AN OVERVIEW OF PERSONAL DESKTOP/HOST IPS

Publié le par Kareldjag

AN OVERVIEW OF PERSONAL DESKTOP/HOST INTRUSION PREVENTION SYSTEMS

We have seen previously that a line defense with only a firewall and an antivirus is not enough in consideration of the evolution of threats.
Products are available to palliate scanners weaknesses and to combat malwares by their behaviour.
Theses softs are mostly known as behavioural blockers, but this terminology is very restrictive.
That's why many publishers use the same terminology as corporate products.

A short historic:

In fact, there's only a few things to know: at the beginning was the IDS (Intrusion Detection System) designed to protect a network perimeter from attacks and malwares; but in order to reduce the drawbacks (too much false positives and required resources), IPS or Intrusion Prevention Systems have been released.
Some voices like the Gartner  claimed that it was more a marketing sleight of hand in order to boost the IDS market than a real evolution.
Evolution and not revolution, certainly, but in all cases, IPS are now often used in many top 500 Forbes companies.


An HIPS or Host Intrusion Prevention System is only designed to protect a specific host (workstation or server) where it is installed and not a network perimeter (this is the rule of the Network IPS): integrated on the low level of the OS, the HIPS monitors system calls in order to detect any unusual behaviour.
We can distinguish two main differences between corporate HIPS and personal HIPS (for home users):

-personal HIPS are not relied to an agent,

-and are not designed (for most of them) to combat attacks (buffer overflows, denial of service etc), but mainly malwares (event if PrevX has a buffer overflow protection, and if Online Armor try to prevent DNS cache poisonning).

It's also important to note that IPS/HIPS are not the panacea.
Most of them provides a protection that already exists under a limited account (no service/driver installation, no access to physical memory etc).
As usual with sofwares solutions, the security is never absolute.
Each software has its own weaknesses, and HIPS-as it was shown for instance by the Securityarchitects team at BlackHat US 2004-can also be bypassed (the pdf "Attacking HIPS" can be found here).

This IPS claims to prevent buffer overflow? And it is affected by buffer overflow vulnerabilities.
This HIPS claims to prevent DOS attacks? And is victimized by a Denial Service attack during a press presentation...
This is the same for personal HIPS: they're not THE Solution to home users security problems and dangers.
But a line defense which integrates an HIPS is more secure than a line defense based on the antivirus and the firewall only.
The couple AV + firewall is easily compromised: a simple mail, or a link via Instant Messenging are enough to install bots, rootkits or keyloggers.
That's why a multi-layered strategy which combines different security approaches and technologies is higly recommended.
As claims one of the intrusion slogan:

"That which cannot be detected should be prevented, that which cannot prevented should be detected" .


And in a few words:

Unseen here (by the scanner), blocked there (by the HIPS).

And most of all, it's neccesary to consider the human factor.
Sofwares just do what they're designed to do.
The user is often responsible of his computer, and sometimes guilty if he is victimized by malwares infection or phishing attacks: if "ignorance of the law is no excuse", this is the same for internet dangers.
Driving a car requires efforts from the driver, using a computer requires efforts from the user: there's unfortunately no "install it and forget it" defense.
Nowadays, knowledge is free (public libraries, web), and being aware and well informed of computers danger is common sense.
That's why user's education is very important to avoid internet threats.
Then... what we know is often more important than which software we use.

For more information, it could be suited to take a look at theses links:

About the terminology:

IPS by Webopedia

NSS (independent institut which provides IPS tests)

Intrusion Detection Terminology part 1 by Securityfocus

A study (pdf) by the Gartner:"Understanding the nine protection style of Host Based Intrusion Prevention"

Other articles:

"New HIPS technology takes on Zero-Day attacks"

"Why you need a new generation intrusion Protection systems"

McAfee, one of the leader with Entercept, provides an interesting white paper

PrevX and many other HIPS publishers provide also some white papers

"Things to look for in this last line of defense"

IPS Odysey

Examples of HIPS (for corporate)


Les limites d'une protection par firewall uniquement secondée par un antivirus sont évidentes: impossibilité de recenser tous les malwares existants, et surtout de faire face aux nouvelles menaces (vulnerabilité non corrigée exploitée par un parasite par exemple), techniques de plus en plus sophistiquées (type furtive par les rootkits) etc.
Pour plus d'information, il convient de se référer à cet article (en anglais) ou à ceux du magazine Mag-Securs.
Et pour les utilsateurs avancés non convaincus, ils peut être utile de jeter un oeil aux numéros 20 (Cryptographie malicieuse) et 21 (Limites de la sécurité) du magazine professionnel MISC.

