La funzionalità di protezione Controllo Avvio Applicazioni: uno strumento chiave per garantire la sicurezza della rete aziendale. Parte 2

Contenuti

Genialità è sempre sinonimo di semplicità?

Come abbiamo visto nella prima parte del presente articolo, l’idea che sta alla base dell’approccio di sicurezza definito Default Deny si fonda indubbiamente su criteri di estrema semplicità e logicità. Tuttavia, sino ad oggi, l’utilizzo di tale scenario è apparso più che altro orientato verso un pubblico di utenti insolitamente ristretto. Ciò è stato determinato, in primo luogo, da certe difficoltà di natura tecnica sorte durante il processo di realizzazione di una soluzione di sicurezza che risultasse fruibile per un vasto pubblico di utenti e, al contempo, fosse in grado di rimuovere tutta una serie di limiti critici.

Una nuova fase nell’evoluzione della funzionalità Application Control

L’utilizzo dello scenario Default Deny presuppone sostanziali variazioni a livello di priorità da seguire nella scelta delle policy di sicurezza più appropriate per il network aziendale: la libertà d’azione, il principio di flessibilità ed il concetto di “comfort” per l’utente finale cedono difatti il passo all’applicazione di politiche di sicurezza volte a ridurre ai minimi termini il rischio di fughe e/o perdite di dati che rivestono un’importanza critica nello svolgimento delle attività di business dell’impresa.

Inizialmente, tuttavia, l’introduzione di un rigido regime di controllo relativamente ai processi di avvio ed esecuzione delle applicazioni ha generato il manifestarsi di significative limitazioni a livello funzionale, al punto da rendere praticamente impossibile l’utilizzo di tale scenario. Di fatto, assicurare un supporto qualitativamente valido al processo di implementazione del criterio di sicurezza Default Deny nell’ambito di una rete aziendale richiede il dispiegamento di particolari funzionalità aggiuntive, senza le quali il passaggio a tale specifico regime può addirittura compromettere la normale operatività del network societario.

Nel passare ad uno scenario di tipo Default Deny, gli amministratori di sistema si trovano in effetti a dover affrontare e risolvere una serie di problemi piuttosto delicati; allo scopo di facilitare in tal senso il compito degli amministratori, la funzionalità Application Control – in qualità di componente principale di tale criterio di sicurezza, in grado di assicurare una perfetta gestione delle applicazioni installate nella rete aziendale – ha dovuto sottostare all’introduzione di importanti e sostanziali modifiche.

Task Soluzione
1 Determinare l’intera composizione del software installato nella rete aziendale
  • Esecuzione di un accurato controllo di inventario del software
2 Classificare tutti i software rilevati, suddividendoli tra autorizzati e non autorizzati
  • Suddivisione del software in categorie
  • Application Management
  • Dynamic Whitelist
3 Nel passare allo scenario Default Deny, evitare che si verifichi il blocco di software indispensabili per lo svolgimento delle attività lavorative e vengano quindi compromessi i processi di business aziendali
  • Dynamic Whitelist
  • Attendibilità degli utenti e delle fonti del software (Trusted Users & Sources)
  • Esecuzione test e fornitura del supporto necessario per l’effettuazione delle prove di utilizzo dello scenario di sicurezza implementato
4 Garantire il regolare e costante aggiornamento dei software maggiormente utilizzati: componenti del sistema operativo (librerie di sistema, driver di vari dispositivi periferici), applicazioni per il lavoro d’ufficio, etc.
  • Meccanismi sicuri ed affidabili per l’esecuzione degli aggiornamenti del software (Trusted Updaters)
  • Dynamic Whitelist
5 Definire per i vari utenti/gruppi di utenti i diritti e le regole di accesso in relazione all’avvio e all’esecuzione delle applicazioni
  • Suddivisione del software in categorie
  • Application Management
6 Realizzare operazioni di monitoraggio ed eseguire il controllo degli eventi di sistema nel caso in cui si riveli necessario condurre indagini supplementari
  • Monitoraggio e controllo (reporting)
7 Reagire attivamente nei confronti delle esigenze manifestate dagli utenti finali, risolvere i conflitti generati dall’applicazione di restrizioni/divieti relativamente all’utilizzo dei vari software
  • Assicurare un adeguato feedback ed un efficace supporto per gli utenti

