Intrusion detection system o IDS (Intrusion Detection System)lumitaw hindi pa matagal na ang nakalipas, hindi bababa sa kung ihahambing sa mga antivirus o firewall. Marahil para sa kadahilanang ito, ang mga serbisyo sa seguridad ng impormasyon ay hindi palaging itinuturing na kinakailangan upang ipatupad ang mga solusyon na ito, na nakatuon sa iba pang mga sistema sa larangan ng seguridad ng impormasyon. Ngunit may praktikal na benepisyo mula sa IDS at ito ay lubos na makabuluhan.

Hindi tulad ng mga firewall, na gumagana batay sa mga paunang natukoy na patakaran, ang IDS ay ginagamit upang subaybayan at tukuyin ang kahina-hinalang aktibidad. Kaya, ang IDS ay maaaring tawaging mahalagang karagdagan sa imprastraktura ng seguridad ng network. Ito ay sa tulong ngintrusion detection system, ang administrator ay magagawang tuklasinhindi awtorisadong pag-access (panghihimasok o pag-atake sa network) sa isang computer system o network, at gumawa ng mga hakbang upang maiwasan ang pag-atake.

Sa pangkalahatan, salamat IDS, na isang software o hardware na solusyon, ang administrator ay magagawang hindi lamang makakita ng panghihimasok o pag-atake sa network, ngunit hulaan din ang mga posibleng pag-atake sa hinaharap at maghanap ng mga kahinaan upang maiwasan ang kanilang panghihimasok. Pagkatapos ng lahat, ang umaatake ay unang nagsasagawa ng ilang mga aksyon, tulad ng pag-scan sa network upang makita ang mga kahinaan sa target na system. Bilang karagdagan, ang serbisyo ng IT ay magagawang idokumento ang mga umiiral na banta at i-localize ang pinagmulan ng pag-atake kaugnay sa lokal na network: panlabas o panloob na pag-atake.

Mula sa intrusion detection hanggang sa pag-iwas

Kaugnay nito, lumitaw ang mga sistema ng pag-iwas sa IPS (Intrusion Prevention System) batay sa IDS, iyon ay, ang bawat IPS ay may kasamang module ng IDS. Sa mga tuntunin ng kanilang mga pag-andar, medyo magkatulad sila, ngunit mayroon ding pagkakaiba, ito ay ang unang sistemaisang "passive" na solusyon na sumusubaybay sa mga network packet, port, nagkukumpara sa trapiko sa isang tiyak na hanay ng mga panuntunan at alerto kapag may nakitang malware, habang hinaharangan ito ng IPS kapag sinusubukang tumagos sa network. Kung may panganib ng panghihimasok, ang koneksyon sa network ay hindi nakakonekta o ang session ng user ay naharang, na humihinto sa pag-access sa mga IP address, account, serbisyo o application.

Bilang karagdagan, upang maiwasan ang banta ng isang pag-atake, ang mga IPS device ay may kakayahang muling i-configure ang firewall o router. Gumagamit din ang ilang solusyon sa paglulunsad ng mga bagong patch kapag tumaas ang kahinaan ng host.Gayunpaman, dapat itong kilalanin Mga teknolohiya ng IDS/IPS huwag gawing ganap na ligtas ang system.

Mga Tampok ng Arkitektura

Mayroong apat na pangunahing teknolohiya na ginagamit kapag nagde-deploy ng mga IPS system. Ang una ay ang pag-install ng mga dedikadong device sa paligid ng perimeter ng corporate network, pati na rin sa loob nito. Karaniwan, ang IPS ay isinama sa imprastraktura dahil ang opsyong ito ay mas matipid kaysa sa isang nakapag-iisang solusyon. Una sa lahat, dahil ang halaga ng isang pinagsamang aparato ay mas mababa kaysa sa presyo ng isang stand-alone na aparato, at ang gastos ng pagpapatupad ay mas mababa. Pangatlo, mas mataas ang pagiging maaasahan, dahil walang karagdagang link sa chain ng trapiko na madaling mabigo.

Bilang isang patakaran, ang IPS ay isinama sa router, pagkatapos ay nakakakuha ang system ng access sa nasuri na trapiko. Ito ang pangalawang teknolohiyang ginamit. Gayunpaman, ang pagpipiliang ito ay may isang disbentaha: ang IPS na isinama sa router ay maaari lamang maitaboy ang mga pag-atake sa perimeter ng network. Samakatuwid, upang maprotektahan ang mga panloob na mapagkukunan, ang mga mekanismo ng pag-iwas sa pag-atake ay ipinatupad sa mga switch ng lokal na network.

Ang mga IDS/IPS system ay naka-install sa kahabaan ng perimeter ng corporate network

Ang ikatlong outpost ng IPS ay nauugnay sa mabilis na lumalagong katanyagan ng mga wireless na teknolohiya. Samakatuwid, ang mga wireless access point ay aktibong nilagyan ng mga IPS system. Ang ganitong mga solusyon, bilang karagdagan sa pag-detect at pagpigil sa iba't ibang pag-atake, ay may kakayahang maghanap ng mga hindi awtorisadong access point at kliyente.

Ang isa pang linya ng depensa ay ang workstation o server. Sa kasong ito, ang IPS system sa isang workstation o server ay naka-install bilang application software sa ibabaw ng OS at tinatawag na Host IPS (HIPS). Ang mga katulad na solusyon ay ginawa ng maraming mga tagagawa. Halimbawa, maaari mong markahan ang mga produkto , , , at iba pa.

Ang paggamit ng Host IPS ay nakakabawas sa dalas ng pag-install ng mga kritikal na update, nakakatulong na protektahan ang sensitibong data, at tumutulong sa iyong matugunan ang mga kinakailangan at mandato ng regulasyon. Pinagsasama nito ang behavioral at signature-based intrusion prevention system (IPS), stateful firewall, at application blocking para protektahan ang lahat ng endpoint—desktop, laptop, at server—mula sa kilala at hindi kilalang mga banta.

Mga pangunahing pagkakamali sa panahon ng pagpapatupad

Ang mga sistema ng IDS/IPS ay isang medyo kumplikadong tool na nangangailangan ng ilang mga kwalipikasyon sa panahon ng pagpapatupad at patuloy na atensyon sa panahon ng operasyon. Kung hindi ito gagawin, kadalasang bubuo ng maling signal ang mga system, na mali ang pagtukoy sa trapiko bilang nakakahamak.

