L’idea di base della tecnologia HIPS (host intrusion prevention system) è quella di analizzare i comportamenti dei programmi che vengono eseguiti laddove i tradizionali Antivirus basati sulle signature crittografiche non arrivano.
Se un sistema HIPS rileva un comportamento sospetto, il programma responsabile viene immediatamente disattivato, nella speranza che non abbia già causato danni.
L’utente medio identifica tutta la tecnologia di sicurezza con gli Antivirus e quindi non è probabilmente interessato a capire come funziona questo nuovo meccanismo di protezione. I produttori sono soliti distinguere i sistemi HIPS dai normali AV per un semplice fatto: questi ultimi si basano su signature file (e sui relativi aggiornamenti periodici) e non fanno altro che cercare delle corrispondenze esatte tra il contenuto di un file e le firme crittografiche dei malware noti, mentre gli HIPS operano attivamente cercando di rilevare minacce ancora sconosciute e quindi di cui non è ancora nota la signature.
Il confine tra HIPS e ANTIVIRUS
Ovviamente la demarcazione tra AV e HIPS è molto labile infatti tutti i prodotti Antivirus in circolazione fanno uso, senza eccezione, di tecnologie di tipo HIPS. L’unica differenza è che si usa il termine “rilevazione euristica”, ma si tratta della stessa gestione.
I limiti della tecnologia HIPS
In generale, i prodotti HIPS puri (quelli, cioè, venduti come tali) rilevano malware che i normali Antivirus non riescono a riconoscere, generando tuttavia un numero decisamente alto di falsi positivi. E sappiamo bene che gli utenti non amano essere disturbati da inutili finestre d’allarme.
Quello che in effetti succede, quindi, è che la tecnologia HIPS che non genera troppi falsi positivi viene inserita direttamente nei prodotti Antivirus classici, mentre il resto viene etichettato come HIPS e venduto quindi separatamente. Un prodotto HIPS puro, quindi, non andrebbe mai utilizzato in un ambiente dove viene installato spesso un nuovo software.
Inoltre, l’esperienza dimostra che la tecnologia HIPS non riesce poi a essere così tanto risolutiva come propagandato dai produttori. Il considerare ciò che un programma svolge mentre viene eseguito non risolve nessuno dei problemi lasciati aperti dai normali Antivirus.