PERSONAL HIPS: THE TOP LIST

Publié le par Kareldjag



The greater part of these products have already been linked in the previous article.
Therefore, only products that have not been listed yet are linked.

As it often changes (freewares become paid), only paid softwares with or without a free limited versions are notified (P/FLV).
When a product is available in several languages, it is notified by ML.
Some of them are still in beta, and it's suited to query more information on the web site.

La plupart des liens de ces produits ont déjà été donné dans l'article précédent.
Aussi, uniquement les produits non listés précédemment intègrent un lien vers le site officiel de l' éditeur.

Comme les freewares ou gratuiciels ont tendance à ne plus l'êtres au bout de quelques mois, seuls les HIPS payants, offrant ou non une version gratuite limitée sont notifiés par P/FLV.
Quand le produit est disponible en plusieurs langues, il est notifié par ML.
Certains de ces produits sont encore en bêta, et il est donc recommandé de vérifier sur le site de l' éditeur l' état des des version les plus récentes.



1. CLASSICAL HIPS



These HIPS are designed to protect home PC against common threats in general and malwares in particular: many approaches (behavioural analysis, black list, white list, integrity checking) or technologies (sandboxing, virtualization) can be used and combined in the same product.


Ces HIPS sont destinés à protéger les PC domestiques  contre les menaces classiques de type parasites ou malwares (virus, spywares trojans etc): plusieurs approches (liste blanche, base de signatures, analyse comportementale) peuvent êtres utilisées au sein d'un même produit ainsi que différentes technologies (sandbox, virtualization).


Are excluded from this list of HIPS:

-most hardening tools (SecureIT etc),

-Pure virtualization and systems emulation products (VMWare, Virtual PC etc),

-heuristic engines (Panda TruePrevent),

-Instant back up/recovery and rollback sofwares (Ghost, FirstDefense, DriveVaccine etc),

-Integrity checkers and files monitors,

-Registry, executables filters, and basic behavioural blockers not integrated at a low level (here),

-Specialized task analyzers (IceSword, RootkitRevealer, DarkSpy etc),

-administrator tools (RunSafe etc),

-firewall with hips features (Outpost, Jetico, Look'n'Stop, Kerio etc).


Sont exclus de cette liste les outils d'administration et de durcissement système, les moteurs heuristiques (Panda TruPrevent), les contrôleurs et scanner d' intégrité, les outils de surveillance système (registre et exécutable) non intégrés au noyau, les outils de pure virtualization (VMWare) et d' émulation (Virtual PC), ainsi que les produits de sauvegarde (Ghost, RestoreIt etc).



A) HIPS based anomaly detection


This class of software is based mostly on system's monitoring and behavioural analysis.

Cette sorte d'HIPS est surout basée sur la surveillance du système et l'analyse comportementale.


-AbuseShield (P)

-AllSeeingEye (P/FLV)

-AntiHook (P)

-AppDefend/GhostSecurity Suite (P)

-Blink (free and paid versions) (2007)

-BrowserSentinel (P)

-ClearShield (P) (2007)


We can also mention StormShield, well known in France which comes intalled in some Nec (info here and there) laptops.

On peut egalement mentionner StormShield, basé sur l'analyse comportementale, et qui est déjà pré-installé sur certains ordinateurs portables "pros" de marque Nec par exemple (ici le pdf de présentation).


-CyberHawk

-DriveSentry

-Dynamic Security Agent

-EqSecure (Chinese only) (2007)

-NeovaGuard

-Ossurance Desktop

-Parador  Security (P/ML)

-Primary Response SafeConnect (P)

-ProSecurity (P)

-ProcessGuard (P/FLV)

-Safe'n'Sec (P/FLV)

-SafePC (P)

-Securitask2005 (P/ML)

-SensiveGuard

-Softclan Integrity/Softclan Security Suite (P/FLV)

-System Safety Monitor (P/FLV/ML)

-ThreatMon

-WinPooch (ML)



B) HIPS based misuse (signature file) detection and anomaly detection:


These products combine black list protection (pattern file of malwares) and behavioural analysis.

Cette catégorie d'HIPS combine protection par base de signature avec l'analyse comportementale.


-A2 (A-Squared) (P/FLV/ML)

-Online Armor (P/ML)

-Safe'n'Sec Plus (P/ML)

-SpyWall

-WinPooch with ClamWin antivirus (ML)

NB. We can also mention Kaspersky antivirus wich integrates a proactive/behavioural analysis module (but it's still an antivirus!)

On peut également citer Kaspersky antivirus qui intègre un module d'analyse comportementale (mais qui reste un antivirus!).



C) HIPS based white list, misuse and anomaly detection:


This kind of product combines white list  (of system files and applications), black list (malwares signatures) and behavioural analisys.

Cette catégorie combine une approche par liste blanche (fichiers système et applications), base de signatures virales et analyse comportementale.


-PrevX (P)



D) HIPS pure white list:


These products record system files and installed applications on a database, and provides a strong and simple policy restriction: that which is not known is not allowed to run.

Ce type d' HIPS est dit pure liste blanche dans le sens ou tout ce qui n'est pas strictement reconnus comme fichier et application de confiance (base de donnée crée lors de l'installation) est automatiquement bloqué.


-Abtrusion Protector

-Anti-Executables

-Zorro PC Protector



D) HIPS based anomaly detection and integrity checking:



This kind of HIPS combines files certification and behavioural analysis.

Ce type d' HIPS combine analyse comportementale et certification des fichiers.


-Invircible

-Viguard




E) HIPS based white list or/and virtualization or/and sandboxing or/and policy restrictions:

This class of HIPS relies mostly on policy restrictions via or not the use of sandboxing and virtualization technologies.

