Benzer tekniÄŸi kullanan sistemler için; IDS (Intrusion Detection System - Atak Tespit Sistemi), IPS (Intrusion Prevention Systems - Atak Önleme Sistemi), HIDS (Host-based Intrusion Detection Systems - Bilgisayar tabanlı Atak Tespit Sistemi), HIPS (Host-based Intrusion Prevention Systems - Bilgisayar tabanlı Atak Önleme Sistemi) gibi benzer isimler kullanılmıştır. Aralarında teknik olarak bazı ufak farklılıklar olsa da, temel çalışma mantıkları, kullandıkları yöntem, amaç ve hedefleri benzerdir. Dolayısı ile, bu gruba “Atak Tespit ve Önleme Sistemleri” (IDPS - Intrusion Detection and Prevention Systems) demek doÄŸru olacaktır.

HIPS olarak ifade edilen bilgisayar tabanlı atak önleme sistemlerinin daha çok odaklandığı ve diÄŸerlerinden ayrıldığı konu ise; iletiÅŸim ağındaki trafiÄŸin analizinden çok, bilgisayar sistemi üzerindeki (kurulu oldukları ev sahibi bilgisayar yani “Host” üzerindeki) faaliyetlerin izlenmesi ve gereken alarmların verilmesi ÅŸeklindedir.

Bilgisayar tabanlı atak tesbit ve önleme sistemleri, bilgisayara yüklü uygulamaların (programların) çalışmalarını izleyerek bilgisayarı riskli durumlara karşı korumaya çalışırlar. Atak önleme sistemleri; veri paketlerine, servis ve kaynakları kullanan çağrılara ve diğer sistem faaliyetlerine bakarak çalışan uygulamaların ne yaptığını anlamaya çalışır. Bu analizler belirli şartların tanımlandığı kurallar (rule) ile eşleştirilerek yapılabildiği gibi, bazı kritik faaliyetler için tanımlanmış derecelendirmeler ile de yapılabilir. Bu gözleme ve analizler sonucunda atak tespit ve önleme sistemleri belirlenmiş parametre ve şartlara göre kötü olduğu kesinleşen faaliyeti durdururlar. Şüpheli durumlarda ise, bilgisayar kullanıcısını uyararak izlenen faaliyetin devamına veya durdurulmasına onun karar vermesini sağlarlar.

Atak tespit ve önleme sistemleri anti-virüs veya anti-spyware yazılımları gibi sürekli güncellenen bir zararlı (veya virüs) izleri veritabanına (Virus Signature Database) bakarak çalışmazlar. Atak tespit ve önleme sistemlerin temel çalışma mantığı “pro-aktif” ‘dir. Yani, zararlının veya atağın tespiti için karşılaÅŸtırma yapacağı bir örnek yoktur, sadece daha önce bahsedildiÄŸi gibi sürekli yapılan faaliyetleri izleyerek belirli ÅŸartların saÄŸlanması durumunda harekete geçerler, engellerler veya uyarırlar.

Atak tespit ve önleme sistemleri ilk başlarda kurumsal alanda kullanıldı. Bağımsız (standalone) veya bir network donanımına (switch, router) ilave edilen modüller veya yazılımlar ile kullanılan atak tesbit ve önleme sistemleri ağırlıklı olarak iletişim ağı (network) için düşünülmüştü. Daha sonra sunucu (server) ortamı için bilgisayar tabanlı atak tesbit ve önleme yazılımları kullanıldı. Günümüzde artık masaüstü bilgisayarlar içinde değişik çözümler mevcut hale geldi.

Evlere kadar ulaşan kişisel bilgisayarlarda da bir yerde minyatürüze edilerek farklı firmalar tarafında HIPS, HIDS, IDS veya IPS gibi isimler ile ortaya çıktılar. Yine bu gelişimin başında daha çok kişisel güvenlik duvarlarına (personal firewall) ilave bir özellik olarak kullanılmaya başladılar. Daha sonra, atak tespit ve önleme sistemlerinin kısıtlı özellikleri antivirüs yazılımlarının içine entegre edilmeye başladı.

Kişisel bilgisayarlar için için düşünecek olursak;

Antivirüs dünyası için HIPS kullanımının geliÅŸmekte olduÄŸu söyleyebiliriz. Benzer güncel teknikler; Panda (TruePrevent), McAfee Enterprise, F-Secure (BlackLight), Norman (Sandbox) ve KAV/KIS 6.0 (ProActive Protection) gibi tanınmış yazılımlarda kullanılmaktadır. Program ve program modüllerinin ve registry kayıtlarının izlenmesi olarak gerçekleÅŸtirilen kontroller HIPS yazılımın özelliklerine benzer bir güvenlik saÄŸlamaktadır. Windows Vista ile birlikte 64-bit ortamını da destekleyen geliÅŸmiÅŸ HIPS özellikleribe sahip antivirüs yazılımlarını; Symantec, Sophos ve McAfee’de çıkardılar ve 64-bit ortamı içinde geliÅŸtiriyorlar. Elbette çok popüler antivirüs ürünleri dışında HIPS kullandığını söylemeyenlerde yok deÄŸil, mesela; Viguard, ClamAV gibi. Bazılarına göre de, iyi bir antivirüs’ün yine kaliteli bir sezgisel (heuristic) motoru/çekirdeÄŸi (engine) HIPS özelliklerini görebilir. Zaten bazı antivirüs yazılımlardaki sezgisel (Heuristic) motorların kullandıkları teknikler de HIPS teknikleri ile yapılandan çok farklı ÅŸeyler deÄŸildir, kısmende olsa HIPS yazılımları ile yapılanların benzerleri karşımıza çıkmaktadır.

Asıl HIPS veya NIPS (Network Intrusion Prevention System - Ä°letiÅŸim ağı Atak Önleme Sistemi) özelliklerini yaygın olarak gördüğümüz ürünler güvenlik duvarlarıdır. Zaten atak tespit ve önleme sistemleri antivirüs yazılımlarından çok daha önce güvenlik duvarlarında (firewall) kullanılmaya baÅŸlanmıştı. KiÅŸisel güvenlik duvarlarında HIPS/NIPS veya yakın benzerini kullananlar içinden en bilinenleri; Kerio Personal Firewall 4, Norton Personal Firewall, Tiny Personal Firewall, Agnitum Outpost’dur. Bunlara baÅŸkalarıda ilave olabilir.

HIPS, NIPS ve antivirüs yazılımlarında kullanılan sezgisel (Heuristic) özelliklerin artık birbirine karışmaya baÅŸlaması ile birlikte birçok ürün tüm bu tekniÄŸi tek bir ifade altında birleÅŸtirmeye baÅŸladı. “Pro-aktif Güvenlik” (Proactive Defense) olarak anlamını bulmaya baÅŸlayan güvenlik tekniÄŸigünümüzde çok daha önemli bir hale geldi. Pro-aktif güvenlik unsurlarının ve teknolojisinin amacı da aslında, iletiÅŸim ağı ve bilgisayar sistemindeki hareketlerin ve verilerin izlenerek; belli ÅŸartlara, öngörülere ve derecelendirmelere göre iyi veya kötü analizlerinin yapılarak, faaliyetin engellemesi veya gerekli uyarıların verilmesidir.