Upang gumana nang mapagkakatiwalaan ang mga sistema ng pag-iwas sa panghihimasok, dapat ayusin ang katumpakan. Bilang karagdagan, ang aparato ay dapat na palaging nababagay kapag nagbago ang configuration ng network, gayundin sa mga bagong banta na lumalabas sa network.

Pinangalanan ng mga eksperto ang pitong pangunahing pagkakamali kapag nagde-deploy at nagpapatakbo ng mga Host IDS/IPS system.

Una, hindi mo maaaring harangan ang medium- at high-risk na mga lagda nang hindi muna sinusuri ang nakolektang data. Sa halip, inirerekumenda namin na i-block lamang ang mga lagda na may mataas na kalubhaan. Magbibigay ito ng proteksyon laban sa mga pinakamalubhang kahinaan na may kaunting bilang ng mga maling kaganapan. Sa turn, ang mga lagda ng katamtamang antas ng panganib ay gumagana ayon sa isang algorithm ng pag-uugali at karaniwang nangangailangan ng mandatoryong paunang pagsasaayos.

Pangalawa, hindi mo magagamit ang parehong mga patakaran sa lahat ng system. Sa halip, dapat mong hatiin ang iyong mga PC sa mga pangkat batay sa mga aplikasyon at pribilehiyo, simula sa paglikha ng mga karaniwang profile para sa pinakasimpleng mga system.

Dagdag pa, hindi tinatanggap ng Host IPS system ang prinsipyong "itakda ito at kalimutan ito". Hindi tulad ng isang antivirus, ang regular na pagsubaybay at regular na pagpapanatili ng system ay kinakailangan upang matiyak ang katumpakan at pagiging epektibo ng proteksyon.

Bilang karagdagan, hindi mo maaaring paganahin ang IPS, firewall, at application blocking mode nang sabay. Inirerekomenda na magsimula sa IPS, pagkatapos ay magdagdag ng firewall, at pagkatapos ay paganahin ang application blocking mode kung kinakailangan.

Hindi mo rin dapat iwanan ang iyong IPS, firewall, o mekanismo ng pagharang ng application sa adaptive mode nang walang katiyakan. Sa halip, dapat mong paganahin ang adaptive mode para sa maikling panahon kapag ang IT administrator ay may pagkakataon na subaybayan ang mga panuntunang ginagawa.

Sa wakas, hindi mo agad mai-block ang anumang bagay na kinikilala ng system bilang isang panghihimasok. Una, dapat mong tiyakin na ang naobserbahang trapiko ay talagang nakakahamak. Makakatulong dito ang mga tool tulad ng packet capture, network IPS at iba pa.

Mga publikasyon sa paksa

Abril 29, 2014 Maraming kumpanya ang bumibili ng mga mobile na gadget sa sarili nilang gastos para sa mga empleyadong madalas na nagbibiyahe sa mga business trip. Sa mga kundisyong ito, ang serbisyo ng IT ay may agarang pangangailangan na kontrolin ang mga device na may access sa corporate data, ngunit matatagpuan sa labas ng perimeter ng corporate network.
Pebrero 28, 2014 Tulad ng alam mo, sampung taon na ang nakalipas lumitaw ang unang mobile virus sa mundo, ang Cabir. Dinisenyo ito para mahawahan ang mga Nokia Series 60 phone, ang pag-atake ay binubuo ng salitang "Caribe" na lumalabas sa mga screen ng mga infected na telepono. Ang mga modernong virus para sa mga mobile device ay mas mapanganib at magkakaibang.
Enero 28, 2014 Sa prinsipyo ng kanilang operasyon, ang mga virtual machine ay kahawig ng mga pisikal. Samakatuwid, parehong kaakit-akit ang mga virtual at pisikal na node sa mga cybercriminal na umaatake sa mga corporate network upang magnakaw ng pera o kumpidensyal na impormasyon.
Disyembre 30, 2013 Ang mga solusyon sa proteksyon ng Endpoint ay lumitaw sa merkado hindi pa katagal, sa katunayan, pagkatapos ng pagsisimula ng malawakang pag-deploy ng mga lokal na network sa mga kumpanya. Ang prototype ng mga produktong ito ay isang regular na antivirus para sa pagprotekta sa isang personal na computer.

Sa kasalukuyan, ang proteksyong ibinibigay ng firewall at antivirus ay hindi na epektibo laban sa mga pag-atake sa network at malware. Nasa unahan ang mga solusyon sa klase ng IDS/IPS na maaaring makakita at harangan ang parehong kilala at hindi kilalang mga banta.

IMPORMASYON

• Tungkol sa Mod_Security at GreenSQL-FW, basahin ang artikulong "The Last Frontier", ][_12_2010.
• Paano turuan ang mga iptable na "tumingin" sa loob ng isang packet, basahin ang artikulong "Fire Shield", ][_12_2010.

Mga teknolohiya ng IDS/IPS

Upang makapili sa pagitan ng IDS o IPS, kailangan mong maunawaan ang kanilang mga prinsipyo at layunin sa pagpapatakbo. Kaya, ang gawain ng IDS (Intrusion Detection System) ay tuklasin at irehistro ang mga pag-atake, pati na rin ipaalam kapag na-trigger ang isang partikular na panuntunan. Depende sa uri, maaaring makita ng IDS ang iba't ibang uri ng pag-atake sa network, matukoy ang mga pagtatangka ng hindi awtorisadong pag-access o pagtaas ng mga pribilehiyo, ang paglitaw ng malware, subaybayan ang pagbubukas ng bagong port, atbp. Ang pagkakaiba ay isang firewall na kumokontrol lamang sa mga parameter ng session ( IP, numero ng port, atbp.). Mayroong ilang mga uri ng mga intrusion detection system. Napakasikat ay ang APIDS (Application protocol-based IDS), na sumusubaybay sa limitadong listahan ng mga protocol ng application para sa mga partikular na pag-atake. Ang mga karaniwang kinatawan ng klase na ito ay PHPIDS, na sinusuri ang mga kahilingan sa PHP application, Mod_Security, na nagpoprotekta sa isang web server (Apache), at GreenSQL-FW, na humaharang sa mga mapanganib na SQL command (tingnan ang artikulong "The Last Frontier" sa [_12_2010).

Ang Network NIDS (Network Intrusion Detection System) ay mas pangkalahatan, na nakakamit salamat sa teknolohiya ng DPI (Deep Packet Inspection). Kinokontrol nila ang higit sa isang partikular na application, lahat ng dumadaan na trapiko, simula sa antas ng channel.

