Стой! Кто идёт? или Таблетка №3.

Previous Entry Поделиться Next Entry
27 февраля, 2012
e_kaspersky
У безопасников, сисадминов, эникейщиков и вообще всех, кто по долгу службы холит и лелеет корпоративные сети - у них всех много головняка. ОЧЕНЬ много. И главный источник траблов, конечно, пользователи. Десятки, сотни, тысячи (это уже как кому повезёт) пользователей, у которых 24 часа в сутки есть проблемы. Ну, а мы в меру ресурсов, сферы компетенции и приоритетов всячески помогаем «фронтовикам» с головняком бороться. И сейчас расскажем об одной очень полезной таблетке, которая отлично вписывается в эту стратегию борьбы.

На самом деле таблетки целых три. Но все для одной и той же болячки – помощь в контроле над пользователями. Как полезный побочный эффект - исполнение централизованной политики IT-безопасности, защита от дурака и автоматизация «обезьяньей» работы (ура!). Ага, речь о трёх новых фичах новой версии нашего корпоративного продукта Endpoint Security 8: контроль над приложениями, контроль над подключаемыми устройствами и веб-контроль. Тема этого поста – контроль над приложениями (дальше “” - application control).

Вообще гигиена рабочего компьютера – тема больная. Пользователи склонны скачать какой-нибудь сомнительный «кул варез», поставить, погонять и забыть. В итоге через полгода компук превращается в немыслимый зоопарк всякого софта и начинает жутко глючить и тормозить. Это не говоря уже о том, что тот самый «кул варез» может быть завирусованным, пиратским или контрпродуктивным.

Борются с этой напастью по-разному. Кое-где грозят пальцем и на веру строго-настрого запрещают устанавливать программы самостоятельно. Кое-где разными способами просто отрубают такую возможность. Компромисс между этими двумя крайностями как раз и есть .

И как же эта штука работает?

У нашего есть 3 основные функции:

  • Ограничение запуска приложений

  • Управление привилегиями приложений

  • Проверка приложений на уязвимости


И все они укладываются вот в такую «страшную» схему:


Схема, конечно, ни разу не страшная. Это с первого раза, да с непривычки.

Тут всё просто. На практике контроль над приложениями выглядит так.

Сначала сисадмин устанавливает правила для конкретных программ и их категорий – что можно запускать, что нельзя и что делать с остальными (т.н. «серый» софт). Можно установить единые правила для всех-всех, а можно сделать разные правила для разных групп пользователей. Кстати, для последнего очень пригодится готовая интеграция с Active Directory. Также есть готовые сценарии “Default Allow” («всё разрешить, запретить указанное») и “Default Deny” («всё запретить, разрешить указанное»). Как показывает практика, последнее пользуется особой популярностью :)

Для упрощения задачи создания правил у нас есть готовая «облачная» база данных вайтлистинга, где лежит категоризированная информация о 300+ миллионах проверенных и безопасных файлов (~1 млн. файлов добавляются ежедневно). По недавнему тесту эта база покрывает 94% корпоративного софта. Действительно, нафиг тратить время искать в какие игры играют сотрудники? Проще забанить всю категорию «Игры», а в случае обнаружения какой-то экзотической игрушки, не вошедшей в базу – дописать её туда «ручками».

Есть ещё один интересный вариант – провести автоматическую инвентаризацию установленного софта. Ага, есть и такая чудо-кнопочка. Тоже очень популярная фича – экономит сисадминам уйму времени и даёт делать потрясающие открытия о негодяях, мерзавцах и даже крысах :)

Когда софт проинвентаризирован, прокатегоризирован и готовы правила запуска самое оно сделать тестовый прогон. Это называется «режим проверки правил». Сопоставляя правила с результатами инвентаризации софта система выдаёт отчёт где что отрубится и от кого ждать гневных звонков.

После этого правила централизовано загружаются на все защищаемые компьютеры в сети. Как только пользователь пытается запустить какой-то софт, то локальный антивирус проверяет его статус в базе данных и действует по заданному правилу.


Дальше становится ещё интереснее, поскольку контроль запуска приложений – это далеко не всё, на что способен наш AC!

Во-первых, с помощью управления привилегиями можно задать спектр дозволенных действий для каждого приложения и их категорий. Например, рубить все попытки установить Интернет-соединение для всего софта, кроме официально разрешённого браузера и почтовика. Или запретить доступ к внутренним базам данных – клиентским, партнёрским, складским и т.д. – кроме группы специального ПО.

