Плюсы и минусы безопасности на основе поведения, подписи и белого списка

Опубликовано: 9 Апреля, 2023

Существует несколько различных подходов к ИТ-безопасности, включая черные списки, белые списки и поведенческие технологии, и в отрасли ИТ-безопасности продолжаются дебаты по поводу эффективности — или отсутствия таковой — каждого из этих подходов. В недавнем интервью Марк Руссинович убедительно обосновал идею о том, что белые списки будут играть большую роль в будущем безопасности. Однако Ларри Зельцер и другие выразили сомнения в том, что белые списки могут работать.


В этой статье мы рассмотрим, как работает каждый из этих подходов к обеспечению безопасности, а также сильные и слабые стороны каждого из них, а также кратко обсудим песочницу и виртуализацию как механизмы безопасности.


Подходы к безопасности


Независимо от того, пытаетесь ли вы удержать потенциально опасных людей от самолета или потенциально опасный код от своей сети, вы можете выбрать один из нескольких подходов к решению того, кто/что входит или нет. В случае первого сценария рассмотрите следующие методы досмотра пассажиров:



  1. Вы можете составить список известных террористов и преступников и проверить удостоверения личности у ворот, отыскивая имена, соответствующие вашему списку, и не позволяя им пройти на борт. Это пример безопасности на основе черного списка, который используется авиакомпаниями, Администрацией транспортной безопасности (TSA) и другими правоохранительными органами в большинстве аэропортов.
  2. Вы можете составить список «известных хороших» людей — людей, которые уже прошли проверку биографических данных и зарекомендовали себя как добропорядочные граждане, выдать им специальные удостоверения личности и пропустить в самолет без тщательной проверки. Это форма безопасности на основе белого списка, и она была основой для предложенной TSA программы «доверенных путешественников» (теперь известной как программа зарегистрированных путешественников).
  3. Вы можете разместить в аэропорту сотрудников правоохранительных органов, прошедших подготовку по поведенческому профилированию, для допроса и наблюдения за лицами, у которых есть билеты, а те, кто ведет себя подозрительно, будут задержаны или им будет отказано в посадке. Это поведенческая безопасность, которая в некоторой степени используется в США и в большей степени в некоторых других странах.

Как эти примеры применимы к сетевой безопасности?



  • Для фильтрации спама можно использовать черный список, при котором у вас есть список адресов электронной почты или доменов, которые являются известными спамерами, и когда программное обеспечение для фильтрации видит, что сообщение исходит из одного из этих источников, оно помещает его в папку «Нежелательная почта». Черный список также можно использовать для защиты систем от вредоносного кода. У вас есть список файлов или программ, которые, как известно, являются вредоносными программами, и их открытие или запуск заблокированы.
  • Белый список также можно использовать для фильтрации спама, благодаря чему у вас есть список отправителей или доменов, которые считаются «безопасными». Почта из этих источников разрешена; вся остальная почта блокируется. Белый список также можно использовать для защиты системы от вредоносного кода. У вас есть список желательных программ, которые разрешено запускать, а исполняемые файлы, которых нет в списке, не разрешено запускать.
  • Поведенческие методы пытаются оценить риск того, что код является вредоносным, на основе характеристик и шаблонов. Механизмы безопасности на основе сигнатур и аномалий реализуют тип безопасности на основе поведения. Файлы и программы, которые могут представлять угрозу из-за особенностей своего поведения, блокируются.

Все это допустимые методы, и все они имеют свои сильные и слабые стороны, которые мы рассмотрим в следующих разделах.


Ставки на поведение и/или подписи


Поведенческая безопасность полезна в тех случаях, когда человек, программа или файл ранее не были классифицированы как «хорошие» или «плохие». Это эффективный (но не идеальный) способ обнаружения новых угроз, не дожидаясь, пока они сначала причинят вред. Все мы слышали старую пословицу: «Если что-то выглядит как утка, ходит как утка и говорит как утка, то, вероятно, это утка». На простейшем уровне это основа поведенческой безопасности.


