【原创】由猫叔手中Tiny想到的HIPS
TOM2000
熟悉猫叔的朋友都应该熟悉它的Tiny Firewall Pro因为它俨然成为猫叔标志性的病毒分析工具。从今天看来Tiny Firewall Pro可以说它是跨时代的作品,并不是“跟风”对Tiny的崇拜,而是它超前的用HIPS结合防火墙可以说开发者的眼光实在独特。今天Tiny已经不存在了(它被CA收购了),但是在今年下半年的时候各大主流安全厂商才会在自己的产品中集成HIPS。这时大家就会知道我什么这样评价Tiny了吧!
对HIPS不了解的朋友大家可以看看“2007安全配置手册”,其实CA的安全套装中还是有Tiny影子在其中文安全套装中有HIPS但是很可惜这个没有汉化,Tiny的FANS可以体验一下(但是不要抱太大希望,因为CA好想没有在HIPS放太多的精力)。
简述HIPS
其实HIPS最有名的应该是SSM这款产品也是猫叔早期用的,口碑最好的应该是SNS但是其3.0产品目前对中文支持还是有问题大家可以先尝试2.5而且2.5版有汉化。国产的HIPS最有名应该是EQ目前3.3正式版(测试版为3.4RC2)上手很简单功能强大,S3是中网公司出品的HIPS产品它更与其它HIPS不同是集成防火墙和杀毒功能(杀毒未开放)目前市面的应该是3.2公测版内部测试版已经是3.5B1,但是由于S3由于没有其它HIPS的学习模式所以开始用户上手会有些麻烦。
目前来看最新测试国产HIPS已经非常接近SSM和SNS了,而且SSM和SNS的完整版本都是付费软件而且国产的目前都是免费的,而且SSM(老版本)和SNS对2003不支持EQ和S3则没有这个问题。
从目前主流安全产品的公开的消息来看,今年下半年推出的新一代的安全产品进本都开始集成了HIPS。因为很简单HIPS带来的安全效果是非常明显,首先厂商如果内置不可修改的规则就可以通过HIPS功能对自己安全产品本身进行良好的保护,其次或是通过内部规则设定或是良好的提示只要用户合理的使用HIPS组件那将是对系统安全有一个质的飞跃。我打一个比方在合理运用HIPS在安装被捆绑的程序的时候,可以只安装原程序而阻止恶意捆绑插件的安装。
但是有好的方面,同时也有坏的方面。就是兼容的问题尤其对于纯HIPS来说这更是关系到生死存亡的问题,因为不同的HIPS都会在底层争权限直接导致系统问题或直接挂掉。遇到这样的问题时多数用户是在多个HIPS上进行相互认证设置还是直接卸掉一款HIPS产品呢?这个问题就不言而喻。而且作为只有HIPS的纯HIPS软件来说它们被首先卸载的风险是最大的。(我在测试EQ上因为巨大的兼容问题差点让我放弃了测试)从目前的情况来说除非你的安全产品全部来自同一厂商,否则你混装不同厂商的安全产品都可能面临巨大的兼容问题。比如你的杀软有HIPS功能在安全COMODO V3 的时候可能就要顾及两者兼容问题。这在设置上可以解决(只要软件开放规则编辑)但是关键是普通用户能否自行设置,答案应该是否定。
另外排除HIPS的学习模式,用户任何对AD,FD,RD的首次操作软件都是进行提示,用户盲目放行或拒绝都是问题。也就是说HIPS的成功将基本取决与其自身的规则编译的好坏,这厂商都应该有不同的应对方法。学习模式应该是最简单有效的解决方法,但是问题是用户如果老开学习模式那HIPS就是个 摆设了,要是关闭HIPS那能否看懂提示就成关键,但是不要说普通用户就是专搞安全业内人士,在没有思想准备的情况下也难免犯低级的点击错误。
总的看来HIPS的集成已经是趋势但是HIPS如何运用就是大问题,但是从MCAFEE经验来看除非厂商对自己的规则十分自信否则HIPS组件应该还是对自身的保护。大家是否作好准备迎接HIPS时代的到来呢?
