HIPS: nuove tecnologie per la sicurezza

HIPS: nuove tecnologie per la sicurezza

Gli attuali software antivirus sono incapaci di bloccare immediatamente le minacce più nuove e le tecniche utilizzate risultano inefficaci contro la gran mole di nuove infezioni giornaliere. Analizziamo quali sono i rimedi offerti dai software di analisi comportamentale con Jacques Erasmus, direttore del centro ricerca malware di Prevx

di pubblicato il nel canale Sicurezza
 

HIPS - Host Intrusion Prevention System

3) Si parla spesso di nuove tecnologie basate sull'analisi comportamentale dei file, i cosiddetti HIPS - Host Intrusion Prevention System, che prevedono l'analisi in tempo reale di ciò che un file compie all'interno del sistema per giudicarlo poi nocivo o innocuo. Voi stessi vendete un prodotto, PREVX1, che si basa appunto sull'analisi comportamentale. Quali sono i risultati pratici nell'utilizzo di questa nuova tecnologia?

Con le difficoltà di analisi appena esposte penso sia naturale che vengano valutati differenti approcci, quali appunto analisi comportamentali. Il sovraccarico di malware che persiste può essere affrontato solo con questa tipologia di strumenti, ben programmati e capaci di classificare le nuove minacce in modalità del tutto automatica. Il nostro software, Prevx, è nel campo degli HIPS dal 2001 ed in origine era un prodotto installato nelle grandi società per sistemi Windows, Linux e Solari.

Non ci fu troppo spazio in quel settore e abbiamo tentato l'approccio come software HIPS nel mercato consumer. Dopo aver lanciato Prevx Home - e aver raggiunto un milione di download - ci siamo resi conto che il software non era di facile utilizzo. L'utente doveva rispondere ad un elevato numero di "Alert" attraverso i quali il software segnalava potenziali modifiche al sistema. Più del 50% degli utilizzatori non è in grado di discernere se una modifica è lecita o meno; spesso quindi l'utente autorizza ogni modifica al fine di evitare il blocco di eventuali applicazioni. Questo comportamento rende ovviamente inefficace l'uso di un HIPS.

Per superare questa difficoltà Prevx ha sviluppato una prima versione di un database comunitario denominato PAWS - Prevx Advanced Warning System.

Il funzionamento di questo applicativo, in estrema sintesi, è il seguente: ogni client installato sui pc degli utenti manda informazioni su un determinato file eseguito qualora venganoi violate delle regole precedentemente configurate nel client. In questo modo abbiamo pensato di poter assistere l'utente finale nelle possibili scelte richieste dall' HIPS.

Nell'arco di un anno abbiamo raccolto circa 3 terabyte di informazioni e si è quindi reso necessario un metodo più organico e capace di gestire al meglio una tale mole di dati. Da Gennaio 2005 abbiamo così deciso un differente approccio sviluppando un sistema capace di determinare automaticamente la natura benigna o meno di un software a seconda delle regole preimpostate. A questo approccio automatico si affianca comunque quello manuale anche se il carico di lavoro risulta comunque assai sgravato.

I nostri punti cardine nello sviluppo sono quindi stati:

  • Minimo disturbo all'utente con domande sulle azioni da compiere;
  • Unico database centrale di signature (quindi senza necessità di aggiornamenti per ogni singolo client) che contiene attualmente:
    - 35 milioni di signature generate automaticamente con completi profili comportamentali raccolti dai client
    - 700.000 malware determinati in base alle informazioni ricevute dai client installati sui pc degli utenti
  • nessuna necessità di aggiornamenti locali perchè tutte le firme virali sono localizzate nel database centrale
  • eventuali attacchi mirati vengono facilmente individuati grazie ai dati ricevuti sul server centrale
  • routine di rimozione generica all'interno del client
  • la possibilità che ogni sistema che abbia installato il client Prevx funzioni come honeypot; in tal modo è possibile avere sempre più rapidamente informazioni su nuovi malware al fine di bloccarli nella maggior parte dei casi automaticamente.

Tutto questo è possibile senza che un solo sample ci venga spedito: il tutto viene fatto analizzando i comportamenti, in modalità manuale o euristica dal database centrale.

4) La maggior parte delle persone che ha utilizzato un software HIPS lo ha trovato spesso noioso e irritante per le troppe domande con le quali inonda l'utente, domande spesso troppo tecniche che non tutti comprendono. In aggiunta tutto è lasciato al giudizio finale dell'utente, se questi dà il permesso ad un malware di agire, il gioco è fatto. Come il vostro prodotto previente questi problemi.

Detto in termini semplici, come avevo annunciato prima, abbiamo fatto del nostro meglio per rimuovere i grandi problemi che affliggono ogni software HIPS, quello più grande appunto è riguarda le capacità richieste all'utente. Il client raccoglie le informazioni comportamentali di un file sconosciuto lanciato dall'utente e lascia il compito di prendere la giusta decisione al nostro sistema centralizzato coadiuvato dal lavoro dei nostri ricercatori. In termini di "rumore", abbiamo già una whitelist di circa 20 milioni di applicazioni benigne e tecnologia euristica capace di determinare se un'applicazione è benigna. Grazie a questo approccio l'utente ha sicuramente un'esperienza migliore nell'utilizzo di un software HIPS.

 
^