Ang ilang packet filter ay nagbibigay din ng kakayahang "tumingin sa loob" at harangan ang isang banta. Kasama sa mga halimbawa ang mga proyekto ng OpenDPI at Fwsnort. Ang huli ay isang programa para sa pag-convert ng Snort signature database sa katumbas na mga panuntunan sa pagharang para sa mga iptable. Ngunit sa una ang firewall ay idinisenyo para sa iba pang mga gawain, at ang teknolohiya ng DPI ay "mahal" para sa makina, kaya ang mga pag-andar para sa pagproseso ng karagdagang data ay limitado sa pagharang o pagmamarka ng mga mahigpit na tinukoy na protocol. Ipina-flag (alerto) lang ng IDS ang lahat ng kahina-hinalang aksyon. Upang harangan ang umaatakeng host, independiyenteng i-reconfigure ng administrator ang firewall habang tinitingnan ang mga istatistika. Naturally, walang real-time na tugon na kasangkot dito. Kaya naman mas interesante ngayon ang IPS (Intrusion Prevention System, attack prevention system). Nakabatay ang mga ito sa IDS at maaaring independiyenteng buuin muli ang packet filter o wakasan ang session sa pamamagitan ng pagpapadala ng TCP RST. Depende sa prinsipyo ng pagpapatakbo, maaaring i-install ang IPS na "burst" o gumamit ng mirroring of traffic (SPAN) na natanggap mula sa ilang mga sensor. Halimbawa, ang pagsabog ay ini-install ng Hogwash Light BR, na gumagana sa layer ng OSI. Maaaring walang IP address ang naturang sistema, na nangangahulugang nananatiling hindi nakikita ng isang umaatake.

Sa ordinaryong buhay, ang pinto ay hindi lamang naka-lock, ngunit protektado din sa pamamagitan ng pag-iiwan ng isang bantay malapit dito, dahil sa kasong ito lamang maaari kang makatiyak sa kaligtasan. BIT, ang host IPS ay kumikilos bilang naturang seguridad (tingnan ang "Bagong defensive frontier" sa][_08_2009), na nagpoprotekta sa lokal na sistema mula sa mga virus, rootkit at pag-hack. Madalas silang nalilito sa mga antivirus na mayroong proactive na module ng proteksyon. Ngunit ang HIPS, bilang panuntunan, ay hindi gumagamit ng mga lagda, na nangangahulugang hindi sila nangangailangan ng patuloy na pag-update ng database. Kinokontrol nila ang marami pang mga parameter ng system: mga proseso, ang integridad ng mga file ng system at ang registry, mga entry sa log, at marami pang iba.

Upang ganap na makontrol ang sitwasyon, kinakailangan na kontrolin at iugnay ang mga kaganapan sa antas ng network at sa antas ng host. Para sa layuning ito, nilikha ang hybrid IDS na nangongolekta ng data mula sa iba't ibang pinagmumulan (ang mga ganitong sistema ay madalas na tinutukoy bilang SIM - Pamamahala ng Impormasyon sa Seguridad). Kabilang sa mga proyekto ng OpenSource, ang isang kawili-wiling isa ay ang Prelude Hybrid IDS, na nangongolekta ng data mula sa halos lahat ng OpenSource IDS/IPS at nauunawaan ang log format ng iba't ibang mga application (ang suporta para sa system na ito ay nasuspinde ilang taon na ang nakakaraan; ang mga pinagsama-samang pakete ay matatagpuan pa rin sa Linux at *BSD repository).

Kahit na ang isang propesyonal ay maaaring malito sa iba't ibang mga iminungkahing solusyon. Ngayon ay makikilala natin ang mga pinakakilalang kinatawan ng mga sistema ng IDS/IPS.

Pinag-isang Pagkontrol sa Banta

Ang modernong Internet ay nagdadala ng isang malaking bilang ng mga banta, kaya ang mga mataas na dalubhasang sistema ay hindi na nauugnay. Kinakailangang gumamit ng komprehensibong multifunctional na solusyon na kinabibilangan ng lahat ng bahagi ng proteksyon: firewall, IDS/IPS, antivirus, proxy server, content filter at antispam filter. Ang mga naturang device ay tinatawag na UTM (Unified Threat Management, unified threat control). Kasama sa mga halimbawa ng UTM ang Trend Micro Deep Security, Kerio Control, Sonicwall Network Security, FortiGate Network Security Platforms and Appliances o mga espesyal na pamamahagi ng Linux tulad ng Untangle Gateway, IPCop Firewall, pfSense (basahin ang kanilang pagsusuri sa artikulong “Mga regulator ng network”, ] [_01_2010 ).

Suricata

Ang beta na bersyon ng IDS/IPS na ito ay inilabas sa publiko noong Enero 2010 pagkatapos ng tatlong taon ng pagbuo. Isa sa mga pangunahing layunin ng proyekto ay ang lumikha at subukan ang ganap na bagong mga teknolohiya sa pag-detect ng pag-atake. Sa likod ng Suricata ay ang asosasyon ng OISF, na tinatangkilik ang suporta ng mga seryosong kasosyo, kabilang ang mga lalaki mula sa US Department of Homeland Security. Ang pinakanauugnay na release ngayon ay number 1.1, na inilabas noong Nobyembre 2011. Ang code ng proyekto ay ipinamamahagi sa ilalim ng lisensya ng GPLv2, ngunit ang mga kasosyo sa pananalapi ay may access sa isang hindi-GPL na bersyon ng engine, na magagamit nila sa kanilang mga produkto. Upang makamit ang pinakamataas na resulta, ang gawain ay kinabibilangan ng komunidad, na nagpapahintulot sa amin na makamit ang napakataas na bilis ng pag-unlad. Halimbawa, kumpara sa nakaraang bersyon 1.0, ang halaga ng code sa 1.1 ay tumaas ng 70%. Ang ilang modernong IDS na may mahabang kasaysayan, kabilang ang Snort, ay hindi gumagamit ng mga multiprocessor/multi-core system nang napakabisa, na humahantong sa mga problema kapag nagpoproseso ng malaking halaga ng data. Ang Suricata ay katutubong tumatakbo sa multi-threaded mode. Ipinapakita ng mga pagsubok na ito ay anim na beses na mas mabilis kaysa sa Snort (sa isang system na may 24 CPU at 128 GB ng RAM). Kapag nagtatayo gamit ang parameter na '--enable-cuda', nagiging posible ang hardware acceleration sa gilid ng GPU. Ang IPv6 ay unang suportado (sa Snort ito ay isinaaktibo ng '—enable-ipv6' na mga karaniwang interface ay ginagamit upang harangin ang trapiko: LibPcap, NFQueue, IPFRing, IPFW. Sa pangkalahatan, ang modular na layout ay nagbibigay-daan sa iyo upang mabilis na ikonekta ang nais na elemento upang makunan, mag-decode, mag-analisa o magproseso ng mga packet. Ang pagharang ay ginagawa gamit ang karaniwang OS packet filter (sa Linux, upang maisaaktibo ang IPS mode, kailangan mong i-install ang netlink-queue o libnfnetlink na mga aklatan). Awtomatikong na-detect ng engine ang mga protocol ng pag-parse (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, SMTP at SCTP), kaya hindi kailangang itali ang mga panuntunan sa isang port number (tulad ng ginagawa ng Snort), kailangan mo lang itakda ang aksyon para sa nais na protocol. Si Ivan Ristic, ang may-akda ng Mod_security, ay lumikha ng isang espesyal na library ng HTP na ginamit sa Suricata upang suriin ang trapiko ng HTTP. Pangunahing nagsusumikap ang mga developer na makamit ang katumpakan ng pagtuklas at pataasin ang bilis ng pagsusuri ng panuntunan.

