Søknad kontroll, også kalt applikasjon hvit liste, gir deg granulær kontroll over hvilke programmer som har tillatelse til å kjøre på hver av dine systemer. Ikke bare kan dette erstatte A / V-løsning, kan det holde useriøse brukere og lisens problemstillinger i sjakk i tillegg.

Hvordan programkontroll arbeid?

Konseptet er relativt enkelt. Du identifisere hvilket program du vil at hver av brukerne for å kunne kjøre og programvaren tar seg av håndheve denne politikken. En av de fine ting om søknaden kontroll programvare er at du vanligvis får langt mer tilpasning kapasitet enn A / V. For eksempel med mange A / V-løsninger jeg kan bli tvunget til å fullstendig slå av A / V for å kjøre et program oppført som skadelig i signaturen databasen (si jeg er en revisor som må gjøre port skanning eller passord cracking). Med søknaden kontroll, kan jeg vanligvis får så kornete som å skrive politikk på en per bruker, per system, per sted nivå (for eksempel revisor kan bare kjøre portskanner fra et bestemt system når det festet til ett bestemt nettverk segment). Dette er kult fordi i motsetning til A / VI trenger ikke å deaktivere programvaren, og dermed utsette meg selv for risiko, bare for å bare gjøre jobben min.

Hva du skal se etter i søknaden kontroll software

Det er et par ting du må se på når man skal vurdere en søknad kontroll produkt. Først må du se på hvordan filer er identifisert. Er de bare å se på filnavnene lagret i et bestemt sted, eller er de kjører flere hash algoritmer for å autentisere filen er faktisk riktig identifisert? Du ønsker også å se på hva som er involvert med å godkjenne filer for bruk og hvordan systemet avtaler med patcher.

For eksempel er en av mine favoritt produkter Paritet fra Bit9 Software. De starter ved å referere til en fil database med over 6000 millioner oppføringer og telling. Mens det kan virke som overkill, tenk på hvor mange filer som er involvert hvis du bare vil godkjenne Microsoft Office for bruk og inkluderer alle versjoner og alle patch nivåer. Plutselig 6000 millioner oppføringer synes ikke som usannsynlig.

Dessverre en fil database er ikke til å bli nok. Du trenger noen måte å godkjenne egendefinerte skript og kjørbare, samt håndtere sanntid patch-filer. For eksempel Adobe sjekker for oppdateringer hver gang en bruker starter programmet. Hvis de tilfeldigvis å gjøre dette riktig på nøyaktig minuttet en patch er sluppet, vil patch file info ennå ikke spredd i filen databasen. Hva Paritet tillater er du til å godkjenne programvare basert på at det er digitalt signert. For eksempel kan vi skape et unntak som sier, "Hvis filen ikke er i databasen, men har blitt digitalt signert av oss eller Adobe, er det OK for bruk".

Beskytte representantskapet Kontroll og Data Acquisition (SCADA) Networks

Dette er en veldig kul løsning for kontroll nettverk. For eksempel disse nettverkene kjører på rutenettet, kommunale tjenester, militær ting, etc., som ikke anta å være koblet til Internett. Mangelen på tilkoblingsmuligheter skaper en catch-22. Du har koblet fra Internett for å beskytte nettverket, men hvordan oppdaterer du din A / V-signaturer med ingen Internett-tilgang? Med Paritet er dette et ikke-tema. Du bare signere all programvare som kreves på kontroll nettet, skrive et regler sier bare digitalt signert programvare kan bli henrettet, og du er ferdig. Ingen signaturer eller oppdateringer å bekymre seg, bare re-signere ny programvare som du ønsker å distribuere den på nettet.

Paritet har noen andre kule funksjoner, så vel som muligheten til å spore fil utførelse eller evne til å styre hvilke flyttbare stasjoner kan brukes (etter modell, av brukeren og ved nivå av tilgang). Jeg begynner å føle deg som en selger derimot, så jeg overlater det til leseren hvis de ønsker å lære mer.

