Lidiando con malware en Windows (Parte 2) - Control de Long Live Application

13 de julio 2009 por Chris Dejar una respuesta »

El control de aplicaciones, a veces llamada lista blanca de aplicaciones, que proporciona un control granular de las aplicaciones que se pueden ejecutar en cada uno de sus sistemas. Esto no sólo puede sustituir a su receptor A / V solución, se puede mantener a los usuarios sin escrúpulos y los problemas de licencia bajo control también.

¿Cómo funciona la aplicación de control?

El concepto es relativamente sencillo. Usted identifica la aplicación que desee cada uno de sus usuarios para poder correr y el software se encarga de hacer cumplir esta política. Una de las cosas buenas acerca de la aplicación de software de control es que por lo general obtener la capacidad de personalización mucho más que el A / V. Por ejemplo, con muchas soluciones A / V que pueden verse obligados a desactivar por completo de A / V con el fin de ejecutar una aplicación aparece como malicioso en la base de firmas (dicen que soy un auditor que tiene que hacer el escaneo de puertos o la obtención ilegal de contraseña). Con el control de la aplicación, por lo general puede conseguir tan granular como por escrito las políticas en una por usuario, por sistema, por nivel de ubicación (por ejemplo, el auditor sólo puede ejecutar el scanner de puertos de un sistema específico cuando su adjunto a un segmento de red específico). Esto es genial porque a diferencia de A-VI / no tiene que deshabilitar el software, por lo que exponerme al riesgo, al igual que hacer simplemente mi trabajo.

¿Qué buscar en el software de aplicación de control

Hay un par de cosas que hay que mirar a la hora de evaluar un producto de control de aplicaciones. En primer lugar, que hay que buscar la forma en que los archivos se identifican. ¿Están simplemente mirando nombres de los archivos almacenados en un lugar específico, o están ejecutando múltiples algoritmos hash para autenticar el archivo es, de hecho, debidamente identificados? Usted también querrá ver lo que está involucrado con los archivos de aprobación para el uso y la forma en las ofertas del sistema con los parches.

Por ejemplo, uno de mis productos favoritos es el de paridad de Bit9 Software. Empiezan haciendo referencia a una base de datos de archivo con más de 6 millones de entradas y contando. Mientras que puede parecer demasiado difícil, piensa en cuántos archivos se trata de si lo que desea la aprobación de Microsoft Office para su uso e incluyen todas las versiones y todos los niveles de parches. De repente, 6 millones de entradas no parece nada descabellado.

Lamentablemente, una base de datos del archivo no va a ser suficiente. Usted necesita una cierta manera de aprobar scripts y ejecutables, así como tratar con los archivos reales de tiempo de conexión. Por ejemplo, Adobe revisa los parches cada vez que un usuario inicia la aplicación. Si, por casualidad, hacer esto justo en el minuto exacto se libera un parche, la información de archivo de revisión que aún no se propagan en la base de datos de archivo. Lo que la paridad no se permitirá que la aprobación de un software basado en que está firmado digitalmente. Por ejemplo, podemos crear una excepción que dice: "Si el archivo no está en la base de datos, pero ha sido firmado digitalmente por nosotros o por Adobe, que está bien para su uso".

La protección de Supervisión, Control y Redes de Datos (SCADA)

Esta es una solución muy fresco para las redes de control. Por ejemplo las redes que utilizan la red, los servicios municipales, la materia militar, etc, que no se supone que debe estar conectado a Internet. La falta de conectividad genera un catch-22. Usted ha desconectado de la Internet para ayudar a proteger la red, pero ¿cómo actualizar las firmas de A / V que no tienen acceso a Internet? Con la paridad es un tema que no. Sólo tiene que firmar digitalmente todo el software necesario en el control de la red, escribir reglas que dicen sólo firmado digitalmente puede ser ejecutado, y ya está. No hay firmas o actualizaciones de las que preocuparse, sólo volver a firmar un nuevo software que desee implementarlo en la red.

La paridad tiene algunas otras características interesantes, así como la posibilidad de realizar un seguimiento de la ejecución de archivos o la capacidad para controlar los dispositivos extraíbles se pueden utilizar (según el modelo, por usuario y por el nivel de acceso). Estoy empezando a sentir como una persona de las ventas sin embargo, así que voy a dejar que el lector, si desea obtener más información. ;)

El pequeño secreto sucio

¿Por qué es que no estamos viendo A / vendors V deshacerse de sus firmas y subirse al carro de control de aplicaciones? Yo no trabajo para un vendedor de A / V, así que sólo podemos especular. Me parece sin embargo de acciones en algunos de ellos y le diré que tan pronto como veo esta tendencia ocurre que estoy vendiendo mis acciones. Piénsalo de esta manera, ¿dónde está el verdadero costo de su receptor A / V solución? ¿Está en el precio inicial de compra del cliente, o es en la cuota de suscripción mensual / anual que usted paga para las firmas? Empresas loooove flujos recurrentes de ingresos debido a que el ingreso medio previsible, con cero esfuerzo de ventas. Accionistas (como yo) les encanta corrientes de ingresos recurrentes debido a que "mayores ingresos + menos los costos iniciales = mayor ganancia". Tenga en cuenta en el último ejemplo he discutido la protección de una red sin necesidad de actualizaciones de firmas. Si los usuarios de esta ruta fue que tendría un grave impacto financiero sobre cada uno de A / V línea de fondo del proveedor.

Las cosas malas

Ahora algunas advertencias. Es probable que desee utilizar la base de datos de archivos si está disponible, incluso si esto significa pagar por un servicio de suscripción diferente. La firma digital de todo lo que está bien en una red donde las aplicaciones se modifica con frecuencia (por ejemplo, SCADA), pero en un ambiente corporativo típico de su puesto de trabajo se convertiría en "la parte administrativa que siempre está la firma de software".

Además, el control de la aplicación, simplemente regula qué aplicaciones se ejecutan en el sistema. No es muy útil si una solicitud aprobada se pegó a través de un desbordamiento de búfer o similares. Así parches sigue siendo una necesidad y es probable que desee ejecutar un sistema de intrusión basada en host de Protección (HIPS) para ser completamente bloqueados. Sin embargo, con el control de la aplicación se termina con una postura mucho más segura que la pervivencia de que el carburador de edad Un software / V.

Puestos relacionados con:

  1. Lidiando con malware en Windows (Parte 1) - ¿Por qué Anti-Virus es una tecnología de morir
  2. Acceso rápido a las herramientas de administración de Windows
  3. Aprovechando el Windows "runas" comando
  4. Esconder una puerta trasera detrás de un puerto activo de Windows Escuchar
  5. ¿Por qué anti-virus está muerto - vivo

Publicado en 3-err , malware , seguridad de Windows

Tags:

Puedes seguir cualquier respuesta a esta entrada a través del feed RSS 2.0 . Puedes dejar una respuesta , o trackback desde tu propio sitio.

Anuncio

Deja un comentario