Helyettesítheti-e vajon az alkalmazások fehérlistája az antivírust?
Az alkalmazások fehérlistázásának koncepciója az elmúlt időszakban igen nagy sajtófigyelmet kapott, s ezt főleg néhány forgalmazó generálta. Ők a hírmagyarázókkal karöltve azt próbálják sugallni és elfogadtatni, hogy ez a megoldás helyettesíteni fogja az antivírus megoldásokat, mint az igazán „megfelelő" megközelítése az IT biztonságnak.
De mi is valójában az alkalmazások fehérlistája?
- Ez egy széleskörben használt technika a munkaállomásokon található illetéktelen és kártékony szoftverek kihívásaira válaszolva
- Lehetővé teszi a rendszergazdák számára az alkalmazások fehérlistára vételét, így csak az engedélyezett alkalmazások futhatnak
- Pontosan az ellentéte a hagyományos antivírus szoftvereknek - csak az ismert és engedélyezett, jónak talált alkalmazások futását engedi ahelyett, hogy tiltaná a közismerten rosszindulatú alkalmazások (kártevők) futását
- A közismerten jó és az általunk engedélyezett alkalmazások képezik a „fehérlistát"
- Az elgondolás az, hogy ezáltal feleslegessé válik az antivírus szoftvert forgalmazó cégben bízni, hogy azok tartsák a lépést a naponta megjelenő új kártevők ellen
Ezzel szemben mi a Sophos álláspontja?
A Sophos szerint a fehérlistázás csak egy azon sok eszköz illetve megoldás közül, amelyeket egy teljeskörű végponti védelmi megoldás részeként kell használni olyan technológiák kombinációjának alkalmazásával, mint az az antivírus, a HIPS és az alkalmazás ellenőrzése (application control) - de sosem lehet sem helyettesítője, sem kiváltója az antivírus megoldásnak.
Nem csodaszer a kártevők ellen, ahogy azt néhány forgalmazó és hírmagyarázó sugallja. A fehérlistázás alapvetően hibás lehet, amennyiben elkülönítve alkalmazzák.A korábbi, be nem bizonyított ajánlások ellenére, amelyek szerint sokkal több rossz futtatható állomány van mint jó, a legtöbb vállalati PC jóval több jó alkalmazással találkozik, mint rosszal. A leghatékonyabb az lenne, ha arra a néhány rossz alkalmazásra összpontosítanák az analízist, amelyekkel találkoznak.
A Sophos már használ fehérlistás technikákat:
- Teljesítmény-javító technikaként a Sophos anti-malware (kártevők elleni) ellenőrzésében. Azzal, hogy kizárják az ellenőrzésből az operációs rendszer állományait és tiszta géneket hoznak létre a Sophos Genotype védelmében, növelni tudják a kártevő-észlelés pontosságát és teljesítményét.
- Alkalmazás ellenőrzés (application control). Technikailag ez az a mód, ahogy a Sophos a fekelistát implementálja, de ezt fel lehet használni az emberek által használt alkalmazások korlátozására és szűkíteni lehet a fenyegetési vektorokat, mint az például a P2P állománymegosztó szoftverek telepítésének és használatának megelőzése.
A Sophos sokkal többet fogja használni a jövőben a fehérlistázást a proaktív védelem fejlesztése során, miközben csökkenteni fogja a téves riasztások számát és növeli a teljesítményt azzal, hogy nem ellenőrzi a jó állományokat feleslegesen.
Melyek a fehérlistázás erősségei?
Ez egy nagyon vonzó elgondolás - csak a jó kód (alkalmazás, programrész, rendszerállomány) futhat. A fehérlistázás értékes megközelítés lehet a szervezetek hermetikusan elzárt hálózatrészei számára, ahol már így is erős megkötések léteznek arra vonatkozóan, hogy milyen alkalmazásokat lehet használni és ezek az alkalmazások hol változnak ritkán. Például: Point of Sale ( POS - értékesítési hely) terminálok kiskereskedésekben vagy korlátozott, alapfunkciókat ellátó szervereken. A rendszergazdák már tudják, hogy azokra mi kerülhet és könnyedén megakadályozhatják más egyéb szoftver futását a működésre való kihatás nélkül.
Melyek a fehérlistázás gyengéi?
Nem akadályozza meg az olyan kártevő típusokat, amelyek a ismert jó alkalmazások fertőzésén alapulnak, beleértve a böngészőben futó script kártevőket, az Office makróvírusait, a puffer túlcsordulásokat és egyéb alkalmazások sérülékenységeinek kihasználásait.
