В белый список или не в белый список

Опубликовано: 8 Апреля, 2023


Введение


Существуют некоторые основные проблемы, связанные с использованием белых списков в вашей организации для контроля над тем, какие приложения могут использовать пользователи. На мой взгляд, белые списки могут быть очень мощным инструментом, помогающим уменьшить общую поверхность атаки в вашей организации. То есть иметь возможность контролировать одно за другим, какие приложения могут работать, а какие нет. Тем не менее, некоторые проблемы возникают, когда вы начинаете ставить резину на асфальт в своей конфигурации и реализации решения для внесения в белый список. Если вы сможете преодолеть препятствия, связанные с развертыванием решения для создания белых списков, я предлагаю вам внедрить его как можно скорее. Если вы не можете преодолеть препятствия, есть некоторые другие настройки, которые я всегда предлагаю наряду с белым списком, которые, по моему мнению, должны быть выполнены как минимум.



Коротко о белом списке


Внесение в белый (и черный) список — это способ создать основной список приложений, которые вы хотите разрешить или запретить в своей организации. Допустим, например, что вы бухгалтерская фирма и запускаете очень мало приложений. Белый список, который вы создаете, может быть следующим:



  • Слово
  • Excel
  • Быстрые книги
  • Интернет-проводник

Однако вы знаете, что есть некоторые другие приложения, которые вы не хотите, чтобы ваши сотрудники запускали, поэтому вы также создаете список запрещения, называемый черным списком. Это может включать



  • Каин
  • Дампсек
  • ЛДП

Из этого примера понятно, что сотрудники могут запускать, а что нет.


Препятствия с белым списком


Глядя на пример нашей простой бухгалтерской фирмы, мы можем начать создавать список потенциальных препятствий для нашего решения по внесению в белый список, даже с такой небольшой организацией и набором приложений.


Пропущенные приложения


Допустим, например, что владелец бухгалтерской фирмы запускает специальное приложение для проверки котировок акций. Это приложение называется AcmeStock. Когда вы развертываете свое решение для создания белых списков на основе приведенных выше списков, вы забыли включить AcmeStock, и это приложение больше не работает для генерального директора. После развертывания решения по внесению в белый список вы обнаружите, что многие приложения пропущены, так как кажется, что каждый пользователь запускает «странные, нераскрытые» приложения, которые теперь дают сбой и не позволяют им работать в полной мере.


Определенные, но нежелательные приложения


В типичном решении для белого списка вы не сможете просто перечислить приложения по отдельности из-за того, что в Program Files и System32 находится очень много приложений, которые необходимо включать как часть рутинных функций операционной системы. Таким образом, вам нужно будет включить эти папки в свой белый список. Когда вы это сделаете, кто-то может поместить вредоносное приложение в одну из папок, что позволит ему запустить приложение.


Отсутствующие вредоносные приложения


Существуют тысячи, если не десятки тысяч, вредоносных приложений, которые можно загрузить из Интернета. Не говоря уже о домашних вредоносных приложениях, которые можно запускать на конечной точке. Существует очень мало черных списков, которые можно создать, чтобы поймать их всех. Таким образом, решение этого препятствия становится трудным и в некотором роде движущейся целью.


Белый список не повышает права приложений


Если пользователь работает на конечной точке как обычный пользователь (без прав локального администратора), белый список не повышает его права для запуска приложений, требующих локального администратора, таких как Quickbooks, что в нашем случае остановит запуск Quickbooks. Предоставление пользователю привилегий локального администратора для запуска одного приложения создает значительную поверхность атаки (как на конечную точку, так и за пределы конечной точки), поэтому предоставление прав локального администратора не является решением.


Преодоление препятствий


Как видите, при реализации белого списка необходимо преодолеть множество препятствий. Многие из более сложных решений для белых списков имеют ответы на многие из этих препятствий, но не на все.


Чтобы решить проблему пропущенных приложений, большинство решений имеют ту или иную форму службы мониторинга приложений и отчетов. Это создает список всех приложений, которые используются на всех конечных точках, поэтому даже редко используемые приложения могут быть обнаружены и добавлены в белый список.


Что касается препятствия с неопределенными или пропущенными приложениями, то это сложная проблема. Большинство решений требуют, чтобы вы добавили все нежелательные приложения в черный список. На мой взгляд, если у вас есть минимальные привилегии, стандартный пользователь, конечная точка, приложения, которые могут быть запущены и которые не определены в черном списке, не будут очень полезны в сценарии атаки или безопасности, поэтому риск минимален для каждого приложения. занесены в черный список.


Что касается проблемы с повышением прав приложений, я еще не видел решения для внесения в белый список, которое включало бы технологию для обработки прав. Повышение уровня приложений для конечных точек — очень распространенная дилемма, которая еще около 6 лет назад не была решена по-настоящему. Работая с безопасностью Windows в течение последних 10 лет, я обнаружил, что такие решения, как PowerBroker от BeyondTrust, предоставляют самый надежный набор решений для управления привилегиями и даже внесения в белый список с новейшим выпуском PowerBroker Windows Desktops 5.2.


Если вы не внесете в белый список, какова минимальная безопасность конечной точки?


Из-за накладных расходов, связанных со сбором и развертыванием белых и черных списков, многие организации воздерживаются от внедрения решения по созданию белых списков для защиты конечных точек и сетей. Если вы попадаете в эту категорию, я предлагаю для минимальных конфигураций конечной точки использовать решение для управления привилегиями в сочетании с антивирусным решением.


То, что предоставляет решение для управления привилегиями, — это способ заставить пользователя быть стандартным пользователем, что лишает его возможности устанавливать и запускать любое приложение, требующее привилегий локального администратора, за исключением того, для чего вы их настроили. В отличие от решений с белыми и черными списками, решения для управления привилегиями, такие как PowerBroker, должны иметь только список приложений, которым требуется повышение прав, поскольку приложения, не указанные в списке, но требующие повышения, по умолчанию просто не будут работать.


Чего не хватает решению управления привилегиями, если оно реализовано отдельно, так это возможности запрещать приложения, которые могут запускаться обычным пользователем и которые нежелательны. Однако создание списка только тех приложений, которым требуется повышение прав, по сравнению с несколькими списками разрешенных и запрещенных приложений, является небольшой долей.


Резюме


В идеале организации выиграют от комплексного решения для защиты конечных точек. Обычно это означает управление привилегиями, брандмауэр, настройки безопасности, антивирус и белый список. С конечной точкой Windows 7 настройки брандмауэра и безопасности предоставляются бесплатно. Антивирус обычно является стандартом де-факто внутри корпорации, и это решение уже куплено. Остается управление привилегиями и белый список. Как мы выяснили выше, белые списки не позволяют повышать права приложений, поэтому решение для управления привилегиями является обязательным. С другой стороны, управление привилегиями значительно сокращает поверхность атаки, в то время как решение с использованием белого списка в сочетании с ним обеспечивает лишь небольшое процентное повышение безопасности.