Le contrôle des applications, parfois appelée liste des applications blanc, vous donne un contrôle granulaire des applications qui sont autorisées à fonctionner sur chacun de vos systèmes. Non seulement cela peut remplacer votre A / V solution, il peut garder les utilisateurs voyous et les questions de licence en échec aussi bien.

Comment fonctionne le contrôle des applications?

Le concept est relativement simple. Vous identifiez l'application qui vous voulez chacun de vos utilisateurs d'être en mesure d'exécuter et le logiciel se charge de faire respecter cette politique. Une des choses gentilles sur les logiciels de contrôle d'application est que vous obtenez habituellement une capacité de personnalisation bien plus qu'un V. / Par exemple avec des solutions A / V de nombreux J'ai peut être forcé de désactiver complètement A / V afin d'exécuter une application répertoriée comme malveillant dans la base de signatures (dire que je suis un auditeur qui a besoin de scanner le port ou le craquage de mot de passe). Avec le contrôle des applications, je peux généralement obtenir aussi granulaire que l'écriture des politiques par utilisateur, par système, par niveau de l'emplacement (par exemple, le vérificateur ne peut fonctionner le scanner de port à partir d'un système spécifique lorsque son attachée à un segment de réseau spécifique). C'est cool parce que contrairement à un VI / ne pas avoir à désactiver le logiciel, exposant ainsi au risque de me, juste pour tout simplement faire mon travail.

Que rechercher dans un logiciel de contrôle d'application

Il ya un certain nombre de choses que vous devez regarder au moment d'évaluer un produit de contrôle d'application. D'abord, vous avez besoin de regarder comment les fichiers sont identifiés. Sont-ils simplement en regardant les noms de fichiers stockés dans un emplacement spécifique, ou sont-ils l'exécution de plusieurs algorithmes de hachage pour authentifier le fichier est en fait bien identifiés? Vous voulez aussi de regarder ce qui est impliqué avec les fichiers d'approbation pour l'utilisation et la façon dont le système avec les correctifs.

Par exemple, un de mes produits préférés est la parité de Bit9 Software. Ils commencent par une base de données référençant fichier avec plus de 6 milliards d'entrées et de comptage. Bien que cela puisse sembler excessif, penser au nombre de fichiers sont concernés si vous voulez juste d'approuver Microsoft Office pour utiliser et inclure toutes les versions et tous les niveaux de patch. Tout d'un coup 6000000000 entrées ne semble pas que farfelue.

Malheureusement une base de données de fichiers ne va pas être suffisant. Vous avez besoin d'une certaine façon d'approuver des scripts personnalisés et des exécutables, ainsi que face à de véritables fichiers de patch temps. Par exemple Adobe chèques pour les correctifs à chaque fois qu'un utilisateur lance l'application. S'il leur arrive de le faire à droite à la minute exacte un patch est sorti, les informations du fichier de patch ne sera pas encore propagée dans la base de données de fichiers. Quelle est la parité ne vous permettent d'approuver un logiciel basé sur qu'il soit signé numériquement. Par exemple, nous pouvons créer une exception qui dit: «Si le fichier n'est pas dans la base mais a été signé numériquement par nous ou par Adobe, c'est OK pour les utiliser".

Protéger Supervisory Control And Data Acquisition (SCADA) Réseaux

C'est une solution très cool pour les réseaux de contrôle. Par exemple ces réseaux fonctionnant de la grille, les services municipaux, des trucs militaires, etc, qui ne sont pas supposés être connectés à l'Internet. Le manque de connectivité crée un catch-22. Vous avez déconnecté de l'Internet pour aider à protéger le réseau, mais comment voulez-vous mettre à jour vos signatures A / V avec accès à Internet non? Avec la parité c'est un non-problème. Il vous suffit de signer numériquement tous les logiciels requis sur le réseau de contrôle, écrire un logiciel de règles en disant seulement signé numériquement peut être exécuté, et vous avez terminé. Pas de signatures ou mises à jour de s'inquiéter, juste re-signer un nouveau logiciel que vous souhaitez le déployer sur le réseau.

La parité a quelques autres fonctionnalités cool aussi comme la possibilité de suivre l'exécution de fichier ou de la capacité de contrôler les disques amovibles qui peuvent être utilisés (par modèle, par utilisateur et par niveau d'accès). Je commence à sentir comme une personne de ventes Cependant, je vais donc laisser au lecteur si elles veulent en apprendre davantage.

