Application control, ook wel de toepassing witte lijst, geeft u granulaire controle over welke applicaties mogen draaien op elk van uw systemen. Niet alleen kan dit vervanging van uw A / V-oplossing, kan het houden rogue gebruikers en problemen met de licentie in te checken ook.

Hoe werkt de toepassing controle zijn werk?

Het concept is relatief eenvoudig. U bepalen welke applicatie die u wilt elk van uw gebruikers in staat te lopen en de software zorgt voor de handhaving van dat beleid. Een van de leuke dingen van toepassing control software is dat je meestal krijgt veel meer maatwerk mogelijkheden dan de A / V. Bijvoorbeeld met veel A / V-oplossingen I kunnen worden gedwongen om volledig uit te schakelen A / V om een ​​applicatie die als kwaadaardig in de handtekening database (zeggen dat ik een accountant die moet doen het scannen van poorten of wachtwoord kraken) lopen. Met de applicatie-controle, kan ik meestal krijgen als granulair het schrijven van beleid op een per gebruiker, per systeem, per locatie niveau (bijvoorbeeld de accountant kan alleen worden uitgevoerd in de haven scanner van een specifiek systeem wanneer zijn gekoppeld aan een specifiek netwerk segment). Dit is cool omdat in tegenstelling tot A / VI hebben niet om de software uit te schakelen, dus bloot aan risico's zelf, alleen maar om gewoon mijn werk.

Wat te zoeken in de toepassing besturingssoftware

Er zijn een paar dingen die je nodig hebt om naar te kijken bij de beoordeling van een aanvraag controle product. Eerst moet je kijken naar hoe bestanden worden geïdentificeerd. Zijn ze gewoon kijken naar bestandsnamen worden opgeslagen op een specifieke locatie, of zijn ze met meerdere hash algoritmen te authenticeren het bestand is in feite behoorlijk worden geïdentificeerd? U wilt ook kijken naar wat betrokken is met goedkeuring van bestanden voor gebruik en hoe het systeem gaat over patches.

Bijvoorbeeld, een van mijn favoriete producten is Parity uit Bit9 Software. Ze beginnen door te verwijzen naar een bestand database met meer dan 6 miljard inzendingen en tellen. Terwijl dat lijkt misschien overkill, denk aan hoeveel bestanden betrokken zijn als je gewoon wilt Microsoft Office goed te keuren voor gebruik en alle versies en alle patch levels bevatten. Opeens 6000000000 inzendingen lijkt niet zo ver gezocht.

Helaas is een bestand database is niet van plan om genoeg. Je moet een manier om custom scripts en uitvoerbare bestanden, maar ook omgaan met real-time patch-bestanden goed te keuren. Bijvoorbeeld Adobe controleert voor patches wanneer een gebruiker de applicatie start. Als ze toevallig om dit goed te doen op de exacte minuut een patch is vrijgegeven, zal de patch file info nog niet worden verspreid in het bestand database. Wat Parity doet is u toelaten om software op basis van dien digitaal is ondertekend goed te keuren. Zo kunnen we maken een uitzondering die zegt: "Als het bestand niet in de database, maar is digitaal ondertekend door ons of Adobe, het is OK voor gebruik".

De bescherming van Supervisory Control And Data Acquisition (SCADA) Netwerken

Dit is een zeer koele oplossing voor controle netwerken. Bijvoorbeeld deze netwerken het uitvoeren van de grid, gemeentelijke diensten, militaire spullen, enz., die niet zijn te veronderstellen worden aangesloten op het internet. Het gebrek aan connectiviteit zorgt voor een catch-22. Je hebt verbinding met het internet om te helpen het netwerk te beschermen, maar hoe doe je uw A / V handtekeningen updaten met geen toegang tot internet? Met Pariteit dit is een non-issue. Je moet gewoon digitaal ondertekenen alle software die nodig is over de controle-netwerk, schrijf een regels zeg alleen digitaal ondertekende software kan worden uitgevoerd, en je bent klaar. Geen handtekeningen of updates zorgen te maken over, gewoon opnieuw te ondertekenen nieuwe software als je wilt om het te implementeren in het netwerk.

Pariteit heeft een aantal andere leuke functies en, zoals de mogelijkheid om bestand uitvoering of de mogelijkheid om te bepalen welke verwisselbare schijven kunnen worden gebruikt (per model, per gebruiker en per niveau van toegang) track. Ik begin echter wel voelen als een verkoper, dus ik zal het laten aan de lezer als ze meer willen leren.