Сотрудники правоохранительных органов используют множество различных методов в рамках своего поведенческого профилирования. Они наблюдают за языком тела, выражением лица, словами и действиями субъекта, чтобы попытаться определить, является ли намерение человека злонамеренным или доброжелательным. Движения глаз, высота голоса и другие физиологические факторы могут указывать на стресс, что, в свою очередь, может указывать на то, что человек пытается что-то скрыть и не является тем, за кого себя выдает. Аналогичным образом алгоритмы безопасности, основанные на поведении, ищут индикаторы того, что файл или фрагмент кода не являются легитимной программой, которой они кажутся, но на самом деле являются вредоносными программами.


Фильтр безопасности на основе сигнатуры действует как сотрудник правоохранительных органов, который стремится идентифицировать преступников на основе их методов работы или режима работы. Конкретные действия и/или последовательности кода сравниваются с базой данных известных сигнатур или предопределенных строк в коде, указывающих на вредоносное ПО. Безопасность на основе аномалий менее специфична; он нацелен на необычное поведение или инструкции/команды в коде, что вызывает то, что сотрудники правоохранительных органов называют «обоснованными подозрениями».


Эвристические алгоритмы часто используются для выявления аномалий путем анализа прошлого сетевого трафика, электронной почты и т. д. и сравнения их с текущими шаблонами или путем анализа структуры самого кода. Современные эвристические механизмы обычно основаны на правилах, а эвристические механизмы могут «учиться» на предыдущем опыте и соответствующим образом создавать новые правила. Большинство антивирусных программ используют эвристику для выявления угроз и вариантов вредоносных программ до того, как будут доступны обновления сигнатур.


Криминолог ФБР (на пенсии) Джон Дуглас, известный специалист по криминальному профилированию, сделал важное замечание: это лишь один из многих инструментов, которые могут быть полезны в уголовном расследовании, и фактически профилирование следует использовать только после более традиционных применялись следственные методы. Другими словами, профилирование само по себе недостаточно точно, чтобы на него можно было полагаться как на показатель преступности. Точно так же поведенческая безопасность сама по себе не сможет адекватно защитить вашу сеть и компьютеры. Скорее, он пропустит некоторые известные вредоносные программы, потому что они написаны так, чтобы они выглядели как законный код, и, что, возможно, более важно, он пометит некоторые из ваших законных программ как вредоносные программы, потому что они проявляют признаки, считающиеся подозрительными. Риск ложных срабатываний неизбежно выше при поведенческой безопасности.


Назад к черному списку


Черный список — хорошо известная концепция, и она приобрела плохую репутацию, когда использовалась в политическом контексте, особенно в Голливуде в 1940-х и 1950-х годах, когда некоторым сценаристам запретили работать в киноиндустрии из-за их политической принадлежности. В области компьютерной безопасности занесение в черный список — это простой и понятный метод предотвращения запуска известных вредоносных программ или предотвращения попадания сообщений от известных спамеров и других нежелательных отправителей в почтовый ящик пользователя. Обновления списка можно быстро выполнить через сервер обновлений. Большинство антивирусных программ используют форму черного списка, блокируя известные угрозы. Фильтрация спама часто зависит от занесения в черный список.


Черный список хорошо работает в определенных приложениях. Но качество черного списка зависит от его содержания и целостности. Мы видели проблему с занесением в черный список в 2004 году, когда сенатору США запретили летать, потому что похожее имя использовалось в качестве псевдонима подозреваемым в терроризме и, таким образом, было внесено в список запрещенных для полетов правительством.


Распространенной проблемой фильтрации спама на основе черных списков является блокирование законных отправителей, о которых сообщалось или которые были добавлены в список не потому, что они являются спамерами, а из-за личной неприязни. Некоторым лицам и организациям было трудно удалить свои адреса из списка. Те, кто контролирует широко распространенные черные списки, обладают большой властью и ответственностью, чтобы гарантировать, что невиновные лица и организации не будут непреднамеренно или преднамеренно включены в черный список. Когда вы используете коммерческий черный список, вы предоставляете большую часть контроля над своим сетевым трафиком стороннему поставщику.