Il apparaît donc nécessaire de pallier à cette faiblesse.
Certains programmes permettent de lutter contre les parasites sans base de signatures: il s'agit des bloqueurs comportementaux.

Mais cette terminologie est trés réductrice, car si l'analyse comportementale est utilisée, bien d'autres approches lui sont associées.
C'est la raison pour laquelle les éditeurs de ce type de programmes utilisent de plus en plus une terminoilogie empruntée à l'univers d'entreprise avec les termes de HIPS  (Host Intrusion Prevention System) ou Desktop IPS.

Un bref historique:

A l'origine était l'IDS déstiné à protéger des attaques et autres malwares; puis pour pallier à ces nombreuses faiblesses (consommation en ressources, nombreux faux positifs etc), les IPS ou systèmes de prévention d'intrusions ont vus le jour.
Des mauvaises langues (tel le cabinet Gartner) y ont vu là plus un tour de passe passe marketing pour redonner du souffle à ce marché qu'une réelle révolution.
Quoi qu'il en soit les IPS sont devenus familiers dans la plupart des grandes entreprises.

Parmi les IPS, on distingue principalement deux types de produits selon leur implantation dans le périmètre de défense: le NIPS ou Network IPS destiné à protéger un réseau donné, et le Host IPS, déstiné à protéger un serveur ou une station de travail.
Les HIPS à usage personnel (environnement familial) ou Desktop IPS ne sont pas reliés à un agent et se limitent pour la plupart à la prévention des parasites et non des attaques (buffer overflow, DOS etc).

Il convient de rappeler que les IPS ne sont pas la panacée aux problèmes de sécurité: la plupart offrent une protection déjà présente sous un un compte limité (pas d'installation de service/drivers, d'accés à la mémoire physique etc).
Comme toute solution logicielle, la protection ne peut être que relative, jamais absolue.
Cet IPS clame-t-il une prévention des buffer overflows ou débordements de tampon, et il est aussitôt affecté par ce genre de vulnérabilité; cet autre HIPS est-il censé prévenir les attaques par Déni de service, et comble du comble, il est victime d'une attaque DOS lors de sa présentation à la presse.

Il en est de même des HIPS à usage personnel: il ne sont pas LA solution.
Néanmoins, une défense intégrant un HIPS sera toujours moins perméable qu'une défense basée uniquement sur le firewall et l'antivirus.
Avec un simple antivirus, un simple mail (courriel) ou lien via MSN suffit à compromettre le système par des bots, trojans, keyloggers et autres rootkits.
Une défense multi-niveaux combinant différentes approches et technologies s'avére par conséquent indispensable.
Ce qui n'est pas détecté par l'antivirus peut l'être par l' HIPS:

 pas vu ici (par le scanner), bloqué par là (par l'HIPS).

Toutefois il convient de rappeler l'importance du facteur humain: les logiciels de protection ne font que ce qu'on leur a programmé de faire.
En dernier ressort, l'utilisateur est toujours le responsable, et parfois le coupable.
Si "nul n'est censé ignorer la loi", nul n'est censé ignorer les dangers du Web.
Conduire une voiture requière des efforts de la part du conducteur; et il en est de même pour l'utilisation d'un ordinateur.
On ne répétera jamais assez l'importance de l'information et de l'éducation: piloter un ordinateur nécessite un bagage minimum des questions de sécurité, ainsi qu'un savoir faire basique des outils utilisés.
Comme souvent, ce que l'on sait est souvent bien plus important que le nom du logiciel que l'on utilise.