Atak önleme sistemleri kategorisi içinde birçok yazılım vardır. Bunların içinde masaüstü kiÅŸisel bilgisayarlarda kullanılabilecek tanınmış ve öne çıkanlar; “McAfee Host Intrusion Prevention”, “Internet Security Systems - BlackIce” ve “Snort” örnek gösterilebilir. Bunların dışında HIPS özellikleri taşıdığı söylenen bir çok yazılımda mevcut. Sadece HIPS özelliklerini kapsayan ve deÄŸerlendiren bir test ve inceleme olmadığı için bu iÅŸi hangisi daha iyi beceriyor bilemiyoruz, ancak yazılımların HIPS tekniÄŸi içinde deÄŸerlendirilen özellikleri kullandıklarını söyleyebiliriz. McAfee, Symantec (Sygate), Kerio, Outpost, Tiny gibi tanınmış yazılımların masaüstü kiÅŸisel bilgisayarlarda uzun süredir kullanılıyor olması nedeni ile bir tecrübe ve bilgi birikimi var. Yazılımların ne kadar HIPS özelliklerini taşıyor bilemiyoruz. Çünkü daha önce ifade edildiÄŸi gibi, artık bu tip güvenlik özellikleri “pro-aktif güvenlik” olarak ifadesini bulan yeni bir teknik içinde deÄŸerlendirilmeye baÅŸlanıyor.

HIPS yazılımlarının ücretsiz olanları içinde en ilgi çekici olanlarından başlarsak;
- AntiHook
- Prevx1R
- ProcessGuard Free
- System Safety Monitor Free Edition
- Winsonar

Ücretiz olanlar içinde yukardakiler daha fazla tercih edilen HIPS yazılımlarıdır. Ücretli olan ve başka birçok HIPS özellikleri yaşıyan benzer yazılımlar da var elbette.

HIPS yazılımları kullandıkları teknikler nedeni ile farklılıklar gösterdiklerinden değişik şekillerde sınıflandırılabilir.;

Anormallik analizi yapanlar;
- AbuseShield
- AllSeeingEye
- AntiHook
- AppDefend/GhostSecurity Suite
- BrowserSentinel
- CyberHawk
- Dynamic Security Agent
- NeovaGuard
- Ossurance Desktop
- Parador Security
- Primary Response SafeConnect
- ProSecurity
- ProcessGuard
- Safe’n'Sec
- SafePC
- Securitask2005
- SensiveGuard
- Softclan Integrity/Softclan Security Suite
- System Safety Monitor
- ThreatMon
- WinPooch

İz/imza veritabanı (signature) kullanıp anormallik analizi yapanlar;
- A2 (A-Squared)
- Online Armor
- Safe’n'Sec Plus
- SpyWall
- WinPooch (ClamWin)
- KAV6 ve KIS6 ‘daki HIPS’de bu sınıfa sokulabilir.

Beyaz liste (White list), suistimal ve anormallik analizi yapanlar;
-PrevX

Sadece beyaz liste analizi yapanlar;
- Abtrusion Protector
- Anti-Executables
- Zorro PC Protector

Bütünlük/doğruluk kontrolü ve anormallik analizi yapanlar;
- Invircible
- Viguard

Beyaz liste ve/veya virtualization (kaynakların özelliklerinin gizlenmesi) ve/veya sandboxing (çalışma ortamı için sınırlanmış bir alan yaratılması) ve/veya politika kısıtlamaları tekniklerini kullananlar;
- CoreForce
- DefenseWall
- GesWall
- SandBoxie

Sadece virtualization (kaynakların özelliklerinin gizlenmesi) tekniğini kullananlar;
- BufferZone
- GreenBorder
- V-Elite
- Virtual Sandbox

Bunların dışında sadece; “rootkit” (kritik sistem dosyalarını deÄŸiÅŸtirip bilgisayara dışardan eriÅŸilmesini saÄŸlayan ve gizleyen zararlılar), “zero day attack” (sıfır gün atağı), “buffer overflow” (tampon bellek taÅŸmaları), “data theft attacks” (bilgi/veri çalma atakları) v.b. gibi özel durumlara ve risklere yönelik HIPS yazılımları da var.

