Применение Application Whitelisting для защиты от шифровальщиков и нежелательных программ

OlainFarm/ IT Infrastructure Manager/Ethical Hacking Trainer

Специалист по информационной безопасности, регулярно выступающий с докладами на IT-конференциях в Европе, России, Китае.
С 2000 года - инструктор курсов MS Windows Server, с 2012 года — инструктор курса этичного взлома (CEH)
Неоднократно был отмечен наградой Microsoft MVP: Enterprise Security.
В текущий момент является руководителем отдела IT-инфраструктуры фармацевтического завода OlainFarm (Latvia).

Что такое Application Whitelisting (AWL)

• В чём принципиальное отличие Whitelisting от Blacklisting, в каких областях используется Whitelisting (Firewalls, FileSystems, AccessControl)

• Какое место занимает AWL в классификации средств защиты (AWL дополняет антивирус, but is not AV in any kind) (Australian DoD top 20 Security Controls)

• От чего можно защититься с помощью AWL, а от чего нельзя (AWL очень эффективна, but is not a Panaceia)

Как можно задействовать AWL:

• Встроенные средства ОС: GPO SRP, AppLocker, Device Guard, Smart App Control

• Сторонние продукты: касперский, bit9, lumension, pcmatic, etc

Основные вызовы

• Прямая поддержка руководства высшего уровня, без этого никакая технология безопасности не может быть внедрена вообще

• Безопасность = ограничения. Но всегда найдётся кто-то, недовольный новыми ограничениями, и вам нужно будет уметь разбираться с заявками "ИТ не даёт мне работать"

• Инструменты не создают процессы, а помогают исполнять существующие. Кто-то должен принять ответственность за учёт и утверждение аппликаций, политика лишь исполнит этот учёт

• AWL — это культурный сдвиг в работе в первую очередь ИТ, поэтому начинать внедрение следует с ИТ (Discipline as a Core Tenet)

• Запреты/блокировки запуска рандомных программ [например, с USB] должны сопровождаться улучшениями методов установки программ, такими как WDS/WSUS/SCCM

Фреймворк внедрения технологии

• Назначение ответственных персон с опытом и готовностью принять ответственность за внедрение, готовых тратить на это человеко-часы (как разработчик, так и исполнители)

• Инвентаризация [разрешённого] программного обеспечения, согласование мест его хранения/запуска (Know Your Environment)

• Длительное наблюдение за системой, предварительный аудит списка реально запускаемых программ

• Ответственная персона должна принимать решения, что делать с обнаруживаемыми несоответствиями политики (Переместить в Разрешённые Пути, Добавить Путь в Разрешённые, Запретить Использование)

• Определяется целевая аудитория, технология внедряется пошагово с возможностью отката

• Incident Response: ИТ-поддержке даются инструкции, как действовать в той или иной проблемной ситуации (перестали работать важные программы или нужно установить новую)

• Важно наличие обратной связи пользователей с поддержкой, а поддержки с разработчиком

Практика 1 - Попробуйте дома

• Аудит одиночной рабочей станции

• Построение базовой политики SRP на одиночной рабочей станции

• Обнаружение нестыковок и доработка политики

• Временное снятие блокировок для установки новых программ

Практика 2 - Active Directory

• Проблематика аудита большого количества машин

• Построение базовых политик SRP в домене Active Directory

• Уведомления на почту при обнаружении блокировок

• Решение специфических проблем (наклеечные принтеры, автокад со рандомными ехе в папке Temp)

• Делегирование полномочий и развитие структуры политик в домене

Практика 3 - Методы обхода политик

• Использование разрешённых для записи папок (показать AccessEnum + запуск USB RubberDucky?)

• Скрипты и макросы (показать xlsm)

• Exploits (показать metasploit против msoffice или firefox