az elnevezés nem túl intuitív, de a rendszer működése annál inkább: képzeljenek el egy rendszert, amely figyeli minden alkalmazás viselkedését, és az operációs rendszerrel együttműködve figyelmeztet valahányszor egy új vagy ismeretlen esemény történik. Abban a pillanatban, ahogy az esemény bekövetkezik, a rendszer rákérdez, hogy a kérdéses tevékenységet engedélyezze-e vagy blokkolja, majd a kapott választ a program által már megtanult eljárási alternatívák adatbázisához adja.

Noha ez a megközelítés tolakodónak és zavarónak tűnik, mégis a legjobb védelmet nyújtja az ismeretlen támadások ellen, mert nehéz úgy hibázni, hogy minden tevékenység a felhasználó ellenőrzése alatt áll, vagy még inkább attól függ, hogy a felhasználó miként kezeli azt. A HIPS partjelzőként viselkedik – figyelmeztet minden gyanús eseményre és a felhasználó kezébe adja a döntést, hogy szabad-e ilyet csinálni.

Az alábbiakban felsorolunk néhány tevékenységet, amelyeket tipikusan a HIPS megoldások ellenőriznek és irányítanak:

• Alkalmazásmemória egységessége és közös program-komponensek (DLL-ek) használata
• rendszer-meghajtók betöltése
• új rendszerszolgáltatások létrehozását vagy regisztrálása
• a rendszerleíró adatbázis megváltoztatása
• billentyűzet és képernyő műveletek végzése, magában foglalva a másolás/beillesztés parancsokat
• a jellemző, de szokatlan paraméterekkel rendelkező Windows alkalmazásokat és szolgáltatások használata
• az alkalmazások közötti együttműködés, ablakos kezelőfelületek figyelése
• Windows és alkalmazás beállítások megváltoztatása
• alacsony szintű lemezhozzáférések
• egyéb más speciális működések, tevékenységek

Jóllehet ezek a tevékenységek a legtöbb felhasználó számára nehezen érthetőnek tűnhetnek, mégis rajtuk tartva a szemünket védelmet nyújthatunk gépünknek a kártevők által használt támadások többsége ellen.

A HIPS programok, hogy képesek legyenek felügyelni ezeket a tevékenységeket, különleges megfigyelő és elfogó funkciókat használnak, amelyek engedélyezik a cél folyamat működésének félbeszakítását, majd később a felhasználói parancs szerinti folytatását illetve leállítását.

Klasszikus HIPS megoldások például az Outpost Firewall Pro és a  ZoneAlarm tűzfalak.

A rendszerműveletek ilyen szoros megfigyelésének a hátránya a nagy számú felhasználói beavatkozás szükségessége. E probléma mérséklése céljából a HIPS megoldások fejlesztői olyan beállítási házirendeket hoznak létre és frissítik is azokat folyamatosan, amelyeket anélkül alkalmaznak automatikusan e programok a háttérben, hogy szükség lenne a felhasználó válaszára a biztonsági riasztások során. Az előre definiált házirendek listája folyamatosan bővül és az interneten keresztül jut el a felhasználóhoz.

Amikor a HIPS programokról beszélünk, az egyik dolog, ami az eszünkbe juthat az a sebezhetőségi vizsgálat („leaktest”). Ezek a vizsgálatok közeli rokonságban állnak a HIPS programokkal, hiszen ezek a HIPS programok teljesítményét tesztelik, és kiértékelik, hogy milyen hatásosak lehetnek ezek az eszközök a bonyolult behatolási technikákat használó, valós támadások ellen. Míg ezek a tesztek alapvetően a kimenő forgalom biztonságának mérésére szolgálnak, egyben olyan hasznos eszközökként is funkcionálnak, amelyek rögzítik az adott biztonsági rendszerek ellenálló képességét. (A vizsgálatokról többet is olvashat a következő angol nyelvű oldalon: Sebezhetőségi vizsgálatok, mint a kimenő forgalom védelemének a mértéke).