Ang output ng mga resulta ay pinag-isa, kaya maaari mong gamitin ang mga karaniwang kagamitan upang pag-aralan ang mga ito. Sa totoo lang, gumagana ang lahat ng back-end, interface at analyzer na isinulat para sa Snort (Barnyard, Snortsnarf, Sguil, atbp.) nang walang pagbabago sa Suricata. Malaking plus din ito. Ang mga komunikasyon sa HTTP ay naka-log nang detalyado sa isang karaniwang format ng Apache file.

Ang mekanismo ng pagtuklas sa Suricata ay batay sa mga panuntunan. Dito ang mga developer ay hindi pa nag-imbento ng anuman, ngunit pinapayagan ang koneksyon ng mga set ng gulong na nilikha para sa iba pang mga proyekto: Sourcefire VRT (maaaring i-update sa pamamagitan ng Oinkmaster), at Emerging Threats Pro. Sa mga unang paglabas, ang suporta ay bahagyang lamang, ang makina ay hindi nakilala at hindi nag-load ng ilang mga patakaran, ngunit ngayon ang problemang ito ay nalutas na. Ipinatupad ang isang format ng pagmamay-ari ng mga panuntunan, na sa panlabas ay kahawig ng kay Snort. Binubuo ang isang panuntunan ng tatlong bahagi: isang aksyon (pass, drop, reject o alert), isang header (source at destination IP/port) at isang paglalarawan (ano ang hahanapin). Ang mga setting ay gumagamit ng mga variable (flowint mechanism), na nagpapahintulot, halimbawa, na lumikha ng mga counter. Sa kasong ito, maaaring i-save ang impormasyon mula sa stream para magamit sa ibang pagkakataon. Ang diskarteng ito sa pagsubaybay sa mga pagtatangka sa paghula ng password ay mas epektibo kaysa sa threshold-based na diskarte ng Snort. Ito ay binalak na lumikha ng mekanismo ng IP Reputation (tulad ng Cisco's SensorBase, tingnan ang artikulong "Touch Cisco" sa][_07_2011).

Upang buod, tandaan ko na ang Suricata ay isang mas mabilis na makina kaysa sa Snort, ganap na tugma sa mga backend at may kakayahang suriin ang malalaking daloy ng network. Ang tanging disbentaha ng proyekto ay ang kalat-kalat na dokumentasyon, bagama't hindi ito gagastusan ng isang may karanasang admin ng anuman upang malaman ang mga setting. Ang mga pakete ng pag-install ay lumitaw na sa mga imbakan ng pamamahagi, at ang mga malinaw na tagubilin para sa independiyenteng pag-assemble ng source code ay magagamit sa website ng proyekto. Mayroong isang handa na pamamahagi Smooth-sec, na binuo sa Suricata.

Samhain

Inilabas sa ilalim ng lisensya ng OpenSource, ang Samhain ay isang host-based na IDS na nagpoprotekta sa isang indibidwal na computer. Gumagamit ito ng ilang paraan ng pagsusuri upang ganap na makuha ang lahat ng kaganapang nagaganap sa system:

• paglikha ng mga lagda ng mahahalagang file sa unang paglulunsad ng database at ang kasunod na paghahambing nito sa "live" na sistema;
• pagsubaybay at pagsusuri ng mga entry sa log;
• kontrol sa pagpasok/paglabas sa system;
• pagsubaybay sa mga koneksyon upang buksan ang mga port ng network;
• kontrol ng mga file na may naka-install na SUID ng mga nakatagong proseso.

Ang programa ay maaaring ilunsad sa stealth mode (gamit ang kernel module) kapag ang mga proseso ng kernel ay hindi matukoy sa memorya. Sinusuportahan din ng Samhain ang pagsubaybay sa maraming mga node na nagpapatakbo ng iba't ibang mga OS, na nagre-record ng lahat ng mga kaganapan sa parehong punto. Sa kasong ito, ang mga ahente na naka-install sa mga malalayong node ay nagpapadala ng lahat ng nakolektang impormasyon (TCP, AES, lagda) sa isang naka-encrypt na channel sa server (yule), na nag-iimbak nito sa isang database (MySQL, PostgreSQL, Oracle). Bilang karagdagan, ang server ay may pananagutan sa pagsuri sa katayuan ng mga system ng kliyente, pamamahagi ng mga update at mga file ng pagsasaayos. Maraming mga opsyon ang ipinatupad para sa mga notification at pagpapadala ng nakolektang impormasyon: e-mail (mail ay nilagdaan upang maiwasan ang pakikialam), syslog, log file (signed), Nagios, console, atbp. Ang pamamahala ay maaaring isagawa gamit ang ilang mga administrator na may malinaw na tinukoy na mga tungkulin .

Available ang package sa mga repository ng halos lahat ng mga distribusyon ng Linux ang website ng proyekto ay naglalaman ng paglalarawan kung paano i-install ang Samhain sa Windows.

