時にはアプリケーションのホワイトリストと呼ばれるアプリケーションコントロールは、あなたのアプリケーションがご使用の各システム上で実行するように許可されているのきめ細かい制御を提供します。 これはA / Vソリューションを置き換えることができますだけでなく、同​​様にチェックで不正なユーザーとライセンスの問題を維持することができます。

アプリケーション制御の仕組みを教えてください。

コンセプトは比較的簡単です。 あなたは、あなたの各ユーザーが実行できるようにするにはどのアプリケーションを識別し、ソフトウェアがそのポリシーを強制するの面倒を見る。 アプリケーション·コントロール·ソフトウェアの素晴らしい点の一つは、通常/ Vよりもはるかに多くのカスタマイズ機能を得ることです。 多くのA / Vソリューションでたとえば、私は完全にシグネチャデータベース（私はポートスキャンやパスワードクラッキングを行う必要がある監査役だと言う）の悪意があると記載されているアプリケーションを実行するために/ Vを無効にするために余儀なくされることがあります。 アプリケーション制御で、私は通常、（監査役だけで、その特定のネットワークセグメントに接続されている特定のシステムからのポートスキャナを実行することができ、たとえば）の位置のレベルごとに、システムごとに、ユーザごとにポリシーを書くのと同じくらい粒状の得ることができます。 とは異なり、/ VIは単に私の仕事をするために、このように危険に身をさらすことは、ソフトウェアを無効にする必要はありませんので、これはクールです。

どのようなアプリケーションの制御ソフトウェアでを探すために

あなたは、アプリケーション管理製品を評価する際に見ておくべきことがいくつかあります。 まず、ファイルが識別される方法を見てする必要があります。 彼らは単に特定の場所に保存されているファイル名を見ている、またはそれらのファイルが正しく識別され、実際に認証するために、複数のハッシュアルゴリズムを実行している？ また、承認用のファイルとどのようにパッチを適用したシステム情報に関わる何を見てみたい。

たとえば、私のお気に入りの製品の一つであるパリティ Bit9ソフトウェアから。 彼らは60億以上のエントリを持つファイルのデータベースを参照し、カウントすることによって開始します。 それはやり過ぎのように見えるかもしれませんが、あなただけの使用のためのMicrosoft Officeを承認し、すべてのバージョンおよびすべてのパッチレベルを含めたい場合は関与しているどのように多くのファイルだと思う。 突然60億すべてのエントリは、こじつけているように見えることはありません。

残念ながら、ファイルデータベースは十分になるだろうされていません。 あなたは、いくつかのカスタムスクリプトおよび実行可能ファイルを承認するための方法と同様に、リアルタイムのパッチファイルとの契約をする必要があります。 ユーザーがアプリケーションを起動するたびに、例えばAdobeがパッチをチェックします。 彼らはパッチがリリースされた正確な瞬間にこの権利を行うために起こる場合は、パッチファイルの情報がまだファイル·データベースに伝播されません。 あなたはそれがデジタル署名されているに基づいてソフトウェアを承認するには、どのようなパリティを許可されていません。 例えば、我々は "ファイルがデータベースにありませんが、デジタルは、弊社またはAdobeにより署名されている場合、それが使用するためにOKです"と言う例外を作成することができます。

監視制御およびデータ収集（SCADA）のネットワークを保護

これは、制御ネットワークのための非常にクールなソリューションです。 例えば、それらのネットワークがインターネットに接続すると仮定されていないグリッド、自治体サービス、軍事もの、などを実行している。 接続性の欠如は、catch-22を作成します。 あなたは、ネットワークを保護するためにインターネットから切断しましたが、どのようにしていないインターネットアクセスを使用してA / Vのシグネチャを更新するには？ パリティでは、これは非の問題です。 あなたは、単にデジタル制御ネットワーク上で必要なすべてのソフトウェアに署名するだけでデジタル署名されたソフトウェアを実行することができ、あなたが行われるというルールを作成します。 ネットワーク上に展開したいと心配する署名またはアップデートは、新しいソフトウェアに再署名しません。

パリティは、他のいくつかのクールな機能と同様のようなファイルの実行またはリムーバブルドライブ（モデルによって、ユーザーや、アクセスのレベルによって）を使用することができるかを制御する能力を追跡する能力を持っています。 しかし私は、営業担当者のように感じ始めているので、彼らはもっと学びたいのであれば、私は読者に任せる。