 

Viselkedésalapú blokkoló rendszerek

A viselkedésalapú blokkoló szoftver természetes továbbfejlődése a HIPS programnak, mert analitikus folyamatot használ a tevékenységek legalitásának megállapításához. E rendszerek ahelyett, hogy minden egyes eseménynél riasztanának, kiértékelik az események sorozatát, és meghatározzák egy szokatlan működés rosszindulatának a valószínűségét a megfigyelt viselkedés elemzését véve alapul.

Például ahelyett, hogy rákérdezne egy új program a Windows-zal együtt történő automatikus indulásának engedélyezésére, a viselkedés alapú blokkoló rendszerek azt vizsgálják, hogy az új program vajon megpróbál-e a kritikus rendszer terültekre bejutni, új rendszerszolgáltatásokat bejegyezni, más Windows programokkal kapcsolatba lépni, vagy hogy mutat-e jellemzően rosszindulatú viselkedési mintákat. Megfelelő számú gyanús működésre utaló nyom észlelése után, tehát ha a gyanú beigazolódik, és a program működése eléri a kritikus szintet, a rendszer rosszindulatúnak minősíti, és vagy automatikusan leállítja a működését, vagy megkérdezi a felhasználót, hogy mit tegyen vele.

Ilyen programok például a PrevX és a CybeHawk Pro.

Habár drámai módon lecsökkentik a felhasználói parancsokat a klasszikus HIPS megoldásokhoz képest, ezek a programok a hackerek által sokkal egyszerűbben kikerülhetőek, mert az általuk használt analitikus logika talán nem olyan pontos, mint kellene. Akárhogy is, akad néhány megoldás, ami megéri a fáradtságot és a kompromisszumot (a biztonság kérdésében minden kompromisszum az eredményesség és a könnyű használat között).

Elszigeteléses (Sandboxing) technika és a fehér lista

Az elszigeteléses technika alkalmazása során meghatározhatjuk azt a listát, amely az engedélyezett vagy megbízható alkalmazásokat tartalmazza, és amin kívül minden más tevékenységet automatikusan blokkol a rendszer. Az olyan termékek, mint például a DefenseWall is ezt az elvet használják, vagyis ahol a felhasználó adhatja meg, hogy melyek azok az alkalmazások, amelyeket biztonságosnak tekint, és amelyeknek engedélyezi a kritikus tevékenységet az együttműködéshez, míg minden egyéb alkalmazás működését jelentősen korlátozza.

Jogtalan leállítások elhárítása

A megelőző védelem egyik kulcseleme, hogy fenntartja az aktív védelmet még akkor is, ha egy kártevő megpróbálja leállítani. A múltban viszonylag egyszerű volt sok biztonsági termék működését kikapcsolni vagy megbénítani, létrehozva ezáltal egy biztonsági  rést. Felismerve, hogy az efféle támadások ellen hatékonyabb védelemre van szükség, sok biztonságiszoftver gyártó építette be az önvédelmi funkciót termékeibe, hogy azok képesek legyenek elhárítani a jogosulatlan leállításokat.

Összegzés

A megelőző biztonsági megoldások működésük során inkább a viselkedési mintákat veszik alapul a fenyegetések elleni küzdelemben, ahelyett, hogy az azonosítást teljes egészében az ismert mintákhoz hasonlítva végeznék. Ez a módszer képes az új, ismeretlen fenyegetések észlelésére és elhárítására is, amire egy antivírus szoftver vagy más ujjlenyomat alapú védelmet használó termék nem. A megelőző védelem tökéletes kiegészítője a tűzfalnak és az antivírus szoftvernek Egy újabb védelmi szintet hoz létre a kockázatok ellen, amelyek mindig a közelben leselkednek.

 

Amennyiben kérdése lenne a biztonsági szoftverekkel kapcsolatban, ne tétovázzon kapcsolatba lépni velünk elérhetőségeinken keresztül, és mi mindent megteszünk, hogy segítsünk Önnek.