27 февраля, 2012

Стой! Кто идёт? или Таблетка №3.

У безопасников, сисадминов, эникейщиков и вообще всех, кто по долгу службы холит и лелеет корпоративные сети — у них всех много головняка. ОЧЕНЬ много. И главный источник траблов, конечно, пользователи. Десятки, сотни, тысячи (это уже как кому повезёт) пользователей, у которых 24 часа в сутки есть проблемы. Ну, а мы в меру ресурсов, сферы компетенции и приоритетов всячески помогаем «фронтовикам» с головняком бороться. И сейчас расскажем об одной очень полезной таблетке, которая отлично вписывается в эту стратегию борьбы.

На самом деле таблетки целых три. Но все для одной и той же болячки – помощь в контроле над пользователями. Как полезный побочный эффект — исполнение централизованной политики IT-безопасности, защита от дурака и автоматизация «обезьяньей» работы (ура!). Ага, речь о трёх новых фичах новой версии нашего корпоративного продукта Endpoint Security 8: контроль над приложениями, контроль над подключаемыми устройствами и веб-контроль. Тема этого поста – контроль над приложениями (дальше «» — application control).

Вообще гигиена рабочего компьютера – тема больная. Пользователи склонны скачать какой-нибудь сомнительный «кул варез», поставить, погонять и забыть. В итоге через полгода компук превращается в немыслимый зоопарк всякого софта и начинает жутко глючить и тормозить. Это не говоря уже о том, что тот самый «кул варез» может быть завирусованным, пиратским или контрпродуктивным.

Борются с этой напастью по-разному. Кое-где грозят пальцем и на веру строго-настрого запрещают устанавливать программы самостоятельно. Кое-где разными способами просто отрубают такую возможность. Компромисс между этими двумя крайностями как раз и есть .

И как же эта штука работает?

У нашего есть 3 основные функции:

  • Ограничение запуска приложений
  • Управление привилегиями приложений
  • Проверка приложений на уязвимости

И все они укладываются вот в такую «страшную» схему:

Схема, конечно, ни разу не страшная. Это с первого раза, да с непривычки.

Тут всё просто. На практике контроль над приложениями выглядит так.

Сначала сисадмин устанавливает правила для конкретных программ и их категорий – что можно запускать, что нельзя и что делать с остальными (т.н. «серый» софт). Можно установить единые правила для всех-всех, а можно сделать разные правила для разных групп пользователей. Кстати, для последнего очень пригодится готовая интеграция с Active Directory. Также есть готовые сценарии «Default Allow» («всё разрешить, запретить указанное») и «Default Deny» («всё запретить, разрешить указанное»). Как показывает практика, последнее пользуется особой популярностью :)

Для упрощения задачи создания правил у нас есть готовая «облачная» база данных вайтлистинга, где лежит категоризированная информация о 300+ миллионах проверенных и безопасных файлов (~1 млн. файлов добавляются ежедневно). По недавнему тесту эта база покрывает 94% корпоративного софта. Действительно, нафиг тратить время искать в какие игры играют сотрудники? Проще забанить всю категорию «Игры», а в случае обнаружения какой-то экзотической игрушки, не вошедшей в базу – дописать её туда «ручками».

Есть ещё один интересный вариант – провести автоматическую инвентаризацию установленного софта. Ага, есть и такая чудо-кнопочка. Тоже очень популярная фича – экономит сисадминам уйму времени и даёт делать потрясающие открытия о негодяях, мерзавцах и даже крысах :)

Когда софт проинвентаризирован, прокатегоризирован и готовы правила запуска самое оно сделать тестовый прогон. Это называется «режим проверки правил». Сопоставляя правила с результатами инвентаризации софта система выдаёт отчёт где что отрубится и от кого ждать гневных звонков.

После этого правила централизовано загружаются на все защищаемые компьютеры в сети. Как только пользователь пытается запустить какой-то софт, то локальный антивирус проверяет его статус в базе данных и действует по заданному правилу.

Дальше становится ещё интереснее, поскольку контроль запуска приложений – это далеко не всё, на что способен наш AC!

Во-первых, с помощью управления привилегиями можно задать спектр дозволенных действий для каждого приложения и их категорий. Например, рубить все попытки установить Интернет-соединение для всего софта, кроме официально разрешённого браузера и почтовика. Или запретить доступ к внутренним базам данных – клиентским, партнёрским, складским и т.д. – кроме группы специального ПО.

Во-вторых, в AC есть такая вкусная фича как проверка на уязвимости. Проверка проводится как «на лету» во время запуска приложения, так и по требованию в процессе плановой инвентаризации. В случае выявления «дыр» сисадмин может заблокировать данный софт или установить патч. Сведения об уязвимостях мы берём из 3 источников – у наших партнёров Secunia и Microsoft плюс наши собственные исследования. Сами данные об уязвимостях загружаются вместе с остальными обновлениями.

