アプリケーション制御は、時々アプリケーションのホワイトリストと呼ばれる、あなたのアプリケーションは、各システムに対して実行を許可されているのきめ細かなコントロールを与えます。 これは/ Vのソリューションを置き換えることができるだけでなく、同様に、それはチェックで不正なユーザーやライセンスの問題を保つことができます。
どのようにアプリケーションのコントロールの動作しますか?
概念は比較的簡単です。 あなたは、あなたの各ユーザーが実行できるようにすると、ソフトウェアがそのポリシーを強制するの面倒をどのアプリケーションを識別。 アプリケーションの制御ソフトウェアの良いところの一つは、通常/ Vよりもはるかに多くのカスタマイズ機能を得ることである 多くのA / Vソリューションと例えば、私は完全に(私はポートスキャンやパスワードクラックを行う必要がある監査役だと言う)の署名のデータベースに悪意のあるとしてリストされているアプリケーションを実行するために/ Vを無効にすることを余儀なくされることがあります。 アプリケーションの制御と、私は通常(例えば、監査人しかそのつの特定のネットワークセグメントに接続された特定のシステムからのポートスキャナを実行することができます)場所のレベルごとに、システムごと、ユーザごとにポリシーを書くのと同じくらいきめ細かく取得することができます。 / VIと違ってこのように私は単に私の仕事をするために、リスクにさらすこと、ソフトウェアを無効にする必要がないので、これはクールです。
どのようなアプリケーションの制御ソフトウェアで検索する
アプリケーション制御の製品を評価する際に見る必要がある点がいくつかあります。 まず、ファイルの識別方法を参照する必要があります。 彼らは、単に特定の場所に保存されているファイル名を見ている、またはそれらはファイルが実際には正しく識別されている認証するために、複数のハッシュアルゴリズムを実行している? また、使用するファイルとどのようにパッチを適用したシステムの情報を承認すると何が関係しているかを見てみたい。
例えば、私のお気に入りの製品の一つですパリティ Bit9ソフトウェアから。 彼らは60億を超えるエントリを持つファイルのデータベースを参照してカウントすることから始めます。 それは行き過ぎのように見えるかもしれませんが、あなただけの使用のためのMicrosoft Officeを承認し、すべてのバージョンとすべてのパッチレベルを含める場合は関与しているどのように多くのファイルを考える。 突然60億すべてのエントリは、遠がフェッチされたていないようです。
残念ながら、ファイルのデータベースには十分であることを行っていません。 あなたは、カスタムスクリプトや実行可能ファイルだけでなく、リアルタイムのパッチファイルとの契約を承認する何らかの方法が必要です。 ユーザーがアプリケーションを起動するたびに例えば、Adobeがパッチをチェック。 彼らはパッチがリリースされる正確な分でこの権利を行うことになった場合、パッチファイルの情報には、まだファイルのデータベースに伝播されません。 何パリティ、それがデジタル署名されているに基づいてソフトウェアを承認することを許可されていません。 例えば、我々は、"ファイルがデータベースにないが、デジタルは、弊社またはAdobeにより署名されている場合、それは使用のためにOKです"、という例外を作成することができます。
監視制御およびデータ収集(SCADA)ネットワークの保護
これにより、制御ネットワークのための非常にクールなソリューションです。 例えば、仮定されていないグリッドのものを使っているネットワーク、自治体サービス、軍事ものなどは、インターネットに接続することができます。 接続性の欠如はジレンマを作成します。 あなたは、ネットワークを保護するためにインターネットから切断しましたが、どのようにインターネットアクセスなしであなたの/ Vのシグネチャを更新すればよいですか? パリティとこれは非問題です。 あなたは、単にデジタル、制御ネットワークに必要なすべてのソフトウェアを署名するだけデジタル署名されたソフトウェアを実行することができるというルールを記述し、設定は完了です。 あなたがネットワーク上に展開したいと心配する署名またはアップデートは、新しいソフトウェアを再署名しない。
パリティは、他のいくつかのクールな機能だけでなく、のようなファイルの実行または(モデルによって、ユーザーや、アクセスのレベルによって)使用可能なリムーバブルドライブを制御する機能を追跡する機能を持っています。 しかし私は販売員のように感じ始めているので、彼らはもっと勉強したい場合、私は読者にそれを残しておきます。 
汚れた小さな秘密
では、なぜ我々は/ Vのベンダーを見ていない彼らの署名をダンプし、アプリケーションの制御の時流に乗るのですか? 私は唯一の推測できるように私は/ Vのベンダーに対しては機能しません。 私はそれらのいくつかにしかし、自分の株式を行うとすぐに私はこの傾向は、私が株を売っているんですが発生見るようにことを言うだろう。 それがあなたの/ Vのソリューションで真のコストであるこのように、と思いますか? それは、クライアントの初期購入価格になって、またはあなたが署名のために支払う月額/年間購読料でそれを何ですか? 彼らはゼロ販売努力で予測可能な収入を意味するので、企業は収益源を再発loooove。 株主は、(私のような)" 高収入+少ないフロントのコストアップ=高収益"ので、繰り返し発生する収益の流れが大好きです。 私は、シグネチャのアップデートを必要とせずにネットワークを保護する議論の最後の例では注意してください。 ユーザーはこのルートを行った場合には、各A / Vベンダーの収益に重大な財務的影響を持つことになります。
悪いもの
今いくつかの注意事項。 おそらくこれは別のサブスクリプションサービスに金を払うことになっても、利用可能な場合、ファイルのデータベースを使用するとよいでしょう。 デジタルすべてを署名することにより、アプリケーションが頻繁に変更されている(SCADAのような)が典型的な企業環境での役職は"常にソフトウェアに署名している管理者"に変わるというネットワーク上に問題はありません。
また、アプリケーションのコントロールは、単にアプリケーションがシステム上で実行されている規制。 その承認されたアプリケーションは、バッファオーバーフロー等を介して非常に有用しびれるされていない場合。 ので、パッチはまだ必要ですし、おそらく完全にロックダウンされるホストベースの侵入防止システム(HIPS)を実行したいと思うでしょう。 それでも、アプリケーションのコントロールでは、その古いキャブレターと/ Vのソフトウェアを貼付するよりはるかに安全な姿勢になってしまう。
関連のポスト:
