走近卡巴斯基(四)

释放双眼,带上耳机,听听看~!

有了备份,真的就确保安全了吗?

        在上篇文章里(《有了双活,真的就确保安全了吗?》),我们了解了双活与备份的关系,知道了双机和双写都属于预防措施,是数据保护的重要一环,但不是最后一道防线,仅能解决硬件原因引起的故障,万一出现逻辑错误或者接管失败,可能就会给我们带来更

前     言


杀毒软件市场硝烟四起,很多免费产品的出现,让大家忘记了杀毒软件的本质是什么,很多人更关注的是谁更便宜,而不是谁更安全。近期很多人被勒索病毒感染,这些人的电脑上大多安装的有杀毒软件,有一个中过毒的客户感慨说:原来免费的才是最贵的。

慢慢的,大家会发现,杀毒还是要靠技术说话的。很多人问我:你说卡巴斯基好,到底好在哪? 这个问题还真不是三言两语能说清楚的,所以我整理了一些内容,希望大家能看完,或许就能从中找到答案。今天讲第四个技术:

四、卡巴斯基HIPS(主机入侵防御检测系统)

      卡巴斯基个人版产品里有的包含了HIPS(主机入侵防御检测系统)。这套防御系统用来检测和防御不想要的程序(PUA)和恶意程序的活动。卡巴斯基强大的技术只防御恶意程序和不需要的程序的危害,不影响用户对计算机正常的使用。这确保用户计算机资源的低消耗和防御的高效性。

为什么需要HIPS      

      如今用户的计算机面临着持续增长的恶意程序的威胁,木马,蠕虫和病毒破坏计算机系统,线上交流,偷取机密数据并监视用户。

      用户需要有效的保护避免恶意软件和黑客的攻击。网络入侵检测系统(NIDS)分析网络流量和内部网络的计算机,虽然它可以限制对加密资源的频繁调用。NIDS也不能阻止来自可移动的媒体的威胁。一个能够在本地防御的系统(HIPS)是个更实际的办法。它可以监视在本地计算机上应用程序的行为并封锁用户不想要的行为。

     HIPS有效之处:

     •在病毒数据库里没有收录新病毒的信息时,减少入侵和传播病毒的风险,

     •已知的病毒启动时阻止它们。

     •阻止可疑程序的活动。

     •保护数据不被偷窃。

对应用程序活动的过滤检查


     HIPS是主要设计来过滤应用程序活动的。卡巴斯基产品中的HIPS模块确保对应用程序全面的控制,而不影响计算机性能。一旦病毒行为被发现,会即刻被封锁,我们提供了高安全级别的保护。

     根据详细分析程序的行为,HIPS将应用程序分组。分组的指标有以下几个:

     •常规病毒扫描。

     •从数据库中查询此文件信誉情况(是否受信)。

     •检查数字签名。

     •在仿真安全环境(虚拟环境)中程序的可疑行为的检测结果。

     •将程序的行为和已知的恶意程序的行为对比分析的结果。

     对应用程序的分析有几个标准,对它们危险程度的分组很“有理有据”。HIPS能够详细分析应用程序的结构和应用程序的文件夹内容。因为不单靠数据库,HIPS既能封锁已知威胁,也有打击不在病毒数据库里的威胁的能力。

巧设“蜜罐”,定位蓝屏攻击源

近期很多单位被这个Intrusion.Win.MS17-010.o的攻击搞的有点头大,尤其是在医疗行业,我也写了多篇文章介绍这个攻击事件,详细介绍了关于这个攻击的处理办法。《小心,一大波病毒来袭!!》《难道这就是近期医院屡受攻击的原因?》 不过在问题的处理上,我们

     由于白名单(Whitelist,列出了可信任的程序)的作用,HIPS减少了很多关于合法程序的误报,这使得卡巴斯基的程序更易用。

     HIPS的设置相当灵活,可以将程序最高调为完全封锁最低调为到最小的监控(轻微的检测)。应用程序可以被HIPS分成4个组别:信任组,低限制组,高限制组,不信任组(完全封锁)。在低限制组和高限制组的程序并不是被认为是恶意程序,但是对于可执行和其他文件的访问,对注册表的访问和更改,网络和其他资源的使用受到不同程度的限制。

     除了分组,HIPS也可以给计算机上的文件提供可配置的保护,也就是说HIPS可以限制程序对用户文件的访问。例如,可以创建一个特殊的组将重要文件(银行数据,邮件,即时消息)放入,卡巴斯基HIPS会对这些文件提供防护,可以配置访问权限免受篡改和窃取。(提示下:这一点也可以用来防护勒索软件,保护组里的文件通常不会受影响,为什么是通常,因为我没法保证〈笑,我在说废话了,但不得不说〉)     

     总的来说,卡巴斯基的HIPS模块灵活准确的筛查程序活动,这比“非白即黑”或“非黑即白”的模式好得多。

      

对高级用户和初级用户都很易用

    

  HIPS控制程序活动,其功能模式也满足了各种各样用户的需求。

      用户可以自主选择最适合自己的工作模式:

      •交互模式:用户给出指令关于控制程序的什么行为,这适合高级用户。

      •自动模式:用户无需任何指令,卡巴斯基HIPS自动处理应用程序,这适合没有经验的用户。

      用户可以更改应用程序的活动和受保护资源的预设规则,也可以创建新规则来配置用户私人文件的访问权限。用户也可以修改程序的子程序的权限。例如它可以将由一个Messager启动的未知程序定义为“信任组”。

HIPS组件的优势:

      •当某个程序第一次启动,HIPS对其进行彻底分析并将其分组。当它随后开始运行时,会被持续检查行为。如果程序自身更改了,会重新检查。

      •如果计算机连接到了互联网,卡巴斯基会从KSN(卡巴斯基安全网络)接受启动程序的信息,这是一个网络信用评级服务。如果服务器返回新的信息,程序的分组可能会被重新调整。比如,服务器认定一个程序是恶意程序,它将马上被封锁。

      •此外,从卡巴斯基9.0开始,这种模式就有能力防御未知病毒了(没有进入病毒数据库的病毒)。

      HIPS还采用集成的其他技术,比如常规病毒扫描,使用离线和在线数据库扫描,软件数字签名验证,基于仿真环境和启发分析。

采用HIPS(主机入侵防御检测系统)的产品:

     家庭用户:KFA/KAV/KIS/KTS/卡巴斯基安卓安全软件/卡巴斯基WP及iOS安全浏览

     企业用户:KES(端点安全解决方案)/KSOS(中小企业解决方案)


未完待续……


如果你觉得不错请转发让更多人看到。

您的关注就是我的动力,扫描下面二维码关注“大兵说安全”

本文源自微信公众号:大兵说安全

这一步做好,能减少一半被勒索的机会

这一个月内,又有几家大型单位被勒索病毒感染,黑客勒索的赎金均为几十万元。 而且在近期的几次勒索事件中,经过我司技术人员的现场取证分析,和之前发现的勒索事件一样,都有一些共同点。关于如何防范,每次的文章我都会写的比较多,引起事件的原因也很多,

人已赞赏
安全工具

防黑必备技能之端口篇(3)

2019-10-14 17:34:21

安全工具

有了备份,真的就确保安全了吗?

2019-10-14 17:34:30

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索