Le sale petit secret

Alors pourquoi est-ce nous ne voyons pas A / V vendeurs déversent leurs signatures et sauter dans le train de contrôle d'application? Je ne travaille pas pour un fournisseur A / V donc je ne peux que spéculer. Mais je ne détiennent des actions dans quelques-uns d'entre eux et se dire que dès que je vois cette tendance se produisent je vends mon stock. Pensez-y de cette façon, où est le vrai coût de votre A / V solution? Est-il dans le prix d'achat initial du client, ou est-ce dans l'abonnement mensuel / annuel que vous payez pour les signatures? Les entreprises loooove récurrent des flux de revenus, car elles signifient des revenus prévisibles avec zéro effort de vente. Les actionnaires (comme moi) l'amour des flux de revenus récurrents, car «un revenu plus élevé + moins des frais initiaux élevés = bénéfice». Remarque dans le dernier exemple j'ai discuté de protéger un réseau sans avoir besoin de mises à jour de signature. Si les utilisateurs ont cette voie, il aurait un impact financier important sur chaque ligne A / V en bas vendeur.

Les mauvaises choses

Maintenant certaines réserves. Vous auriez probablement eu envie d'utiliser la base de données de fichier si elle est disponible, même si cela signifie payer pour un service d'abonnement différentes. La signature numérique tout va bien sur un réseau où les applications sont rarement modifiés (comme SCADA), mais dans un environnement typique d'entreprise titre de votre poste se transformerait en "l'admin qui est toujours la signature du logiciel".

En outre, le contrôle des applications, qui réglemente simplement les applications sont exécutées sur le système. Ce n'est pas très utile si une application approuvée obtient buter via un buffer overflow ou similaire. Alors patch est toujours un must et vous voudrez probablement faire fonctionner un système basé sur l'hôte protection contre les intrusions (HIPS) pour être complètement verrouillé. Pourtant, avec le contrôle des applications vous vous retrouvez avec une posture beaucoup plus sûr que de coller avec cette vieille carburateur Un logiciel / V.

Parfois, une technologie perdront leur utilité. Un bon exemple est le carburateur de l'automobile. Bien que nous ayons connue des gains de performances et d'économies de carburant de multi-port injection directe de carburant pendant des décennies, certains (NASCAR!) s'accrochent encore à l'utilisation de l'obsolète, le carburateur pourtant familier. Beaucoup même ont eu lieu avec la technologie pour combattre les logiciels malveillants. Anti-virus est devenu le "carburateur" de garder le code malveillant hors de nos systèmes.

Qu'est-ce qu'un logiciel / V?

Anti-virus est encore essentiellement un système à base de signatures. En d'autres termes, nous définissons un modèle de code que nous voulons détecter et ensuite rechercher la mémoire ou le disque dur pour ce modèle. Ceci est appelé «liste noire d'application", parce que nous sommes la définition des applications mauvaise que nous voulons garder hors du système.

Où dois-A signatures / V vient-il?

Typiquement un client A / V sera infecté et signalez le problème à leur fournisseur. Le vendeur A / V peut alors générer un modèle, qui permet à leurs clients d'autres d'être protégé contre cette même souche. Il est aussi possible pour la signature d'obtenir généré si le code est trouvé dans la nature avant la libération, ou si un autre fournisseur génère une signature.

Qu'en est-il heuristique?

Heuristique regarde le comportement suspect et énumère ensuite blanche connue pour être de bonnes applications. Par exemple nous pouvons vérifier toutes les tentatives pour créer un compte utilisateur sur le système et ensuite de vérifier si l'application est un outil d'administration connues. Cette technologie a un potentiel vraiment cool, mais il a aussi un certain nombre de défauts. Le principal problème, et la raison heuristiques voit peu ou pas d'utilisation, est le fait que ses sujets à de faux positifs. Essayez d'utiliser un outil 3 tierce ^partie pour gérer vos comptes utilisateurs et l'A / V moteur heuristique va probablement bloquer.

Le modèle d'affaires de Malware

Lorsque l'anti-virus a d'abord été développé, Malware avait deux traits spécifiques:

1. Distribution de logiciels malveillants a été plus lent que la distribution de signature.
2. Auteurs de logiciels malveillants ont été la plupart du temps les script kiddies essayant de propagation de masse.