Теперь смотрим на ту самую «страшную» схему ещё раз.

Вы запускаете какую-то программу. Система проверяет её категорию. Если она в «чёрном списке» (запрещено), то запуск блокируется. Если программа в «белом списке» (разрешено), то система переходит к следующему этапу проверки. Если же срабатывает «серый список» (нет данных), то проводится дополнительный эвристический анализ и по его результатам принимается решение. На следующем этапе система проверяет действия программы, и, если она нарушает запреты, то также блокируется. Наконец, последнее испытание – проверка на уязвимости. Опять же, в зависимости от настроек, можно блокировать, «накрывать» дополнительной защитой или просто пропускать программу. Бинго! Никакой магии, только ловкость бизнес-логики и её реализации.

Контроль над приложениями – штука не новая, но в комплексных security-решениях он стал появляться недавно. Логично, что пока особо нет сведений об эффективности этой фичи. Да, пока что вендоры в основном просто «кидают пальцы»  чья реализация круче. Но вот на днях были опубликованы результаты первого в мире сравнительного тестирования в исполнении West Coast Labs:

[Ещё много интересной инфографики здесь]

Ну, тут без комментариев. Неназванный «четвёртый вендор» (маленький синий кукурузник), просто обоср**ся от своих результатов и потребовал срочно замазать свой бренд. Да и вообще, похоже мы тут вообще единственные, кто реально вкладывается в развитие технологии, хотя поорать об этой фиче всяк горазд.

В общем, ура нашему R&D, продакт-маркетингу, а особенно вайтлист-лабу!

Так держать!

Прочитать комментарии 5
Комментарии 0 Оставить заметку
Обратные ссылки 5

In Update We Trust. | Nota Bene

Читать дальше

Эксплойты, зеродеи, их опасности и её профилактика. | Nota Bene

Читать дальше

Страйк! | Nota Bene

Читать дальше

Разрешить всё запретить. | Nota Bene

Читать дальше

Kaspersky Security для бизнеса business криптография шифрование | Nota Bene — Russian

Читать дальше
Оставить заметку
Facebook

21 ноября, 2024

Алжирский дневник или в Африку преступников ловить.

Всем привет из северной Африки, а точнее из Алжира! Это +1 страна в моём списке. Итого, у меня в активе сейчас 106 зарубежных стран. Ура! Это вторая новая страна за год, следом за Филиппинами. Вид на столицу, которая называется так же, как и само государство: Алжир.

20 ноября, 2024

Под небом Поднебесной — 2024. Ну, понеслось!

Ещё не успел закруглить тему летнего путешествия по Камчатке, а вот уже и подоспели фотки-рассказы-прочее о новом приключении — уже почти традиционной осенней поездке по Китаю (немного спойлеров уже отгружено по вот этому тэгу). Что интересно, у этой повествовательной серии нет ничего общего с Камчаткой, посему надеюсь, что вам будет особо интересно :) Ну, понеслось! Самое красивое […]

19 ноября, 2024

Камчатка-2024: пожалуй, самые лучшие фото. Том первый.

Много фотографий было сделано во время летнего путешествия на Камчатку-2024, очень много. Часть из них я уже опубликовал, и вы их могли видеть. Но некоторые, лучшие, были отложены на потом. Вот теперь это «потом» настало, и пришло время их показать. Самые они лучшие или не очень самые – не мне судить. Просто сложилось так, что они вот […]

18 ноября, 2024

Камчатка-2024: дорога домой или земля в иллюминаторе.

Прощальный перелёт дал ещё разок полюбоваться на красоты Камчатки. И всё на этом. Стандартный маршрут отпускника: город, рынок, закупиться икрой и рыбой, аэропорт, самолёт. Кстати, в Петропавловск-Камчатский всё больше и больше авиарейсов. И терминал новый активно строится, уже в 2025-м должен открыться. Растёт популярность региона у туристических масс! Улетаем. «Домашние» вулканы торчат сквозь облака. То есть даже если […]

15 ноября, 2024

Вертолётная радость Камчатки-2024.

За без малого три недели летнего отпуска мы осмотрели (облетели) практически всю самую интересную Камчатку. И без своего вертолёта такое здесь просто невозможно. Уверяю вас как туристический эксперт по практически всей Камчатке. :-) Уверен, что мои самые разные попутчики тоже с этим согласятся:

14 ноября, 2024

Практически полная роскошность Камчатки-2024: прощальный полёт.

Наступает момент, когда воспоминания даже о самой мощной и практически полностью роскошной поездке на Камчатку летом-2024 начинают иссякать. Можно подводить итоги. Почему роскошной эта поездка была практически полностью, а не целиком? Просто потому, что неделю из трёх от графика у нас напрочь откусила гнусная погода! С другой стороны, любой опытный камчатский путешественник вам скажет, что […]

Еще

Блог о путешествиях