Programkontroll, som ibland kallas ansökan vita lista, ger dig noggrann kontroll över vilka program som tillåts att köras på alla dina system. Inte bara kan denna ersätta din A / V-lösning, kan det hålla oseriösa användare och licensfrågor i schack också.
Hur fungerar ansökan kontroll?
Konceptet är relativt enkelt. Du identifierar vilket program du vill ha alla dina användare ska kunna köra och programvaran tar hand om att genomdriva denna politik. En av de trevliga saker om programkontrollfunktion är att du oftast får mycket mer anpassning kapacitet än A / V. Till exempel med många A / V-lösningar jag kan tvingas att helt stänga av A / V för att köra ett program listade som skadliga i signaturen databasen (säga att jag är en revisor som behöver göra portskanning eller lösenord sprickbildning). Med tillämpning kontroll, kan jag få vanligtvis så detaljerad som att skriva politik på en per användare, per system, per plats nivå (till exempel revisor kan bara köra portskanner från ett specifikt system när dess ansluten till ett specifikt nätverk segment). Detta är coolt eftersom till skillnad från A / VI behöver inte inaktivera programvaran och därmed utsätta mig för risken, bara för att helt enkelt göra mitt jobb.
Vad du ska titta efter i programkontrollfunktion
Det finns ett par saker du behöver titta på när de utvärderar en produkt programkontroll. Först måste du titta på hur filerna identifieras. Är de bara titta på filnamnen lagras på en viss plats, eller är de kör flera hash-algoritmer för att verifiera att filen är i själva verket korrekt identifierade? Du vill också titta på vad som är involverad godkänna filer för användning och hur systemet hanterar patchar.
Till exempel är en av mina favoritprodukter Paritet från Bit9 Software. De börjar med att referera till en fil databas med över 6 miljarder poster och räkna. Även om det kan verka som overkill, tänk på hur många filer är inblandade om du bara vill godkänna Microsoft Office för användning och innehåller alla versioner och alla nivåer patch. Helt plötsligt 6 miljarder poster verkar inte som långsökt.
Tyvärr en fil databas kommer inte att räcka. Du behöver något sätt att godkänna egna skript och körbara filer, samt ta itu med riktiga filer tiden patch. Till exempel Adobe kontrollerar fläckar när en användare startar programmet. Om de råkar göra denna rätt på exakt minut en patch släpps, kommer patch-fil info ännu inte fortplantas in i filen databasen. Vad Paritet tillåter är du godkänna mjukvara baserad på att det är digitalt signerad. Till exempel kan vi skapa ett undantag som säger, "Om filen inte finns i databasen, men har signerats digitalt av oss eller Adobe, är det OK att använda".
Skydda Supervisory Control And Data Acquisition (SCADA) Nätverk
Detta är en väldigt cool lösning för kontroll nätverk. Till exempel de nät igång nätet, kommunala tjänster, militära grejer, etc., som inte är väl att vara ansluten till Internet. Avsaknaden av anslutningsmöjligheter skapar en catch-22. Du har bortkopplad från Internet för att skydda nätverket men hur du uppdaterar din A / V-signaturer utan tillgång till Internet? Med Paritet detta är en icke-fråga. Du kan helt enkelt signera all programvara som behövs för kontroll nätverk, skriva en regler säger bara digitalt signerade program kan exekveras, och du är klar. Inga underskrifter eller uppdateringar att oroa sig för, bara re-sign ny programvara som du vill distribuera den på nätverket.
Paritet har några andra coola funktioner också som möjligheten att spåra fil utförande eller förmågan att styra vilka flyttbara enheter kan användas (av modell av användaren och nivån av tillgång). Jag börjar känna sig som en säljare dock, så jag lämnar det till läsaren om de vill lära sig mer. 
Den smutsiga lilla hemlighet
Så varför är det vi inte ser A / V-leverantörer dumpar sina underskrifter och hoppa om tillämpningen kontroll bandwagon? Jag arbetar inte för en A / V-leverantör så kan jag bara spekulera. Jag gör dock egna aktier i några av dem och kommer att säga att så fort jag ser den här trenden inträffa Jag säljer mitt lager. Tänk på det här sättet, var är den verkliga kostnaden i din A / V-lösning? Är det i den initiala köpeskillingen av klienten, eller är det i den månatliga / årliga abonnemangsavgift du betalar för underskrifter? Företag loooove återkommande intäkter eftersom de menar förutsägbara intäkter med noll försäljning ansträngning. Aktieägare (som jag) älskar återkommande intäkter eftersom "högre intäkter + mindre up front kostnader = högre vinst". Notera i det sista exemplet jag diskuterade skyddar ett nätverk utan behov av signaturuppdateringar. Om användare gick den vägen att det skulle få allvarliga ekonomiska konsekvenser för varje A / V-leverantörens resultat.
Den dåliga grejer
Nu några varningar. Du skulle förmodligen vill använda filen databas om det finns tillgängligt, även om det innebär att betala för ett annat abonnemang. Signera allt är bra i ett nätverk där ansökningarna är sällan ändras (som SCADA), men i en typisk företagsmiljö din befattning skulle förvandlas till "Admin som alltid signering av mjukvara".
Dessutom reglerar programkontroll bara vilka program som körs på systemet. Det är inte till stor hjälp om en godkänd ansökan får fixat via en buffer overflow eller liknande. Så patchning är fortfarande ett måste och du kommer förmodligen vill köra en Host-baserat system Intrusion Protection (HIPS) för att vara helt låst. Fortfarande, med tillämpning styr du sluta med en betydligt säkrare hållning än att hålla med det gamla förgasare A / V-programvara.
Relaterade inlägg:
