Стой! Кто идёт? или Таблетка №3.

У безопасников, сисадминов, эникейщиков и вообще всех, кто по долгу службы холит и лелеет корпоративные сети – у них всех много головняка. ОЧЕНЬ много. И главный источник траблов, конечно, пользователи. Десятки, сотни, тысячи (это уже как кому повезёт) пользователей, у которых 24 часа в сутки есть проблемы. Ну, а мы в меру ресурсов, сферы компетенции и приоритетов всячески помогаем «фронтовикам» с головняком бороться. И сейчас расскажем об одной очень полезной таблетке, которая отлично вписывается в эту стратегию борьбы.

На самом деле таблетки целых три. Но все для одной и той же болячки – помощь в контроле над пользователями. Как полезный побочный эффект – исполнение централизованной политики IT-безопасности, защита от дурака и автоматизация «обезьяньей» работы (ура!). Ага, речь о трёх новых фичах новой версии нашего корпоративного продукта Endpoint Security 8: контроль над приложениями, контроль над подключаемыми устройствами и веб-контроль. Тема этого поста – контроль над приложениями (дальше “” – application control).

Вообще гигиена рабочего компьютера – тема больная. Пользователи склонны скачать какой-нибудь сомнительный «кул варез», поставить, погонять и забыть. В итоге через полгода компук превращается в немыслимый зоопарк всякого софта и начинает жутко глючить и тормозить. Это не говоря уже о том, что тот самый «кул варез» может быть завирусованным, пиратским или контрпродуктивным.

Борются с этой напастью по-разному. Кое-где грозят пальцем и на веру строго-настрого запрещают устанавливать программы самостоятельно. Кое-где разными способами просто отрубают такую возможность. Компромисс между этими двумя крайностями как раз и есть .

И как же эта штука работает?

У нашего есть 3 основные функции:

  • Ограничение запуска приложений
  • Управление привилегиями приложений
  • Проверка приложений на уязвимости

И все они укладываются вот в такую «страшную» схему:

Схема, конечно, ни разу не страшная. Это с первого раза, да с непривычки.

Тут всё просто. На практике контроль над приложениями выглядит так.

Сначала сисадмин устанавливает правила для конкретных программ и их категорий – что можно запускать, что нельзя и что делать с остальными (т.н. «серый» софт). Можно установить единые правила для всех-всех, а можно сделать разные правила для разных групп пользователей. Кстати, для последнего очень пригодится готовая интеграция с Active Directory. Также есть готовые сценарии “Default Allow” («всё разрешить, запретить указанное») и “Default Deny” («всё запретить, разрешить указанное»). Как показывает практика, последнее пользуется особой популярностью :)

Для упрощения задачи создания правил у нас есть готовая «облачная» база данных вайтлистинга, где лежит категоризированная информация о 300+ миллионах проверенных и безопасных файлов (~1 млн. файлов добавляются ежедневно). По недавнему тесту эта база покрывает 94% корпоративного софта. Действительно, нафиг тратить время искать в какие игры играют сотрудники? Проще забанить всю категорию «Игры», а в случае обнаружения какой-то экзотической игрушки, не вошедшей в базу – дописать её туда «ручками».

Есть ещё один интересный вариант – провести автоматическую инвентаризацию установленного софта. Ага, есть и такая чудо-кнопочка. Тоже очень популярная фича – экономит сисадминам уйму времени и даёт делать потрясающие открытия о негодяях, мерзавцах и даже крысах :)

Когда софт проинвентаризирован, прокатегоризирован и готовы правила запуска самое оно сделать тестовый прогон. Это называется «режим проверки правил». Сопоставляя правила с результатами инвентаризации софта, система выдаёт отчёт где что отрубится и от кого ждать гневных звонков.

После этого правила централизовано загружаются на все защищаемые компьютеры в сети. Как только пользователь пытается запустить какой-то софт, то локальный антивирус проверяет его статус в базе данных и действует по заданному правилу.

Дальше становится ещё интереснее, поскольку контроль запуска приложений – это далеко не всё, на что способен наш AC!

Во-первых, с помощью управления привилегиями можно задать спектр дозволенных действий для каждого приложения и их категорий. Например, рубить все попытки установить Интернет-соединение для всего софта, кроме официально разрешённого браузера и почтовика. Или запретить доступ к внутренним базам данных – клиентским, партнёрским, складским и т.д. – кроме группы специального ПО.

Во-вторых, в AC есть такая вкусная фича как проверка на уязвимости. Проверка проводится как «на лету» во время запуска приложения, так и по требованию в процессе плановой инвентаризации. В случае выявления «дыр» сисадмин может заблокировать данный софт или установить патч. Сведения об уязвимостях мы берём из 3 источников – у наших партнёров Secunia и Microsoft плюс наши собственные исследования. Сами данные об уязвимостях загружаются вместе с остальными обновлениями.

Теперь смотрим на ту самую «страшную» схему ещё раз.

Вы запускаете какую-то программу. Система проверяет её категорию. Если она в «чёрном списке» (запрещено), то запуск блокируется. Если программа в «белом списке» (разрешено), то система переходит к следующему этапу проверки. Если же срабатывает «серый список» (нет данных), то проводится дополнительный эвристический анализ и по его результатам принимается решение. На следующем этапе система проверяет действия программы, и, если она нарушает запреты, то также блокируется. Наконец, последнее испытание – проверка на уязвимости. Опять же, в зависимости от настроек, можно блокировать, «накрывать» дополнительной защитой или просто пропускать программу. Бинго! Никакой магии, только ловкость бизнес-логики и её реализации.

Контроль над приложениями – штука не новая, но в комплексных security-решениях он стал появляться недавно. Логично, что пока особо нет сведений об эффективности этой фичи. Да, пока что вендоры в основном просто «кидают пальцы»  чья реализация круче. Но вот на днях были опубликованы результаты первого в мире сравнительного тестирования в исполнении West Coast Labs:

[Ещё много интересной инфографики здесь]

Ну, тут без комментариев. Неназванный «четвёртый вендор» (маленький синий кукурузник), просто обоср**ся от своих результатов и потребовал срочно замазать свой бренд. Да и вообще, похоже мы тут вообще единственные, кто реально вкладывается в развитие технологии, хотя поорать об этой фиче всяк горазд.

В общем, ура нашему R&D, продакт-маркетингу, а особенно вайтлист-лабу!

Так держать!

Trackbacks/Pingbacks

  1. In Update We Trust. | Nota Bene - May 2, 2012

    […] Помните мой недавний пост по проблеме контроля над приложениями? […]

  2. Эксплойты, зеродеи, их опасности и её профилактика. | Nota Bene - May 25, 2012

    […] репутационные облачные сервисы, вайтлистинг, application control, целый спектр проактивных технологий… А во-вторых, […]

  3. Страйк! | Nota Bene - September 24, 2012

    […] защиты и защиты виртуальных сейфов от Matousec, тест функции Application Control от West Coast Labs и свежий тест мобильных […]

  4. Разрешить всё запретить. | Nota Bene - September 28, 2012

    […] что явно не разрешено» (Default Deny – я уже кратко писал о нём). Как вы догадываетесь, это две противоположные […]

  5. Каша из топора. | Nota Bene - January 24, 2013

    […] тестерам называть продукты собственными именами, а прятаться за «Продукт-1», «Продукт-2». А зачем участвовать, если в […]

  6. Больше, чем просто больше, чем антивирус. | Nota Bene - February 19, 2013

    […] прокачанная технология контроля приложений (Application Control) с поддержкой режима работы «Запрет по […]

Оставить комментарий

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: