El software de prevención de intrusión de host puede restringir que las aplicaciones tomen ciertas acciones, independientemente de si tienen el privilegio de hacerlo según lo asignado por el sistema operativo.
Dado que con el uso de HIPS, las aplicaciones se pueden restringir significativamente y se aplica un principio de privilegio mínimo (algo), ¿el software HIPS puede considerarse algo equivalente a una implementación de MAC?
No, HIPS es fundamentalmente diferente de MAC.
Los sistemas de control de acceso obligatorio (MAC) intentan proporcionar una base sólida para la seguridad en su máquina. Los sistemas MAC generalmente están destinados a proporcionar un alto nivel de seguridad: se basan en una teoría matemática rigurosa, intentan ofrecer garantías sólidas y están diseñados para ser seguros incluso si el atacante sabe cómo funciona el sistema MAC. En general, los sistemas MAC suelen ser muy difíciles de derrotar por los atacantes.
El software de prevención de intrusiones basado en host (HIPS) intenta ofrecer una mitigación de los mejores esfuerzos contra algunos métodos comunes de comprometer maquinas HIPS no ofrece ninguna garantía. HIPS no se basa en ninguna teoría rigurosa; en cambio, se basa en una caracterización de métodos comunes que los atacantes tienden a usar. Es probable que un atacante sofisticado que esté familiarizado con su HIPS pueda evadir la detección por el HIPS y hacer que el HIPS no valga nada, pero eso generalmente se considera OK, porque ese no es el tipo de amenaza que el HIPS está dirigido principalmente a prevenir. Los HIPS se basan en los sistemas detección de intrusos basada en host (HIDS), que hacen un mejor esfuerzo para detectar qué ataques pueden; La diferencia entre HIDS y HIPS es que HIDS simplemente detecta (algunos) ataques, mientras que un HIPS es un HIDS que también tiene algún mecanismo para intentar detener cualquier ataque que detecte el HIDS. Dado que los sistemas HIDS nunca afirmaron ser capaces de detectar todos los ataques, también será cierto que los sistemas HIPS no pueden evitar todos los ataques. La ventaja es que HIPS es mucho más fácil de implementar en un sistema heredado, pero proporciona un nivel de seguridad mucho más bajo y un nivel de seguridad más bajo.
O, si quiere pensar en términos de una analogía: los sistemas HIPS son como una lista negra. Los sistemas MAC son como una lista blanca. Las listas blancas ofrecen mayor seguridad, pero también son más restrictivas y, por lo tanto, las listas negras pueden ser más fáciles de implementar.
En resumen, MAC y HIPS están en una liga diferente entre sí. No compiten entre sí, porque MAC está diseñado y diseñado para un contexto diferente al de HIPS.
Lea otras preguntas en las etiquetas access-control ids mandatory-access-control