StoneGate Intrusion Prevention System

Ang solusyon na ito ay binuo ng isang kumpanyang Finnish na lumilikha ng mga produkto ng seguridad sa network ng enterprise-class. Ipinapatupad nito ang lahat ng popular na function: IPS, proteksyon laban sa DDoS at 0day attacks, web filtering, suporta para sa naka-encrypt na trapiko, atbp. Gamit ang StoneGate IPS maaari mong harangan ang mga virus, spyware, ilang partikular na application (P2P, IM, atbp.). Para sa pag-filter ng web, isang patuloy na na-update na database ng mga site na nahahati sa ilang mga kategorya ay ginagamit. Ang partikular na atensyon ay binabayaran sa pagprotekta laban sa bypass ng mga sistema ng kaligtasan ng AET (Advanced Evasion Techniques). Binibigyang-daan ka ng teknolohiyang Transparent Access Control na hatiin ang isang corporate network sa ilang mga virtual na segment nang hindi binabago ang tunay na topology at nagtakda ng mga indibidwal na patakaran sa seguridad para sa bawat isa sa kanila. Ang mga patakaran sa inspeksyon ng trapiko ay na-configure gamit ang mga template na naglalaman ng mga karaniwang panuntunan. Ang mga patakarang ito ay ginawa offline. Bine-verify ng administrator ang mga ginawang patakaran at dina-download ang mga ito sa mga remote na host ng IPS. Ang mga katulad na kaganapan sa StoneGate IPS ay pinoproseso ayon sa prinsipyong ginagamit sa mga SIM/SIEM system, na lubos na nagpapadali sa pagsusuri. Ang ilang mga aparato ay madaling pagsamahin sa isang kumpol at isinama sa iba pang mga solusyon sa StoneSoft - StoneGate Firewall/VPN at StoneGate SSL VPN. Ang pamamahala ay ibinibigay ng iisang management console (StoneGate Management Center), na binubuo ng tatlong bahagi: Management Server, Log Server at Management Client. Ang console ay nagbibigay-daan sa iyo hindi lamang upang i-configure ang pagpapatakbo ng IPS at lumikha ng mga bagong patakaran at patakaran, ngunit din upang subaybayan at tingnan ang mga log. Ito ay nakasulat sa Java, kaya ang mga bersyon ay magagamit para sa Windows at Linux.

Ang StoneGate IPS ay ibinibigay bilang isang pakete ng hardware at bilang isang imahe ng VMware. Ang huli ay inilaan para sa pag-install sa iyong sariling kagamitan o sa isang virtual na imprastraktura. Sa pamamagitan ng paraan, hindi tulad ng mga tagalikha ng maraming katulad na mga solusyon, pinapayagan ka ng kumpanya ng pag-unlad na mag-download ng isang pagsubok na bersyon ng imahe.

IBM Security Network Intrusion Prevention System

Ang sistema ng pag-iwas sa pag-atake ng IBM ay gumagamit ng patented protocol analysis technology na nagbibigay ng maagap na proteksyon laban sa 0day threats. Tulad ng lahat ng produkto sa serye ng IBM Security, ito ay nakabatay sa isang protocol analysis module - PAM (Protocol Analysis Module), na pinagsasama ang tradisyonal na signature method ng attack detection (Proventia OpenSignature) at isang behavioral analyzer. Kasabay nito, tinutukoy ng PAM ang pagkakaiba sa pagitan ng 218 protocol sa antas ng aplikasyon (mga pag-atake sa pamamagitan ng VoIP, RPC, HTTP, atbp.) at mga format ng data gaya ng DOC, XLS, PDF, ANI, JPG upang mahulaan kung saan maaaring i-embed ang nakakahamak na code. Higit sa 3,000 algorithm ang ginagamit upang suriin ang trapiko, 200 sa mga ito ay "catch" DoS. Binibigyang-daan ka ng mga function ng firewall na payagan ang pag-access lamang sa mga partikular na port at IP, na inaalis ang pangangailangang magsama ng karagdagang device. Hinaharang ng teknolohiya ng Virtual Patch ang mga virus habang kumakalat ang mga ito at pinoprotektahan ang mga computer hanggang sa mai-install ang isang update na nag-aayos ng isang kritikal na kahinaan. Kung kinakailangan, ang administrator mismo ay maaaring lumikha at gumamit ng isang lagda. Binibigyang-daan ka ng module ng control ng application na pamahalaan ang mga elemento ng P2P, IM, ActiveX, mga tool sa VPN, atbp. at, kung kinakailangan, i-block ang mga ito. Ipinatupad ang isang module ng DLP na sumusubaybay sa mga pagtatangka na magpadala ng kumpidensyal na impormasyon at maglipat ng data sa protektadong network, na nagbibigay-daan sa iyong masuri ang mga panganib at harangan ang mga pagtagas. Bilang default, kinikilala ang walong uri ng data (mga numero ng credit card, numero ng telepono...), itinatakda ng administrator ang natitirang impormasyong partikular sa organisasyon nang hiwalay gamit ang mga regular na expression. Sa kasalukuyan, karamihan sa mga kahinaan ay nangyayari sa mga web application, kaya ang produkto ng IBM ay may kasamang espesyal na module ng Web Application Security na nagpoprotekta sa mga system mula sa mga karaniwang uri ng pag-atake: SQL injection, LDAP injection, XSS, JSON hijacking, PHP file-includers, CSRF, atbp .d.

Mayroong ilang mga opsyon para sa pagkilos kapag may nakitang pag-atake - pagharang sa host, pagpapadala ng alerto, pagtatala ng trapiko ng pag-atake (sa isang file na tugma sa tcpdump), pag-quarantine sa host, pagsasagawa ng pagkilos na nako-configure ng user, at ilang iba pa. Ang mga patakaran ay isinulat sa bawat port, IP address o VLAN zone. Tinitiyak ng High Availability mode na kung mabigo ang isa sa ilang IPS device sa network, dadaloy ang trapiko sa isa pa, at hindi maaantala ang mga naitatag na koneksyon. Ang lahat ng mga subsystem sa loob ng hardware - RAID, power supply, cooling fan - ay nadoble. Ang pag-setup gamit ang web console ay kasing simple hangga't maaari (ang mga kurso sa pagsasanay ay tatagal lamang ng isang araw). Kung marami kang device, karaniwan mong binibili ang IBM Security SiteProtector, na nagbibigay ng sentralisadong pamamahala, pagsusuri ng log, at pag-uulat.

