Что такое разрешенные списки?


Списки разрешенных приложений, или контроль приложений, — это функция безопасности, которая уменьшает количество вредоносных атак на систему безопасности, позволяя запускать только доверенные файлы, приложения и процессы.

Определение разрешенных списков

Чтобы заблокировать несанкционированные действия, которые потенциально могут инициировать вредоносную атаку, компании используют списки разрешенных приложений, или контроль приложений, для повышения безопасности периметра. Разрешенный список идентифицирует известные файлы, приложения или процессы и разрешает их выполнение. При этом активность неизвестных файлов блокируется или ограничивается, что предотвращает их открытие и распространение в системе или среде в режиме атаки.

Некоторые компании проверяют заблокированные файлы вручную, чтобы одобрить их использование или исправить при необходимости. Тем не менее, передовые решения по обеспечению безопасности конечных устройств могут выполнять процессы создания разрешенных списков в автоматическом режиме. Для этого они используют программные средства управления и политики защиты, которые полностью блокируют и защищают корпоративные ресурсы, интеллектуальную собственность и регулируемые данные. Эти решения сокращают время простоев за счет автоматизации утверждения надежного программного обеспечения и исключения необходимости в управлении разрешенными списками.

Насколько эффективно использование разрешенных списков?

Несмотря на то, что разрешенные списки считаются важным элементом системы безопасности (см. раздел «Тенденции отрасли» ниже), это лишь одно из многих средств, обеспечивающих полную и всестороннюю безопасность конечных устройств.

В сочетании с другими передовыми методами, такими как анализ поведения и машинное обучение, разрешенные списки вносят значительный вклад в блокирование и предотвращение вредоносных атак.

Например, NSS Labs, независимая организация, предоставляющая рекомендации по кибербезопасности, протестировала продукты для расширенной защиты конечных устройств (AEP), чтобы определить их эффективность. Тестирование проводилось с целью проверки возможностей упреждающего блокирования и активного обнаружения известных и неизвестных угроз.

Как следует из выпущенной компанией карты значений безопасности для расширенной защиты конечных устройств за 2017 год, тестирование NSS Labs подтвердило, что можно использовать такие средства, как разрешенные списки и другие возможности обеспечения безопасности конечных устройств, чтобы остановить 100% атак.

Тенденции отрасли: разрешенные списки как одна из базовых стратегий безопасности

Эксперты по безопасности назвали разрешенные списки обязательной и основополагающей стратегией безопасности, способной предотвращать опасные атаки, например атаки с использованием программ-вымогателей.

Кроме того, в статье на сайте CSO высказывается предположение, что создание разрешенных списков в режиме реального времени на основе рекомендаций, баллов репутации и других данных теоретически может «обеспечить практически идеальную безопасность конечных устройств при очень низких расходах на управление».

Портал Help Net Security недавно обнародовал аналогичную точку зрения, высказанную старшим аналитиком компании Gartner в сфере безопасности и конфиденциальности Нилом Макдональдом (Neil MacDonald), по поводу того, как можно использовать разрешенные списки для блокирования вредоносных атак. «Чтобы снизить риск будущих атак, использующих уязвимости всех типов, мы давно выступаем за использование контроля приложений и разрешенных списков на серверах, — отмечает Макдональд. — Если вы еще этого не сделали, пришло время применить стратегию "отказа по умолчанию" для защиты всех типов рабочих нагрузок на серверах: физических, виртуальных, а также размещенных в публичном облаке или в контейнерах. Это должно стать стандартной практикой и приоритетной задачей для всех руководителей в сфере безопасности и управления рисками в 2018 году».

Фил Хаген (Phil Hagen), специалист по стратегиям в области цифровой криминалистики и реагирования на инциденты (DFIR) в компании Red Canary, разрабатывающей решения по безопасности, согласен с Макдональдом. В недавней статье в блоге Хаген отмечает, что «решения для контроля приложений, подобные тем, что предлагает наш партнер Carbon Black, безусловно, являются наиболее существенным шагом к предотвращению угроз, который может предпринять организация. Эта методика гарантирует, что в системах внутри компании могут работать только утвержденные двоичные файлы из соответствующего списка. Независимо от того, является ли полезная нагрузка фишинговой программы заурядной программой-вымогателем или специализированным вредоносным ПО, цена, которую приходится заплатить, если вы стали ее жертвой, как правило, намного превосходит стоимость развертывания и поддержки решения по созданию разрешенных списков».

400 000 машин были заражены программой-вымогателем WannaCry в течение первой недели.

 

Решение: создание динамических разрешенных списков в режиме реального времени

В современном компьютеризированном мире с высокими рисками чрезвычайно важно иметь комплексное решение для обеспечения безопасности конечных устройств, которое позволяет использовать разрешенные списки, чтобы гарантировать постоянную защиту конфиденциальных данных. Разрешенные списки и контроль приложений, базирующиеся на строгих политиках допустимых действий, позволяют осуществлять блокировку важных систем в режиме реального времени, что автоматически предотвращает выполнение всех ненадежных файлов, приложений и процессов. Благодаря этим передовым возможностям компании могут:

останавливать атаки, разрешая запуск только утвержденного программного обеспечения;
автоматизировать утверждение и обновление программного обеспечения с помощью ИТ-политик и политик, регулирующих облачные среды;
предотвращать нежелательные изменения в конфигурации системы на уровне ядра и режима пользователя;
обеспечивать возможности управления устройствами, а также мониторинг и контроль целостности файлов (FIM/FIC);
обеспечивать соответствие основным нормативным требованиям в отношении средств управления ИТ-рисками и аудита.

Дополнительные ресурсы

Защита приложений и данных с помощью встроенной системы безопасности

Встроенная система безопасности — это принципиально новый подход к защите вашего бизнеса.

VMware NSX Service-defined Firewall

Используйте распределенный внутренний брандмауэр уровня 7 с сохранением состояния на базе NSX для защиты трафика в ЦОД для виртуальных, физических и облачных рабочих нагрузок, а также рабочих нагрузок в контейнерах.

Современная платформа цифровой рабочей области

VMware Workspace ONE — это аналитическая платформа цифровой рабочей области, обеспечивающая удобное и безопасное предоставление и администрирование любых приложений на любом устройстве.