Pour plus d'informations, il convient de se réferer à ces quelques liens:

Les nouveaux IPS par le cabinet HSC

"Detection d'intrusions et analyse forensique réseau" du même cabinet de conseil

Un
pdf résumant clairement les principes de L'IDS et de l'IPS (Baudoin/Karle)


It's diifcult to establish a classification of personal HIPS or Desktop IPS.
Most of them use and combine different approaches and technologies.
Consequently, the categories presented here are just a personal point of view for the need of this article.
In italics: free products.
Most of these products are available in english languages, except for Zorro PC Protector (in french only) and SoftClan Integrity2 (in spanish only).


Il apparaît difficile de classifier ce type de programmes.
En effet, la plupart utilisent et combinent différentes approches et technologies.
Aussi, les catégories présentées ci-dessous le sont uniquement pour les besoins de cette article.
En italique: gratuiciel.
NB. La majorité de ces produits ne sont disponibles qu'en anglais.
Toutefois, certains sont uniquement en francais (Zorro PC Protector), et d'autres incluent le francais comme option (Parador, Online Armor, Buffer Zone).



HIPS basé sur la détection par anomalie

Le principe majeur est de prendre une empreinte comportementale réputée saine ou normale de l’environnement système et utilisateurs afin de signaler par la suite tout évènement inhabituel s y’écartant de prés ou de loin.

La phase dite de « learning mode » ou lecture est une phase importante car elle permet d’éditer intuitivement et automatiquement un jeu de règles dit autorisé : l’utilisateur est donc invité à lancer toutes ces applications usuelles s’il ne veut avoir à gérer par la suite une cascade de pop up.

Des règles spécifiques sont très souvent disponibles, certains programmes offrant même la configuration de règles avancées afin d’appliquer des restrictions et privilèges aux applications (blocage de la création de services, lancement du navigateur uniquement via explorer.exe etc):

plus les règles sont optimum, plus la protection est efficace.

Toutefois, ce genre de programmes requièrent une bonne connaissance du système et du comportement des parasites.

En effet, l’utilisateur doit être en mesure de savoir autoriser ou bloquer un évènement selon qu’il soit légitime ou suspect.

De ce fait, ce type de programmes est plutôt réservé à des utilisateurs avancés ou expérimentés, même si certains d’entre eux s’avèrent très intuitifs dés leur installation.

De plus, il y a lieu de tirer parti de toutes les options offertes en matières de configuration, et de rentabiliser ainsi pleinement son investissement.

Enfin, il convient d’éviter l’utilisation combinée de deux programmes similaires (dans la liste suivante) : ils se marcheraient sur les pieds, consommeraient inutilement de la mémoire, ne serait pas un gage de sécurité, et surtout seraient une perte sèche dans le budget dédié au PC.


HIPS based anomaly detection

The main concept is to create a safe and trusted list of a normal user and system’s behaviour environment in order to detect any event which violates this policy.

During the learning phase, it’s suited for the user to launch all his usual applications if he doesn't want to mange a spate of pop up alerts.

We talk of anomaly detection when the HIPS detects an unusual or anormal behaviour and event in comparison to the usual and normal fingerprint.

Specific rules are often possible for applying restrictions in the system (launching the browser only via explorer.exe, blocking service/driver installation and so on).

Unfortunately, this kind of programs is mostly intended for experimented or advanced users.

In fact, the user must be able to distinguish legitimate events from suspect ones.

And More optimized are the rules, more effective is the protection.

Therefore, a good know how of the system and malware’s behaviour is often required (or the user can infect his computer by allowing a suspect event for instance).

Moreover, it’s also interesting to take advantages of all options, and then to get the best value of the investment.

And last point, it’s not often a good idea to combine two similar products (in this list list): that means more pop up alerts and less memory resources.

It can be more recommended to combine an HIPS based anomaly detection with an HIPS based white list.


-AbuseShield

-AllSeeing-Eye

-AntiHook

-AppDefend (beta)

-Browser Sentinel

-CyberHawk (beta)

NB. This product is currently a beta, and there will be (according to the team):

-a free and limited version,

-a pro and paid version with advanced features.

-Neoava (beta)

NB. Currently free but may be a payware in the future.

-Osurance Desktop


-Primary Response SafeConnect (beta)

NB. This product requires a subscription as a beta tester in order to download it (and to test it): this blog and i provide independent, neutral and objective information, and consequently, beta testing is out of the policy.

