Плюсы и минусы безопасности на основе поведения, на основе подписи и на основе белого списка

Существуют различные подходы к безопасности в области ИТ, включая технологии основанные на черном списке (blacklisting), белом списке (whitelisting) и поведении, и в области ИТ безопасности идут постоянные споры по поводу эффективности (или отсутствия таковой) каждого подхода. В недавнем отзыве Марк Руссинович сделал заявление о том, что идея белых списков будет играть важную роль в будущем безопасности. Однако Ларри Зельтцер и другие выразили сомнения на счет того, что белые списки могут работать.

В этой статье мы рассмотрим, как каждый из подходов работает, посмотрим их сильные и слабые стороны, а также вкратце рассмотрим «игру в песочнице» (sandboxing) и виртуализацию в качестве механизмов безопасности.

Подходы к безопасности

Независимо от того пытаетесь ли вы держать потенциально опасных людей подальше от самолета или потенциально опасный код от сети, вы можете выбрать один из нескольких подходов, чтобы решать, кого/что пропускать или нет. В первой ситуации представьте досмотр пассажиров:

1. Можно составить список известных террористов и преступников, проверять удостоверения личности на терминалах, искать имена, совпадающие с именами в вашем списке и не пускать их на борт. Это пример безопасности на основе черного списка, и она используется авиакомпаниями, управлением транспортной безопасности и прочими правоохранительными органами в большинстве аэропортов.
2. Можно составить список ‘добропорядочных граждан’ (люди, которые уже прошли проверки и оказались добропорядочными гражданами), изготовить для них специальные идентификационные карты и пропускать их на борт без тщательного досмотра. Это форма безопасности, основанной на белом списке, которая легла в основу программы «доверенный пассажир», предложенной управлением транспортной безопасностью (теперь известной, как зарегистрированный пассажир).
3. Можно расположить правоохранительный персонал, который специально подготовлен в отслеживании поведения людей в аэропортах и который опрашивает и наблюдает за людьми, имеющими билеты или ведущими себя подозрительно, чтобы на основе полученной информации пустить или не пустить их на борт. Это безопасность на основе поведения, и она в некоторой степени используется в США и в большей степени используется в других странах.

Как эти примеры можно применить к сетевой безопасности?

• Черные списки используются для фильтрации спама, где у вас есть список почтовых адресов или доменов, известных как спамерские адреса или домены, и когда ПО фильтрации видит, что сообщение исходит с одного из этих источников, оно помещает его в папку нежелательной почты. Черные списки также могут использоваться для защиты системы от вредоносного кода. У вас есть список файлов и программ, известных как вредоносное ПО, и их запуск или открытие блокируется.
• Белые списки также могут использоваться для фильтрации спама, где у вас есть список отправителей или доменов, которые считаются «безопасными». Почта с таких источников беспрепятственно проходит; все остальные сообщения блокируются. Белые списки также можно использовать для защиты системы от вредоносного кода. У вас есть список желаемых программ, которые разрешено выполнять, а исполняемые файлы, не входящие в список, запрещено выполнять.
• Поведенческие методы пытаются оценить степень вероятности того, что код вредоносный на основе характеристик и моделей. Механизмы безопасности на основе подписи и аномалий выполняют тип безопасности на основе поведения. Файлы и программы, которые могут представлять потенциальную угрозу, на основе своей поведенческой модели, блокируются.

Все эти методы действительны, и все они имеют свои преимущества и недостатки, о которых мы поговорим в следующих разделах.

Ставка на поведение и/или подписи

Поведенческая безопасность полезна в тех случаях, где человек, программа или файл не был предварительно определен, как «хороший» или «плохой». Это эффективный (но не идеальный) способ определения новых угроз без необходимости ждать, пока они первыми причинят вред. Мы все слышали старую поговорку ‘если нечто выглядит как утка, ходит как утка и говорит как утка, то это, вероятно, и есть утка’. На самом простом уровне, который и является базой для поведенческой безопасности.

Сотрудники правоохранительных органов используют множество различных методик в качестве части анализа поведения. Они наблюдают за языком тела, выражениями лица, словами и действиями субъекта в попытке определить, являются ли его/ее намерения злоумышленными или добропорядочными. Движения глаз, тон голоса или физиологические факторы могут указывать на стресс, который в свою очередь может говорить о том, что человек пытается что-то спрятать или пытается казаться не тем, кем является на самом деле. Подобно этому, алгоритмы сетевой поведенческой безопасности ищут индикаторы того, что файл или часть кода не является легитимной программой, которой кажется, а является вредоносным ПО.

