Host Intrusion Prevention System

[wmismail]

ost Intrusion Prevention System (HIPS), sunuculara ve istemcilere gelen tüm atakları engellemek üzere tasarlanmıştır. HIPS bir güvenlik yazılımıdır ve kaynakları korur. HIPS ürünü atağın nerden geldiği ile ilgilenmez. Internet’ten, lokal ağdan ya da sunucu üzerinden… Önemli olan atak ve hedefidir.

Eskiden Host Intrusion Detection ürünlerinde sadece bir atak bilgi bankası bulunuyordu. Yeni türemiş atakları engellemek için bu ürünlerin güncellemeye ihtiyacı bulunurdu. HIPS ürünleri ise güncellemeye ihtiyaç duymaksızın atakları anlayabilir ve engelleyebilir şekilde tasarlandı. Sıfır gün koruması (Zero-Day Protection) HIPS ürünleri ile doğmuş bir güvenlik stratejisidir ve güncellemeye ihtiyaç duymadan, güvenlik açığının tespit edildiği anda sistemlerin koruma altında olmasını ön görür.

HIPS ürünlerinin tamamında bazı ortak özellikler bulunmaktadır. Bunlardan en önemlisi Buffer Overrun Protection özelliğidir. Bir önceki sayımızda Coşkun Kamiloğlu Buffer Overrun ataklarının nasıl yapıldığını anlatmıştı. Sql Slammer, Nimda, Blaster, Code Red gibi solucanlar da buffer overrun tekniğini kullanır ve bu ataklar HIPS tarafından korunan sunucu ve istemcilerde etkisiz kalır.

HIPS ürünlerindeki diğer önemli bir özellik kaynak korumasıdır. Örneğin asp veya html gibi web sayfalarını koruma altına alarak izin verdiğimiz kimseler haricinde değiştirilmesini engelleyebilir, web defacement’ın önüne geçebiliriz. Ayrıca Windows Registry’sini tam olarak koruma altına alabiliriz. Kullanıcı kendi bilgisayarında Administrator yetkisine sahip olmamasına karşın solucanlar standart Windows güvenliği kırabilir ve kendilerini Registry kayıtlarına ekleyebilirler. HIPS ürünleri bu tarz istenmeyen yazılımları güncelleme gereksinimi olmadan engellemek için tek yöntemdir.

HIPS ürünlerinin bazılarında, değişik platformlar için değişik versiyonlar sunulmaktadır. Örneğin SQL 2000 kullanan bir sistemde SQL ataklarını engellemek, IIS kullanan bir sistemde hem IIS metabase’ini hem de http protokolünü HIPS denetimi altına almak mümkün.

HIPS ürünleri önceleri sunucular için tasarlandı ve agent başına 1500$-2500$ fiyat aralığında satışa sunuldu. Daha sonra, özellikle laptop kullanıcılarının artması ile HIPS ürünlerinin istemci versiyonları üretildi ve 300$ fiyatla satılmaya başlanmıştı.

Bugün ise sunucu versiyonlarında liste fiyatları 800$’a kadar gerilemiş durumda. İstemci versiyonları ise 20$-30$ fiyat aralığından satılıyor. Hatta McAfee Desktop Firewall ürününü sonlandırıp yerine tüm müşterilerini Desktop Firewall’un tüm özelliklerini de barındıran McAfee Host Intrusion Prevention ürününe geçirmeye başladı. Aynı şekilde McAfee HIPS, standart antivirus paketlerinin bazılarında ücretsiz olarak veriliyor ve tüm güvenlik yazılımlarının tek noktadan yönetimi sağlanıyor.

Peki bir HIPS ürünü seçerken nelere dikkat edeceğiz?

Öncelikle HIPS ürününü mevcut güvenlik yazılımları ile aynı platformda yönetmeliyiz. Çünkü her bir yönetim yükü ürünün işlevselliğini azaltır ve yürütme maliyetini arttırır. Tek bir yönetim konsolu ile 100.000 bilgisayardaki HIPS ve Antivirus yazılımını yönetmeyi mümkün kılan ürünler mevcut.

Önemsememiz gereken ikinci nokta imza bilgi bankası. Bilgi bankası olmayan HIPS ürünlerinin ürettiği raporlarda atak türleri hakkında detay bulunmuyor. Koruma altında olmamıza rağmen sistemimize gelen atakları istatistiksel olarak takip etmeli ve gerekli önlemleri almalıyız.

HIPS ürünlerinin bazılarında ağ seviyesi koruması oldukça zayıftır. Özellikle web ve e-mail sunucularımız için ağ seviyesi güçlü HIPS ürünleri kullanmalıyız.

Alacağımız ürünün direk olarak NIPS ürünü ile entegre olması ya da bir Security Management ortak platformunda birlikte raporlamayı sağlaması toplam güvenlik yönetimi için vazgeçilmez bir unsurdur. Raporlama ve yönetim entegrasyonunu mutlaka göz önünde bulundurmamız gerekiyor.

HIPS ürünlerinden sadece eski adı ile Entercept, yeni adı ile McAfee Host Intrusion Prevention NSS testlerine gönüllü olarak girmek için başvurdu ve teste tabi tutuldu. Dolayısı ile tüm HIPS ürünlerinde bağımsız yapılmış, karşılaştırmalı net bir test raporu bulunmuyor. Bu durumda performans analizi için güvenlik danışmanları ile görüşmek tek etkin yol gibi görünüyor.

HIPS ürünleri artık sadece atak aramıyor. Bazı ürünlerde tüm bilgisayarlardaki USB aygıtlarını yönetebilen özellikler de mevcut. Aslında HIPS ürünlerinde USB aygıtlarını engellemek sistem yöneticilerinin yaratabileceği özel imzalar ile mümkündü. Yeni versiyonlarda daha kolay kullanım için bu özellik hazır bir imza haline getirildi. Gün geçtikçe sistem yönetimi ile ilgili bu imzaların sayısı artmaya devam edecek.

Gerek NIPS gerekse HIPS ürünlerinde görüldüğü üzere çok fazla dikkat edilmesi gereken nokta var. Ürünlerin getirdiği çok önemli özellikleri iyi incelemek ve ağ ihtiyaçları ile örtüştürmek projelendirme sürecinin en önemli adımı. Bu esnada tüm ürünlerin özelliklerini iyi derecede bilmek kadar siber tehditleri de yakından tanımak gerekir. NSS raporlarını incelediğinizde hiçbir ürünün detaylıca konfigürasyonu yapılmadan atakları %100 engelleyemediğini görebilirsiniz. Bu sebeple NIPS ve HIPS projelerine bir ürün satın almak gibi bakmamak, bir güvenlik hizmeti alıyor gibi düşünmek “Bilgi Güvenliği” açısından zorunludur.

Ayrıca NIPS ve HIPS ürünleri kullanılıyor olması o sistemin hack edilemeyeceği anlamına gelmez. Hem yatırımı yapılmış ürünlerin performansını test etmek hem de anlık risk analizi yapabilmek için beyaz şapkalı bilgi güvenliği uzmanlarından penetration test ve denetim hizmetleri alınması akıllıca olacaktır.