Controllo delle applicazioni, a volte chiamato lista bianca di applicazione, offre un controllo granulare delle quali è consentito alle applicazioni di funzionare su ciascuno dei vostri sistemi. Non solo questo può sostituire la A / V soluzione, può impedire agli utenti non autorizzati e problemi di licenza sotto controllo pure.

Come funziona il lavoro di applicazione di controllo?

Il concetto è relativamente semplice. Si identifica quale applicazione si desidera che ogni degli utenti di essere in grado di eseguire e il software si occupa di far rispettare tale politica. Una delle cose belle di software applicativo di controllo è che di solito ottengono capacità di personalizzazione molto più di A / V. Per esempio con molte soluzioni A / V che può essere costretto a disabilitare completamente A / V al fine di eseguire un'applicazione elencato come dannoso presente in un database di firme (dicono che sono un sindaco che ha bisogno di fare la scansione delle porte e screpolature della password). Con il controllo delle applicazioni, posso ottenere come di solito granulari come scrivere le politiche per utente, per sistema, per ogni livello di posizione (ad esempio il revisore dei conti può essere eseguito solo il port scanner da uno specifico sistema quando il suo collegato ad uno specifico segmento di rete). Questo è cool perché a differenza di A / VI non c'è bisogno di disattivare il software, in modo da espormi al rischio, solo per fare semplicemente il mio lavoro.

Che cosa cercare in software applicativo di controllo

Ci sono un paio di cose che dovete guardare quando si valuta un prodotto di controllo delle applicazioni. Innanzitutto, è necessario guardare a come i file sono identificati. Sono semplicemente guardando i nomi dei file memorizzati in una posizione specifica, o sono in esecuzione più algoritmi di hash per autenticare il file è in realtà correttamente identificati? Anche voi volete guardare a ciò che è coinvolto con i file di approvazione per l'uso e modo in cui il sistema con le patch.

Per esempio, uno dei miei prodotti preferiti è parità da Bit9 Software. Iniziano con riferimento a un file di database con oltre 6 miliardi di voci e di conteggio. Mentre quello potrebbe sembrare eccessivo, pensare a quanti file sono coinvolti se si vuole approvare Microsoft Office per l'uso e includere tutte le versioni e tutti i livelli di patch. Tutto ad un tratto 6 miliardi voci non sembra che inverosimile.

Purtroppo un database di file non sarà sufficiente. Avete bisogno di qualche modo per approvare script personalizzati ed eseguibili, oltre che fare con file di patch tempo reale. Per esempio Adobe controlli per le patch ogni volta che un utente avvia l'applicazione. Se capita di farlo proprio al minuto esatto viene rilasciata una patch, le informazioni del file di patch non sarà ancora propagate nel database di file. Cosa parità si è permesso di approvare software basati su di esso essere stato firmato digitalmente. Per esempio possiamo creare un'eccezione che dice: "Se il file non è presente nel database, ma è stato firmato digitalmente da noi o Adobe, va bene per l'uso".

Proteggere Supervisory Control And Data Acquisition (SCADA) Networks

Questa è una soluzione molto fresco per reti di controllo. Per esempio quelle reti che eseguono la griglia, servizi comunali, roba militare, ecc, che non sono supponiamo di essere connesso a Internet. La mancanza di connettività crea un fermo-22. Hai disconnesso da Internet per proteggere la rete, ma come si fa a aggiornare il proprio A firme / V senza accesso a Internet? Con questa parità è un non-problema. È sufficiente firmare digitalmente tutti i software necessari sulla rete di controllo, dare una normativa dicendo solo software di firma digitale possono essere eseguiti, e si è fatto. Nessun firme o aggiornamenti di cui preoccuparsi, semplicemente ri-firmare un nuovo software come si vuole distribuirlo in rete.

Parità ha alcune altre caratteristiche fresco e come la possibilità di monitorare l'esecuzione del file o la possibilità di controllare quali unità rimovibili possono essere utilizzati (in base al modello, per utente e per livello di accesso). Sto iniziando a sentirmi come una persona di vendite tuttavia, in modo Lascio al lettore se vogliono saperne di più.

Il piccolo sporco segreto

Allora perché non è che non stiamo vedendo A / V fornitori scaricano i loro firme e saltare sul carro controllo delle applicazioni? Io non lavoro per un fornitore di A / V in modo che possa solo fare congetture. Faccio comunque azioni proprie in alcuni di loro e diranno che non appena vedo questa tendenza si verifica sto vendendo le mie azioni. Pensare in questo modo, dove è il vero costo in A / V soluzione? E 'nel prezzo di acquisto iniziale del client, o è nella quota di abbonamento mensile / annuale si paga per le firme? Le aziende loooove ricorrenti flussi di entrate, perché significa reddito prevedibile con zero sforzo di vendita. Azionisti (come me) l'amore flussi di entrate ricorrenti, perché "più alto reddito + meno costi fronte = profitto più elevato". Nota nell'ultimo esempio ho discusso proteggere una rete senza la necessità di aggiornamenti delle firme. Se gli utenti è andato questo percorso avrebbe un grave impatto finanziario su ogni A / V linea di fondo fornitore.

Le cose cattive

Ora alcuni svantaggi. E 'probabile che desidera utilizzare il file di database, se disponibile, anche se questo significa pagare per un servizio di abbonamento diverse. La firma digitale è tutto a posto su una rete in cui le applicazioni sono modificati di rado (come SCADA), ma in un tipico ambiente aziendale vostro titolo di lavoro si sarebbe trasformato in "Admin che è sempre la firma del software".

Inoltre, il controllo delle applicazioni regola semplicemente che le applicazioni vengono eseguite sul sistema. La sua non è molto utile se l'applicazione viene approvato whacked tramite un buffer overflow o simili. Così patch è ancora d'obbligo e probabilmente si desidera eseguire un Host-based Intrusion Protection System (HIPS) di essere completamente bloccato. Eppure, con il controllo delle applicazioni si finisce con una postura molto più sicuro di attaccare con che carburatore vecchio A / V software.

A volte una tecnologia sopravvive la sua utilità. Un buon esempio è il carburatore automobilistico. Anche se abbiamo conosciuto il miglioramento delle prestazioni e risparmio di carburante multi-port dell'iniezione diretta di benzina da decenni, alcuni (NASCAR!) ancora si aggrappano per l'utilizzo del obsoleti, carburatore ancora familiare. Lo stesso è avvenuto con la tecnologia per combattere il malware. Anti-virus è diventato il "carburatore" di tenere codice dannoso fuori dei nostri sistemi.

Che cosa è un software / V?

Anti-virus è ancora in primo luogo un sistema di firma basato. In altre parole, si definisce uno schema di codice che vogliamo rilevare e quindi cercare di memoria o il disco rigido per quel modello. Questo è denominato "lista nera applicazione", perché stiamo definendo le applicazioni male che vogliamo tenere fuori del sistema.

Dove A / V firme vengono?

Tipicamente un cliente A / V diventerà infetto e segnalare il problema a loro fornitore. A / V fornitore può quindi generare un modello, che permette loro altri clienti di essere protetti da questo stesso ceppo. E 'anche possibile che la firma per avere generato se il codice si trova in natura prima del rilascio, o se un altro fornitore genera una firma.

Che dire euristica?

Euristica analizza il comportamento sospetto e quindi elenca bianco noto per essere buone candidature. Per esempio possiamo controllare tutti i tentativi di creare un account utente sul sistema e quindi verificare per vedere se l'applicazione è uno strumento di amministratore conosciuto. Questa tecnologia ha un potenziale davvero cool, ma ha anche un certo numero di difetti. Il problema principale, e la ragione euristica vede poco o nessun uso, è il fatto che i suoi soggetti a falsi positivi. Provare a utilizzare un partito 3 ^° strumento per gestire gli account utente e l'A / V motore euristico è destinata probabilmente a bloccarlo.

Il modello di business del malware

Quando anti-virus è stato sviluppato, Malware aveva due tratti specifici:

1. Distribuzione di malware è stato più lento di distribuzione firma.
2. Gli autori di malware sono state per lo più gli script kiddie di tentare di propagazione di massa.