汚れた小さな秘密

では、なぜそれが我々は、A / Vベンダーが表示されないそれらの署名をダンプおよびアプリケーション制御時流に乗るのですか？ 私が推測することができますので、私は、A / Vベンダーには対応していません。 私はそれらのいくつかにしかし、自己株式を行うと、私が見るとすぐに、この傾向は私が株を売っているが発生すると言うだろう。 あなたの/ Vソリューションの真のコストはこの方法では、それを思いますか？ それは、クライアントの初期購入価格であるか、それはあなたが署名のために支払う月額/年間購読料になりました？ 彼らはゼロの営業努力で予測可能な収入を意味するので、企業は収益源を再発loooove。 株主は、（私のような） " 高収入+少ないフロントのコストアップ=高利益"のための収入源を再発大好きです。 私は、シグネチャのアップデートを必要とせずにネットワークを保護する議論の最後の例で注意してください。 ユーザーはこのルートを行った場合、それはそれぞれのA / Vベンダーの収益に重大な財務的影響を持つことになります。

悪いもの

今いくつかの注意事項。 おそらく、これは別のサブスクリプションサービスに金を払うことを意味している場合でも、可能であればフ​​ァイルのデータベースを使用したいと思います。 デジタル署名はすべて、アプリケーションを頻繁に（SCADAのように）変更されたネットワーク上の罰金であるが、典型的な企業環境でのジョブ·タイトルは "常にソフトウェアに署名をしている管理者"に変わるだろう。

また、アプリケーション制御は、単にアプリケーションがシステム上で実行される制御します。 承認されたアプリケーションは、バッファオーバーフロー等を介してフラフラ取得した場合、非常に役に立ちません。 したがって、パッチはまだ必要があるとあなたはおそらく完全にロックダウンするためのホストベースの侵入防止システム（HIPS）を実行したくなるでしょう。 それでも、アプリケーション制御では、その古いキャブレター / Vソフトウェアに固執よりもはるかに安全な姿勢で終わる。

時には技術は、その有用性を長生き。 良い例が、自動車のキャブレターです。 我々は何十年ものパフォーマンス向上とマルチポートの直接燃料噴射の燃料の節約を知られているが、一部（NASCAR!）はまだ時代遅れの、まだ馴染みのキャブレターを使用することに固執する。 ずっと同じマルウェアと戦うために技術が発生しました。 Anti-Virusは、我々のシステムの悪意のあるコードをオフに保つための "キャブレター"となっている。

/ Vソフトウェアは何ですか？

アンチウイルスは、主にまだシグネチャベースのシステムです。 言い換えれば、我々が検出し、メモリやそのパターンのハードディスクを検索するコードパターンを定義します。 我々がシステムからログオフしておきたい悪いアプリケーションを定義しているので、これは、 "アプリケーションのブラックリスト"と呼ばれています。

/ Vのシグネチャがどこから来るのか？

通常は/ Vの顧客が感染し、それらのベンダーに問題を報告します。 A / Vベンダーは、自分の他のクライアントが同じ株から保護することが可能にパターンを生成することができます。 コー​​ドは以前のリリースへ、または他のベンダーが署名を生成する場合、野生で発見された場合、署名が生成されるためにのために、その可能性も。

ヒューリスティックはどうですか？

ヒューリスティックは疑わしい動作し、優れたアプリケーションであることが知られているホワイトリストを調べます。 例えば、我々は、システム上のユーザーアカウントを作成するための試みをすべてチェックし、アプリケーションは、既知の管理ツールであるかどうかを確認することがあります。 この技術は、いくつかの本当にクールな可能性を秘めているが、それはまた、多数の欠陥を持っています。 主要な問題は、とヒューリスティックなしの使用にはほとんど見ている理由は、事実であること、偽陽性にその傾向があります。 ユーザーアカウントを管理するために、およびA / Vヒューリスティックエンジンはおそらくそれを阻止しようとしている^サードパーティ^のツールを使用してみてください。

