HIPS, yanlışlıkla veya saldırılar sonucu ortaya çıkan sistem değişiklikleri ve yapılandırma dosyalarındaki oynamalar yaparak ,sistemdeki işlemlerin izlemesi yoluyla saptanıp, yerlerinin bulunmasında görev yapmaktadır. Değişikliklerin hızlıca saptanması potansiyel zarar riskini, arıza arama ve kurtarma süresini azaltıp, genel sistem etkileri en aza indirerek sistemin güvenlik ve çalışabilirliğini korur.HIPS; Host Intrusion Prevention System biçimde İngilizce açılımı olan ve ''Host Tabanlı İzinsiz Giriş Saptama Sistemi'' anlamına gelen yeni bir güvenlik teknolojisidir. Bu yeni teknoloji ile sisteminize yapılması muhtemel tüm kötü niyetli girişler tespit edilip engellenmektedir. Yani güvenlik duvarınızı ve diğer güvenlik yazılımlarınızı atlatmayı başaran zararlılar, bu korunma yöntemi ile etkisiz hale getirilebilmektedir. Sistem üzerindeki tüm giriş-çıkışları, izleyen, çalışmakta olan tüm uygulamaları (özellikle gizli çalışanları) gerçek-zamanlı olarak takip eden HIPS yazılımı kullanmak günümüzde bir zorunluluk haline gelmiştir.Güvenlik duvarları (Firewall) ve Anti-Virüs yazılımları kurulu oldukları bilgisayarları (ev sahiplerini yani "Hostları") korumak için iletişim verilerinden oluşan paketleri izleyip inceleyerek anlık iletişimi ve verileri iyi veya kötü olarak tanımlamaya çalışırlar. Bazı güvenlik duvarlarının ve anti-virüs yazılımlarının tamamlayıcı bir unsuru ise atak tespit ve önleme sistemleridir.Benzer tekniği kullanan sistemler için; IDS (Intrusion Detection System - Atak Tespit Sistemi), IPS (Intrusion Prevention Systems - Atak Önleme Sistemi), HIDS (Host-based Intrusion Detection Systems - Bilgisayar tabanlı Atak Tespit Sistemi), HIPS (Host-based Intrusion Prevention Systems - Bilgisayar tabanlı Atak Önleme Sistemi) gibi benzer isimler kullanılmıştır. Aralarında teknik olarak bazı ufak farklılıklar olsa da, temel çalışma mantıkları, kullandıkları yöntem, amaç ve hedefleri benzerdir. Dolayısı ile, bu gruba "Atak Tespit ve Önleme Sistemleri" (IDPS - Intrusion Detection and Prevention Systems) demek doğru olacaktır.Masaüstü bilgisayarlarda HIPS, NIPS(Network Intrusion Prevention System - İletişim ağı Atak Önleme Sistemi);Sezgisel(heuristic)tanımlama gibi teknikleri artık "pro-aktif güvenlik" başlığı altında tanımlamak gerekiyor. Çünkü, artık gelişen teknoloji, yeni atak türlerinin ve güvenlik açıklarının ortaya çıkması ile birlikte bu kavramlar iyice birbiri içine girmeye başladı. Nereye kadar HIPS, nereye kadar sezgisel(heuristic) tanımlama, nereye kadar NIPS olduğunu ayırmak gittikçe güçleşiyor veya gereksiz olmaya başlıyor. Zaten HIPS içinde kullanılan tekniklerde farklılıklar gösteriyor, her yazılım genel HIPS özelliklerinin sadece bir kısmını kullanıyor. Bu doğrultuda güvenlik sektöründe gelişmeler genel olarak "pro-aktif güvenlik" başlığı altında toparlayabileceğimiz bir alanda daha fazla hissediliyor. Birçok firewall ve antivirüs gibi üründe bu teknikleri kullanan ürünler var ve gün geçtikçe daha fazla karşımıza çıkıyor. Elbette bir kişisel güvenlik duvarında veya antivirüs yazılımında HIPS veya NIPS özelliklerinin olması bilgi güvenliği için önemlidir. Kişisel güvenlik duvarlarında NIPS özelliği olmalı, HIPS ise ayrı bir yazılım olarak ve/veya yine kişisel güvenlik duvarı ve/veya antivirüs yazılımının bir özelliği olarak yer almalıdır. Pro-aktif güvenlik özellikleri, birçok güvenlik yazılımının bir bileşeni veya yazılımın temel çalışma tekniği olarak karşımıza çıkıyor. Yani artık güvenlik alanında daha çok "pro-aktif güvenlikten" bahsedeceğimiz bir dönemi yaşıyoruz ve yaşayacağız.