HIPS pouvant combiner une politique de restrictions (programmes, fichiers), une protection par liste blanche; avec ou sans l'utilisation de technologie de type sandbox ou virtualization.


-CoreForce

-DefenseWall (P)

-GesWall

-SandBoxie



E) HIPS based virtualisation technology:

 This class of HIPS isolates system files and applications in a virtual and restrcted area in order to prevent a strong and reliable integrity protection.

Ces HIPS sont principalement basés sur la technologie de virtualization qui isole les fichiers et applications dans une zone virtuelle afin d'en préserver l'integrité.


-BufferZone

-GreenBorder

-V-Elite

-Virtual Sandbox




2. SPECIALIZED HIPS



This class of HIPS is designed to protect the system against a specific kind of threat:

-rootkits,

-zero days attacks,

-Buffer Overflows,

-Dat Theft (...)


Except those which are designed to prevent and detect rootkits, most of them can be considered as End-Point HIPS.

These products are certainly less necessary than classical HIPS, but on the other hand,  can provide a real "plus" in a line defense, especially for:

-users who work on application software database (SQL/Oracle etc are often affected by Buffer Overflows),

-users who have a risky surf (warez, porn sites etc),

-paranoiac users (...)


Cette catégorie d' HIPS est déstinée à protéger une catégorie spécifique de menace, que ce soit les rootkits, les attaque dites 'zero day" (exploits basés sur des failles non encore patchées) ou le vol de donées.

Ils sont moins indispensables que les HIPS classiques (1.), mais peuvent constituer un plus pour certains utilisateurs travaillant sur les applications de bases de données  (souvent affectées par des Buffer overflows ou débordement de tampons), ayant un surf à risques (warez, site X etc) ou tout simplement paranoïaques.



A) HIPS based rootkit prevention and detection:



-Helios

-Gmer



B) EndPoint HIPS based zero day protection:



-SocketShield (P)


-PreEmpt (P)




C) HIPS based Buffer Overflow protection:



-AttackShield

-BufferShield (P/FLV)

-BoWall (old hardening tool)

-DefensePlus (P)

-StackDefender (P)

-WehnTrust (P/FLV)


NB: AttackShield, BoWall and WehnTrust are more considered as hardening system tools than as HIPS softwares.



D) End-Point HIPS based data theft protection:



These products are mostly designed to protect external drives from access and data theft.

Ces produits sont destinés à protéger principalement les données stockées sur support externes des tentatives d'intrusion et de vol.


-DeviceLock

-DeviceWall

-MobileGov solutions

-USB Lock AP (2007)




E) HIPS Based Antiphishing and Antipharming (2007)


This class of HIPS is mostly designed to protect against attacks that are used in phishing: this concerns link manipulation (URL obfuscation etc), pharming attacks, and then one of their main consequence: Identity Theft.
But as most phishing attacks are social engineering based attacks, the first line defense is and still the "vigilant mind".
The most interesting and exhaustive HIPS of this panel is TrustDefender, even if its bank database concerns mostly "Aussie" banks.


Cette catégorie de programme se focalise dans la protection des techniques de phishing, ceci incluant la manipulation d' URL, ainsi que les attaques de pharming.
Ils permettent entre autres de se prémunir de la conséquence majeure de ce type d'attaque: le vol d'identité.
L' HIPS le plus complet et intéressant est TrustDefender, même si sa base de donnée se concentre sur les banques australiennes.



-IDNWebshield ( free, the pro version is for server)


Mainly an anti-phishing and pharming product.
Attention: the translation from german to english is not perfect :)

Produit anti-phishing et anti-pharming dont la traduction en anglais souffre de quelques "bugs".
La version pro est recommandée pour les serveurs.


-Anti-Pharming (free for personal use)


This product which works as a simple service is designed to protect host files and to check DNS request.
Mostly interesting for those who run a server (Apache etc).

Ce programme s'installe comme un simple service, et s'occupe de protéger le fichier host, et d' inspecter les requêtes DNS.
Surout intéressant si l'on fait tourner un serveur type Apache.


-TrustDefender


This HIPS protects against IDTheft by checking the integrity of banks sites and certificates for instance, but it has also the ability to check the computer for unknown or hidden processes (rootkits).
Mostly interesting for for classical users (with no particular security knowledge) who often practises online financial transactions (banking/shopping).

NB. This program is new, and is logically free after the trial period (21 days).

Ce programme est nouveau, et il est actuellement gratuit aprés la periode d'essai de 21 jours.





NB. First and last update for this list (Monday, june, 10th, 2007).
99 % of programs listed here or in this blog have been tried and experimented (it's not professional to talk about what we do not know :)).

This list will be updated in the future on the Security Software Testing Alliance site.
And certification will be provided after a deep and technical testing phase.


Première et dernière mise à jour de la liste (le 11 juin 2007).
99 % des produits mentionés dans cette liste ou sur ce blog ont été expérimenté (sinon ce ne serait guère professionnel).

Le futur de cette liste se trouve sur le site de la Security Softwarte Testing Alliance (SSTA)
Tous ces programmes seront soumis à une intense et technique batterie de tests, et seuls ceux qui répondront aux critéres seront estampillés "HIPS".





Publié dans LINE DEFENSE

Commenter cet article

Julie 27/01/2007 11:05

Ah, c'est sympa ...

xav 07/10/2006 20:58

Bonjour,
Félicitations pour votre site qui est vraiment bien conçu! J'ai créé un annuaire de blogs et si vous souhaitez vous y inscrire voici l'adresse: http://netblog.site.cx  !
Bonne continuation