I can't be sure of that it should be listed in this section, but in relation to the features, it seems to be the right place.

Ce produit nécessite un enregistrement en tant que beta-testeur afin de pouvoir l'essayer, ce qui est contraire à l'éthique de ce blog qui se veut objectif, neutre et indépendant.

Je ne suis pas certain que sa place est dans cette liste, mais selon la description qui en est donnée sur le site de l'éditeur (Sanasecurity), il est bel et bien basé sur la détection comportementale.

-Parador/fileProtection/Security

-ProSecurity (updated in june)

-ProcessGuard (free and paid version)

-Safe’n'Sec

-SafePC

-Securitask2005

-SoftClan integrity2

-SoftClan SecuritySuite

-System Safety Monitor

 

HIPS based anomaly and signature file detection



These products combine behaviour monitoring with signatures files detection (typically the case of scanners).
If the concept is really interesting, these product can't be considered as alternatives or replacement to antivirus.
Except for Safe'n'Sec Plus and Winpooch/ClamAV which are combined with real antivirus, their database is not as exhaustive as some good antivirus ones.
A2 is mostly trojan oriented, and Online Armor, mostly keylogger oriented.
Safe'n'Sec Plus is an interesting example of what could be the evolution of antivirus (signature file + behavioural detection).
PrevX is also an interesting concept because it combines three appaoches: signature file + behavioural detection, and white list integrity protection.


Ces produits combinent la détection par analyse comportementale et par base de signatures (typique des scanners).
Si le concept s'avére trés intéressant, ces produits peuvent diificilement êtres considerés comme une alternative fiable aux antivirus.
En effet, exceptés les cas de Safe'n'Sec Plus et de Winpooch/ClamAv qui sont associés à des antivirus bien connus, leur base de signatures est bien trop insuffisante pour en faire des moteurs de détection fiable.
Par exemple A2 est plutot orienté trojans, et Online Armor, cible les keyloggers.
Safe'n'Sec Plus est un exemple remarquable de l'évolution possible et probable des antivirus de demain.
PrevX présente la particularité de combiner trois approches: détection comportementale, détection par signatures, et protection par liste blanche.


-A2 (A-Squared)

-Online Armor (update 01/04: now OA integrates Kaspersky engine)

-PrevX

-Safe'n'Sec Plus

-WinPooch/ClamAV (ClamWin)



HIPS based integrity control


These products provide a protection which combines integrity change detection and behaviour monitoring.
They're quite similar to integrity checkers, and by monitoring systems events, they're able to detect files changes and unusual behaviours.
Invircible is the forerunner in this list, but due to its marketing strategy, Viguard is more well known.
Both are often considered as antivirus without signature (especially Viguard).
But an antivirus is based on signature/pattern file or it's not an antivirus!
This is an excessive and false marketing strategy.

Ces produits combinent la protection par controle d'integrité avec la détection par analyse comportementale.
Comme les scanners d'integrité, ils sont capables de détecter un changement anormal dans un fichier.
La surveillance du système leur permet aussi de détecter un événement suspect.
Si Invircible est le précurseur, Viguard est certainement mieux connu, question de marketing sans doute...
Tous deux sont considérés à tort comme des antivirus sans base de signatures.
Mais un antivirus sans base de signatures peut-il encore être considéré comme un antivirus?
Il s'agit là encore d'une question de marketing ou mal inspiré ou excessif...


-Invircible

-Viguard


HIPS based pure white list


These products are very restrictive and are designed for most of them to protect public computers (internet caffes, public libraries and so on).
Their goal is simple: keep the system as clean, safe, and constant as possible by preventing any new or unknown file from being loaded, executed, or downloaded.
After the installation, they record all hard disk files and integrate them in their database (white list): that which is not known is not allowed to run.
They operate simply: all files included in the database are considered as legitimate and safe, and all new files are automatically blocked.

The main advantage is the ease-of-use:

-the configuration is easy and does not require to be experienced,

-the product operates in the background and is quite transparent to the user: the pop up syndrome/fatigue is very limited (or non- existent).