HIPS YAZILIMLARININ GENEL ÖZELLİKLERİ
Host Tabanlı Saldırı Önleme Sistemleri Ne Yapar?
Bilgisayarımızda kurulu Anti-Virus yazılımlarının içinde listelenen 1000000~ tanım(signature) var. Bir dosyaya denk geldiğinde buradakilerden biriyle aynı mı diye kontrol ediyor ve eğer tanımlarda varsa izin verilmiyor, yoksa devam ediyor. HIPS buna yakın bir özelliği kullanıyor. Sistemde normalin dışında bir aktivite gördüğünde sizi uyarıyor ve engelliyor.HIPS yazılımları bazı yazılımlara karşı kısıtlama koyabilir fakat kullandığımız HIPS yazılımının popüler programların yanında severek kullandığımız bazı yazılımlarda uyum içinde çalışabilir olmasına dikkat etmeliyiz. O tür programları engelleme durumu var.Birçok HIPS yazılımı önceden ayarlanmış kurallar ile birlikte yüklenir. Bilinen açıklara ve zararlılara karşı korumayı bu şekilde yapar. Bilinmeyen saldırılara karşı kural yaratılabilir. Bir HIPS kullanıyorsak kendi kuralımızı mutlaka oluşturmalıyız. Zor görünse de bu bir gerekliliktir.Ne kadar dikkatli olursanız olun, gözünüzden kaçan birçok şey olabilir. HIPS yazılımı aktiviteleri raporlar halinde saklar ve gerektiğinde siz bu raporları inceleyerek sıra dışı bir işlem olup olmadığını kontrol edebilirsiniz. Bazı sorunlar durumunda uzmanlardan bu raporlar sayesinde yardım alabilirsiniz.Bir HİPS yazılımı Davranış-tabanlı olduğu ve imza-tabanlı olmadığı için;sizi hem bilinen, hem bilinmeyen, veya"sıfır-gün" tehditlerine karşı korur ve günümüzün bilgisayar güvenliği tehditlerine karşı anında etkilidir.HİPS'in sizi koruması için, diğer antivirüs ve anti-spyware programları gibi tarama yapmaya ihtiyacı yoktur.Davranış-tabanlı koruması,herhangi bir zararlının (virüs, solucan, trojan,rootkit,keylogger'lar ve buffer overflow atakları da dahil olmak üzere tüm tehditleri) davranışıyla tutarlı bir davranışı bloke etmek ve engellemek amacıyla; dosyaların, arka plan görevlerinin ve işlemlerin gerçek davranışlarını inceler ve gözlemler.Bu şekilde bir PC'yi aktif olarak savunur.O hep arka planda aktiftir, kötü niyetli davranışlara gözcülük ederek sizi daima gerçek-zamanlı olarak korumaktadır. Şayet bir tehdit tesbit ederse, hemen sizi uyaracaktır ve tehditi sisteminizden temizleyecektir.Davranış-tabanlı yaklaşım,geleneksel imza-tabanlı antivirüs yazılımlarına göre daha üstündür.Çünkü geleneksel programlar kesinlikle ''reaktif koruma'' sağlarlar.Ancak tehdit keşfedildikten ve tehdide karşı korunmak için yeni imzaların geliştirilme,test edilme, güncellemelere katılma aşamaları bittikten sonra, geleneksel programlar sizi yeni bir tehdite karşı koruyabilirler.HİPS ise sizi korumak için imzalara güvenmez; onun yerine bir PC'nin güvenliğini zedeleyebilecek herhangi bir aktivite ya da davranışı proaktif olarak kapatır.Tehdit ne kadar yeni olursa olsun, sisteminiz daima korunmaktadır.Ayrıca bazı HİPS yazılımlarının çekirdek davranış-tabanlı korumasına ilaveten; gizli rootkit'leri derinlemesine aramak,bulmak için özel bir rootkit-tarayıcısı da bulunmaktadır. Rootkit'ler,sisteminizin derinlerinde saklanmasıyla ve zor tesbit edilebilir olmalarıyla bilinen özel bir tehdit kategorisidir.