Rootkit’ler için;
- Helios
- Gmer

Sıfır gün atakları veya güvenliği için;
- SocketShield
- PreEmpt

Tampon bellek taşmaları için;
- AttackShield
- BufferShield
- BoWall
- DefensePlus
- StackDefender
- WehnTrust

Bilgi/veri çalma atakları için;
- DeviceLock
- DeviceWall
- MobileGov

Yukarıdakiler sadece örnek olarak verilmiştir, burada ismi geçmemiş daha birçok kendi başına çalışan (standalone) veya bir firewall (güvenlik duvarı) veya bir antivirüs ile bütünleşik bilgisayar tabanlı atak önleme yazılımı olabilir.

“Atak Tespit ve Önleme Sistemleri” ‘de apayrı bir dünya. KiÅŸisel bilgisayarlar üzerinde çalışan çok deÄŸiÅŸik türde bilgisayar tabanlı atak önleme yazılımları var. Genellikle atak tespit ve önleme yazılımlarının çoÄŸunun yaptığı iÅŸ/analiz ve metodoloji aynı olmayabiliyor. Bunların ne derece baÅŸarılı ve yeterli olduklarını söylemek ve birbiri ile karşılaÅŸtırmak, bugünlerde bu kavramlar yeni ve geliÅŸmekte olduÄŸu için biraz zor. Güvenlik alanında HIPS, NIPS v.b. gibi teknolojileri de içeren “pro-aktif güvenlik” saÄŸlayan ürünler, kimi zaman kendi başına, kimi zaman bir ürünün içinde, niteliksel ve niceliksel olarak yaygınlaÅŸmaya baÅŸlamıştır.

Benim sadece atak tespit ve önleme amaçlı olarak kullandıklarım ve beÄŸendiklerim; “McAfee HIP”, “BlackIce”, “ProcessGuard”, “System Safety Monitor” yazılımlarıdır. “McAfee HIPS” özellikle bana daha çok güven veren bir yazılım olmuÅŸtu, zaten test ve incelemelerde öne çıkıyor, ancak ağırlıklı olarak kurumsal bir ürün olduÄŸundan ev kullanıcısı için ne kadar anlamlı olabilir bilemiyorum. BlackIce’ı uzun bir süre kullanmıştım ve hatta sunucu (server) sürümlerinide kurmuÅŸ kullanmıştık ve windows ortamında çok memnun kaldığımız bir yazılım idi. Sadece Unix ortamında bilgisayar kilitlenmeleri gibi ciddi sorunlara neden olmuÅŸtu. Daha çok doÄŸruluk/bütünlük kontrolü yapan bir algoritmaya sahip. “ProcessGuard” biraz hakimiyet ve üzerinde kontrol gerektiren bir yazılım, biraz bilgisayar konusunda bilgili ve bilinçli olunmasını gerektiriyor. “System Safety Monitor” yazılımıda baÅŸarılı ücretsiz bir yazılım, ancak onunda “ProcessGuard” gibi bilinçli ve dikkatli kullanılması gerekiyor. “ProcessGuard” ve “SSM” verilen uyarıları doÄŸru anlamak ve yanlış birÅŸey yapmamak için öğrenilmesi gereken yazılımlar.

Bunların dışında; kiÅŸisel firewall olarakta “Kerio Personal Firewall” ise NIPS ve HIPS içeren, diÄŸerlerinden farklı bir firewall. “Agnitum Outpost” içinde atak tespit özelliÄŸi olan bir firewall, ne derece iÅŸ görüyor emin deÄŸilim, çoÄŸu insan Outpost ile birlikte baÅŸka bir HIPS yazılımını kullanmayı tercih ediyorlar. Norton’un personal firewall’ındaki atak tespit ve önleme sistemi ciddi bir araÅŸtırma yapmamış olsam da kullandığım süre boyunca sanki Kerio ve Outpost’tan daha iyi gibi geldi bana. Norton Personal Firewall NIPS ve HIPS özelliÄŸi içeren ve ilginç bir ÅŸekilde atak tiplerini güncelleyen bir firewalldı. BeÄŸeni anlamında; NIPS ve HIPS anlamında Norton’dan sonra Kerio’yu koyabilirim, en sonra da outpost.