De dirty little secret

Dus waarom is het wij niet zien A / V-leveranciers dumpen hun handtekeningen en springen op de bandwagon applicatiebeheer? Ik werk niet voor een A / V-leverancier dus ik kan alleen maar speculeren. Ik heb echter eigen voorraad in een paar van hen en zullen zeggen dat zodra ik zie deze trend zich voordoen dat ik mijn aandelen verkopen. Denk aan het op deze manier, waar is de werkelijke kosten in uw A / V-oplossing? Is het in de initiële aankoopprijs van de klant, of is het in de maandelijkse / jaarlijkse abonnementskosten die u betaalt voor handtekeningen? Bedrijven loooove terugkerende inkomsten te genereren, omdat ze bedoelen voorspelbare inkomsten met nul verkoopinspanningen. Aandeelhouders (zoals ikzelf) liefde terugkerende inkomsten te genereren, omdat "hogere inkomsten + minder up front kosten = hogere winst". Let op in het laatste voorbeeld besprak ik het beschermen van een netwerk zonder de noodzaak voor ondertekening updates. Als gebruikers ging deze weg zou het een ernstige financiële gevolgen voor elke A / V-bottom line leverancier.

De slechte dingen

Nu echter wel enkele voorwaarden. Je zou waarschijnlijk willen de file database te gebruiken, indien beschikbaar, zelfs als dit betekent dat het betalen voor een ander abonnement. Digitaal ondertekenen is alles prima op een netwerk waar de toepassingen niet vaak worden gewijzigd (zoals SCADA), maar in een typische bedrijfsomgeving uw functie zou veranderen in "de Admin die altijd het ondertekenen van software".

Ook de toepassing regelt eenvoudig welke toepassingen worden uitgevoerd op het systeem. Het is niet erg nuttig zijn als een goedgekeurde aanvraag krijgt whacked via een buffer overflow of iets dergelijks. Dus patchen is nog steeds een must en je zult waarschijnlijk willen een Host-based Intrusion Protection System (HIPS) volledig worden vergrendeld draaien. Nog steeds, met applicatie-controle eindig je met een veel veiliger dan de houding vasthouden met die oude carburateur A / V-software.

Soms is een techniek overleeft het nut. Een goed voorbeeld is de auto-carburateur. Terwijl we gekend hebben van de prestaties winsten en een brandstofbesparing van multi-port directe benzine-injectie voor tientallen jaren, sommige (NASCAR!) nog steeds vast aan het gebruik van de verouderde, maar toch vertrouwd carburateur. Ongeveer hetzelfde heeft plaatsgevonden met de technologie om malware te bestrijden. Anti-virus is uitgegroeid tot de "carburateur" van het houden van kwaadaardige code off van onze systemen.

Wat is A / V-software?

Anti-virus is nog steeds in de eerste plaats een handtekening gebaseerd systeem. Met andere woorden, definiëren we een code patroon dat we willen dan detecteren en het geheugen of de harde schijf voor dat patroon zoeken. Dit wordt aangeduid als "application zwarte lijst", want wij zijn het definiëren van de slechte toepassingen die we willen af ​​te houden van het systeem.

Waar komen A / V handtekeningen vandaan?

Typisch een A / V-klant zal besmet raken en het verslag van de problemen aan hun leverancier. De A / V-leverancier kan dan het genereren van een patroon, die toestaat dat zij onder andere cliënten worden beschermd tegen deze zelfde stam. Het is ook mogelijk om de handtekening te krijgen gegenereerd als de code wordt gevonden in het wild voorafgaand aan de release, of als een andere leverancier genereert een handtekening.

Hoe zit het met heuristiek?

Heuristiek kijkt naar verdacht gedrag en dan witte lijsten bekend goed te zijn toepassingen. Zo kunnen we controleren alle pogingen om een ​​user account op het systeem maken en vervolgens controleren of de applicatie is een bekende administrator tool. Deze technologie heeft een aantal echt cool potentieel, maar het heeft ook een aantal gebreken. Het primaire probleem, en de reden heuristiek ziet weinig tot geen gebruik van, is het feit dat de kans op valse positieven. Probeer een 3 ^rd party tool gebruiken om uw gebruikersaccounts en de A / V heuristische engine is waarschijnlijk gaan om deze te blokkeren beheren.

Het business model van Malware

Bij het anti-virus het eerst werd ontwikkeld, Malware had twee specifieke kenmerken:

1. De verspreiding van malware was langzamer dan handtekening distributie.
2. Malware schrijvers waren meestal script kiddies een poging de massa vermeerdering.