İyi saklanabildiklerinden dolayı, tesbitleri için bazen extra bir çalışma gerekir.Bir HİPS'in sessiz olması, sizi korumak için sıkı çalışmadığı anlamına gelmez.O sürekli olarak sessizce arka planda çalışır,kötü niyetli davranış işaretleri için, sürekli olarak tüm aktiviteleri analiz eder.Eğer herşey normal görünüyorsa, canınızı sıkmanız için bir sebep yoktur. Ancak şüpheli herhangi bir şey tesbit ettiği anda, uyarı alacaksınızdır.HİPS yazılımlarının''ActiveDefense teknolojisi'',bugün mevcut olan en zeki davranış-tabanlı analiz teknolojisidir.Sürekli olarak PC'nizdeki tüm aktiviteleri çok düşük bir sistem seviyesinde gözetler ve analitik, risk algoritmaları, program geçmişleri ve tolerans eşiklerinden oluşan özel bir kombinasyonu; tehditleri tanımak ve engellemek için kullanır. Bazı HİPS yazılımı (örnğ.ThreatFire gibi) bir yandan, potansiyel yanlış alarm sayısını düşürmek için bir beyaz-liste barındırırken, diğer yandan bu beyaz-listedeki uygulamalara da körü körüne güvenmez.O yine daimi olarak bir sistemde gerçekleşen tüm davranışları inceleyecek ve herhangi bir şüpheli durum oluşmaya başladığında, beyaz listede olup olmadığına bakmaksızın uyarısını yine yapacaktır.Herhangi bir uygulamanın tehlikeli olabilme olasılığı olduğu için, herhangi bir uygulamaya güvenmek de esasen bir güvenlik yazılımı için tehlikeli ve etkisiz bir yaklaşımdır.Genel olarak HİPS yazılımları herhangi bir kullanıcı ayarları ya da yapılandırması gerektirmezler.Tamamen yapılandırılmış olarak paketlenmişlerdir ve yapılması güç herhangi bir ayar veya kullanıcının teknik bilgisini gerektirmezler. Ayrıca bazı HİPS yazılımı (örnğ.ThreatFire gibi)gerçekte zararlı olmayan "iz sürücü çerezler" (tracking cookies) gibi maddelere karşı da sizi uyarmayacaktır.Bunlar, diğer imza-tabanlı Antivirüs ya da Anti-Spyware taramalarında tesbit edilebilecek;"uykudaki" veya zararlı olmayan tehditlerdir.Bu yüzdendir ki, "davranış-tabanlı" ve "imza-tabanlı" yazılım türleri, birbirlerinden çok farklı şekillerde çalışırlar.Fakat bir çok kullanıcı güvenlik yazılımından, bu tür tehditlerin de taranmasını beklediğinden;ThreatFire'a kurulum-öncesi bir tarayıcı ilave edilmiştir(rootkit-tarayıcısı).Bu "PC Güvenlik Kontrolü" (PC Security Check); ThreatFire kurulumundan önce sisteminizin hızlı ve temel bir taramasını yapacaktır; ve herhangi bir tehdit ya da çerez tesbit ettiğinde sizi uyaracaktır. İşin özü, bir adet HIPS yazılımı kurup, bir iki haftanızı harcayarak ne işe yaradığına ve nasıl kullanıldığını öğrenmeniz gelecek için çok faydalı olacaktır.