McAfee Network Security Platform 7

Ang IntruShield IPS, na ginawa ng McAfee, ay dating isa sa mga sikat na solusyon sa IPS. Ngayon ang McAfee Network Security Platform 7 (NSP) ay binuo sa batayan nito. Bilang karagdagan sa lahat ng mga function ng classic na NIPS, ang bagong produkto ay may mga tool para sa pagsusuri ng mga packet na ipinadala mula sa panloob na corporate network, na tumutulong sa pagtuklas ng malisyosong trapiko na pinasimulan ng mga nahawaang computer. Gumagamit ang McAfee ng Global Threat Intelligence na teknolohiya, na nangongolekta ng impormasyon mula sa daan-daang libong sensor na naka-install sa buong mundo at sinusuri ang reputasyon ng lahat ng natatanging file, IP at URL address at protocol na dumadaan. Dahil dito, matukoy ng NSP ang trapiko ng botnet, matukoy ang mga 0-araw na pagbabanta at pag-atake ng DDoS, at binabawasan ng malawak na saklaw ng pag-atake ang posibilidad ng mga maling positibo.

Hindi lahat ng IDS/IPS ay maaaring gumana sa mga virtual machine, dahil ang lahat ng palitan ay nangyayari sa mga panloob na interface. Ngunit walang problema ang NSP dito, maaari nitong pag-aralan ang trapiko sa pagitan ng mga VM, pati na rin sa pagitan ng mga VM at ng pisikal na host. Upang subaybayan ang mga node, ginagamit ang isang module ng ahente mula sa Reflex Systems, na nangongolekta ng impormasyon sa trapiko sa VM at ipinapadala ito sa pisikal na kapaligiran para sa pagsusuri.

Ang makina ay nakikilala ang higit sa 1100 mga application na tumatakbo sa ikapitong layer ng OSI. Sinusuri nito ang trapiko gamit ang isang content analysis engine at nagbibigay ng mga simpleng tool sa pamamahala.

Bilang karagdagan sa NIPS, gumagawa ang McAfee ng host IPS - Host Intrusion Prevention para sa Desktop, na nagbibigay ng komprehensibong proteksyon sa PC gamit ang mga paraan ng pagtukoy ng pagbabanta gaya ng pag-aaral ng pag-uugali at lagda, pagsubaybay sa estado ng koneksyon gamit ang isang firewall, at pagtatasa ng reputasyon upang harangan ang mga pag-atake.

Saan magde-deploy ng IDS/IPS?

Upang masulit ang IDS/IPS, dapat mong sundin ang mga sumusunod na rekomendasyon:

• Ang sistema ay dapat na i-deploy sa pasukan ng isang protektadong network o subnet at kadalasan sa likod ng isang firewall (walang saysay na kontrolin ang trapiko na haharangin) - sa ganitong paraan mababawasan natin ang pagkarga. Sa ilang mga kaso, naka-install ang mga sensor sa loob ng segment.
• Bago i-activate ang IPS function, dapat mong patakbuhin ang system nang ilang oras sa isang mode na hindi humaharang sa IDS. Sa hinaharap, ang mga patakaran ay kailangang ayusin sa pana-panahon.
• Karamihan sa mga setting ng IPS ay batay sa mga karaniwang network. Sa ilang mga kaso, maaari silang maging hindi epektibo, kaya kinakailangan na tukuyin ang IP ng mga panloob na subnet at ang mga application (ports) na ginamit. Makakatulong ito sa piraso ng hardware na mas maunawaan kung ano ang kinakaharap nito.
• Kung ang isang IPS system ay naka-install na "sumasabog", kinakailangan na subaybayan ang pagganap nito, kung hindi man ang pagkabigo ng aparato ay madaling maparalisa ang buong network.

Konklusyon

Hindi namin tutukuyin ang mga nanalo. Ang pagpili sa bawat partikular na kaso ay nakasalalay sa badyet, topology ng network, mga kinakailangang function ng seguridad, pagnanais ng administrator na mag-tinker sa mga setting at, siyempre, mga panganib. Ang mga komersyal na solusyon ay tumatanggap ng suporta at binibigyan ng mga sertipiko, na nagbibigay-daan sa paggamit ng mga solusyong ito sa mga organisasyong kasangkot sa pagpoproseso ng personal na data. in demand sa mga administrator. Ang isang katugmang imahe ng Suricata ay maaaring maprotektahan ang isang network na may mataas na trapiko at, higit sa lahat, ay ganap na libre.

Sistema ng pagtuklas at pag-iwas sa panghihimasok

Sistema ng Pag-iwas sa Panghihimasok(IDS/IPS, Intrusion detection system / Intrusion prevention system) ay idinisenyo upang matukoy, mag-log at maiwasan ang mga pag-atake ng mga nanghihimasok sa server, pinagsamang mga serbisyo (mail, website, atbp.) at ang lokal na network na protektado ng gateway ng Internet.

Kasama sa mga panuntunan sa pagharang ng trapiko ang pagharang sa aktibidad ng mga Trojan, spyware, botnet, p2p client at agos-mga tagasubaybay, mga virus, mga network TOR(ginagamit para i-bypass ang mga panuntunan sa pag-filter), mga anonymizer at marami pang iba.

Maaari mong i-configure ang serbisyo sa tab Mga Panuntunan - Pag-iwas sa Panghihimasok:

Sa pamamagitan ng pag-check o pag-alis ng check " Paganahin ang IDS/IPS"Maaari mong paganahin/huwag paganahin ang serbisyo sa pag-iwas sa panghihimasok nang naaayon.

Sa field" Listahan ng mga lokal na subnet" magdagdag ng mga lokal na network na pinaglilingkuran ng UTM. Kadalasan, ito ay mga network ng mga lokal na interface ng UTM, at maaaring mayroon ding mga network ng mga malalayong segment ng lokal na network ng iyong enterprise na iruruta sa kanila. Huwag kailanman tukuyin ang mga network na nabibilang sa mga panlabas na interface ng network ng UTM at mga panlabas na network. Ang mga network na nakalista dito ay lumalahok sa mga panuntunan sa Intrusion Prevention Service bilang mga lokal na network, na nagpapakilala sa trapiko papunta/mula sa mga lokal na network. Ang trapiko ng lokal na intersegment ay hindi ibinubukod sa mga pag-scan ng system.

Pagpipilian" Mga entry sa log ng tindahan" ay nagbibigay-daan sa iyong piliin ang oras ng imbakan para sa mga log ng system: 1, 2 o 3 buwan.

Kapag gumagamit ng isang sistema ng pag-iwas sa panghihimasok, hindi inirerekomenda na gumamit ng mga panloob na DNS server para sa mga network computer, dahil sinusuri ng system ang mga query sa DNS na dumadaan dito at tinutukoy ang mga nahawaang device batay sa mga ito. Kung gumagamit ka ng panloob na AD domain, inirerekomendang tukuyin ang Ideco UTM DNS server sa mga computer bilang ang tanging DNS server, at sa mga setting ng DNS server sa UTM tukuyin ang Forward zone para sa lokal na domain.