マルウェアのビジネスモデル

アンチウイルスが最初に開発されたときに、マルウェアは2つの特定の形質を持っていた。

1. マルウェア配布には、署名の分布よりも遅くなりました。
2. マルウェアの作成者は、主に大量増殖を試みてスクリプトキディであった。

これらの項目のどちらも、今日の環境では適用されます。 2009年には、新しいマルウェアのシグネチャを平均化されているシマンテックの状態ごとに8秒 。 F-Secureの場合は、この周波数は4秒ごとに新しいシグネチャに近いです。 あなたはyouy / V毎に4から8秒に更新するには？ あなたの/ Vのベンダーも、すべての4から8秒に新しい署名ファイルを解放していますか？ あなたが問題を参照してください。 あなたが熱心に毎晩/ Vを更新する場合でも、11,000-20,000新しい署名とマルウェアの部分はでチェックが入っています。

しかし、のアイテム＃2についてもう少しお話しましょう​​。スクリプトキディと大量増殖。 2001年かそこら、私はマルウェアの世界の変化に気づいた。 本当に彼らが何をしていたか知っていた人々は質量放出をして停止しました。 彼らは非常に若いときにそれについて考え、ほとんどのマルウェア作家が通常起動します。 無料であなたのコードを解放するために自宅で学校生活にまだある場合は、その些細な。 いくつかの点でしかし、あなたは、ジョブを取得し、いくつかの収入を得る開始する必要があります。 あなたが個人の生活の中でその場所に到達したとき、あなたは何をしましたか？ 私達のほとんどは、それは我々が得意とは何かを見て、高収入の仕事にそれをマッチさせようとするが含まれます。

あなたがマルウェアを書くのが得意ですので、もし、高収入の仕事はどこですか？ いくつかの可能性：

• 恐喝 -情報を盗み、それをバック販売しています。
• スパイ -競合企業、政府などの情報を盗む
• 野生の値を持つデータを盗む - 銀行のログオン、クレジットカード情報など
• ボットネットとマルウェアサービスを再販 -レンタル用の銃になります。 DDoS攻撃の典型的スパム分布。

我々はまだ大量の伝播（トレーニングのマルウェア作家と考える）を行うスクリプトキディのいくつかの番号を持っているが、スマートな攻撃者は有益なビジネスモデルにそれをなっている。 それはビジネスモデルだときは、もちろんコードが金銭的価値を持っています。 これにより、攻撃者は、ハイエンドのマルウェアのコードの大量増殖を危険にさらすないことを意味します。 彼らはそれの上に座ると財務リターンの高い率の可能性がある場合にのみそれを使用しようとしている。 だから我々は本当に厄介なものの質量はもう伝播さに頼ることはできません。 あなたが最も心配する必要はものはで使用されているターゲットを絞ったファッション。

なぜ/ Vはそれほど頻繁に失敗するのですか？

いくつかの問題は、上記のモデルではすぐに明らかにする必要があります。 我々はブラックリスト悪いアプリケーションであるため、開始するには、仮定は他のすべてはOKです。 我々は悪意のあるようなアプリケーションを識別する署名を持っていない場合は、我々はそれが実行しても安全であると仮定します。 これは署名せずに、すべてのマルウェアがシステムに感染して自由であることを意味します。 また、このモデルは、許容損失のいくつかのレベルを想定しています。 一般的にシステムが感染し、我々は自分自身を保護するために署名を取得するときに取得するときの間にタイムラグがあります。 これは、時間、日、またはいくつかのケースでもかもしれません数ヶ月 。

フードの下の問題

/ Vソフトウェアの最大の問題の一つは、署名です。 私たちのほとんどもの署名へのアクセスを提供していませんNIDSまたはNIPSの購入を検討しないだろうが、それは正確にA / Vシステムによって得られるものです。 これは、少しにつながる無署名の妥当性チェックが 、業界内だけでなく、限られたカスタマイズ機能を備えています。 たとえば、私は、A / Vベンダーは私に私のネットワーク管理者のグループが安全なマシンであることが知られてからパスワードクラッキングツールを実行できるようにする能力を与える見ていない。 私はまったくのカスタマイズ機能を備えている場合、それは使用のために承認された特定のアプリケーションを取得する退屈なプロセスであり、その後も執行が制限されています。

だから我々はここからどこに行くのですか？

アプリケーション制御は、（時にはアプリケーションのホワイトリストと呼ばれる）マルウェアを制御するための最適なツールとしてのA / Vソフトウェアを置き換えるために始めていること、これらすべての問題は、そのも不思議である。 私はこの記事のパート2でのアプリケーションのコントロールに得られます。