HIPS - Anwendungskontrolle, was taugt das? Einstellungen

[Habakuck]

Halli hallo ihr Lieben.

Ich mache mir momentan viele Gedanken ob ein HIPS eigentlich sinnvoll ist oder nicht.
Eigentlich habe ich die letzte Zeit über immer die Meinung verfochten ein HIPS wäre der einzig sinnvolle Schutz vor Malware da die Signaturen bedingte Erkennung immer Meilen hinterher hinkt.
Allerdings zweifle ich mitlerweile am Sinn und Zweck des Ganzen.
Auf einem aktuellen System führt sich nichts von alleine aus. Und wenn ich selber ein Prog ausführe dann füge ich es logischer Weise zur vertrauenswürdigen Zone hinzu da es sonst nicht funktioniert oder ich andauernd mit nervigen PopUps zugespammt werde.
Wo also liegt der Schutz begründet den mir ein HIPS bietet?
Da meine KIS Lizenz noch ziemlich lange läuft lasse ich mich gerne überzeugen, dass ein HIPS durchaus sinnvoll ist.

Die Diskussion sei hiermit eröffnet.

[Solution-Design]

Mir ist noch kein Exploit in freier Wildbahn begegnet, dem ich nicht mit Heike.exe hätte widerstehen können. Auch ist noch keine Malware auf meinen PC gelangt. So gesehen reicht meine derzeitige PC-Nutzung vollkommen aus, um ein ungeschütztes System sauber zu halten. Und da man nun erkennt, wie schön schnell ein solches System sein kann, wird man sich ein AV nur sehr ungerne wieder ins Haus holen Bleibt also nur noch der Behaviorblocker mit wunderbaren Regeln, oder die Hips, die mit mehr oder weniger sinnigen Meldungen nervt. Der einzige Exploit, der mal wirklich was richtig böses angerichtet hat und ein System innerhalb weniger Minuten vollständig unbrauchbar machte, war der wmf-Exploit. Das PDF-Ding war schon nach seiner Geburt wieder tot und wurde noch dazu von fast jedem AV erkannt, wenn man denn eines hat. Die wenigen PDF-Exploits die ich gesucht und ausgeführt hatte, waren mehr oder weniger harmlos. Heutzutage werden keine Festplatten mehr zerstört (was sowieso nicht funktioniert…grins), sondern es wird versucht, Daten zu stehlen, oder mittels Rogueware Geld aus der Tasche zu locken. Zu den Hipsen, ja, die Meldungen sind selbst für versierte nicht immer eindeutig. Ob hinter diesen Meldungen nun SchadCode steckt, oder sie gerade installierte nur das Beste von mir möchte… Er werfe den ersten Stein. In meinen Augen sehe ich nur Sinn in einem vernünftigen BehaviorBlocker, welcher einem die Entscheidungen weitgehend abnimmt. SanaSecurity ist/war dahingehend schon ein Knaller. Das eil werkelt, ohne das es das System verlangsamt und findet Böslinge recht sicher. Zum PDF-Exploit noch was. Sollte eine solche PDF geöffnet werden und der Reader sich in einer sicheren Zone befinden, der Exploit aber Daten erzeugen und nachladen, so greifen die weiteren Schutzmaßnahmen des BehaviorBlockers oder der Hips. Zwar hat man die Malware dann schon auf dem PC, der Festplatte, aber eben unwirksam. Es gibt kein richtiges Fazit, außer das eigene. Wer nicht mit Meldungen zu bombardiert werden möchte, muss zu einem BehaviorBlocker greifen, welcher unauffällig im Hintergrund arbeitet. Sonar, SanaSecurity und mittlerweile a-squared gehören schon mal dazu. Alle anderen arbeiten mit WhiteLists daran, sind aber noch nicht soweit.