Application Control, manchmal auch als Anwendung Whitelisting, gibt Ihnen granulare Kontrolle darüber, welche Anwendungen erlaubt, auf jedem Ihrer Systeme ausgeführt werden. Nicht nur das ersetzen, können Sie Ihre A / V-Lösung, kann es Hackern und Lizenz-Probleme unter Kontrolle zu halten als auch.

Wie funktioniert Application Control zu arbeiten?

Das Konzept ist relativ einfach. Sie erkennen, welche Anwendung Sie jeden Benutzer in der Lage sein zu laufen und die Software kümmert sich um die Durchsetzung dieser Politik wollen. Eines der schönen Dinge über Application Control Software ist, dass Sie in der Regel weit mehr Anpassungsmöglichkeiten als A / V. Zum Beispiel mit vielen A / V-Lösungen kann ich gezwungen, komplett zu deaktivieren, A / V, um eine Anwendung als bösartig in die Signatur-Datenbank aufgeführt sind (sagen ich bin ein Auditor, der Port-Scanning oder Passwort-Cracking tun muss) ausgeführt werden. Mit Application Control, kann ich in der Regel bekommen als Granulat, als schriftlich Politik auf pro Benutzer, pro System, pro Standort Ebene (zum Beispiel der Auditor kann nur laufen die Port-Scanner von einem bestimmten System, wenn seine an einen bestimmten Netzwerk-Segment). Das ist cool, weil im Gegensatz zu A / VI nicht zu tun haben, um die Software zu deaktivieren, und setzt dadurch selbst zu riskieren, nur um einfach meinen Job.

Worauf Sie bei Application Control Software suchen

Es gibt ein paar Dinge, die Sie benötigen, um bei der Beurteilung eines Antrags Kontrolle Produkt zu suchen. Zuerst müssen Sie an, wie Dateien werden identifiziert aussehen. Sind sie einfach nur auf die Dateinamen in einem bestimmten Ort gespeichert werden, oder sind sie das Ausführen mehrerer Hash-Algorithmen zur Authentifizierung der Datei ist in der Tat richtig erkannt? Sie wollen auch auf, worum es geht mit der Genehmigung Dateien für die Verwendung und wie das System mit Patches zu suchen.

Zum Beispiel ist einer meiner Lieblings-Produkte Parity von Bit9 Software. Sie beginnen mit Verweisen auf eine Datei Datenbank mit über 6 Milliarden Einträge und Zählen. Während das wie übertrieben erscheinen könnten, wie viele Dateien involviert sind, wenn Sie nur wollen, Microsoft Office für den Einsatz zu genehmigen und alle Versionen und alle Patch-Levels zu denken. Ganz plötzlich 6 Milliarden Einträge scheint nicht so weit hergeholt.

Leider ist ein Datei-Datenbank wird nicht genug sein. Sie benötigen eine Möglichkeit, benutzerdefinierte Skripts und ausführbare Dateien, sowie Umgang mit Echtzeit-Patch-Dateien zu genehmigen. Zum Beispiel Adobe prüft Patches, wenn ein Benutzer die Anwendung startet. Wenn sie dieses Recht auf die Minute genau ein Patch veröffentlicht passieren, wird der Patch-Datei info noch nicht in die Datei-Datenbank weitergegeben werden. Was Parity tut, ist erlaubt es Ihnen, die Software auf sie zu digital signiert Basis zu genehmigen. Zum Beispiel können wir eine Ausnahme erstellen, die sagt: "Wenn die Datei nicht in der Datenbank, sondern wurde digital von uns oder Adobe unterzeichnet, es OK für den Einsatz ist."

Schützen Supervisory Control And Data Acquisition (SCADA) Netzwerke

Dies ist eine sehr coole Lösung für die Steuerung Netzwerke. Zum Beispiel diese Netze laufen Netz, kommunale Dienstleistungen, militärische Sachen, etc., die nicht annehmen, sind mit dem Internet verbunden werden. Der Mangel an Verbindung schafft eine catch-22. Sie haben vom Internet getrennt zu helfen, schützen das Netzwerk aber wie aktualisieren Sie Ihre A / V-Signaturen ohne Internet-Zugang? Mit Parity ist dies kein Thema. Sie einfach digital signieren Software auf dem Control-Netzwerk erforderlich, schreiben Sie eine Regeln sagen nur digital signierte Software ausgeführt werden kann, und Sie sind fertig. Keine Signaturen oder Updates zu kümmern, nur neu signieren neue Software, wie Sie es im Netzwerk einsetzen wollen.

Parity hat einige andere coole Features sowie wie die Fähigkeit, Dateien Ausführung oder die Fähigkeit zu kontrollieren, welche Wechseldatenträger genutzt werden kann (nach Modell, durch den Benutzer und die Zugriffsebene) werden zu verfolgen. Ich fange an, wie ein Verkäufer jedoch das Gefühl, so werde ich es dem Leser überlassen, wenn sie mehr erfahren möchten.