Фильтры безопасности на основе подписи действуют по типу представителей правоохранительных органов, которые определяют преступников на основе их modus operandi, или образа действия. Определенные действия и/или последовательность кода сравнивается с базой данных известных подписей, или предопределенной строки в коде, которые являются показателями вредоносного ПО. Безопасность на основе аномалий менее специфична; она нацелена на поведение или инструкции/команды в коде, которые не являются нормальными, находя то, что представители правоохранительных органов называют «обоснованным подозрением».

Эвристические алгоритмы зачастую используются для определения аномалий, путем анализа предыдущего сетевого трафика, электронной почты, т.п. и его сравнения с текущими моделями или путем анализа структуры самого кода. Эвристические программы сегодня обычно основываются на правилах, и они могут «учиться» на прошлом опыте и создавать соответствующие правила. Большинство антивирусных программ использует эвристический подход для определения угроз и вариантов вредоносного ПО до того, как появляются обновления подписей.

Очень важный момент, отмеченный отставным сотрудником отдела криминологии ФБР, Джоном Дугласом, известным экспертом криминалистического анализа, заключается в том, что только один из множества инструментов может быть полезен в криминалистическом расследовании и, на самом деле, анализ должен использоваться только после того, как были использованы более традиционные методы расследования. Другими словами, один лишь анализ просто не достаточно точен, чтобы на него можно было полагаться, как на указатель виновности. И таким же образом, одна лишь поведенческая безопасность не сможет адекватно защитить вашу сеть и компьютеры. Она, скорее, пропустит некоторое известное вредоносное ПО, поскольку последнее пишется так, чтобы казаться легитимным кодом, и, что более важно, она сделает некоторые из ваших легитимных программ вредоносным ПО, поскольку они проявляют такие черты, которые считаются подозрительными. Возможность ошибочного результата при использовании поведенческой безопасности возрастает.

Назад к черным спискам

Черные списки являются широко известным понятием и получили плохую репутацию, когда используются в политическом контексте, наиболее известную в Голливуде в 1940 и 1950-ых, когда некоторым киносценаристам было запрещено работать в силу их политических связей и приверженностей. В компьютерной безопасности черные списки представляют собой простой и четкий способ предотвращения выполнения известных вредоносных программ, или блокирования почтовых сообщений, которые посылаются с известных спамерских адресов или адресов других нежелательных отправителей. Обновления списка можно выполнять быстро с помощью сервера обновлений. Большинство антивирусных программ используют черные списки, блокируя известные угрозы. Фильтрация спама также часто полагается на черные списки.

Черные списки отлично работают в некоторых приложениях. Но черный список настолько хорош, насколько хорошо содержимое и полнота списка. Мы сталкивались с проблемой черного списка в 2004, когда сенатору США было запрещено лететь, так как похожее имя использовалось в качестве псевдонима подозреваемым в терроризме, в результате чего это имя оказалось в списке не допускаемых к полету людей.

Распространенная проблема с фильтрацией спама на основе черного списка – это блокирование легитимных отправителей, которые были внесены в список, не потому что они спамеры, а в силу личной анонимности. Некоторые отдельные пользователи и организации столкнулись с трудностями удаления своих адресов, попавших в черные списки. Те, кто контролирует распространяемые черные списки, обладают огромной властью и ответственностью, чтобы обеспечивать ситуацию, в которой невинные лица и организации не попадут в черный список по ошибке или намеренно. Когда вы используете коммерческий черный список, нужно предоставлять значительный контроль над сетевым трафиком вашей сети стороннему производителю.

Еще одной проблемой черных списков является то, что они работают против известных нежелательных лиц, программ и отправителей. Они не защищают от новых угроз (атак нулевого дня). Сканирование входящего трафика и его сравнение с черным списком может также использовать значительные ресурсы и снижать скорость сетевого трафика.