Den skitne lille hemmelighet

Så hvorfor er det vi ikke ser A / V-leverandørene dumpe sine signaturer og hoppe på søknaden kontroll lasset? Jeg jobber ikke for en A / V leverandør slik at jeg kan bare spekulere. Jeg har imidlertid eget lager i noen av dem og vil si at så snart jeg ser skje denne trenden jeg selge mine aksjer. Tenk på det på denne måten, hvor er den virkelige kostnaden i din A / V-løsning? Er det i den opprinnelige kjøpesummen for klienten, eller er det i den månedlige / årlige abonnementsavgift du betaler for signaturer? Bedrifter loooove reoccurring inntektsstrømmer, fordi de betyr forutsigbar inntekt med null salgsinnsats. Aksjonærer (som meg) elsker reoccurring inntektsstrømmer fordi "høyere inntekt + mindre opp foran kostnader = høyere fortjeneste". Legg merke til i det siste eksempelet jeg diskuterte beskytte et nettverk uten behov for undertegning oppdateringer. Hvis brukerne gikk denne ruten ville det ha en alvorlig økonomisk innvirkning på enkelte A / V leverandørens bunnlinje.

Den dårlige ting

Nå noen begrensninger. Du ville sannsynligvis ønske å bruke filen databasen hvis tilgjengelig, selv om dette betyr at du betaler for en annen abonnementstjeneste. Digital signering alt er fint på et nettverk der programmene er sjelden endres (som SCADA), men i et typisk bedriftsmiljø din stillingstittel ville slå inn "Admin som alltid signering programvare".

Også regulerer anvendelse kontroll rett og slett hvilke programmer som kjøres på systemet. Det er ikke veldig nyttig hvis en godkjent søknad får whacked via et buffer overflow eller lignende. Så patching er fortsatt et must, og du vil sannsynligvis ønsker å kjøre et Host Intrusion Protection System (HIPS) til å bli helt låst ned. Likevel, med søknad kontrollerer du ende opp med en langt sikrere holdning enn stikker med den gamle forgasser A / V-programvare.

Noen ganger kan en teknologi overlever dens nytte. Et godt eksempel er bil forgasseren. Mens vi har kjent ytelsesforbedringer og drivstoffbesparelse på multi-port direkte innsprøytning i flere tiår, noen (NASCAR!) fremdeles klamrer seg til bruken av utdaterte, men likevel kjent forgasseren. Mye det samme har skjedd med teknologien for å bekjempe Malware. Anti-virus er blitt det "forgasser" av å holde ondsinnet kode ut av våre systemer.

Hva er A / V-programvare?

Anti-virus er fortsatt primært en signatur basert system. Med andre ord definerer vi en kode mønster som vi ønsker å oppdage og deretter søke minnet eller på harddisken for dette mønsteret. Dette er referert til som "application svart liste", fordi vi definerer de dårlige programmene vi ønsker å holde ut av systemet.

Hvor A / V-signaturer kommer fra?

Vanligvis en A / V-kunde vil bli smittet og rapportere problemet til leverandørens sine. A / V-leverandør kan deretter generere et mønster, som tillater sine andre klienter for å være beskyttet fra den samme belastning. Det er også mulig for signaturen for å få generert hvis koden er funnet i naturen før løslatelse, eller hvis en annen leverandør genererer en signatur.

Hva med heuristikk?

Heuristikk ser på mistanke om atferd og deretter hvite lister kjent for å være gode søknader. For eksempel kan vi kontrollere alle forsøk på å opprette en brukerkonto på systemet og deretter se om søknaden er et kjent administrator verktøyet. Denne teknologien har noen virkelig kule potensial, men det har også en rekke svakheter. Den primære problemet, og grunnen heuristikk ser lite til ingen nytte, er det faktum at dens utsatt for falske positiver. Prøv å bruke en ^3. parts verktøy for å administrere brukerkontoer og A / V heuristisk motor er trolig kommer til å blokkere det.

Forretningsmodellen for Malware

Når anti-virus ble først utviklet, hadde Malware to spesielle egenskaper:

1. Malware fordelingen var tregere enn signatur distribusjon.
2. Malware forfattere var for det meste script kiddies forsøker masse forplantning.