HIPS YAZILIMI NEDEN KULLANMALIYIZ:
Kurduğumuz programın ne işe yaradığını bilmemiz gerekiyor. Bir CD den program yüklerken bedava diye yüklemeyin. Programın ne olduğunu iyi bilin.Programın adına güvenip de hemen indirmeyin. İlk başta araştırın. Programları resmi sitelerinden indirmeye özen gösterin.HIPS yazılımı kullanmak günümüzde gereklilik haline gelmiş bulunuyor.Bu özellik ,modern Anti-Virus ve Firewall programlarının çoğunda bulunuyor ,ama güvenliğe önem veriyorsanız ayrı bir HIPS yazılımı kullanmanızda fayda var. HIPS programları davranış-tabanlı tesbiti kullandığından, diğer imza-tabanlı ürünlerinizle çakışmayacaktır.Diğer imza-tabanlı güvenlik programlarınıza mükemmel bir tamamlayıcıyı oluştururlar.Çoğu geleneksel antivirüs programlarıyla tamamen uyumludur, ve bu programlarla herhangi bir çakışma olmadan yanyana çalışabilirler.Bazı durumlar haricinde programların içinde bulunan, Anti-Virus programlarıyla çakışma yapmamaları için ayarlama bölümü yapmışlardır.Firewall veya Security Suite gibi belirli bazı türdeki programlarla,çalışabilmeleri için bazı izinlerin verilmesi gerekebilir.Herkes güvenli bir bilgisayar kullanımı hakkına sahip olmalıdır.Kötü niyetli tehditler ve casus yazılımlarda son yıllarda görülen muazzam artış, güvenliği sağlamanın tecrübeli bilgisayar kullanıcıları için bile bir savaş niteliğinde olabileceğini kanıtladı.Büyük miktarlardaki zararlı yazılımların gün be gün meydana getiriliyor olması, geleneksel imza-tabanlı yazılımların bunlara yetişebilmesini de zorlaştırıyor.Tüm bu yeni ve bilinmeyen tehditler daha büyük bir risk unsurudur, çünkü daha hızlı yayılmaktadırlar ve daha tehlikelidirler.
HİPS YAZILIMI ÇEŞİTLERİ:
1-HIDS(Host Based Intrusion Detection System)
2-HIPS(Host Based Intrusion Prevention System)
3-IDPS(Intrusion Detection and Prevention System)
4-NIPS(Network Based Intrusion Prevention System)
5-CBIPS(Content Based Intrusion Prevention System)
6-RBIPS(Rate Based Intrusion Prevention System)
HIPS YAZILIMLARININ GENEL ÖZELLİKLERİ
Host Tabanlı Saldırı Önleme Sistemleri Ne Yapar?
Bilgisayarımızda kurulu Anti-Virus yazılımlarının içinde listelenen 1000000~ tanım(signature) var. Bir dosyaya denk geldiğinde buradakilerden biriyle aynı mı diye kontrol ediyor ve eğer tanımlarda varsa izin verilmiyor, yoksa devam ediyor. HIPS buna yakın bir özelliği kullanıyor. Sistemde normalin dışında bir aktivite gördüğünde sizi uyarıyor ve engelliyor.HIPS yazılımları bazı yazılımlara karşı kısıtlama koyabilir fakat kullandığımız HIPS yazılımının popüler programların yanında severek kullandığımız bazı yazılımlarda uyum içinde çalışabilir olmasına dikkat etmeliyiz. O tür programları engelleme durumu var.Birçok HIPS yazılımı önceden ayarlanmış kurallar ile birlikte yüklenir. Bilinen açıklara ve zararlılara karşı korumayı bu şekilde yapar. Bilinmeyen saldırılara karşı kural yaratılabilir. Bir HIPS kullanıyorsak kendi kuralımızı mutlaka oluşturmalıyız. Zor görünse de bu bir gerekliliktir.Ne kadar dikkatli olursanız olun, gözünüzden kaçan birçok şey olabilir. HIPS yazılımı aktiviteleri raporlar halinde saklar ve gerektiğinde siz bu raporları inceleyerek sıra dışı bir işlem olup olmadığını kontrol edebilirsiniz. Bazı sorunlar durumunda