27 февраля, 2012

Стой! Кто идёт? или Таблетка №3.

У безопасников, сисадминов, эникейщиков и вообще всех, кто по долгу службы холит и лелеет корпоративные сети — у них всех много головняка. ОЧЕНЬ много. И главный источник траблов, конечно, пользователи. Десятки, сотни, тысячи (это уже как кому повезёт) пользователей, у которых 24 часа в сутки есть проблемы. Ну, а мы в меру ресурсов, сферы компетенции и приоритетов всячески помогаем «фронтовикам» с головняком бороться. И сейчас расскажем об одной очень полезной таблетке, которая отлично вписывается в эту стратегию борьбы.

На самом деле таблетки целых три. Но все для одной и той же болячки – помощь в контроле над пользователями. Как полезный побочный эффект — исполнение централизованной политики IT-безопасности, защита от дурака и автоматизация «обезьяньей» работы (ура!). Ага, речь о трёх новых фичах новой версии нашего корпоративного продукта Endpoint Security 8: контроль над приложениями, контроль над подключаемыми устройствами и веб-контроль. Тема этого поста – контроль над приложениями (дальше «» — application control).

Вообще гигиена рабочего компьютера – тема больная. Пользователи склонны скачать какой-нибудь сомнительный «кул варез», поставить, погонять и забыть. В итоге через полгода компук превращается в немыслимый зоопарк всякого софта и начинает жутко глючить и тормозить. Это не говоря уже о том, что тот самый «кул варез» может быть завирусованным, пиратским или контрпродуктивным.

Борются с этой напастью по-разному. Кое-где грозят пальцем и на веру строго-настрого запрещают устанавливать программы самостоятельно. Кое-где разными способами просто отрубают такую возможность. Компромисс между этими двумя крайностями как раз и есть .

И как же эта штука работает?

У нашего есть 3 основные функции:

  • Ограничение запуска приложений
  • Управление привилегиями приложений
  • Проверка приложений на уязвимости

И все они укладываются вот в такую «страшную» схему:

Схема, конечно, ни разу не страшная. Это с первого раза, да с непривычки.

Тут всё просто. На практике контроль над приложениями выглядит так.

Сначала сисадмин устанавливает правила для конкретных программ и их категорий – что можно запускать, что нельзя и что делать с остальными (т.н. «серый» софт). Можно установить единые правила для всех-всех, а можно сделать разные правила для разных групп пользователей. Кстати, для последнего очень пригодится готовая интеграция с Active Directory. Также есть готовые сценарии «Default Allow» («всё разрешить, запретить указанное») и «Default Deny» («всё запретить, разрешить указанное»). Как показывает практика, последнее пользуется особой популярностью :)

Для упрощения задачи создания правил у нас есть готовая «облачная» база данных вайтлистинга, где лежит категоризированная информация о 300+ миллионах проверенных и безопасных файлов (~1 млн. файлов добавляются ежедневно). По недавнему тесту эта база покрывает 94% корпоративного софта. Действительно, нафиг тратить время искать в какие игры играют сотрудники? Проще забанить всю категорию «Игры», а в случае обнаружения какой-то экзотической игрушки, не вошедшей в базу – дописать её туда «ручками».

Есть ещё один интересный вариант – провести автоматическую инвентаризацию установленного софта. Ага, есть и такая чудо-кнопочка. Тоже очень популярная фича – экономит сисадминам уйму времени и даёт делать потрясающие открытия о негодяях, мерзавцах и даже крысах :)

Когда софт проинвентаризирован, прокатегоризирован и готовы правила запуска самое оно сделать тестовый прогон. Это называется «режим проверки правил». Сопоставляя правила с результатами инвентаризации софта система выдаёт отчёт где что отрубится и от кого ждать гневных звонков.

После этого правила централизовано загружаются на все защищаемые компьютеры в сети. Как только пользователь пытается запустить какой-то софт, то локальный антивирус проверяет его статус в базе данных и действует по заданному правилу.

Дальше становится ещё интереснее, поскольку контроль запуска приложений – это далеко не всё, на что способен наш AC!

Во-первых, с помощью управления привилегиями можно задать спектр дозволенных действий для каждого приложения и их категорий. Например, рубить все попытки установить Интернет-соединение для всего софта, кроме официально разрешённого браузера и почтовика. Или запретить доступ к внутренним базам данных – клиентским, партнёрским, складским и т.д. – кроме группы специального ПО.

Во-вторых, в AC есть такая вкусная фича как проверка на уязвимости. Проверка проводится как «на лету» во время запуска приложения, так и по требованию в процессе плановой инвентаризации. В случае выявления «дыр» сисадмин может заблокировать данный софт или установить патч. Сведения об уязвимостях мы берём из 3 источников – у наших партнёров Secunia и Microsoft плюс наши собственные исследования. Сами данные об уязвимостях загружаются вместе с остальными обновлениями.

