Programstyring og HIPS

Traditionel beskyttelse mod cyberangreb er baseret på malwaredetektion, der kontrollerer ethvert program mod databaser med kendte malwareindikatorer, før det eksekveres. I Kasperskys produkter er dette grundlæggende lag af trusselsbeskyttelse repræsenteret ved KSN Cloud Detection, ML Malware Classification, Anti-Rootkit og andre antimalwareteknologier.

En anden effektiv tilgang er at rense de angrebne systemer – selv ukendte trusler kan blokeres ved at hærde programmers adgang til kritiske systemressourcer. Vores vigtigste eksempler på ressourcefokuserede beskyttelsesteknikker er Programstyring, der enten tillader eller blokerer filkørsel i henhold til lokale tilladt-listnings-/forbudt-listningsregler og ost Intrusion Prevention SystemH (HIPS), der begrænser programadgangen til værtsressourcer (data, registreringsnøgler, proceshukommelse osv.) baseret på programmets omdømme.

Kasperskys flerlags slutpunktssikkerhedsbillede kompletteres af nogle teknologier til eksekvering af næste lag: Adfærdsdetektion, Forebyggelse af udnyttelse, Afhjælpningsmaskine og Sårbarhedsmonitor, som vil blive beskrevet i andre TechnoWiki-artikler.

Tillidskategorier

I Kasperskys løsninger er ressourcebeskyttelse baseret på tildeling af programmer til tillidskategorier og definition af hver enkelt kategoris tilladte handlinger, herunder:

• Tildeling af programmer til tillidskategorier.
• Regelbaseret kontrol af programmernes evne til at starte og interagere med andre processer, data, netværk osv.
• Programovervågning med rettighedsnedgradering, så snart et program viser skadelig aktivitet. Med andre ord, at det forsøger at styre andre programmer, ændre poster i registreringsdatabasen osv.
• Beskyttet start, som skaber tillid til programtildeling, kontrol og overvågning.

Programrettigheder defineres af den tillidskategori, programmet falder ind under. Programmer anføres automatisk på en vært og tildeles en eller flere tillidskategorier. I Kaspersky Endpoint Security for Business (KESB) leveres programlister til administratorer fra brugercomputere, så de kan udvikle deres egne politikker for programstyring.

Tildeling til en tillidskategori er baseret på programmets adfærd, vurderet ud fra antimalwaremaskinen, dets omdømme i KSN, elektronisk signatur og kontrol af programintegritet. Programmer vurderes ved første lancering eller i en gruppe efter installationen af antimalwareløsningen på værten.

Tillidskategorierne er som følger:

• Programmer, der er tillid til: OS-programmer (svchost, smss og andre), legitime programmer fra kendte leverandører, med verificeret signatur og integritet.
• Programmer, der ikke er tillid til: malware, som blokeres allerede fra start.
• Ukendte programmer: begrænset, afhængigt af deres egenskaber. For eksempel må programmer, der er registreret som adware (og som ikke er malware), køre, men de må ikke injicere kode i andre processer. Programmer, der ikke udviser tegn på ondsindede aktiviteter, men som mangler en signatur, vil få udvidede rettigheder.

Efter den indledende kategorisering overvåges programmerne fortsat af antimalwareløsningen. Hvis de udviser malwareegenskaber, nedgraderes de til en lavere tillidskategori, og deres rettigheder begrænses. Programmets omdømme bekræftes regelmæssigt via KSN for det tilfælde, at dets omdømme for nylig er blevet nedgraderet i clouden.

Handlinger fra programmer, der ikke falder ind under kategorien "Der er tillid til", anføres i afhjælpningssystemets log. Hvis et program viser sig at være malware, tilbagefører maskinen de ændringer, den har foretaget.

Programstyring

Et programs mulighed for at starte defineres af dets tillidskategori.