HIPS özellikleri yazılıma kendi başına bir karar verme olanağı verdiğinden, atak uyarılarının yanlış tespit/uyarı/alarm (false positive) olma olasılığı da artıyor. Ve bu nedenle de birçok firma HIPS yazılımlarında daha çok kullanıcıyı uyarma ve onun tercihine göre önlem alma yolunu seçiyorlar. Teknolojinin tam oturmadığı ve güvenlik açıklarının sürekli artarak çeşitlendiği bir dönemde HIPS özelliğine sahip olduğu ifade edilen bir yazılımın kendi başına karar verip kullanıcıya müdahale şansı vermeden bir eylemi gerçekleştirmesi de aynı derece risk taşıyor. Genellikle kullanıcı tarafından öngörülmüş ayarlar ve zamanında uyarılar ile kullanıcıya tercih yaptırma metodunu kullananlar çoğunlukta. Ve sanırım içinde bulunduğumuz dönemde en doğru olanı da bu. Ancak, kullanıcılarında HIPS yazılımının fonksiyonlarını, ne için neyin yapılması gerektiğini iyi biliyor olması lazım. Yoksa, yanlış veya bilinçsiz bir kullanım bilgisayardaki bazı fonksiyonların iptaline veya durmasına ya da atak nedeni ile zarar görülmesine neden olabilir. Yazılımların HIPS özellikleri geliştikçe bilgisayar kullanıcılarında bu tip yazılımlara hakimiyetlerinin artması şart. Ve elbette kullanıcının hakimiyetinin artması içinde yazılımın Türkçe olmasının önemi büyük.

Masaüstü bilgisayarlda HIPS, NIPS, Sezgisel tanımlama gibi teknikleri artık “pro-aktif güvenlik” baÅŸlığı altında tanımlamak gerekiyor. Çünkü, artık geliÅŸen teknoloji, yeni atak türlerinin ve güvenlik açıklarının ortaya çıkması ile birlikte bu kavramlar iyice birbiri içine girmeye baÅŸladı. Nereye kadar HIPS, nereye kadar sezgisel tanımlama, nereye kadar NIPS olduÄŸunu ayırmak gittikçe güçleÅŸiyor veya gereksiz olmaya baÅŸlıyor. Zaten HIPS içinde kullanılan tekniklerde farklılıklar gösteriyor, her yazılım genel HIPS özelliklerinin sadece bir kısmını kullanıyor. Bu doÄŸrultuda güvenlik sektöründe geliÅŸmeler genel olarak “pro-aktif güvenlik” baÅŸlığı altında toparlayabileceÄŸimiz bir alanda daha fazla hissediliyor. Birçok firewall ve antivirüs gibi üründe bu teknikleri kullanan ürünler var ve gün geçtikçe daha fazla karşımıza çıkıyor. Elbette bir kiÅŸisel güvenlik duvarında veya antivirüs yazılımında HIPS veya NIPS özelliklerinin olması bilgi güvenliÄŸi için önemlidir. KiÅŸisel güvenlik duvarlarında NIPS özelliÄŸi olmalı, HIPS ise ayrı bir yazılım olarak ve/veya yine kiÅŸisel güvenlik duvarı ve/veya antivirüs yazılımının bir özelliÄŸi olarak yer almalıdır. Pro-aktif güvenlik özellikleri, birçok güvenlik yazılımının bir bileÅŸeni veya yazılımın temel çalışma tekniÄŸi olarak karşımıza çıkıyor. Yani artık güvenlik alanında daha çok “pro-aktif güvenlikten” bahsedeceÄŸimiz bir dönemi yaşıyoruz ve yaÅŸayacağız.