以中央控管HIPS，補足終端防護

使用過個人防火牆嗎？是不是因為太多的規則設定，最後每次個人防火牆如果出現警訊，總是選擇「允許連線」？這大概是所有有心導入終端資訊安全防護軟體企業的痛，設定繁複和難以計數的規則視窗，總是令人退避三舍。過去主機入侵防禦偵測系統（Host Intrusion Prevention System，HIPS）也有類似的問題，但是隨著企業對於終端防護的需求逐漸升高，越來越多廠商，如CA、McAfee、賽門鐵克（Symantec）等，開始推出企業用的HIPS產品，試圖將繁複的設定交由後端統一處理，讓企業能利用HIPS控管，又能夠省去終端電腦繁複的設定之勞。

依行為提供防護，抵擋零時差攻擊
HIPS雖然不是新的技術，卻算是新近才逐漸被企業接受的產品，和傳統的防毒軟體利用特徵碼針對病毒做掃描的方式不同，HIPS是透過終端電腦系統運作的情形與行為，做為是否為威脅的標準。簡單來說，HIPS會依據事先設定好的政策，在終端電腦上自動掃描可疑的行為，諸如接取網路、啟動應用程式、啟動文件檔案、修改機碼、安裝驅動程式等，能夠針對各種不同在終端進行的行為監控，並且在違反政策時，主動將之阻斷，同時發出報告。HIPS最重要的意義，就是讓終端電腦有能力防護零時差攻擊（Zero-Day Attack），也就是快速變種且可能無法透過特徵碼等方式找出來的攻擊行為。

通常一個HIPS需要擁有4D的功能，包括AD（Application Defend）、RD（Registry Defend）、FD（File Defend）以及ND（Network Defend）。AD是指HIPS針對已知或未知的應用程式程序，進行掃描的能力，必須有能力阻止這些應用程式在未受允許的狀況下遭到修改、自行啟動、自行建立目錄、動態連結檔注入（DLL Injection）、COM元件使用、OLE的使用等各種行為，確保應用程式不會成為惡意使用者偽裝的外衣。RD是對於機碼更改的控制，避免惡意程式透過機碼的更改，這種看似正常的應用行為，達到癱瘓電腦的目的，或是引導使用者到充滿更多惡意程式的網站。

FD是針對檔案讀寫作控制，避免攻擊者透過重寫或是寫入特定資料夾，如System 32、Windows等資料夾，取得竊取檔案文件的權限。ND則是指HIPS針對網路連線和USB等各種可以接取外部磁碟的介面控管，一般來說可以做到狀態檢測與網路進、出方向的控管。以賽門鐵克新發表的終端防護軟體Symantec Endpoint Protection 11.0為例，賽門鐵克技術顧問莊添發表示，該款軟體中的HIPS功能，就能做到設備透過USB埠與終端電腦連接的控管；並且在政策範本的設定上，就能做到4D的功能，確保應用程式和機碼、檔案不能隨意被更改。「對於企業來說，HIPS最大的意義是在行動工作者的防護上，當這些行動裝置沒有和內網連結的時候，HIPS的功能還是可以依行為模式提供一定的防護能力。」莊添發說。

去除繁複的設定，HIPS在企業中才實用
HIPS是為了補足過去以特徵碼技術的不足，而衍伸出來的防護產品，並且就現在看起來，未來將會是終端安全防護軟體必備的趨勢之一。但是在企業內使用，HIPS最大的問題則是終端電腦的設定，以及當可疑行為發生時，使用者是否有能力判斷允許或阻斷。光這兩個問題就足夠讓MIS感到一個頭兩個大了，更何況政策的更新、每臺電腦的安裝等足以形成災難的問題。在這樣的情況下，越來越多的廠商開始推出由後端中央控管HIPS的方案，試圖提供一個更為方便企業使用的方案，讓企業願意使用HIPS做為終端防護的另一道防線。

組合國際（CA）日前推出的CA HIPS第八版，就是這樣的產品。CA HIPS能夠透過後端伺服器上的監控程式，針對終端HIPS產品做控管，所有4D的功能，都能透過中央控管制定政策。CA方面表示，該公司不建議企業開放終端電腦可以更改HIPS政策的權限，因為多數使用者根本無法判斷HIPS發出的警訊，做出正確的決定，所以透過中央控管政策的方式，反而比較適合企業的需求。CA HIPS甚至提供了隱藏模式，能夠讓企業內所有安裝了此產品的電腦上，無法看見或是針對HIPS軟體的檔案做出任何更改的舉動，只有當使用者的電腦出現了違反HIPS政策時，才會跳出視窗阻斷該程序的運作，也唯有此時，使用者才會發現自己的電腦上安裝了CA HIPS。

除了CA之外，更多的廠商開始試圖將HIPS的功能與原有終端防護軟體做整合，例如Symantec Endpoint Protection 11.0，也在原有的防毒功能之外，加入了HIPS的能力。莊添發表示，該公司的中央控管介面能夠收集HIPS的事件記錄檔，並且有能力將使用者分群組設定政策；此外，自動位址切換的偵測功能，會判斷每個連上企業內部伺服器的使用者是否在內網中，決定該使用者終端HIPS不同的政策，例如電腦在內網，政策放寬一些，而不在內網的話，HIPS的政策就更嚴謹等。而無論是CA、McAfee或是賽門鐵克，他們所提供的HIPS產品，都有能力讓企業透過後端中央控管，並且提供政策與更新的派送，減少資訊人員到終端安裝產品與管理上的難度。

過去透過HIPS行為控管終端，須要調校的政策實在太多，也使得HIPS在企業中的使用率仍低。曾經試圖代理HIPS產品Safe'n'Sec的席客資訊產品經理黏松德就表示，在他的經驗中，除了如果HIPS沒有後端管理平臺，資訊人員在導入過程中可能會遭遇到的問題外，HIPS的政策控管，會讓很多使用者原有的使用習慣都被改變，其遭受到的反彈聲浪是相當大的，此外，如果政策制定不夠完善，也有可能會因為HIPS使得部分企業專屬的應用受到阻擋。黏松德說：「對於使用者來說，HIPS實在太麻煩了，如果又沒有中文介面，有時候甚至連資訊人員都會覺得設定困難。就我個人來看，我認為HIPS的應用實在很難受到企業青睞，除非有更方便的方式可以執行這個機制。」

但是隨著越來越多可中央控管的HIPS功能產品出現，這個問題已經慢慢獲得紓解。此外，在政策的制訂方面，莊添發表示，就賽門鐵克協助企業導入HIPS應用的經驗來說，都會先以測試模式在小規模的使用者上實驗，此時HIPS的功能並不會自動阻斷應用，只會發出警報，然後根據試行的狀況，再和企業的使用者討論，對政策做出調整。

可以預見的，未來將會有更多的終端防護軟體能提供HIPS的功能，而HIPS的政策設定方面，各家廠商也開始試圖提供更為簡易且不容易誤判的中央控管方式，對重視資訊安全的企業來說，HIPS未來將成為多層防禦機制中不可或缺的一環，和網路存取控制、閘道型的IPS、防毒軟體等機制合作，確保內網的資訊安全。文⊙劉哲銘