Magasin

Sa log, maaari mong tingnan ang huling 100 linya ng mga log ng babala ng intrusion prevention system.

Ang buong log ng system ay matatagpuan sa server sa direktoryo: /var/log/suricata

drop.log - impormasyon tungkol sa mga tinanggihang packet.

fast.log - mga log ng babala.

suricata.log - mga log ng operasyon ng serbisyo.

Isinasaad ng mga log ng babala ang pangkat (Pag-uuri) kung saan kabilang ang na-trigger na panuntunan, ang rule ID at karagdagang impormasyon.

Mga tuntunin

Sa tab Mga tuntunin magagamit para sa pagtingin at pagpapagana/pag-disable ng isang pangkat ng mga panuntunan ng sistema ng pag-iwas sa panghihimasok.

Kapag pinagana/pinagana mo ang isang pangkat ng panuntunan, agad na inilalapat ang mga setting, nang hindi kailangang i-restart ang serbisyo.

Mga pagbubukod

Posibleng hindi paganahin ang ilang mga panuntunan sa pag-iwas sa panghihimasok sa kaso ng mga maling positibo o para sa iba pang mga kadahilanan.

Sa tab na "Exceptions," maaari kang magdagdag ng rule ID (numero nito, tingnan ang halimbawa ng pagsusuri ng log sa ibaba).

Pansin! Sa paglipas ng panahon, kapag na-update ang mga database, maaaring magbago ang mga rule ID.

Halimbawa ng pagsusuri sa log

Halimbawa 1

04/04/2017-19:31:14.341627 [**] ET P2P BitTorrent DHT ping request [**] (UDP) 10.130.0.11:20417 -> 88.81.59.137:61024

Pagpapaliwanag ng mga patlang:

04/04/2017-19:31:14.341627 - petsa at oras ng kaganapan.

System action, Drop - ang packet ay naharang, anumang iba pang impormasyon sa field na ito ay nangangahulugang Alert, nagpapaalam.

[ 1:2008581:3 ] - ID ng panuntunan sa pangkat (nakalagay ang ID sa pagitan ng mga ":" sign). Kung kailangang idagdag ang panuntunan sa mga exception, kailangan mong magdagdag ng numerong 2008581 doon.

[**] ET CINS Active Threat Intelligence Mahina ang Reputasyon IP group 3 [**] (UDP) 24.43.1.206:10980 -> 192.168.10.14:32346

Para sa mas detalyadong pagsusuri ng mga log mula sa IP computer 192.168.10.14, patakbuhin ang command sa server console:

grep "10.80.1.13:" /var/log/suricata/fast.log

Nakatanggap kami ng medyo malaking bilang ng mga linya na may mga naka-block na koneksyon sa mga IP address na inuri ayon sa iba't ibang kategorya ng panganib.

Bilang resulta ng pagsusuri ng software, isang adware program ang nakita at inalis sa computer, kung saan hindi tumugon ang lokal na naka-install na antivirus.

Mga teknikal na kinakailangan

Ang isang intrusion prevention system ay nangangailangan ng makabuluhang computing resources para gumana. Mas gusto ang mga multi-core (4 o higit pang core) na mga processor. Minimum na halaga ng RAM para magamit ang system: 8 GB.

Pagkatapos i-on ang system, ipinapayong suriin na ang iyong processor ay may sapat na kapangyarihan upang suriin ang trapiko na dumadaan sa gateway.

Sa seksyon Pagsubaybay - Mga Mapagkukunan ng System. Ang average na parameter ng pag-load (average na pag-load para sa 1, 5 at 15 minuto) ay hindi dapat mas malaki kaysa sa bilang ng mga pisikal na core ng naka-install na processor.

Sa kasalukuyan, mayroong hindi mabilang na iba't ibang uri ng malware. Alam na alam ng mga eksperto sa software ng antivirus na ang mga solusyon na nakabatay lamang sa mga database ng lagda ng virus ay hindi maaaring maging epektibo laban sa ilang uri ng mga banta. Maraming mga virus ang maaaring umangkop, baguhin ang laki at pangalan ng mga file, proseso at serbisyo.

Kung ang potensyal na panganib ng isang file ay hindi matukoy ng mga panlabas na palatandaan, matutukoy mo ang malisyosong katangian nito sa pamamagitan ng pag-uugali nito. Ito ay pagsusuri sa pag-uugali na isinasagawa ng Host Intrusion Prevention System (HIPS).

Ang HIPS ay espesyal na software na sumusubaybay sa mga file, proseso at serbisyo para sa kahina-hinalang aktibidad. Sa madaling salita, ang proactive na proteksyon ng HIPS ay ginagamit upang harangan ang malware batay sa pamantayan ng mapanganib na pagpapatupad ng code. Ang paggamit ng teknolohiya ay nagbibigay-daan sa iyo upang mapanatili ang pinakamainam na seguridad ng system nang hindi nangangailangan ng pag-update ng mga database.

Ang mga HIPS at firewall ay malapit na magkakaugnay na mga bahagi. Samantalang ang isang firewall ay kumokontrol sa papasok at papalabas na trapiko batay sa mga hanay ng mga panuntunan, kinokontrol ng HIPS ang pagsisimula at pagpapatakbo ng mga proseso batay sa mga pagbabagong ginawa sa computer ayon sa mga panuntunan sa kontrol.

Pinoprotektahan ng mga module ng HIPS ang iyong computer mula sa mga kilala at hindi kilalang uri ng mga banta. Kapag ang mga kahina-hinalang aksyon ay ginawa ng malware o isang umaatake, hinaharangan ng HIPS ang aktibidad na ito, inaabisuhan ang user at nag-aalok ng mga karagdagang solusyon. Anong mga pagbabago ang eksaktong tinututukan ng HIPS?

Narito ang isang magaspang na listahan ng mga aktibidad na malapit na sinusubaybayan ng HIPS:

Pamahalaan ang iba pang mga naka-install na program. Halimbawa, ang pagpapadala ng mga email gamit ang isang karaniwang email client o paglulunsad ng ilang partikular na page sa iyong default na browser;

Pagtatangkang gumawa ng mga pagbabago sa ilang partikular na mga entry sa registry ng system upang magsimula ang isang programa kapag naganap ang ilang partikular na kaganapan;

Pagtatapos ng iba pang mga programa. Halimbawa, hindi pagpapagana ng anti-virus scanner;

Pag-install ng mga device at driver na tumatakbo bago ang iba pang mga program;

Interprocessor memory access na nagbibigay-daan sa malisyosong code na mai-inject sa isang pinagkakatiwalaang program

Ano ang aasahan mula sa isang matagumpay na HIPS?