Во-вторых, в AC есть такая вкусная фича как проверка на уязвимости. Проверка проводится как «на лету» во время запуска приложения, так и по требованию в процессе плановой инвентаризации. В случае выявления «дыр» сисадмин может заблокировать данный софт или установить патч. Сведения об уязвимостях мы берём из 3 источников – у наших партнёров Secunia и Microsoft плюс наши собственные исследования. Сами данные об уязвимостях загружаются вместе с остальными обновлениями.

Теперь смотрим на ту самую «страшную» схему ещё раз.

Вы запускаете какую-то программу. Система проверяет её категорию. Если она в «чёрном списке» (запрещено), то запуск блокируется. Если программа в «белом списке» (разрешено), то система переходит к следующему этапу проверки. Если же срабатывает «серый список» (нет данных), то проводится дополнительный эвристический анализ и по его результатам принимается решение. На следующем этапе система проверяет действия программы, и, если она нарушает запреты, то также блокируется. Наконец, последнее испытание – проверка на уязвимости. Опять же, в зависимости от настроек, можно блокировать, «накрывать» дополнительной защитой или просто пропускать программу. Бинго! Никакой магии, только ловкость бизнес-логики и её реализации.

Контроль над приложениями – штука не новая, но в комплексных security-решениях он стал появляться недавно. Логично, что пока особо нет сведений об эффективности этой фичи. Да, пока что вендоры в основном просто «кидают пальцы»  чья реализация круче. Но вот на днях были опубликованы результаты первого в мире сравнительного тестирования в исполнении West Coast Labs:



[Ещё много интересной инфографики здесь]

Ну, тут без комментариев. Неназванный «четвёртый вендор» (маленький синий кукурузник), просто обоср**ся от своих результатов и потребовал срочно замазать свой бренд. Да и вообще, похоже мы тут вообще единственные, кто реально вкладывается в развитие технологии, хотя поорать об этой фиче всяк горазд.

В общем, ура нашему R&D, продакт-маркетингу, а особенно вайтлист-лабу!


Так держать!
Метки:
Previous Entry Поделиться Next Entry
Евгений, а как обстоят дела с контролем доступа к устройствам. Планируется развитие приложения до уровня конкурента DeviceLock? И планируется ли сертификация продукта(152 фз).Планируете ли в KES теневое копирование информации, переносимой на накопители и снифинг переписки по icq и прочим мессенджерам?

И еще вопрос. Для сноса\установки KES используется пароль. Что впринципе не особо удобно. Есть в планах выполнять данную процедуру без использования пароля, а скажем, по принадлежности пользователя к определенной группе в АД.? Т.е. проще внести пользователя(сисадмина) в группу нежели использовать пароль.

(Удалённый комментарий)
Абсолютное незнание продукта о котором говорите ;)

Даже неинтересно по пунктам комментировать ;)

Уже ни о чем
Пост на который я ответил уже удален


Евгений, хотел-бы у вас поинтересоваться о планах по развитию антивируса для Cisco роутеров. Протестировал ваше решение, и впечатления неоднозначные. С одной стороны решение "настроил и забыл", с другой стороны, сама настройка в стиле "радость красноглазика" не порадовала. Планируется-ли приведение интерфейса к виду cisco style? Так-же интересует организация отказоустойчивого кластера на основе этого решения. Планируются-ли какие-то шаги в этом направлении?

А можно помечтать?) Например начать проверку с конца, то есть программу проверить на уязвимость,здесь можно например, опять же очень упрощённо,выделить библиотеку модулей или возможные сбои. Потом перейти на "серый уровень", то есть смотреть ещё на возможные сбои, а потом прейти на "белый уровень". Опять же здесь сразу разграничить "чёрный уровень" и "белый уровень". И потом на "чёрном уровне" уже точно знаешь где сбои, определённые на уровне проверки уязвимости.Как-то так.

А можно помечтать?) Например начать проверку с конца, то есть программу проверить на уязвимость,здесь можно например, опять же очень упрощённо,выделить библиотеку модулей или возможные сбои. Потом перейти на "серый уровень", то есть смотреть ещё на возможные сбои, а потом прейти на "белый уровень". Опять же здесь сразу разграничить "чёрный уровень" и "белый уровень". И потом на "чёрном уровне" уже точно знаешь где сбои, определённые на уровне проверки уязвимости.Как-то так.

?

Log in

No account? Create an account