El control de aplicaciones, a veces llamada lista blanca de aplicaciones, que proporciona un control granular de las aplicaciones que se pueden ejecutar en cada uno de sus sistemas. Esto no sólo puede sustituir a su receptor A / V solución, se puede mantener a los usuarios sin escrúpulos y los problemas de licencia bajo control también.

¿Cómo funciona la aplicación de control?

El concepto es relativamente sencillo. Usted identifica la aplicación que desee cada uno de sus usuarios para poder correr y el software se encarga de hacer cumplir esta política. Una de las cosas buenas acerca de la aplicación de software de control es que por lo general obtener la capacidad de personalización mucho más que el A / V. Por ejemplo, con muchas soluciones A / V que pueden verse obligados a desactivar por completo de A / V con el fin de ejecutar una aplicación aparece como malicioso en la base de firmas (dicen que soy un auditor que tiene que hacer el escaneo de puertos o la obtención ilegal de contraseña). Con el control de la aplicación, por lo general puede conseguir tan granular como por escrito las políticas en una por usuario, por sistema, por nivel de ubicación (por ejemplo, el auditor sólo puede ejecutar el scanner de puertos de un sistema específico cuando su adjunto a un segmento de red específico). Esto es genial porque a diferencia de A-VI / no tiene que deshabilitar el software, por lo que exponerme al riesgo, al igual que hacer simplemente mi trabajo.

¿Qué buscar en el software de aplicación de control

Hay un par de cosas que hay que mirar a la hora de evaluar un producto de control de aplicaciones. En primer lugar, que hay que buscar la forma en que los archivos se identifican. ¿Están simplemente mirando nombres de los archivos almacenados en un lugar específico, o están ejecutando múltiples algoritmos hash para autenticar el archivo es, de hecho, debidamente identificados? Usted también querrá ver lo que está involucrado con los archivos de aprobación para el uso y la forma en las ofertas del sistema con los parches.

Por ejemplo, uno de mis productos favoritos es el de paridad de Bit9 Software. Empiezan haciendo referencia a una base de datos de archivo con más de 6 millones de entradas y contando. Mientras que puede parecer demasiado difícil, piensa en cuántos archivos se trata de si lo que desea la aprobación de Microsoft Office para su uso e incluyen todas las versiones y todos los niveles de parches. De repente, 6 millones de entradas no parece nada descabellado.

Lamentablemente, una base de datos del archivo no va a ser suficiente. Usted necesita una cierta manera de aprobar scripts y ejecutables, así como tratar con los archivos reales de tiempo de conexión. Por ejemplo, Adobe revisa los parches cada vez que un usuario inicia la aplicación. Si, por casualidad, hacer esto justo en el minuto exacto se libera un parche, la información de archivo de revisión que aún no se propagan en la base de datos de archivo. Lo que la paridad no se permitirá que la aprobación de un software basado en que está firmado digitalmente. Por ejemplo, podemos crear una excepción que dice: "Si el archivo no está en la base de datos, pero ha sido firmado digitalmente por nosotros o por Adobe, que está bien para su uso".

La protección de Supervisión, Control y Redes de Datos (SCADA)

Esta es una solución muy fresco para las redes de control. Por ejemplo las redes que utilizan la red, los servicios municipales, la materia militar, etc, que no se supone que debe estar conectado a Internet. La falta de conectividad genera un catch-22. Usted ha desconectado de la Internet para ayudar a proteger la red, pero ¿cómo actualizar las firmas de A / V que no tienen acceso a Internet? Con la paridad es un tema que no. Sólo tiene que firmar digitalmente todo el software necesario en el control de la red, escribir reglas que dicen sólo firmado digitalmente puede ser ejecutado, y ya está. No hay firmas o actualizaciones de las que preocuparse, sólo volver a firmar un nuevo software que desee implementarlo en la red.

La paridad tiene algunas otras características interesantes, así como la posibilidad de realizar un seguimiento de la ejecución de archivos o la capacidad para controlar los dispositivos extraíbles se pueden utilizar (según el modelo, por usuario y por el nivel de acceso). Estoy empezando a sentir como una persona de las ventas sin embargo, así que voy a dejar que el lector, si desea obtener más información.