Ha egy kártevő egy fehérlistás megoldás által kikerüli az észlelését, azután a fertőzés megszüntetése nagy feladatnak fog bizonyulni. A legtöbb fehérlistás megoldással rendelkező ügyfél továbbra is futtat antivírus termékeket, problémák esetére. Ahhoz, hogy hatékonyan és hatásosan működjön, a fehérlistás forgalmazónak ismernie kell minden egyes jó állományt a világban, beleértve bármilyen olyan egyedi alkalmazást is, amelyet az ügyfél rak össze magának (ez valljuk meg képtelenség). A rendszergazdáknak meg kell határozniuk azokat a specifikus szabályzatokat, amelyeket implementálni akarnak. A legtöbb rendszergazda nem is tudja igazából, hogy mit kelle megengednie.
Amikor a szabályzatot meghatározzák, még mindig nagy kihívást jelent az engedélyezett alkalmazások beazonosítása és karbantartása, anélkül, hogy az az IT csapat termelékenységére negatív kihatással lenne. Eddig egyetlen egy forgalmazó sem talált hatékony megoldást az általános célú számítógépekre.
A probléma az, hogy vagy a rendszergazdáknak kell a listákat manuálisan karbantartani egészen addig, hogy kliens-oldali számítógépek telepítés céljából csatlakoznak a szoftver disztribúciós rendszerekhez. Egyik sem igazán hatásos a legtöbb felhasználó számára.
A gyakorlatban az ügyfél rendszergazdáinak kell karbantartaniuk legalább a fehérlisták egy részét. Ez egy szélsőségesen odafigyelés-igénylő folyamat és a legtöbb vállalat számára nem praktikus, és függ attól is, hogy mely alkalmazásokat kell patchelni (hetente vagy még gyakrabban).
Ezenfelül politikai és hatékonysági tényezők is megakadályozhatják, hogy az alkalmazottak olyan típusú alkalmazásokat futtassanak számítógépeiken, amelyeket szeretnének gépeiken, mint saját alkalmazások.
Mely forgalmazók rendelkeznek fehérlistázással és mit állítanak ezekről?
Bit9 - önmagukat az Alkalmazás Fehérlistázás Úttörőinek és Vezetőinek állítják be. Keményen próbálják piacra pozíciónálni 6 milliárd+ alkalmazást tartalmazó könyvtárukat/adatbázisukat. Habár ez a szám sok embert megmozgathat, kérdéses, van-e egyáltalán praktikus haszna. Kis forgalmazók limitált felhasználói bázissal, főleg Észak-Amerikában. Nem kínálnak más alap biztonsági terméket - antivírust, tűzfalat, HIPS-et és NAC-ot - csak alkalmazás és eszközvezérlést. Ha egy kártevő kikerüli az észlelést, a Bit9 nem tudja eltávolítani. Csak Windows operációs rendszereket támogatnak.
Lumension (korábban Patchlink) - állításuk szerint a Sanctuary Application Control finom, szabályzat-alapú alkalmazáshasználat-kikényszerítést biztosít, hogy proaktívan védjék a végpontokat az adatszivárgástól, a kártevőktől, a kéretlen és nem-licenszelt alkalmazásoktól. A vállalatok biztonsága miatt nem függnek az antivírus előfizetési frissítésektől.
Kaspersky - ezen a nyáron adták ki első végfelhasználói antivírus termékeiket, amelyek fehérlistázást tartalmaznak. A Bit9-től licenszelt listákat fogják használni. Az új Kaspersky alkalmazások nem fogják automatikusan blokkolni azokat a programokat, amelyek nincsenek a Bit9 listájában, ehelyett viszont koncentráltabb erőforrás-ellenőrzést fognak folytatni azokon a programokon, amelyeket a Bit9 nem ismer fel. Elméletileg ezzel sokkal óvatosabb ismeretlen állomány vizsgálatokat lehet végrehajtani kisebb téves riasztási kockázattal. A Kaspersky még nem jelentett be semmilyen tervet fehérlistázási funkciókra Nagyvállalati termékeivel kapcsolatban.
Symantec - a Symantec beszélhet némi alkalmazásvezérlésről és fehérlistázási képességről a Symantec Endpoint Protection és a Symantec Critical System Protection termékeiben. A Symantec engedélyezi a rendszergazdák számára, hogy manuálisan vezéreljék a hozzáférést specifikus folyamatokhoz, állományokhoz és mappákhoz alkalmazásonként, ezáltal a rendszergazdák megakadályozhatják bizonyos alkalmazások gyanúsnak vagy nagy kockázatúnak való minősítését. Ez nagy adminisztrációs terhelést jelent összehasonlítva a Sophos megközelítésével az Application Control-lal kapcsolatban. Továbbá rendelkeznek egy rendszerlezáró képességgel is, amelyet be lehet úgy konfigurálni, hogy a rendszerről egy pillanatképet adjon és további végrehajtást korlátozva úgymond fehérlistázást valósít meg, megakadályozva a kéretlen rendszerváltozásokat. Ez ugyanazoktól a fehérlistázási gyengeséktől szenved, mint a fent említett szituáció.