Внедрение контроля приложений

[Carder]

Введение​

Контроль приложений - одна из наиболее эффективных стратегий смягчения последствий в обеспечении безопасности систем. Таким образом, контроль приложений является частью восьмерки основных стратегий смягчения инцидентов кибербезопасности.
В этом документе содержится руководство о том, что такое управление приложениями, а что нет, и как реализовать управление приложениями.

Что такое контроль приложений​

Контроль приложений - это подход к обеспечению безопасности, предназначенный для защиты от вредоносного кода (также известного как вредоносное ПО), выполняемого в системах. При правильной реализации он гарантирует, что могут выполняться только утвержденные приложения (например, исполняемые файлы, библиотеки программного обеспечения, сценарии и установщики).
Хотя контроль приложений в первую очередь предназначен для предотвращения выполнения и распространения вредоносного кода, он также может предотвратить установку или использование неутвержденных приложений.

Какого контроля приложений нет​

Следующие подходы не считаются контролем приложений:

• предоставление портала или других средств установки для утвержденных приложений
• использование веб-фильтров или фильтров содержимого электронной почты, чтобы пользователи не могли загружать приложения из Интернета
• проверка репутации приложения с помощью облачного сервиса перед его запуском
• использование межсетевого экрана нового поколения для определения того, создается ли сетевой трафик утвержденным приложением.

Как реализовать контроль приложений​

Внедрение управления приложениями включает следующие этапы высокого уровня:

• определение одобренных приложений
• разработка правил контроля приложений, чтобы гарантировать, что только одобренные приложения могут выполняться
• поддержание правил контроля приложений с помощью программы управления изменениями.

При определении того, как обеспечить контроль приложений, следующие методы считаются подходящими, если они реализованы правильно:

• криптографические хеш-правила
• правила сертификатов издателя (объединение имен издателей и продуктов)
• правила пути (обеспечение настройки разрешений файловой системы для предотвращения несанкционированного изменения разрешений папок и файлов, содержимого папок и отдельных файлов).

И наоборот, использование имен файлов, имен пакетов или любых других легко изменяемых атрибутов приложения не считается подходящим методом управления приложением.
Чтобы убедиться, что управление приложениями реализовано надлежащим образом, необходимо регулярно проводить тестирование для проверки неправильной конфигурации разрешений файловой системы и других способов обхода правил управления приложениями или выполнения неутвержденных приложений.
Помимо предотвращения выполнения неутвержденных приложений, контроль приложений может способствовать выявлению попыток злоумышленника выполнить вредоносный код. Этого можно достичь, настроив управление приложением для создания журналов событий для неудачных попыток выполнения. Такие журналы событий в идеале должны включать такую информацию, как имя заблокированного файла, отметку даты / времени и имя пользователя, пытающегося запустить файл.
Наконец, важно, чтобы контроль приложений не заменял антивирусное и другое программное обеспечение безопасности, уже установленное в системах. Совместное использование нескольких решений безопасности может способствовать эффективному подходу глубокоэшелонированной защиты для предотвращения компрометации систем.