L’utilizzo dello scenario Default Deny nell’ambito del network aziendale è divenuto pertanto possibile solo dopo aver realizzato l’implementazione delle seguenti attività e funzionalità:

  • Inventario del software – Raccolta delle informazioni relative a tutto il software installato nella rete aziendale – nella totalità dei computer e delle risorse di rete.
  • Creazione di specifiche categorie – Suddivisione in vari gruppi funzionali dell’insieme dei software identificati all’interno del network aziendale attraverso le operazioni di inventario: componenti del sistema operativo, browser web, applicazioni multimediali, giochi, etc.
  • Configurazione, o Application Management – Introduzione di specifiche restrizioni per i vari utenti/gruppi di utenti della rete, relativamente all’avvio e all’esecuzione di applicazioni classificate all’interno di determinate categorie (si tratta, in sostanza, del processo di definizione di specifiche policy di sicurezza).
  • Whitelisting Dinamico (Dynamic Whitelist) – Tale sofisticata tecnologia si fonda sull’utilizzo di un ampio database (e più precisamente di una “knowledge base”) di Whitelist, contenente un enorme numero di informazioni relativamente a tutte le possibili varietà di software prodotte nel mondo. Si tratta, nella fattispecie, di informazioni attuali e costantemente aggiornate riguardo ad ogni genere di applicazioni, alla reputazione di queste ultime, alle varie categorie in cui esse vengono raggruppate, ai prodotti equivalenti più diffusi o di cui si raccomanda in particolar modo l’utilizzo. I dati in questione vengono elaborati da team dedicati di esperti, e forniti dalle aziende che operano nel settore delle soluzioni di sicurezza IT.
  • Meccanismi sicuri ed affidabili per l’esecuzione degli aggiornamenti del software – Strumenti autonomi in grado di offrire un prezioso supporto per l’esecuzione di regolari e tempestivi aggiornamenti dei software più diffusi; tali meccanismi dispensano gli amministratori di sistema dal dover ripetutamente eseguire le estenuanti procedure inerenti all’identificazione e alla “legittimazione” delle applicazioni della rete sottoposte ad aggiornamento.
  • Supporto elenchi di utenti e fonti del software attendibili – Insieme di strumenti in grado di offrire agli amministratori di rete e agli esperti di sicurezza informatica metodol semplici e convenienti per le procedure di legittimazione del software. Ciò si realizza, in particolar modo, attraverso la creazione di elenchi relativi alle risorse di rete attendibili – presenti sia in Internet che a livello della locale rete aziendale (HTTP/FTP/Shared folders/etc.) – fonti delle applicazioni sicure ad affidabili, di cui sono consentite l’installazione e l’utilizzazione.
  • Esecuzione test e fornitura del supporto necessario per l’effettuazione delle prove di utilizzo dello scenario di sicurezza implementato – Strumenti per il rilevamento statico o dinamico delle eventuali interferenze di sistema che dovessero manifestarsi nel corso del processo di implementazione delle policy di sicurezza adottate (incompatibilità/inoperabilità tra le diverse applicazioni) e che potrebbero quindi compromettere i processi di business aziendali.
  • Feedback e supporto per gli utenti – Strumenti per la gestione di eventuali incidenti, preposti ad agevolare al massimo livello il processo di assistenza e supporto degli utenti.
  • Monitoraggio e controllo – Strumenti avanzati per la raccolta dei dati, l’aggregazione e la sistematizzazione delle attività di reporting.