Ni l'un de ces articles sont applicables dans les environnements d'aujourd'hui. Symantec qui stipule qu'en 2009, elles sont en moyenne une signature d'un nouveau Malware tous les huit secondes . Pour F-Secure, cette fréquence est proche d'une nouvelle signature toutes les quatre secondes. Ne vous mettez à jour youy A / V tous les 4-8 secondes? Votre A / V fournisseur, même libérer un nouveau fichier de signatures toutes les 4-8 secondes? Vous voyez le problème. Même si vous diligemment à jour A / V tous les soirs, 11,000-20,000 nouvelles signatures et des morceaux de logiciels malveillants ont coché par.

Mais parlons un peu plus sur le point n ° 2; script kiddies et la propagation de masse. Vers 2001 ou alors j'ai remarqué un changement dans le monde Malware. Les gens qui savaient vraiment ce qu'ils faisaient cessé de faire libération massive. Pensez-y, la plupart des auteurs de programmes malveillants commencent habituellement quand ils sont très jeunes. Lorsque vous êtes encore à l'école et de vivre à la maison, sa triviale pour libérer votre code gratuitement. À un certain point cependant vous avez besoin pour obtenir un emploi et commencer à gagner un certain revenu. Lorsque vous personnellement atteint cette place dans la vie, qu'avez-vous fait? Pour la plupart d'entre nous, il s'agit de regarder ce que nous sommes bon et essayer de faire correspondre que jusqu'à un emploi bien rémunéré.

Donc si vous êtes bon à l'écriture Malware, où sont les emplois bien rémunérés? Quelques possibilités:

• Extorsion - Steal info et le revendre.
• Espionnage - Steal info pour une société concurrente, gouvernement, etc
• Voler des données avec une valeur à l'état sauvage - connexion bancaire, informations de carte de crédit, etc
• Revendre botnet et services Malware - Devenez un tueur à gages. Typiquement la distribution de spam de DDoS.

Alors que nous avons encore un certain nombre de script kiddies font propagation de masse (les considérer comme des auteurs de programmes malveillants en formation), les attaquants intelligents l'ont transformée en un modèle économique rentable. Quand il s'agit d'un modèle d'entreprise, le code de cours a valeur monétaire. Cela signifie un attaquant ne sera pas le risque de propagation massive du code final Malware élevé. Ils vont s'asseoir sur lui et ne l'utiliser que quand il ya du potentiel pour un taux élevé de rentabilité financière. Donc, nous ne pouvons pas compter sur les trucs vraiment méchants étant une propagation de masse plus. Les choses dont vous avez besoin de s'inquiéter à propos plupart est utilisée dans une cible de la mode.

Pourquoi mon A / V échouent si souvent?

Un couple de problèmes doivent être immédiatement apparent avec le modèle ci-dessus. Pour commencer, parce que nous sommes demandes d'inscription noire mauvaise, l'hypothèse est tout le reste est OK. Si nous n'avons pas une signature identifiant l'application comme malveillants, nous supposons qu'il est sûr de courir. Cela signifie que tous les logiciels malveillants sans signature est libre pour infecter le système. Ce modèle suppose également un certain niveau de pertes acceptable. Généralement, il ya un décalage entre le moment où les systèmes sont infectés et quand nous obtenons une signature pour nous protéger. Cela pourrait être des heures, jours ou même dans certains cas mois .

Problèmes sous le capot

Un des plus gros problèmes avec un logiciel / V est la signature. La plupart d'entre nous ne serait même pas envisager l'achat d'un NIDS ou NIPS qui ne prévoit pas l'accès à la signature, mais c'est exactement ce que vous obtenez avec un système A / V. Cela conduit à peu de bon sens aucune vérification de signatures au sein de l'industrie, ainsi que des capacités de personnalisation limitée. Par exemple, je n'ai pas encore vu un vendeur A / V me donner la possibilité de laisser mon groupe administrateur réseau exécuter un outil de mot de passe fissuration du connues pour être des machines sécurisées. Si j'ai des capacités de personnalisation à tous qu'il est un processus fastidieux d'obtenir des applications spécifiques approuvés pour une utilisation, et même alors, l'application est limitée.

Alors, où allons-nous partir d'ici?

Avec tous ces problèmes, il n'est pas étonnant que le contrôle des applications (parfois appelé listing d'application blanc) est en train de remplacer un logiciel / V comme outil de choix pour contrôler les logiciels malveillants. Je vais entrer dans le contrôle des applications dans la partie 2 de ce post.