I Kaspersky Internet Security (for hjemmebrugere) kan brugerne finjustere programblokeringen på deres vært og vælge dens tilstand:

• I automatisk tilstand blokeres programmer, der ikke er tillid til, automatisk (forbudt-liste).
• I Default Deny-tilstand (tilladt-liste) startes kun godkendte programmer (PE32-filer, .net-eksekverbare filer, installationsprogrammer og nogle andre formater). Andre programmer blokeres permanent, herunder under genstart og opdateringer af operativsystemet.
• I manuel tilstand kan brugerne ved første start beslutte, om de skal blokere et bestemt program eller ej.

I Kaspersky Endpoint Security for Business kan administratorer konfigurere politikker for blokering af programstart, eksekverbare moduler (PE-filer, exe, scr, dll) og scripts, som eksekveres via en række forskellige fortolkere (com, bat, cmd, ps1, vbs, js, msi, msp, mst, ocx, appx, reg, jar, mmc, hta, sys). Til dette registrerer administratoren programmer på brugercomputere og modtager deres liste med metadata (leverandør, certifikat, navn, version, installationssti osv.). Hvis nye programmer senere dukker op på værter, bliver dette også anført.

Programmer grupperes automatisk i hierarkiske kategorier (for eksempel spil, kontorprogrammer, browsere). Kategorier hjælper administratorer med at oprette grupper af politikker for programstart. Hvad angår brugergrupper, kan administratorer blokere start af specifikke programmer, programkategorier eller programmer, der falder under visse betingelser (f.eks. med en lav KSN-cloudvurdering).

Programstyring indeholder også flere værktøjer til at forenkle den oprindelige konfiguration af regler for tilladt-liste, herunder en guide til at oprette regler baseret på lagerresultater, foruddefinerede regler anbefalet af Kaspersky og dynamisk opdaterede regler for tilladt-liste baseret på pålidelige kilder (filplaceringer eller referencecomputere).

Brugere kan anmode om administratortilladelse til at starte et program via deres KESB-grænseflade. For at undgå at blokere et legitimt program kan administratorer aktivere en blokeringsregel i testtilstand. Testregler påvirker ikke programstart, men administratorer får besked om eventuelle udløsere, så de kan identificere uønskede programstartblokke og teste foreslåede regler eller endda funktionen til fuld startkontrol på deres netværk.

HIPS

Ud over at styre dets evne til at starte, definerer programmets tillidskategori dets rettigheder: dvs. hvad et program må gøre i værtssystemet. Rettighedsstyring er regelbaseret med et foruddefineret sæt foruddefinerede regler, der kan ændres af hjemmebrugere eller en virksomhedsadministrator.

For hver tillidskategori definerer de tilhørende regler et programs mulighed for at:

• Redigere filer og registreringsdatabasenøgler (læse, skrive, oprette, slette)
• Oprette netværksforbindelser
• Få adgang til webkamera og mikrofon (strengere regler anvendes her selv for programmer, der er tillid til)
• Eksekvere systemhandlinger, f.eks. at åbne en proces eller lukke et vindue. Det er vigtigt at kontrollere systemaktiviteterne, fordi malware kan bruge dem til at forstyrre andre processers hukommelse, injicere kode eller forstyrre driften af operativsystemet.

Hver regel definerer de programkategorier, den påvirker, den handling, den styrer, og dens dom: "allow" (tillad) eller "deny" (afvis). I hjemmebrugerløsningen kan dommen også være "ask user" (spørg bruger), hvor brugeren bliver bedt om at træffe beslutningen, og sådanne beslutninger bliver cachelagret.

Sikret beholder

Ved hjælp af et særligt sæt HIPS-regler kan enhver proces køre i en sikret beholder: Adgangen til denne proces er meget begrænset, selv for programmer, der er tillid til. Yderligere begrænsninger giver skærmbilledblokering, udklipsholderbeskyttelse og integritetskontrol, der beskytter processen mod ondsindede injektioner. På denne måde holdes alle programmets interne data (herunder brugerens personlige data) sikre. Denne HIPS-teknik er kernen i tilstanden for Safe Money (Safe Browser).

OS-opstartsbeskyttelse

Ved start af operativsystemet blokeres alle programmer, der ikke er tillid til, helt, og resten begrænses (for eksempel blokeres deres netværksadgang). Dette reducerer muligheden for et angreb under computerstart.