Das schmutzige kleine Geheimnis

Warum ist es uns nicht sehen, A / V-Anbieter werfen ihre Signaturen und springen auf den fahrenden Zug Application Control? Ich glaube nicht, für einen A / V Anbieter arbeiten, so kann ich nur spekulieren. Ich weiß allerdings eigene Aktien in ein paar von ihnen und wird, sobald ich sehe diesen Trend auftreten Ich verkaufe mein Lager sagen. Denken Sie daran, auf diese Weise, wo ist die tatsächlichen Kosten in Ihrem A / V-Lösung? Ist es in den ursprünglichen Kaufpreis des Kunden, oder ist es in der monatlichen / jährlichen Abo-Gebühr bezahlen Sie für Unterschriften? Unternehmen loooove wiederkehrende Umsätze, weil sie vorhersehbare Erträge mit Null Umsatz Aufwand bedeuten. Aktionäre (wie ich) lieben wiederkehrenden Umsätze, weil "höhere Einkommen + weniger Vorfeld Kosten = höherer Gewinn." Beachten Sie im letzten Beispiel I diskutiert Schutz eines Netzwerks ohne die Notwendigkeit für Signatur-Updates. Wenn Benutzer ging diesen Weg wäre es eine erhebliche finanzielle Auswirkungen auf die einzelnen A / V Strich Verkäufers.

Die schlechten Sachen

Nun, einige Vorbehalte. Sie würden wahrscheinlich wollen Sie die Datei-Datenbank falls verfügbar, auch wenn dies bedeutet, die Zahlung für eine andere Abo-Service. Digitales Signieren ist alles in Ordnung in einem Netzwerk, wo die Anwendungen häufig geändert werden (wie SCADA), sondern in einer typischen Unternehmensumgebung Ihre Berufsbezeichnung würde in die "Admin, der immer Unterzeichnung der Software" zu machen.

Auch Application Control einfach regelt, welche Anwendungen auf dem System ausgeführt werden. Es ist nicht sehr hilfreich, wenn eine zugelassene Anwendung wird über einen Puffer-Überlauf oder dergleichen traf. So Patchen ist immer noch ein Muss, und Sie werden wahrscheinlich eine Host-basierte Intrusion Protection System (HIPS) komplett gesperrt werden heruntergekommen. Doch mit der Anwendung steuern Sie am Ende mit einem weitaus sicherer Haltung als Kleben mit dem alten Vergaser A / V-Software.

Manchmal ist eine Technologie überlebt seine Nützlichkeit. Ein gutes Beispiel ist die Automobil-Vergaser. Während wir die Performance-Steigerungen und eine Kraftstoffersparnis von Multi-Port-Benzin-Direkteinspritzung seit Jahrzehnten bekannt, einige (NASCAR!) noch die Verwendung der veralteten und doch vertraut Vergaser hängen. Ähnliches ist mit der Technologie, um Malware zu bekämpfen aufgetreten. Anti-Virus hat sich der "Vergaser" zu halten schädlichen Code aus unserer Systeme.

Was ist A / V-Software?

Anti-Virus ist nach wie vor in erster Linie eine Signatur basierten System. Mit anderen Worten, definieren wir einen Code-Muster, die wir wollen zu erkennen und dann nach Speicher oder auf der Festplatte für dieses Muster. Dies wird als "application schwarze Liste" bezeichnet, weil wir die Definition der schlechten Anwendungen, die wir behalten möchten off des Systems sind.

Woher A / V-Signaturen gekommen?

Typischerweise wird ein A / V Kunde infiziert werden und das Problem zu melden ihre Anbieter. Die A / V-Anbieter kann dann eine Muster, die ihre anderen Kunden von diesem gleichen Stamm geschützt werden lässt. Es ist auch möglich, dass die Signatur erzeugt, wenn der Code in der Wildnis vor der Veröffentlichung zu finden ist erhalten, oder wenn ein anderer Anbieter generiert eine Signatur.

Was ist mit Heuristiken?

Heuristics schaut verdächtiges Verhalten und dann weiße Listen bekanntermaßen gute Anwendungen. Zum Beispiel können wir überprüfen alle Versuche, ein Benutzerkonto auf dem System zu erstellen und dann überprüfen, ob die Anwendung ist eine bekannte Administrator-Tool. Diese Technologie hat ein paar wirklich coole Potenzial, aber es hat auch eine Reihe von Fehlern. Das Hauptproblem und der Grund Heuristik sieht wenig bis gar keine Verwendung, ist die Tatsache, dass seine anfällig für Fehlalarme. Versuchen Sie, eine 3 ^{rd-Party-Tool} benutzen, um Ihre Benutzerkonten und die A / V Heuristik-Engine wird wahrscheinlich um ihn zu blockieren verwalten.

Das Geschäftsmodell von Malware

Als Anti-Virus zuerst entwickelt wurde, hatten Malware zwei spezifische Eigenschaften:

1. Malware Distribution war langsamer als Signatur-Distribution.
2. Malware-Autoren waren meist Script-Kiddies versuchen Massenvermehrung.

Keiner dieser Punkte gelten in der heutigen Umgebungen. Symantec erklärt, dass im Jahr 2009 sind sie durchschnittlich eine neue Malware Signatur jedes 8 Sekunden . Für F-Secure, ist diese Frequenz näher an eine neue Signatur alle vier Sekunden. Sie aktualisieren youy A / V alle 4-8 Sekunden? Gibt es in Ihrem A / V Anbieter selbst Release ist eine neue Signatur-Datei alle 4-8 Sekunden? Sie sehen das Problem. Selbst wenn Sie fleißig Update A / V jede Nacht haben 11,000-20,000 neuen Signaturen und Stücke von Malware durch angekreuzt.

Aber lassen Sie uns ein bisschen mehr reden Element Nr. 2; Script Kiddies und Massenvermehrung. Rund 2001 oder so bemerkte ich eine Veränderung in der Malware Welt. Die Leute, die wirklich wusste, was sie taten damit aufgehört Masse freizugeben. Denken Sie darüber nach, die meisten Malware-Autoren beginnen in der Regel, wenn sie sehr jung sind. Wenn Sie noch zur Schule und zu Hause leben, ihren trivial, um Ihren Code kostenlos veröffentlichen. Irgendwann jedoch müssen Sie einen Job zu bekommen und verdienen ein gewisses Einkommen. Wenn Sie persönlich erreicht, dass Platz im Leben, was hast du getan? Für die meisten von uns geht es um zu schauen, was wir gut können und versuchen, dass Spiel bis zu einem hoch bezahlten Job.

Also, wenn Sie gut im Schreiben Malware sind, wo sind die hoch bezahlten Jobs? Einige Möglichkeiten:

• Erpressung - Steal info und verkaufen es wieder.
• Spionage - Steal info für ein konkurrierendes Unternehmen, Regierung, etc.
• Steal Daten mit dem Wert in der Wildnis - Bank-Anmeldung, Info über Kreditkarten, etc.
• Resell Botnet und Malware-Dienste - Werden Sie ein gun for hire. Typischerweise Spam Verteilung von DDoS.

Während wir immer noch eine gewisse Anzahl von Script-Kiddies zu tun Massenvermehrung (man denke an sie als Malware-Autoren in der Ausbildung), die intelligente Angreifer in ein profitables Geschäftsmodell geworden. Wenn es ein Geschäftsmodell ist, hat den Code natürlich Geldwert. Dies bedeutet ein Angreifer nicht das Risiko einer Massenvermehrung von High-End-Malware-Code. Sie werden auf ihm sitzen und nur nutzen, wenn es das Potenzial für eine hohe Rendite. So können wir nicht auf die wirklich üble Sachen zu Massenvermehrung mehr zählen. Das Zeug, was Sie über die meisten Sorge ist in einen gebrauchten gezielte Mode.

Warum muss mein A / V nicht so oft?

Ein paar Probleme sollten sofort sichtbar mit dem oben genannten Modell. Um zu beginnen, weil wir schwarze Liste bad-Anwendungen sind, ist die Annahme, alles andere ist OK. Wenn wir nicht über eine Signatur identifiziert die Anwendung als schädlich, gehen wir davon ist es sicher fahren kann. Dies bedeutet, dass alle Malware ohne Unterschrift frei, um das System zu infizieren ist. Dieses Modell nimmt auch ein gewisses Maß an akzeptablen Verluste. In der Regel gibt es eine Zeitverzögerung zwischen dem Zeitpunkt, Systeme infiziert und wenn wir eine Unterschrift, um uns zu schützen. Dies könnte Stunden, Tage oder in manchen Fällen sogar Monate .

Probleme unter der Haube

Eines der größten Probleme mit A / V-Software ist die Unterschriften. Die meisten von uns würde nicht einmal erwägen den Kauf eines NIDS oder NIPS, die keinen Zugang zu den Signaturen, aber das ist genau das, was Sie mit einem A / V-System zu bekommen. Dies führt zu wenig, um keine Vernunft Überprüfung von Signaturen innerhalb der Branche, sowie eine begrenzte Anpassungsfähigkeit. Zum Beispiel habe ich noch zu sehen, ein A / V Anbieter geben mir die Möglichkeit zu lassen, mein Netzwerkadministrator Gruppe führen Sie einen Passwort-Cracking-Tool von bekannten sicheren Maschinen. Wenn ich irgendwelche Anpassungen Fähigkeit überhaupt haben, ist es ein mühsamer Prozess, um spezifische Anwendungen für den Einsatz genehmigt zu bekommen, und auch dann Anwendung ist begrenzt.

Also, wo gehen wir von hier gehen?

Mit all diesen Problemen ist es kein Wunder, dass Application Control (manchmal auch als Anwendung Whitelisting) beginnt, A / V-Software als das Werkzeug der Wahl für die Steuerung Malware zu ersetzen. Ich werde in Application Control in Teil 2 dieser post bekommen.