El pequeño secreto sucio

¿Por qué es que no estamos viendo A / vendors V deshacerse de sus firmas y subirse al carro de control de aplicaciones? Yo no trabajo para un vendedor de A / V, así que sólo podemos especular. Me parece sin embargo de acciones en algunos de ellos y le diré que tan pronto como veo esta tendencia ocurre que estoy vendiendo mis acciones. Piénsalo de esta manera, ¿dónde está el verdadero costo de su receptor A / V solución? ¿Está en el precio inicial de compra del cliente, o es en la cuota de suscripción mensual / anual que usted paga para las firmas? Empresas loooove flujos recurrentes de ingresos debido a que el ingreso medio previsible, con cero esfuerzo de ventas. Accionistas (como yo) les encanta corrientes de ingresos recurrentes debido a que "mayores ingresos + menos los costos iniciales = mayor ganancia". Tenga en cuenta en el último ejemplo he discutido la protección de una red sin necesidad de actualizaciones de firmas. Si los usuarios de esta ruta fue que tendría un grave impacto financiero sobre cada uno de A / V línea de fondo del proveedor.

Las cosas malas

Ahora algunas advertencias. Es probable que desee utilizar la base de datos de archivos si está disponible, incluso si esto significa pagar por un servicio de suscripción diferente. La firma digital de todo lo que está bien en una red donde las aplicaciones se modifica con frecuencia (por ejemplo, SCADA), pero en un ambiente corporativo típico de su puesto de trabajo se convertiría en "la parte administrativa que siempre está la firma de software".

Además, el control de la aplicación, simplemente regula qué aplicaciones se ejecutan en el sistema. No es muy útil si una solicitud aprobada se pegó a través de un desbordamiento de búfer o similares. Así parches sigue siendo una necesidad y es probable que desee ejecutar un sistema de intrusión basada en host de Protección (HIPS) para ser completamente bloqueados. Sin embargo, con el control de la aplicación se termina con una postura mucho más segura que la pervivencia de que el carburador de edad Un software / V.

A veces una tecnología deja de ser útil. Un buen ejemplo es el carburador de automóvil. Aunque hemos conocido las mejoras de rendimiento y ahorro de combustible multi-puerto de inyección directa de combustible desde hace décadas, algunos (NASCAR!) todavía se aferran a la utilización del carburador anticuado, pero familiar. Lo mismo ha ocurrido con la tecnología para luchar contra el malware. Anti-virus se ha convertido en el "carburador" de mantener el código malicioso fuera de nuestros sistemas.

¿Qué es un software / V?

Anti-virus sigue siendo principalmente un sistema basado en firmas. En otras palabras, se define un patrón de código que queremos detectar y luego buscar en la memoria o el disco duro para ese patrón. Esto se conoce como "lista de aplicaciones negro", ya que estamos definiendo las malas aplicaciones que queremos mantener fuera del sistema.

¿De dónde a Las firmas provienen de V?

Normalmente, un cliente de A / V se infectará y reportar el problema a su proveedor. El vendedor de A / V puede generar un patrón, que permite a sus clientes que deben ser protegidos de esta misma cepa. También es posible para la firma que se genera si el código se encuentra en la naturaleza antes de su liberación, o si otro proveedor genera una firma.

¿Qué pasa con la heurística?

Heurística analiza el comportamiento sospechoso y listas blancas sabe que las buenas aplicaciones. Por ejemplo, podemos comprobar todos los intentos de crear una cuenta de usuario en el sistema y luego comprobar si la aplicación es una herramienta de administración conocida. Esta tecnología tiene un potencial muy cool, pero también tiene una serie de defectos. El problema primario, y la razón heurística ve poco a ningún uso, es el hecho de que su propenso a falsos positivos. Trate de usar una herramienta de 3 ^ª parte para administrar sus cuentas de usuario y la A / V motor heurístico es, probablemente, va a bloquear.

El modelo de negocio de malware

Cuando anti-virus fue desarrollado por primera vez, Malware tenía dos rasgos específicos:

1. La distribución de malware fue más lenta que la distribución de la firma.
2. Los creadores de malware eran en su mayoría script kiddies que intentan propagación masiva.