Ingen av disse elementene er aktuelt i dagens miljøer. Symantec sier at i 2009 er de i snitt en ny Malware signatur hvert åtte sekunder . For F-Secure, er denne frekvensen nærmere en ny signatur hvert fjerde sekund. Har du oppdaterer youy A / V hvert 4-8 sekunder? Har din A / V-leverandør selv lansere en ny signatur fil hver 4-8 sekunder? Du ser problemet. Selv om du flittig oppdatere A / V hver kveld, har 11,000-20,000 nye signaturer og biter av Malware krysset av.

Men la oss snakke litt mer om punkt nr. 2; script kiddies og masse forplantning. Rundt 2001 eller så la jeg merke til en endring i Malware verden. Folk som virkelig visste hva de gjorde sluttet å gjøre masse release. Tenk på det, mest Malware forfattere vanligvis starter når de er svært unge. Når du fortsatt på skole og bor hjemme, dets trivielt å frigi koden gratis. På et tidspunkt men du trenger for å få en jobb og begynne å tjene noen inntekt. Når du personlig nådd det stedet i livet, hva gjorde du? For de fleste av oss innebærer det å se på hva vi er gode på og prøve å matche det opp til en høyt betalt jobb.

Så hvis du er god til å skrive Malware, hvor er de høyt betalte jobber? Noen muligheter:

• Utpressing - Stjel info og selge den tilbake.
• Spionasje - Stjel info for et konkurrerende selskap, myndigheter, etc.
• Stjel data med verdi i naturen - bank pålogging, kredittkort info, etc.
• Resell botnet og Malware tjenester - Bli en pistol for hire. Typisk spam distribusjon av DDoS.

Mens vi fortsatt har noen flere script kiddies gjøre masse forplantning (tenk på dem som Malware forfattere i trening), har smarte angriperne viste det til en lønnsom forretningsmodell. Når det er en forretningsmodell, har koden selvfølgelig pengeverdi. Dette betyr at en angriper vil ikke risikere masse forplantning av high end Malware kode. De kommer til å sitte på den og bare bruke den når det er potensial for en høy finansiell avkastning. Så vi kan ikke stole på den virkelig ekle ting blir masse spredd lenger. Ting du trenger å bekymre deg mest er brukt på en målrettet måte.

Hvorfor A / V mislykkes så ofte?

Et par problemer bør umiddelbart synlig med ovennevnte modell. Å starte, fordi vi er svarte notering dårlige applikasjoner, er antagelsen alt annet er OK. Hvis vi ikke har en signatur som identifiserer søknaden som ondsinnet, antar vi det er trygt å kjøre. Dette betyr at alle Malware uten en signatur er gratis å infisere systemet. Denne modellen forutsetter også en viss grad av akseptabelt tap. Vanligvis er det et etterslep tid mellom når systemer blir infisert, og når vi får en signatur for å beskytte oss selv. Dette kan være timer, dager eller i noen tilfeller enda måneder .

Problemer under panseret

En av de største problemene med A / V-programvaren er signaturer. De fleste av oss ville ikke engang vurdere å kjøpe en NIDS eller nips som ikke gir adgang til signaturer, men det er akkurat det du får med en A / V system. Dette fører til liten eller ingen forstanden kontroll av underskrifter innen bransjen, samt begrensede tilpasningsmuligheter evne. For eksempel har jeg ennå å se en A / V-leverandør gir meg muligheten til å la mine nettverksadministrator gruppe kjører et passord cracking verktøy fra kjent for å være sikre maskiner. Hvis jeg har noen tilpasning kapasitet i det hele tatt det er en langtekkelig prosess å få konkrete søknader godkjent for bruk, og selv da håndheving er begrenset.

Så hvor går vi herfra?

Med alle disse problemene, det er ikke rart at søknaden kontroll (også kalt søknad hvit notering) er i ferd med å erstatte A / V-programvare som et verktøy av valget for å kontrollere Malware. Jeg skal komme inn søknad kontroll i del 2 av dette innlegget.