Теперь смотрим на ту самую «страшную» схему ещё раз.

Вы запускаете какую-то программу. Система проверяет её категорию. Если она в «чёрном списке» (запрещено), то запуск блокируется. Если программа в «белом списке» (разрешено), то система переходит к следующему этапу проверки. Если же срабатывает «серый список» (нет данных), то проводится дополнительный эвристический анализ и по его результатам принимается решение. На следующем этапе система проверяет действия программы, и, если она нарушает запреты, то также блокируется. Наконец, последнее испытание – проверка на уязвимости. Опять же, в зависимости от настроек, можно блокировать, «накрывать» дополнительной защитой или просто пропускать программу. Бинго! Никакой магии, только ловкость бизнес-логики и её реализации.

Контроль над приложениями – штука не новая, но в комплексных security-решениях он стал появляться недавно. Логично, что пока особо нет сведений об эффективности этой фичи. Да, пока что вендоры в основном просто «кидают пальцы»  чья реализация круче. Но вот на днях были опубликованы результаты первого в мире сравнительного тестирования в исполнении West Coast Labs:

[Ещё много интересной инфографики здесь]

Ну, тут без комментариев. Неназванный «четвёртый вендор» (маленький синий кукурузник), просто обоср**ся от своих результатов и потребовал срочно замазать свой бренд. Да и вообще, похоже мы тут вообще единственные, кто реально вкладывается в развитие технологии, хотя поорать об этой фиче всяк горазд.

В общем, ура нашему R&D, продакт-маркетингу, а особенно вайтлист-лабу!

Так держать!

Прочитать комментарии 5
Комментарии 0 Оставить заметку
Обратные ссылки 5

In Update We Trust. | Nota Bene

Читать дальше

Эксплойты, зеродеи, их опасности и её профилактика. | Nota Bene

Читать дальше

Страйк! | Nota Bene

Читать дальше

Разрешить всё запретить. | Nota Bene

Читать дальше

Kaspersky Security для бизнеса business криптография шифрование | Nota Bene — Russian

Читать дальше
Оставить заметку
Facebook

24 апреля, 2024

Очень Ольчанский!

Самое красивое место на трассе «Колыма» — Ольчанский перевал. Вот он на фотках предыдущих поездок из января-2021 и февраля-2022 => Жёстко, морозно, прекрасно…

23 апреля, 2024

Две ночи на «Королеве».

В Дубае для нашей первой международной киберимунной конференции мы выбрали, пожалуй, одно из самых необычных «мест обитания». Настолько необычное, что пребывание в нём заслуживает отдельного поста с подробной экскурсией. Знакомьтесь: корабль Queen Elizabeth 2 (QE2), который после списания был приобретён Эмиратами и переоборудован в настоящую гостиницу.

22 апреля, 2024

Есть первая международная кибериммунная!

Несмотря на все погодные приключения в Дубае, мы всё же успешно провели запланированное мероприятие — первую международную конференцию по кибериммунитету. Что такое кибериммунитет? Это наш подход построения киберсистем, конструктивно безопасных, устойчивых к хакерским атакам. То, что называют «secure by design». Есть много разговоров насчёт того, что это такое, что, мол, программировать надо правильно и секюрно. Что нужны вот такие […]

19 апреля, 2024

Потоп кибериммунитету не помеха.

Всем привет из Дубая! Здесь у нас знаковое мероприятие — первая международная конференция по кибериммунитету. Но этот рассказ мы отложим до следующего раза. А пока что, так сказать, добро пожаловать в Объединённые Арабские Эмираты! Почему «так сказать»? Потому что фотка выше сделана через два дня после катастрофического потопа, заполнившего заголовки и ленты всех СМИ и соцсетей […]

18 апреля, 2024

Еду-пою по пути в Усть-Неру.

Планирование дальнейших рассказов об автопутешествии Якутск-Тикси-Якутск оказалось нетривиальной задачей. Ведь нужно же отметиться по всем сегментам наших передвижений, про дороги и зимники, про обычные и особые моменты пребывания, про где мы жили и как всё это было, а также про всё-всё-остальное, включая, например, цены на топливо, которым мы кормили наши автомашинки. Глядя на предыдущий абзац моих рассказов… Так и тянет […]

17 апреля, 2024

Танки Арктики не боятся.

По следам экспедиции Якутск-Тикси-Якутск мне задают много вопросов о наших средствах передвижения, очевидно отметившихся на фотках прозвучавших рассказов. Как говорится, «хороший вопрос»! Сразу замечу, что машинки и маршрут следования путешествия мы выбирали не самостоятельно. Как, куда и на чём ехать: это нам предложили — без лишней скромности заявляю — лучшие эксперты по арктическому автотранспорту. Это Александр Еликов и Евгений Шаталов. […]

Еще

Блог о путешествиях