Ninguno de estos artículos son aplicables en los entornos actuales. Symantec afirma que en el año 2009 que son un promedio de una firma de malware nuevo cada ocho segundos . Para F-Secure, esta frecuencia está más cerca de una nueva firma cada cuatro segundos. No se actualiza youy A / V cada 4-8 segundos? ¿Tiene su A / V de proveedores, incluso lanzar un nuevo archivo de firmas cada 4-8 segundos? Usted ve el problema. Incluso si usted diligencia actualizar A / V todas las noches, 11,000-20,000 nuevas firmas y piezas de malware ha marcado por el.

Pero vamos a hablar un poco más sobre el punto # 2, los script kiddies y la propagación en masa. Alrededor de 2001 o así me di cuenta de un cambio en el mundo del malware. La gente que realmente sabía lo que estaban haciendo dejó de hacer una liberación en masa. Piense en ello, la mayoría de los creadores de malware suelen comenzar cuando son muy jóvenes. Cuando usted está todavía en la escuela y la vida en su casa, su trivial para liberar su código de forma gratuita. En algún momento, sin embargo es necesario para conseguir un trabajo y empezar a ganar algún ingreso. Cuando usted personalmente llegó a ese lugar en la vida, ¿qué hiciste? Para la mayoría de nosotros, se trata de mirar lo que somos buenos y tratando de que coincida con hasta un trabajo bien pagado.

Así que si usted es bueno en la escritura de malware, ¿dónde están los empleos bien remunerados? Algunas posibilidades:

• Extorsión - Robar información y venta de nuevo.
• Espionaje - Robar información de una empresa de la competencia, gobierno, etc
• Robar datos con el valor en la naturaleza - de inicio de sesión del banco, la información de la tarjeta de crédito, etc
• Revender los servicios de botnets y malware - Conviértete en un pistolero a sueldo. Por lo general la distribución de spam de ataques DDoS.

Aunque todavía tenemos un cierto número de script kiddies haciendo la propagación masiva (pensar en ellos como creadores de malware están en formación), los atacantes inteligentes se han convertido en un modelo de negocio rentable. Cuando se trata de un modelo de negocio, el código del curso tiene valor monetario. Esto significa que un atacante no correrá el riesgo de propagación masiva de código de alta malware final. Ellos van a sentarse en él y sólo lo uso cuando existe el potencial para una alta tasa de rentabilidad financiera. Así que no podemos contar con el material realmente desagradable ser propagado masivamente a más. Las cosas que tiene que preocuparse por la mayor parte se utiliza en un objetivo de la moda.

¿Por qué mi A / V no con tanta frecuencia?

Un par de problemas debe ser evidente de inmediato con el modelo anterior. Para empezar, porque somos negros aplicaciones listas malas, el supuesto es todo lo demás está bien. Si no tenemos una firma que identifica la aplicación como maliciosa, se supone que es seguro para ejecutarse. Esto significa que todo el malware sin la firma es libre para infectar el sistema. Este modelo también supone un cierto nivel de pérdidas aceptables. Normalmente hay un lapso de tiempo entre cuando los sistemas se infectan y cuando llegamos a una firma para protegernos. Esto podría ser horas, días o en algunos casos, incluso meses .

Problemas bajo el capó

Uno de los mayores problemas con un software / V es de las firmas. La mayoría de nosotros ni siquiera considerar la compra de un NIDS o NIPS que no dan acceso a las firmas, pero eso es exactamente lo que se obtiene con un sistema de A / V. Esto conduce a poco la cordura ningún tipo de verificación de firmas dentro de la industria, así como la capacidad de personalización limitada. Por ejemplo, yo todavía no han visto un vendedor de A / V me da la posibilidad de que mi grupo de administrador de la red ejecutar una herramienta de descifrado de contraseñas de la conocida como máquinas seguras. Si tengo alguna capacidad de personalización en todo lo que es un proceso tedioso para obtener aplicaciones específicas aprobadas para su uso, e incluso entonces la aplicación es limitada.

Entonces, ¿dónde vamos desde aquí?

Con todos estos problemas, no es de extrañar que el control de la aplicación (a veces llamada lista blanca de aplicaciones) está empezando a sustituir software / V como la herramienta de elección para el control de malware. Voy a entrar en el control de aplicaciones en la parte 2 de este post.