Еще одна проблема с черным списком заключается в том, что он работает только против известных нежелательных лиц, программ и отправителей. Он не защищает от новых угроз (атак нулевого дня). Сканирование входящего трафика и сравнение его с черными списками также может потреблять значительные ресурсы и замедлять сетевой трафик.


Почему и почему белый список


В то время как черный список работает по принципу разрешения всего, что конкретно не запрещено, белый список использует противоположный подход, запрещая все, что конкретно не разрешено. Технология белого списка работает со списком «заведомо хороших» сущностей (программ, адресов электронной почты, доменов, URL-адресов) и допускает только те, которые есть в списке. Белый список имеет много преимуществ:



  • Нет необходимости запускать антивирусное программное обеспечение, которое необходимо постоянно обновлять. Все, что не входит в список, не будет запущено.
  • Системы защищены от атак нулевого дня.
  • Пользователи не могут запускать несанкционированные программы, которых нет в списке, поэтому вам не нужно беспокоиться о том, что они преднамеренно или непреднамеренно установят зараженные исполняемые файлы, тратят время на личные программы, такие как игры или программы P2P, или нелицензионное программное обеспечение, которое может привести к штрафам, если ваша компания проверяется поставщиком программного обеспечения или BSA.

Белые списки просты и дают администратору/компании максимальный контроль над тем, что поступает в сеть или выполняется на машинах. Преимущество внесения в белый список заключается в том, что ничто, не включенное в список, не может быть запущено или пропущено. Недостаток в том, что, ну, ничего, чего нет в списке, не может пройти или пройти.


При самостоятельном использовании белые списки очень эффективны для защиты от вредоносного ПО и спама, но также могут препятствовать запуску законного кода и прохождению законных сообщений. Для большинства пользователей чисто белое решение не подходит для фильтрации электронной почты, потому что мы часто получаем почту от людей, которых мы не знаем, но, тем не менее, законную и желаемую почту. Это, конечно, не практично для продавцов, которые получают запросы от незнакомцев, писателей, которые получают письма от читателей, или других деловых людей, которые регулярно получают письма от потенциальных клиентов. Это может хорошо работать для личных учетных записей электронной почты людей, которые хотят переписываться только с определенной группой друзей и членов семьи.


Белые списки становятся все более популярными и часто используются в сочетании с другими методами безопасности. Например, многие почтовые клиенты включают спам-фильтры, которые анализируют сообщения и помечают сообщения, соответствующие определенным критериям (ключевые слова, форматирование, повторение и т. д.), как спам. Однако они также позволяют пользователям составлять списки «надежных отправителей» (белые списки), чтобы почта с этих адресов не помечалась как спам, даже если во всем остальном она соответствует критериям спама.


В типичной бизнес-среде белые списки полезны для контроля того, какие исполняемые файлы могут запускаться на машине. Даже здесь могут возникнуть проблемы, если, например, конкретный элемент управления, необходимый для правильного отображения веб-сайта, отсутствует в белом списке, и пользователю требуется доступ к этому сайту для выполнения его или ее работы. Однако, если белый список составлен правильно, это не должно вызывать проблем. Принятие подхода с использованием белых списков возлагает на администраторов бремя определения того, какие программы следует разрешить запускать в своих сетях.


Резюме


Каждый подход к безопасности имеет свои преимущества и недостатки. Каждый из них может привести к ложноотрицательным и/или ложноположительным результатам. В разных ситуациях лучше всего работают разные подходы. Когда дело доходит до фильтрации спама, кажется, что комбинация всех трех подходов работает лучше всего. Разрешить эвристическим фильтрам анализировать почту на наличие общих критериев спама, но также разрешать черные списки, с помощью которых почта от определенных отправителей или доменов может быть заблокирована, даже если она не соответствует критериям, а также белые списки, по которым почта от определенных отправителей или доменов будет пропускаться. даже если оно соответствует критериям спама. Это подход, используемый наиболее эффективными программными решениями для защиты от спама.

здесь