Traiter avec des logiciels malveillants sur Windows (Partie 2) - Long Application Control en direct

13 juillet 2009 par Chris Laisser une réponse »

Le contrôle des applications, parfois appelée liste des applications blanc, vous donne un contrôle granulaire des applications qui sont autorisées à fonctionner sur chacun de vos systèmes. Non seulement cela peut remplacer votre A / V solution, il peut garder les utilisateurs voyous et les questions de licence en échec aussi bien.

Comment fonctionne le contrôle des applications?

Le concept est relativement simple. Vous identifiez l'application qui vous voulez chacun de vos utilisateurs d'être en mesure d'exécuter et le logiciel se charge de faire respecter cette politique. Une des choses gentilles sur les logiciels de contrôle d'application est que vous obtenez habituellement une capacité de personnalisation bien plus qu'un V. / Par exemple avec des solutions A / V de nombreux J'ai peut être forcé de désactiver complètement A / V afin d'exécuter une application répertoriée comme malveillant dans la base de signatures (dire que je suis un auditeur qui a besoin de scanner le port ou le craquage de mot de passe). Avec le contrôle des applications, je peux généralement obtenir aussi granulaire que l'écriture des politiques par utilisateur, par système, par niveau de l'emplacement (par exemple, le vérificateur ne peut fonctionner le scanner de port à partir d'un système spécifique lorsque son attachée à un segment de réseau spécifique). C'est cool parce que contrairement à un VI / ne pas avoir à désactiver le logiciel, exposant ainsi au risque de me, juste pour tout simplement faire mon travail.

Que rechercher dans un logiciel de contrôle d'application

Il ya un certain nombre de choses que vous devez regarder au moment d'évaluer un produit de contrôle d'application. D'abord, vous avez besoin de regarder comment les fichiers sont identifiés. Sont-ils simplement en regardant les noms de fichiers stockés dans un emplacement spécifique, ou sont-ils l'exécution de plusieurs algorithmes de hachage pour authentifier le fichier est en fait bien identifiés? Vous voulez aussi de regarder ce qui est impliqué avec les fichiers d'approbation pour l'utilisation et la façon dont le système avec les correctifs.

Par exemple, un de mes produits préférés est la parité de Bit9 Software. Ils commencent par une base de données référençant fichier avec plus de 6 milliards d'entrées et de comptage. Bien que cela puisse sembler excessif, penser au nombre de fichiers sont concernés si vous voulez juste d'approuver Microsoft Office pour utiliser et inclure toutes les versions et tous les niveaux de patch. Tout d'un coup 6000000000 entrées ne semble pas que farfelue.

Malheureusement une base de données de fichiers ne va pas être suffisant. Vous avez besoin d'une certaine façon d'approuver des scripts personnalisés et des exécutables, ainsi que face à de véritables fichiers de patch temps. Par exemple Adobe chèques pour les correctifs à chaque fois qu'un utilisateur lance l'application. S'il leur arrive de le faire à droite à la minute exacte un patch est sorti, les informations du fichier de patch ne sera pas encore propagée dans la base de données de fichiers. Quelle est la parité ne vous permettent d'approuver un logiciel basé sur qu'il soit signé numériquement. Par exemple, nous pouvons créer une exception qui dit: «Si le fichier n'est pas dans la base mais a été signé numériquement par nous ou par Adobe, c'est OK pour les utiliser".

Protéger Supervisory Control And Data Acquisition (SCADA) Réseaux

C'est une solution très cool pour les réseaux de contrôle. Par exemple ces réseaux fonctionnant de la grille, les services municipaux, des trucs militaires, etc, qui ne sont pas supposés être connectés à l'Internet. Le manque de connectivité crée un catch-22. Vous avez déconnecté de l'Internet pour aider à protéger le réseau, mais comment voulez-vous mettre à jour vos signatures A / V avec accès à Internet non? Avec la parité c'est un non-problème. Il vous suffit de signer numériquement tous les logiciels requis sur le réseau de contrôle, écrire un logiciel de règles en disant seulement signé numériquement peut être exécuté, et vous avez terminé. Pas de signatures ou mises à jour de s'inquiéter, juste re-signer un nouveau logiciel que vous souhaitez le déployer sur le réseau.

La parité a quelques autres fonctionnalités cool aussi comme la possibilité de suivre l'exécution de fichier ou de la capacité de contrôler les disques amovibles qui peuvent être utilisés (par modèle, par utilisateur et par niveau d'accès). Je commence à sentir comme une personne de ventes Cependant, je vais donc laisser au lecteur si elles veulent en apprendre davantage. ;)

Le sale petit secret

Alors pourquoi est-ce nous ne voyons pas A / V vendeurs déversent leurs signatures et sauter dans le train de contrôle d'application? Je ne travaille pas pour un fournisseur A / V donc je ne peux que spéculer. Mais je ne détiennent des actions dans quelques-uns d'entre eux et se dire que dès que je vois cette tendance se produisent je vends mon stock. Pensez-y de cette façon, où est le vrai coût de votre A / V solution? Est-il dans le prix d'achat initial du client, ou est-ce dans l'abonnement mensuel / annuel que vous payez pour les signatures? Les entreprises loooove récurrent des flux de revenus, car elles signifient des revenus prévisibles avec zéro effort de vente. Les actionnaires (comme moi) l'amour des flux de revenus récurrents, car «un revenu plus élevé + moins des frais initiaux élevés = bénéfice». Remarque dans le dernier exemple j'ai discuté de protéger un réseau sans avoir besoin de mises à jour de signature. Si les utilisateurs ont cette voie, il aurait un impact financier important sur chaque ligne A / V en bas vendeur.

Les mauvaises choses

Maintenant certaines réserves. Vous auriez probablement eu envie d'utiliser la base de données de fichier si elle est disponible, même si cela signifie payer pour un service d'abonnement différentes. La signature numérique tout va bien sur un réseau où les applications sont rarement modifiés (comme SCADA), mais dans un environnement typique d'entreprise titre de votre poste se transformerait en "l'admin qui est toujours la signature du logiciel".

En outre, le contrôle des applications, qui réglemente simplement les applications sont exécutées sur le système. Ce n'est pas très utile si une application approuvée obtient buter via un buffer overflow ou similaire. Alors patch est toujours un must et vous voudrez probablement faire fonctionner un système basé sur l'hôte protection contre les intrusions (HIPS) pour être complètement verrouillé. Pourtant, avec le contrôle des applications vous vous retrouvez avec une posture beaucoup plus sûr que de coller avec cette vieille carburateur Un logiciel / V.

Related posts:

  1. Traiter avec des logiciels malveillants sur Windows (Partie 1) - Pourquoi Anti-Virus est une technologie Dying
  2. Accès rapide aux outils d'administration de Windows
  3. Tirer parti des Windows "runas" commande
  4. Se cacher derrière une porte dérobée un port actif de Windows écoute
  5. Pourquoi anti-virus est mort - live

Publié dans 3-err , Malware , de sécurité Windows

Tags:

Vous pouvez suivre toutes les réponses à cette entrée à travers le flux RSS 2.0 . Vous pouvez laisser une réponse , ou trackback depuis votre propre site.

Publicité

Laisser un commentaire