-since a new or unknown file is blocked, the system is guarded from most damages and infections.

On the other hand, the main drawback concerns the concept of white list.
In fact there's no detection of malware's behaviours.
So there's 2 cases:

-the file is blocked: the system is protected from its impact (malicicious or not),

-the file is allowed to run by the user: in this case, the propram records all new files and integrates them in his white liste database.   
Since these files are in the withe list, they're considered as safe and legitimate.
If the user install a screensaver infected by an adware or spyware, the malwares will be allowed to run with no kind of alert, and the user won't have any idea about it (but that can be detected by another HIPS or by a good scanner).
This is the same case if the HIPS is installed on an infected system.

Consequently, these kind of HIPS are not recommended for "download and install" addicts and for computers used mostly for entertainment.
But they're certainly an interesting choice for workstations, or computers used by many users (a family computer for instance).



HIPS pure liste blanche


Ces produits déploient des restrictions fortes sur le système, et sont pour la plupart destinés (à l'origine) à la protection des ordinateurs publics (cybercafés, bibliothèques, universités etc).
Dés leur installation, ils créent une base de donnée de tous les fichiers présent sur le système (liste blanche).
Leur fonctionnement est très simple: tout ce qui n'est pas connu (intégré à la liste blanche) est strictement bloqué.
Les atouts de ce type de produits sont indéniables:

-facilité d'utilisation: la configuration est souvent très simple, ce qui en fait des programmes trés accessibles même pour les débutants;

-selon la configuration choisie, le produit peut opérer en arrière-plan sans déranger l'utilisateur par des fenêtres d' avertissement (pop up);

-protection par prévention efficace: tant qu'un fichier inconnu est bloqué, le système en est protégé de son impact ( malicieux ou non).

Mais revers de la médaille, l'inconvénient majeur concerne le principe même de liste blanche.
En effet, le système reste protégé tant que le nouveau fichier est bloqué.
Mais si l'utilisateur décide d'autoriser l'exécution d'un fichier, le programme ne peut signifier si ce fichier est malicieux ou non (type détection par signatures ou analyse comportementale).
Si l'on prend l'exemple de l'installation d'un fond d'écran infesté par un adware ou spyware, le programme va enregistrer les nouveaux fichiers dans sa base de donnée et les considérer comme sains et légitimes.
Mêmes conséquences si l'HIPS est installé sur un système déjà infecté.
C'est la raison pour laquelle ce type de produit est déconseillé à toutes les personnes qui installent fréquemment des logiciels sur leur pc, ou à ceux qui l'utilise comme un outil de loisir (jeux vidéo etc).
Par contre il s'avére un choix intéressant pour un ordinateur dédié au travail, ou pour un PC familial utilisé par plusieurs personnes et dont l'administrateur souhaite préserver l'intégrité.


-Abtrusion Protector

-Anti-Executable

-CoreForce (beta): Update 01/04

-Fortres 101 (not really a pure white list, but can be considered as is)

-Zorro PC Protector (in french only)


An example of HIPS based pure white list for corporates is Sanctuary from Securewave.
Un exemple intéressant d'HIPS dit protection par liste blanche en environnement d'entreprise nous est donné par Securewave avec Sanctuary.



HIPS based white list with sandbox and virtualisation technologies


These products are designed to protect the integrity of a list of predefined or configured applications from damages, infections or modifications.
The protection is based on sandbox and virtualisation technology, behavioural monitoring, and policy restrictions:  when an event occurs on the system, it happens in a protected and restricted area (sandbox, virtual zone).
Therefore, the system is protected from the impact of malicious files and attacks: registry, physical memory, and generally kernel land are guarded from modifcation and infection.
Most of these softwares are integrated to Windows explorer, and the user has the choice to run an executable "sandboxed" (Sandboxie), trusted/untrusted (Defense Wall/BufferZone) or in a buffer/virtual zone (BufferZone).
One of them, Buffer Zone also creates a white list of all hard disk files, and  preserve them from integrity modification (certification).
Like HIPS pure white list, the main advantage of these products is the ease-of-use (no advanced knowledge required, easy configuration, no pop up fatigue).