Geen een van deze punten zijn van toepassing in omgevingen van vandaag. Symantec stelt dat in 2009 zijn ze gemiddeld een nieuw Malware handtekening elke acht seconden . Voor F-Secure, deze frequentie is dichter bij een nieuwe handtekening om de vier seconden. Heeft u een update youy A / V om de 4-8 seconden? Heeft uw A / V-leverancier gelijkmatige afgifte een nieuwe handtekening bestand om de 4-8 seconden? Je ziet het probleem. Zelfs als je ijverig A / V-update elke avond, hebben 11,000-20,000 nieuwe handtekeningen en stukjes Malware aangekruist door.

Maar laten we een beetje meer te praten over post # 2, script kiddies en massa vermeerdering. Rond 2001 of zo merkte ik een verandering in de Malware wereld. De mensen die echt wisten wat ze deden mee gestopt massa release. Denk er eens over, de meeste schrijvers van malware beginnen meestal als ze nog erg jong. Wanneer u nog steeds op school en thuis woont, zijn triviale om uw code in het vrije. Op een bepaald moment echter je nodig hebt om een ​​baan te krijgen en het verdienen van wat geld te beginnen. Wanneer u persoonlijk die plaats bereikt in het leven, wat heb je gedaan? Voor de meesten van ons, het gaat om te kijken naar wat we goed in zijn en proberen om die wedstrijd tot een hoog betaalde baan.

Dus als je goed bent in het schrijven van malware, waar zijn de hoge betaalde banen? Enkele mogelijkheden:

• Afpersing - Steal info en het terug te verkopen.
• Spionage - Steal info voor een concurrerend bedrijf, overheid, enz.
• Stelen gegevens met waarde in het wild - bank inloggen, credit card info, etc.
• Verkopen botnet-en Malware diensten - Word een pistool te huur. Typisch spam verdeling van de DDoS.

Hoewel we nog een aantal aantal script kiddies te doen massa voortplanting (denk aan hen als schrijvers van malware in opleiding), hebben de slimme aanvallers veranderde het in een winstgevend business model. Als het een business model, de code van de cursus is de monetaire waarde. Dit betekent dat een aanvaller niet riskeren massale verspreiding van high-end Malware code. Gaan ze om op te zitten en alleen gebruiken als er het potentieel voor een hoog percentage van de financiële return. Dus we kunnen niet rekenen op de echt nare dingen worden massaal meer. De spullen die je zorgen hoeft te maken over de meeste wordt gebruikt in een gerichte manier.

Waarom heeft mijn A / V-fail zo vaak?

Een paar van de problemen moet onmiddellijk duidelijk zijn met het bovenstaande model. Om te beginnen, want wij zijn zwarte lijst slechte toepassingen, in de veronderstelling is alles OK is. Als we niet hebben een handtekening het identificeren van de toepassing als kwaadaardig, nemen we aan dat het veilig is te lopen. Dit betekent dat alle Malware zonder handtekening is vrij om het systeem te infecteren. Dit model veronderstelt ook een zekere mate van acceptabele verliezen. Doorgaans is er een vertraging tussen het moment waarop systemen besmet raken en als we een handtekening om onszelf te beschermen. Dit kan uren, dagen of in sommige gevallen zelfs maanden .

Problemen onder de motorkap

Een van de grootste problemen met A / V-software is de handtekeningen. De meesten van ons niet eens overwegen de aankoop van een NIDS of NIPS die geen toegang tot de handtekeningen, maar dat is precies wat je krijgt met een A / V-systeem. Dit leidt tot weinig tot geen verstand controle van handtekeningen in de industrie, evenals beperkte maatwerk mogelijkheden. Ik bijvoorbeeld nog te zien een A / V-leverancier geeft mij de mogelijkheid om laat mijn netwerkbeheerder groep wordt beheerd een wachtwoord kraken tool van bekend is dat ze veilig machines. Als ik een maatwerk mogelijkheden op alles wat het is een moeizaam proces om specifieke toepassingen goedgekeurd voor gebruik te krijgen, en dan nog de handhaving is beperkt.

Dus waar gaan we verder?

Met al deze problemen, zijn het geen wonder dat applicatiebeheer (ook wel applicatie white listing) gaat naar A / V-software te vervangen als het middel bij uitstek voor de controle van Malware. Ik krijg van toepassing wordt controle in deel 2 van dit bericht.