Il software di prevenzione delle intrusioni su host può impedire alle applicazioni di eseguire determinate azioni, indipendentemente dal fatto che abbiano il privilegio di farlo, così come assegnato dal sistema operativo.
Dato che l'utilizzo delle applicazioni HIPS può essere notevolmente limitato e un principio di privilegio minimo applicato (in qualche modo), il software HIPS può essere considerato in qualche modo equivalente all'implementazione MAC?
No, HIPS è fondamentalmente diverso da MAC.
I sistemi di controllo degli accessi obbligatori (MAC) cercano di fornire una solida base per la sicurezza della vostra macchina. I sistemi MAC sono generalmente pensati per fornire un alto livello di sicurezza: si basano su una rigorosa teoria matematica, cercano di fornire forti garanzie e sono intesi per essere sicuri anche se l'aggressore sa come funziona il sistema MAC. In generale, i sistemi MAC sono generalmente destinati a essere molto difficili da sconfiggere per gli attaccanti.
Il software di prevenzione delle intrusioni basato su host (HIPS) tenta di fornire una mitigazione ottimale contro alcuni metodi comuni di compromissione macchinari. HIPS non fornisce alcuna garanzia. HIPS non si basa su una teoria rigorosa; invece, si basa su una caratterizzazione di metodi comuni che gli aggressori tendono ad usare. Un attaccante sofisticato che abbia familiarità con l'HIPS può probabilmente eludere il rilevamento da parte dell'HIPS e rendere l'HIPS privo di valore, ma generalmente è considerato OK, perché non è questo il tipo di minaccia che l'HIPS mira principalmente a prevenire. Gli HIPS si basano su sistemi di rilevamento delle intrusioni basati su host (HIDS), che fanno il possibile per rilevare quali attacchi possono effettuare; la differenza tra HIDS e HIPS è che HIDS rileva solo (alcuni) attacchi, mentre un HIPS è un HIDS che ha anche qualche meccanismo per cercare di fermare qualsiasi attacco rilevato dall'HIDS. Dal momento che i sistemi HIDS non hanno mai affermato di essere in grado di rilevare tutti gli attacchi, sarà anche vero che i sistemi HIPS non possono impedire tutti gli attacchi. Il vantaggio è che HIPS è molto più facile da implementare su un sistema legacy, ma offre un livello di sicurezza molto più basso e un livello inferiore di sicurezza.
Oppure, se vuoi pensare in termini di analogia: i sistemi HIPS sono come una lista nera. I sistemi MAC sono come una whitelist. Le whitelist offrono maggiore sicurezza, ma sono anche più restrittive, e quindi le blacklist possono essere più semplici da implementare.
In breve, MAC e HIPS si trovano in una lega diversa l'una dall'altra. Non sono in competizione tra loro, perché il MAC è progettato e progettato per un contesto diverso da HIPS.
Leggi altre domande sui tag access-control ids mandatory-access-control