On the other hand, this kind of technology is quite new on the market: most of users are accustomed with scanners, and for some of them with behavioural bloquers.
Consequently, training and practise is necessary to be familiar with their protection: the user must know exactly the terminology used by each products.
If we need to protect the browser from web spyware infections (suspicious, porn or underground sites), then Internet Explorer, Mozilla/Firefox or Opera must be launched:

-as isolated with Geswall,
-as untrusted with DefenseWall,
-as sandboxed with Sandboxie.

If we need to install a game downloaded from P2P network, or a file via an email attachment, we should run this file in the virtual area or Buffer Zone.

Consequently the main drawback concerns systems updates and sofwares installations: except for DefenseWall (in the two cases), there's no detection of malware's behaviour; and if the user wants to install a game downloaded from P2P as untrusted, sandboxed or in buffer zone, the user can't be sure that this game will  be installed properly and completely.
But in all cases, theses products provide more freedom than HIPS based pure white list, and can also be an interesting choice for users who like to run new, unknown or suspect files on their system; and almost for classical users who can be perturbed by pop up alerts of behavioural blockers (AntiHook, All-Seeing Eye, Safe'n'Sec and so on).

Update 1/04/: More info here about virtualization and here about sandboxing.


HIPS dit protection par liste blanche avec technologies de type sandbox et virtualisation


Ces produits utilisent des technologies de type sandbox ou bac a sables et de virtualisation afin de protéger l'intégrité d'une liste pré-definie ou pré-configurée d'applications.
L'utilisateur peut ainsi lancer un fichier jugé suspect (fichier joint d'un mail) soit "sandboxed" (Sandboxie), untrusted/trusted (Defense Wall, Buffer Zone) ou en zone virtuelle ou buffer zone (Buffer Zone): l'impact de ce fichier sur le système en sera ainsi réduit (limitation des dommages, corruption/altérations, modifications etc).
Offrant les mêmes avantages que les HIPS dits pure liste blanche (facilité d'utilisation et de configuration, pop up syndrome réduit au strict minimum etc), ils offrent également un champ de liberté plus large à l'utilsateur: celui ci peut en effet lancer des fichiers suspect (jeux téléchargés sur les réseaux P2P par exemple) sans craindre de dommage pour son système.

L'inconvénient majeur réside dans la technologie utilisée: lancer un fichier sur le système (un exécutable par exemple) en mode protégé ou sécurisé (sandboxed/untrusted etc) limitera ses possibilités d'action (accés à la mémoire physique, installation de service et driver/pilote etc).
Aussi, l'installation d'un jeu video téléchargé sur les réseaux P2P en mode dit protégé risque de ne pas s'effectuer proprement et complètement (sauf avec DefenseWall semble-t-il); tant et si bien qu'on peut se demander à quoi sert ce mode sécurisé...
Toutefois ce type de logiciels peut convenir aux utilisateurs classiques habitués des réseaux Peer-To-Peer, et surtout n'yant pas le bagage suffisant pour faire face aux alertes des classiques bloqueurs comportementaux type AntiHook.


-Buffer Zone (beta)

-DefenseWall

-GesWall

-SandBoxie

NB. Sandboxie can be more considered as an "administrator program", and client/server side sandbox than an exhaustive HIPS.

Sandboxie est plus un outil d'administrateur officiant comme sandbox ou bac à sable entre applications clientes (navigateur, Messenger, Outlook etc) et serveurs (sites webs principalement).

-VElite (pure virtualisation product)


NB. Rollback softwares can't be considered as HIPS, that's why they're not listed.

An example of secured zones technology is also provided by VigilantMinds with their BufferXone designed to protect corporate network perimeter.
If security is more simple with virtual zones, i doubt of "install it and forget it " or "automatic" defense: even if theses solutions reduce the number of employees required for managing systems, the human factor remains the most important.



Publié dans LINE DEFENSE

Commenter cet article

law dissertation 09/12/2009 08:17


Blogs are so informative where we get lots of information on any topic. Nice job keep it up!!
__________________

law dissertation


dissertation literature review 03/09/2009 10:38

Blogs are so informative where we get lots of information on any topic. Nice job keep it up!!_____________________dissertation literature review