«Почему» и «по каким причинам» белых списков

В то время как работа черных списков основана на принципе разрешения всего, что не запрещено в списке, белые списки используют противоположенный подход, запрещение всего, что не разрешено в списке. Технология белого списка работает из списка ‘положительно известных’ записей (программ, адресов электронной почты, доменов и URLs) и разрешает только те элементы, которые внесены в список. Белые списки имеют множество преимуществ:

• Нет необходимости запускать антивирусное ПО, которое должно постоянно обновляться. Все, что отсутствует в списке, не будет запускаться.
• Системы защищены от атак нулевого дня (zero day attacks).
• Пользователи не смогут выполнять неавторизированные программы, отсутствующие в списке, поэтому вам нет нужды беспокоиться о том, что они преднамеренно или случайно установят зараженные программы, программы траты времени персонала, такие как игры или P2P, или нелицензированное ПО, которое может обернуться штрафом для вашей компании в случае аудиторской проверки производителем ПО или ОБЭПом.

Белые списки довольно просты и дают администраторам/компаниям максимальный контроль над тем, что входит в сеть или что выполняется на машинах. Преимущество белых списков заключается в том, что ничто, чего нет в списке, не может быть запущено или пройти. Недостаток заключается в том, что ничего, чего нет в списке, не может быть выполнено или пройти в сеть.

Когда белый список используется отдельно, он очень эффективен при блокировании вредоносного ПО и спама, но он также может блокировать и легитимный код и сообщения. Для большинства пользователей решения белых списков не так хорошо работают при фильтрации почты, так как мы часто получаем почту от людей, о которых мы не можем сказать, являются ли они легитимными отправителями. Это особенно непрактично для работников торговли, которые получают запросы от незнакомых лиц, для писателей, которые получают почту от читателей, или для бизнесменов, которые постоянно получают почту от потенциальных клиентов. Этот способ отлично работает для личных почтовых учетных записей отдельных лиц, которые желают вести переписку только с группой друзей и членами семьи.

Популярность белых списков растет, и они зачастую используются в сочетании с другими методами безопасности. К примеру, многие почтовые клиенты оснащены фильтрами спама, анализирующими сообщения и отмечающими как спам те сообщения, которые соответствуют определенным критериям (ключевые слова, формат, повторение и т.д.). Однако они также позволяют пользователю составлять список «надежных отправителей» (белый список), чтобы сообщения от этих отправителей не отмечались, как спам, даже если они соответствуют определенным критериям.

В типичных деловых условиях белые списки полезны для контроля над тем, какие исполняемые файлы можно запускать на машине. Даже здесь, этот метод может создавать проблемы, если, например, определенный тип контроля, который необходим для правильного отображения веб сайта, не внесен в белый список, а пользователю нужен доступ к этому веб сайту, чтобы выполнять свою работу. Однако если белый список правильно построен, это не вызовет проблем. Принятие подхода белых списков кладет на плечи администраторов бремя знания того, какие программы должны быть разрешены в их сети.

Заключение

Каждый подход к безопасности имеет свои преимущества и недостатки. Каждый из них может выдавать ошибочный результат. Различные подходы лучше всего работают в различных ситуациях. Когда речь заходит о фильтрации спама, сочетание всех трех подходов будет самым оптимальным вариантом. Позвольте эвристическим фильтрам анализировать почту на предмет общих критериев спама, воспользуйтесь также черным списком, посредством которого сообщения от определенных отправителей или с определенных доменов будет блокироваться, даже если они не соответствуют определенным критериям спама, наряду с белыми списками, посредством которых сообщения от определенных пользователей или с определенных доменов будет приниматься, даже если они соответствуют определенным критериям спама. Такой подход используется в самых эффективных софтверных решениях против спама.

В производственной среде использование одного подхода белых списков будет наиболее безопасным решением, когда речь заходит о выполнении кода на машинах. Некоторые выразили обеспокоенность по поводу того, что использование белых списков непрактично из-за наличия огромного количества программ. Однако типичные бизнес организации используют ограниченное количество приложений, так как многие приложения используются несколькими пользователями. И когда файл выполняется, его нужно сверить со списком, который имеет гораздо меньшую базу данных, чем типичный черный список вирусных сигнатур. Здесь представлены хорошие комментарии и опровержения наиболее распространенных мифов о белых списках.

Источник www.windowsecurity.com

• Журнал системных событий
• Как создать контакт в active directori?
• Принт сервер на Windows server
• Нстройка впн server 2008
• Как выключить службу рабочая станция?