Стой! Кто идёт? или Таблетка №3.

У безопасников, сисадминов, эникейщиков и вообще всех, кто по долгу службы холит и лелеет корпоративные сети — у них всех много головняка. ОЧЕНЬ много. И главный источник траблов, конечно, пользователи. Десятки, сотни, тысячи (это уже как кому повезёт) пользователей, у которых 24 часа в сутки есть проблемы. Ну, а мы в меру ресурсов, сферы компетенции и приоритетов всячески помогаем «фронтовикам» с головняком бороться. И сейчас расскажем об одной очень полезной таблетке, которая отлично вписывается в эту стратегию борьбы.

На самом деле таблетки целых три. Но все для одной и той же болячки – помощь в контроле над пользователями. Как полезный побочный эффект — исполнение централизованной политики IT-безопасности, защита от дурака и автоматизация «обезьяньей» работы (ура!). Ага, речь о трёх новых фичах новой версии нашего корпоративного продукта Endpoint Security 8: контроль над приложениями, контроль над подключаемыми устройствами и веб-контроль. Тема этого поста – контроль над приложениями (дальше «» — application control).

Вообще гигиена рабочего компьютера – тема больная. Пользователи склонны скачать какой-нибудь сомнительный «кул варез», поставить, погонять и забыть. В итоге через полгода компук превращается в немыслимый зоопарк всякого софта и начинает жутко глючить и тормозить. Это не говоря уже о том, что тот самый «кул варез» может быть завирусованным, пиратским или контрпродуктивным.

Борются с этой напастью по-разному. Кое-где грозят пальцем и на веру строго-настрого запрещают устанавливать программы самостоятельно. Кое-где разными способами просто отрубают такую возможность. Компромисс между этими двумя крайностями как раз и есть .

И как же эта штука работает?

У нашего есть 3 основные функции:

  • Ограничение запуска приложений
  • Управление привилегиями приложений
  • Проверка приложений на уязвимости

И все они укладываются вот в такую «страшную» схему:

Схема, конечно, ни разу не страшная. Это с первого раза, да с непривычки.

Тут всё просто. На практике контроль над приложениями выглядит так.

Сначала сисадмин устанавливает правила для конкретных программ и их категорий – что можно запускать, что нельзя и что делать с остальными (т.н. «серый» софт). Можно установить единые правила для всех-всех, а можно сделать разные правила для разных групп пользователей. Кстати, для последнего очень пригодится готовая интеграция с Active Directory. Также есть готовые сценарии «Default Allow» («всё разрешить, запретить указанное») и «Default Deny» («всё запретить, разрешить указанное»). Как показывает практика, последнее пользуется особой популярностью :)

Для упрощения задачи создания правил у нас есть готовая «облачная» база данных вайтлистинга, где лежит категоризированная информация о 300+ миллионах проверенных и безопасных файлов (~1 млн. файлов добавляются ежедневно). По недавнему тесту эта база покрывает 94% корпоративного софта. Действительно, нафиг тратить время искать в какие игры играют сотрудники? Проще забанить всю категорию «Игры», а в случае обнаружения какой-то экзотической игрушки, не вошедшей в базу – дописать её туда «ручками».

Есть ещё один интересный вариант – провести автоматическую инвентаризацию установленного софта. Ага, есть и такая чудо-кнопочка. Тоже очень популярная фича – экономит сисадминам уйму времени и даёт делать потрясающие открытия о негодяях, мерзавцах и даже крысах :)

Когда софт проинвентаризирован, прокатегоризирован и готовы правила запуска самое оно сделать тестовый прогон. Это называется «режим проверки правил». Сопоставляя правила с результатами инвентаризации софта система выдаёт отчёт где что отрубится и от кого ждать гневных звонков.

После этого правила централизовано загружаются на все защищаемые компьютеры в сети. Как только пользователь пытается запустить какой-то софт, то локальный антивирус проверяет его статус в базе данных и действует по заданному правилу.

Дальше становится ещё интереснее, поскольку контроль запуска приложений – это далеко не всё, на что способен наш AC!

Во-первых, с помощью управления привилегиями можно задать спектр дозволенных действий для каждого приложения и их категорий. Например, рубить все попытки установить Интернет-соединение для всего софта, кроме официально разрешённого браузера и почтовика. Или запретить доступ к внутренним базам данных – клиентским, партнёрским, складским и т.д. – кроме группы специального ПО.

Во-вторых, в AC есть такая вкусная фича как проверка на уязвимости. Проверка проводится как «на лету» во время запуска приложения, так и по требованию в процессе плановой инвентаризации. В случае выявления «дыр» сисадмин может заблокировать данный софт или установить патч. Сведения об уязвимостях мы берём из 3 источников – у наших партнёров Secunia и Microsoft плюс наши собственные исследования. Сами данные об уязвимостях загружаются вместе с остальными обновлениями.

Теперь смотрим на ту самую «страшную» схему ещё раз.

Вы запускаете какую-то программу. Система проверяет её категорию. Если она в «чёрном списке» (запрещено), то запуск блокируется. Если программа в «белом списке» (разрешено), то система переходит к следующему этапу проверки. Если же срабатывает «серый список» (нет данных), то проводится дополнительный эвристический анализ и по его результатам принимается решение. На следующем этапе система проверяет действия программы, и, если она нарушает запреты, то также блокируется. Наконец, последнее испытание – проверка на уязвимости. Опять же, в зависимости от настроек, можно блокировать, «накрывать» дополнительной защитой или просто пропускать программу. Бинго! Никакой магии, только ловкость бизнес-логики и её реализации.

Контроль над приложениями – штука не новая, но в комплексных security-решениях он стал появляться недавно. Логично, что пока особо нет сведений об эффективности этой фичи. Да, пока что вендоры в основном просто «кидают пальцы»  чья реализация круче. Но вот на днях были опубликованы результаты первого в мире сравнительного тестирования в исполнении West Coast Labs:

[Ещё много интересной инфографики здесь]

Ну, тут без комментариев. Неназванный «четвёртый вендор» (маленький синий кукурузник), просто обоср**ся от своих результатов и потребовал срочно замазать свой бренд. Да и вообще, похоже мы тут вообще единственные, кто реально вкладывается в развитие технологии, хотя поорать об этой фиче всяк горазд.

В общем, ура нашему R&D, продакт-маркетингу, а особенно вайтлист-лабу!

Так держать!

Прочитать комментарии 5
Комментарии 0 Оставить заметку
Обратные ссылки 5

In Update We Trust. | Nota Bene

Эксплойты, зеродеи, их опасности и её профилактика. | Nota Bene

Страйк! | Nota Bene

Разрешить всё запретить. | Nota Bene

Kaspersky Security для бизнеса business криптография шифрование | Nota Bene — Russian

Оставить заметку
  • RT @campuscodi: Norsk Hydro, one of the world's largest aluminium producers, revealed today that it "became victim of an extensive cyber-at…
    6 часов назад