Nessuno di questi elementi sono applicabili negli ambienti di oggi. Symantec afferma che nel 2009 sono in media una firma Malware nuovo ogni otto secondi . Per F-Secure, questa frequenza è più vicina a una nuova firma ogni quattro secondi. Si aggiorna youy A / V, ogni 4-8 secondi? Il vostro A / V anche fornitore rilasciare un nuovo file di firma ogni 4-8 secondi? Vedete il problema. Anche se diligentemente aggiornamento A / V, ogni notte, 11,000-20,000 nuove firme e pezzi di malware hanno spuntato da.

Ma parliamo un po 'di più sul punto # 2; script kiddies e la propagazione di massa. Intorno al 2001 o giù di lì ho notato un cambiamento nel mondo del malware. La gente che sapeva quello che stavano facendo smesso di fare rilascio di massa. Pensateci, la maggior parte autori di malware di solito iniziano quando sono molto giovani. Quando si è ancora a scuola e vivere a casa, la sua banale per rilasciare il codice gratuitamente. Ad un certo punto però è necessario per ottenere un lavoro e iniziare a guadagnare un certo reddito. Quando lei personalmente ha raggiunto quel posto nella vita, cosa hai fatto? Per la maggior parte di noi, si tratta di guardare a ciò che siamo bravi a e cercando di match che fino a un lavoro di alto pagamento.

Quindi, se sei bravo a scrivere malware, dove sono i posti di lavoro ad alta paga? Alcune possibilità:

• Estorsione - Ruba informazioni e vendere di nuovo.
• Spionaggio - Ruba informazioni per una società concorrente, del governo, ecc
• Rubare dati con un valore in natura - di accesso bancario, carta di credito informazioni, ecc
• Rivendere servizi di malware e botnet - Diventa un mercenario. Tipicamente la distribuzione di spam di DDoS.

Anche se abbiamo ancora un certo numero di script kiddies fare propagazione di massa (si pensi a loro come autori di malware in formazione), gli attaccanti intelligenti hanno trasformato in un modello di business redditizio. Quando si tratta di un modello di business, il codice del corso ha valore monetario. Ciò significa che un attaccante non rischio di propagazione di massa di codice malware alto fine. Stanno andando a sedersi su di esso e utilizzarla solo quando c'è il potenziale per un alto tasso di ritorno finanziario. Quindi non possiamo contare sulle cose veramente brutte sono propagazione di massa più. Ciò di cui hai bisogno di preoccuparsi per la maggior parte viene utilizzata in un mirato moda.

Perché il mio A / V non così spesso?

Un paio di problemi dovrebbero essere immediatamente evidente con il modello di cui sopra. Per iniziare, perché ci sono delle applicazioni lista nera cattiva, il presupposto è tutto il resto è OK. Se non abbiamo una firma che identifica l'applicazione come maligno, assumiamo è sicuro per l'esecuzione. Ciò significa che tutti i malware senza una firma è libero di infettare il sistema. Questo modello presuppone anche un certo livello di perdite accettabili. Di solito c'è un intervallo di tempo tra quando i sistemi si infettano e quando otteniamo una firma per proteggere noi stessi. Questo potrebbe essere ore, giorni o, in alcuni casi anche mesi .

Problemi sotto il cofano

Uno dei maggiori problemi con A / V software è la firma. La maggior parte di noi non sarebbe nemmeno in considerazione l'acquisto di un NIDS o NIPS che non prevede l'accesso alle firme, ma questo è esattamente quello che si ottiene con un sistema A / V. Questo porta a poco a non controllare la sanità mentale di firme all'interno del settore, così come la capacità di personalizzazione limitata. Per esempio devo ancora vedere un fornitore A / V mi danno la possibilità di lasciare che il mio gruppo amministratore di rete eseguire uno strumento password cracking da noti per essere macchine sicure. Se ho qualche possibilità di personalizzazione a tutti, è un processo noioso per applicazioni specifiche approvato per l'uso, e anche allora di applicazione è limitato.

Allora, dove andiamo da qui?

Con tutti questi problemi, non c'è da meravigliarsi che il controllo delle applicazioni (a volte chiamata lista applicazione bianco) sta iniziando a sostituire A / V software come strumento di scelta per il controllo malware. Prendo in controllo delle applicazioni nella parte 2 di questo post.