Dapat ay may sapat na awtoridad ang HIPS para pigilan ang pagiging aktibo ng malware. Kung ang kumpirmasyon ng user ay kinakailangan upang ihinto ang isang mapanganib na programa, ang system ay hindi epektibo. Ang isang sistema ng pag-iwas sa panghihimasok ay dapat na may partikular na hanay ng mga panuntunan na maaaring ilapat ng user. Ang mga operasyon para sa paglikha ng mga bagong panuntunan ay dapat na magagamit (bagaman dapat mayroong ilang mga pagbubukod). Ang gumagamit, kapag nagtatrabaho sa HIPS, ay dapat na malinaw na maunawaan ang mga kahihinatnan ng kanyang mga pagbabago. Kung hindi, maaaring may mga salungatan sa pagitan ng software at ng system. Ang karagdagang impormasyon tungkol sa pagpapatakbo ng intrusion prevention system ay matatagpuan sa mga dalubhasang forum o sa antivirus help file.

Karaniwan, gumagana ang teknolohiya ng HIPS kapag nagsimula ang proseso. Nakakaabala ito sa mga aksyon habang ginagawa ang mga ito. Gayunpaman, may mga produktong HIPS na may paunang pagtuklas, kapag natukoy ang potensyal na panganib ng isang executable file bago ito aktwal na ilunsad.

May mga panganib ba?

Ang mga panganib na nauugnay sa HIPS ay mga maling positibo at maling desisyon ng user. Ang system ay may pananagutan para sa ilang mga pagbabago na ginawa ng ibang mga programa. Halimbawa, palaging sinusubaybayan ng HIPS ang registry path HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, responsable para sa awtomatikong pag-load ng mga programa sa system startup.

Malinaw, maraming secure na programa ang gumagamit ng registry entry na ito upang awtomatikong magsimula. Kapag ginawa ang mga pagbabago sa key na ito, ipo-prompt ng HIPS ang user para sa karagdagang pagkilos: payagan o tanggihan ang mga pagbabago. Kadalasan, i-click lang ng mga user ang allow nang hindi sinusuri ang impormasyon, lalo na kung nag-i-install sila ng bagong software sa sandaling iyon.

Ang ilang HIPS ay nagpapaalam tungkol sa mga katulad na desisyon ng ibang mga user, ngunit sa isang maliit na bilang ng mga ito ay hindi nauugnay ang mga ito at maaaring makapanlinlang sa gumagamit. Makakaasa lang kami na karamihan sa mga user ay gumawa ng tamang pagpili bago ka. Gumagana nang mahusay ang system sa pagtukoy ng potensyal na panganib at pagpapakita ng mensahe ng alarma. Dagdag pa, kahit na natukoy nang tama ng HIPS ang banta, maaaring gawin ng user ang maling aksyon at sa gayon ay mahawa ang PC.

Konklusyon: Ang HIPS ay isang mahalagang elemento ng multi-layered na proteksyon. Inirerekomenda din na gumamit ng iba pang mga module ng seguridad sa system. Para gumana nang mahusay at epektibo ang HIPS, ang gumagamit ay dapat magkaroon ng ilang kaalaman at kwalipikasyon.

Batay sa Malwarebytes Unpacked blog

Nakakita ng typo? I-highlight at pindutin ang Ctrl + Enter

Mga sistema ng pag-iwas sa panghihimasok (IPS system).
Pinoprotektahan ang iyong computer mula sa hindi awtorisadong pag-access.

Ang pinakalaganap na uri ng mga sistema ng pag-iwas sa panghihimasok ngayon ay HIPS(mula sa English Host-based Intrusion Prevention System - intrusion prevention system sa antas ng host). Ang teknolohiya ng HIPS ay ang batayan ng mga produkto at sistema ng seguridad bilang karagdagan, ang mga elemento ng proteksyon ng HIPS ay nagsimulang gumamit ng mga tradisyonal na paraan ng paglaban sa malware - halimbawa, mga programang antivirus.

Kung pinag-uusapan natin ang mga pakinabang ng HIPS-type intrusion prevention system, kung gayon ang pangunahing bagay, walang alinlangan, ay ang napakataas na antas ng proteksyon. Sumasang-ayon ang mga eksperto sa seguridad ng impormasyon na ang mga HIPS system ay maaaring magbigay ng halos 100% na proteksyon laban sa anuman, kahit na ang pinakabago, malware, pati na rin ang anumang mga pagtatangka sa hindi awtorisadong pag-access sa kumpidensyal na impormasyon. Ito ay isang depensa na perpektong tumutupad sa pangunahing tungkulin nito - upang maprotektahan. Walang tradisyunal na tool sa seguridad ng impormasyon ang maaaring magyabang ng ganoong antas ng proteksyon.

Ang mga tool at pamamaraan ng HIPS ay nasa ubod ng mga kakayahan sa seguridad ng impormasyon ng SafenSoft. Pinagsasama ng aming mga produkto ang lahat ng mga benepisyo ng mga sistema ng pag-iwas sa panghihimasok at mga tradisyonal na solusyon sa seguridad. Pinipigilan ng proactive na proteksyon ng SoftControl ang anumang pagtatangka ng hindi awtorisadong pag-access sa data at software environment ng mga PC sa bahay (SysWatch Personal at SysWatch Deluxe na mga produkto), mga corporate network workstation (Enterprise Suite), ATM at mga terminal ng pagbabayad (TPSecure at TPSecure Teller). Pinagsasama ng aming patented na V.I.P.O.® application control technology ang 3 layer ng proteksyon: kinokontrol ang lahat ng tumatakbong application, gumagamit ng dynamic na sandbox para magpatakbo ng mga kahina-hinalang proseso, at kinokontrol ang access ng application sa file system, mga registry key, external na device at mga mapagkukunan ng network. Ang mga solusyon sa SoftControl ay maaaring gumana nang magkatulad sa mga pakete ng anti-virus, na nagbibigay ng kumpletong proteksyon ng kapaligiran ng software ng computer. Kapag nagtatrabaho sa isang lokal na network, ang mga produkto ng SoftControl ay may maginhawang sentralisadong pamamahala at isang sistema ng abiso ng administrator tungkol sa mga banta. Hindi tulad ng tradisyonal na mga tool sa seguridad, ang mga solusyon sa SoftControl ay hindi nangangailangan ng patuloy na pag-update ng mga signature database.