Sophos Anti-Virus per Windows 2000 e successivi: panoramica di Host Intrusion Prevention System (HIPS)

  • ID dell'articolo: 25044
  • Aggiornato: 27 gen 2012

L'Host Intrusion Prevention System (HIPS) è una tecnologia di sicurezza che protegge i computer dai virus non identificati e dai comportamenti sospetti.

HIPS include analisi del comportamento prima dell'esecuzione e in fase di esecuzione.

Applicabile ai seguenti prodotti e versioni di Sophos

Sophos Endpoint Security and Control 9.7
Sophos Endpoint Security and Control 10.0

Analisi del comportamento in fase di esecuzione

Sophos Anti-Virus analizza il comportamento dei programmi in esecuzione sul sistema. L'analisi del comportamento in fase di esecuzione include:

Rilevamento dei comportamenti sospetti
Per un'analisi dinamica del comportamento di tutti i programmi in esecuzione sul sistema, al fine di rilevare e bloccare qualsiasi attività dall'aspetto malevolo. Per comportamento sospetto si intendono ad esempio le modifiche al registro che potrebbero consentire l'esecuzione automatica di un virus al riavvio del computer.

Rilevamento dei buffer overflow
Per un'analisi dinamica del comportamento di tutti i programmi in esecuzione sul sistema, al fine di rilevare attacchi caratterizzati da buffer overflow.

NOTA: il rilevamento dei buffer overflow non era disponibile per Windows Vista e le versioni a 64 bit di Windows in Sophos Endpoint Security and Control 9.7, poiché la protezione di questi sistemi operativi contro i buffer overflow viene fornita dalla funzionalità di Microsoft Data Execution Prevention (DEP).  In Sophos Endpoint Security and Control 10.x, la protezione contro i buffer overflow (BOPS) è stata ampliata per includere anche questi sistemi operativi, al fine di incrementare la sicurezza.

Analisi prima dell'esecuzione

Behavioral Genotype Protection

Monitora i codici in esecuzione sui computer, bloccando prima dell'esecuzione qualsiasi codice presenti rischi di comportamento malevolo. A differenza degli altri HIPS in fase di esecuzione, che monitorano il codice durante la sua esecuzione e intervengono una volta verificatosi il comportamento malevolo, Sophos Behavioral Genotype Protection individua e blocca i programmi contenenti malware prima dell'esecuzione.

Rilevamento dei file sospetti

Sophos Anti-Virus è in grado di effettuare la scansione alla ricerca di file sospetti contenenti determinate caratteristiche comuni al malware ma non sufficienti per identificarlo come tale. Ad esempio, un file contenente del codice di decompressione dinamica, comunemente utilizzato dal malware, può essere considerato come sospetto. Con la scansione in accesso abilitata, il rilevamento dei file sospetti fa in modo che i file vengano sottoposti a scansione non appena un utente vi clicchi sopra per aprirli. Con la scansione alla ricerca dei file sospetti abilitata nelle scansioni pianificate, Sophos Anti-Virus rileva i file prima che chiunque possa aprirli.

Uso di Sophos Anti-Virus con HIPS

  • Per impostazione predefinita, il rilevamento dei comportamenti sospetti è impostato sulla modalità "Avvisa solo" in Sophos Endpoint Security and Control 9.7. Se si intende utilizzare questa funzionalità, è necessario effettuarne la configurazione.
  • Le impostazioni HIPS nei "Criteri Anti-virus e HIPS" sono applicabili solamente alla scansione in accesso.

Durante la prima installazione di Sophos Anti-Virus 9.7, vengono rilevati comportamenti sospetti e visualizzati messaggi di allarme (che vengono quindi inviati alla console). Tuttavia, non viene bloccato nessuno dei programmi rilevati.

Per ulteriori informazioni sulla gestione dei messaggi di allarme, consultare l'articolo della knowledge base Sophos Anti-Virus per Windows 2000 e successivi: gestione del rilevamento di file e comportamenti sospetti.

Vedere anche

La Guida alle best practice per gli HIPS

Guide how-to
Configurazione della scansione in accesso
Gestione degli allarmi relativi a file o comportamenti sospetti
Criteri per il blocco o il permesso di un file o programma
Autorizzazione degli elementi rilevati da Sophos

Documentazione

Per maggiori informazioni sull'installazione, consultare la Guida di avvio per la rete di Sophos Endpoint Security e la Guida all'upgrade in rete di Sophos Endpoint Security.

Per informazioni sulla gestione, consultare l'articolo della knowledge base Sophos Anti-Virus per Windows 2000 e successivi: gestione del rilevamento di file e comportamenti sospetti.

 
Per maggiori informazioni o per assistenza, vi preghiamo di contattare il supporto tecnico.

Valutate l'articolo

Molto scadente Eccellente

Commenti