Białe listy: kontrola środowiska aplikacyjnego
- Józef Muszyński,
- 30.07.2012, godz. 09:00
Wybór mechanizmów
Obecnie programy wykorzystujące technikę białych list zawierają mechanizmy wykraczające poza tradycyjne blokowanie plików i programów. Administratorzy mogą indywidualnie definiować, które programy powinny być dopuszczone do pracy, a niektóre rozwiązania zapewniają rozbudowane listy predefiniowanych legalnych programów. Lista dopuszczonych plików jest tworzona poprzez proces przeglądania i wyszukiwania oprogramowania dostarczanego przez popularnych producentów. Niektóre z tych list mogą zawierać miliony pozycji, co powinno ułatwić zdefiniowanie tych, które mogą być dopuszczone.
Jest to szybki i niewymagający zbyt wielkiego wysiłku sposób na ochronę przed najgroźniejszymi, znanymi malware oraz przed uruchamianiem niepożądanego oprogramowania.
Obsługiwane typy plików. Przy wprowadzeniu białych (lub czarnych) list, bardzo ważne jest rozpoznanie, jakie typy programów i plików mogą one dopuszczać lub blokować. Większość obsługuje rozszerzenia: .exe, .com, .sys i .dll; inne blokują różne typy skryptów: JavaScript, VBScript, pliki hostujące Windows Scripting (.whs, .ws, .cs) itp. Niektóre mogą blokować główny silnik skryptów (script.exe, WScript.exe, itp.), a jeszcze inne indywidualne komponenty skryptów.
Wiele programów białych list ma problemy z kontrolowaniem środowisk, takich jak Sun Java czy Microsoft .Net Framework. Niektóre mogą kontrolować tylko całe takie środowisko, inne - indywidualne aplikacje w tym środowisku; część może kontrolować poszczególne makra aplikacji, inne - nie; niektóre - aplety ActiveX, inne nie.
• Jasne określenie celów: czego się oczekuje od białych list?
• Czy chcemy zminimalizowania złośliwych uruchomień, czy też niższego TCO?
• Czy mają być implementowane białe listy, czarne listy czy obie?
• Jakie klienty i platformy mają uwzględniać?
• Czy obejmą stacje robocze i serwer, czy również urządzenia mobilne?
• Czy celem jest ochrona całego przedsiębiorstwa, czy tylko niektórych lokalizacji lub segmentów biznesu?
• Czy oczekuje się, że wszyscy użytkownicy i komputery będą kontrolowani przez białe listy, czy tylko określone grupy?
Kontrolowanie procesów potomnych. Inną ważną kwestią jest zakres ochrony procesów potomnych wyzwalanych przez programy. Kiedy jakiś proces uruchamia inny, to pierwszy jest określany jako macierzysty, a drugi jako potomny. Hakerzy do uruchamiania niepożądanych (blokowanych) programów używają najczęściej programów uprzywilejowanych i dopuszczonych.
Na wczesnym etapie rozwoju większość programów białych list słabo chroniła przed procesami potomnymi, ale obecnie robi to znacznie skuteczniej, co nie znaczy, że zawsze doskonale. Przy wyborze rozwiązania warto więc spytać dostawcę o ochronę przed atakami procesów potomnych, a jeżeli odpowiedź jest pozytywna - sprawdzić te funkcje samemu.