uzmanlardan bu raporlar sayesinde yardım alabilirsiniz.Bir HİPS yazılımı Davranış-tabanlı olduğu ve imza-tabanlı olmadığı için;sizi hem bilinen, hem bilinmeyen, veya"sıfır-gün" tehditlerine karşı korur ve günümüzün bilgisayar güvenliği tehditlerine karşı anında etkilidir.HİPS'in sizi koruması için, diğer antivirüs ve anti-spyware programları gibi tarama yapmaya ihtiyacı yoktur.Davranış-tabanlı koruması,herhangi bir zararlının (virüs, solucan, trojan,rootkit,keylogger'lar ve buffer overflow atakları da dahil olmak üzere tüm tehditleri) davranışıyla tutarlı bir davranışı bloke etmek ve engellemek amacıyla; dosyaların, arka plan görevlerinin ve işlemlerin gerçek davranışlarını inceler ve gözlemler.Bu şekilde bir PC'yi aktif olarak savunur.O hep arka planda aktiftir, kötü niyetli davranışlara gözcülük ederek sizi daima gerçek-zamanlı olarak korumaktadır. Şayet bir tehdit tesbit ederse, hemen sizi uyaracaktır ve tehditi sisteminizden temizleyecektir.Davranış-tabanlı yaklaşım,geleneksel imza-tabanlı antivirüs yazılımlarına göre daha üstündür.Çünkü geleneksel programlar kesinlikle ''reaktif koruma'' sağlarlar.Ancak tehdit keşfedildikten ve tehdide karşı korunmak için yeni imzaların geliştirilme,test edilme, güncellemelere katılma aşamaları bittikten sonra, geleneksel programlar sizi yeni bir tehdite karşı koruyabilirler.HİPS ise sizi korumak için imzalara güvenmez; onun yerine bir PC'nin güvenliğini zedeleyebilecek herhangi bir aktivite ya da davranışı proaktif olarak kapatır.Tehdit ne kadar yeni olursa olsun, sisteminiz daima korunmaktadır.Ayrıca bazı HİPS yazılımlarının çekirdek davranış-tabanlı korumasına ilaveten; gizli rootkit'leri derinlemesine aramak,bulmak için özel bir rootkit-tarayıcısı da bulunmaktadır. Rootkit'ler,sisteminizin derinlerinde saklanmasıyla ve zor tesbit edilebilir olmalarıyla bilinen özel bir tehdit kategorisidir.İyi saklanabildiklerinden dolayı, tesbitleri için bazen extra bir çalışma gerekir.Bir HİPS'in sessiz olması, sizi korumak için sıkı çalışmadığı anlamına gelmez.O sürekli olarak sessizce arka planda çalışır,kötü niyetli davranış işaretleri için, sürekli olarak tüm aktiviteleri analiz eder.Eğer herşey normal görünüyorsa, canınızı sıkmanız için bir sebep yoktur. Ancak şüpheli herhangi bir şey tesbit ettiği anda, uyarı alacaksınızdır.HİPS yazılımlarının''ActiveDefense teknolojisi'',bugün mevcut olan en zeki davranış-tabanlı analiz teknolojisidir.Sürekli olarak PC'nizdeki tüm aktiviteleri çok düşük bir sistem seviyesinde gözetler ve analitik, risk algoritmaları, program geçmişleri ve tolerans eşiklerinden oluşan özel bir kombinasyonu; tehditleri tanımak ve engellemek için kullanır. Bazı HİPS yazılımı (örnğ.ThreatFire gibi) bir yandan, potansiyel yanlış alarm sayısını düşürmek için bir beyaz-liste barındırırken, diğer yandan bu beyaz-listedeki uygulamalara da körü körüne güvenmez.O yine daimi olarak bir sistemde gerçekleşen tüm davranışları inceleyecek ve herhangi bir şüpheli durum oluşmaya başladığında, beyaz listede olup olmadığına bakmaksızın uyarısını yine yapacaktır.Herhangi bir uygulamanın tehlikeli olabilme olasılığı olduğu için, herhangi bir uygulamaya güvenmek de esasen bir güvenlik yazılımı için tehlikeli ve etkisiz bir yaklaşımdır.Genel olarak HİPS yazılımları herhangi bir kullanıcı ayarları ya da yapılandırması gerektirmezler.Tamamen yapılandırılmış olarak paketlenmişlerdir ve yapılması güç herhangi bir ayar veya kullanıcının teknik bilgisini gerektirmezler. Ayrıca bazı HİPS yazılımı (örnğ.ThreatFire gibi)gerçekte zararlı olmayan "iz sürücü çerezler" (tracking cookies) gibi maddelere karşı da sizi uyarmayacaktır.Bunlar, diğer imza-tabanlı Antivirüs ya da Anti-Spyware taramalarında tesbit edilebilecek;"uykudaki" veya zararlı olmayan tehditlerdir.Bu yüzdendir ki, "davranış-tabanlı" ve "imza-tabanlı" yazılım türleri, birbirlerinden çok farklı şekillerde çalışırlar.Fakat bir çok kullanıcı güvenlik yazılımından, bu tür tehditlerin de taranmasını beklediğinden;ThreatFire'a kurulum-öncesi bir tarayıcı ilave edilmiştir(rootkit-tarayıcısı).Bu "PC Güvenlik Kontrolü" (PC Security Check); ThreatFire kurulumundan önce sisteminizin hızlı ve temel bir taramasını yapacaktır; ve herhangi bir tehdit ya da çerez tesbit ettiğinde sizi uyaracaktır. İşin özü, bir adet HIPS yazılımı kurup, bir iki haftanızı harcayarak ne işe yaradığına ve nasıl kullanıldığını öğrenmeniz gelecek için çok faydalı olacaktır.
HIPS YAZILIMI NEDEN KULLANMALIYIZ:
Kurduğumuz programın ne işe yaradığını bilmemiz gerekiyor. Bir CD den program yüklerken bedava diye yüklemeyin. Programın ne olduğunu iyi bilin.Programın adına güvenip de hemen indirmeyin. İlk başta araştırın. Programları resmi sitelerinden indirmeye özen gösterin.HIPS yazılımı kullanmak günümüzde gereklilik haline gelmiş bulunuyor.Bu özellik ,modern Anti-Virus ve Firewall programlarının çoğunda bulunuyor ,ama güvenliğe önem veriyorsanız ayrı bir HIPS yazılımı kullanmanızda fayda var. HIPS programları davranış-tabanlı tesbiti kullandığından, diğer imza-tabanlı ürünlerinizle çakışmayacaktır.Diğer imza-tabanlı güvenlik programlarınıza mükemmel bir tamamlayıcıyı oluştururlar.Çoğu geleneksel antivirüs programlarıyla tamamen uyumludur, ve bu programlarla herhangi bir çakışma olmadan yanyana çalışabilirler.Bazı durumlar haricinde programların içinde bulunan, Anti-Virus programlarıyla çakışma yapmamaları için ayarlama bölümü yapmışlardır.Firewall veya Security Suite gibi belirli bazı türdeki programlarla,çalışabilmeleri için bazı izinlerin verilmesi gerekebilir.Herkes güvenli bir bilgisayar kullanımı hakkına sahip olmalıdır.Kötü niyetli tehditler ve casus yazılımlarda son yıllarda görülen muazzam artış, güvenliği sağlamanın tecrübeli bilgisayar kullanıcıları için bile bir savaş niteliğinde olabileceğini kanıtladı.Büyük miktarlardaki zararlı yazılımların gün be gün meydana getiriliyor olması, geleneksel imza-tabanlı yazılımların bunlara yetişebilmesini de zorlaştırıyor.Tüm bu yeni ve bilinmeyen tehditler daha büyük bir risk unsurudur, çünkü daha hızlı yayılmaktadırlar ve daha tehlikelidirler.
HİPS YAZILIMI ÇEŞİTLERİ:
1-HIDS(Host Based Intrusion Detection System)
2-HIPS(Host Based Intrusion Prevention System)
3-IDPS(Intrusion Detection and Prevention System)
4-NIPS(Network Based Intrusion Prevention System)
5-CBIPS(Content Based Intrusion Prevention System)
6-RBIPS(Rate Based Intrusion Prevention System)
Hips gecilebilir.Şahit oldum.Crypterle zor ama.