Nel capitolo successivo ci soffermeremo ad analizzare in dettaglio il componente chiave dell’approccio di sicurezza denominato Whitelist Security Approach, ovvero il database dinamico dei file sicuri ed attendibili (Dynamic Whitelist). Il notevole interesse suscitato dal database di Whitelisting Dinamico è dovuto non solo ai sofisticati elementi di natura tecnologica che lo caratterizzano, ma anche a specifiche componenti di natura organizzativa, senza le quali risulterebbe impossibile poter assicurare la massima efficacia di tale database.

Dynamic Whitelist: il database dinamico del software legittimo

Cos’è dunque esattamente il database denominato Dynamic Whitelist? Si tratta, precisamente, di uno speciale database (o, per meglio dire, di una knowledge base) che raccoglie informazioni e conoscenze relativamente a tutte le possibili varietà di software legittimo esistenti nel mondo. Dal punto di vista tecnico, il Dynamic Whitelist è, in pratica, un enorme database di tutto il software “pulito”, continuamente arricchito – tramite l’aggiunta di file di vario genere – di informazioni relative ai programmi via via rilasciati o aggiornati dalle software house dell’intero pianeta. La qualità e la completezza dei dati in questione dipende ovviamente dalle fonti originariamente preposte alla raccolta, all’analisi e alla classificazione degli stessi. In genere, le società leader nella produzione di soluzioni per la sicurezza informatica elaborano per conto proprio i database di Whitelisting Dinamico.

La tecnologia Dynamic Whitelisting rappresenta di fatto un componente indispensabile nel fornire una valida soluzione a ben tre dei sette task che gli amministratori di sistema debbono affrontare e risolvere per poter implementare, nell’ambito del network aziendale, lo scenario di sicurezza Default Deny (vedi tabella sopra inserita). Nella circostanza, la qualità della soluzione di sicurezza proposta dal vendor dipende ovviamente in maniera diretta dalla qualità del database specifico di cui essa si avvale.

Per fornire un’adeguata soluzione ai task sopra elencati il database in questione deve obbligatoriamente contenere i seguenti elementi:

  1. Informazioni di base relativamente ai software in esso inseriti: produttore, denominazione del prodotto, ultima versione del software, ulteriori informazioni (ricavate principalmente dalle caratteristiche specifiche degli oggetti).
  2. Informazioni estensive elaborate da un team di esperti:
    1. dati relativi al grado di rischio: classificazione del software, reputazione dello stesso (attendibile, non attendibile, di dubbia attendibilità, etc.);
    2. categoria del software: componente del sistema operativo, browser web, gioco, applicazione per il lavoro d’ufficio, etc.;
    3. specifico orientamento dell’applicazione nel quadro delle attività aziendali: contabilità e finanza, marketing, HR, CRM, logistica, etc.;
    4. software alternativi: informazioni relative ai software equivalenti;
    5. dati statistici quali, ad esempio, il livello di “popolarità” del software, il suo grado di diffusione a seconda delle varie regioni geografiche, etc.

Quali ulteriori requisiti e peculiarità debbono tuttavia possedere tali database, oltre alla specifica strutturazione dei dati sopra descritta?

In primo luogo, come rivela la denominazione stessa, il database Dynamic Whitelist deve essere “dinamico”. Come è noto, ogni giorno, in vari paesi del mondo, “viene alla luce” una vera e propria moltitudine di nuove applicazioni legittime; allo stesso modo, vengono rilasciate grandi quantità di aggiornamenti per i software già esistenti: ciò significa che le società produttrici di soluzioni di sicurezza IT devono reagire immediatamente a qualsiasi cambiamento che si manifesti nel mondo del software, aggiornando quindi rapidamente i propri database elaborati in materia. Per raggiungere tale scopo è necessario provvedere ad integrare in maniera costante e tempestiva il database che raccoglie le informazioni e le conoscenze relative alla totalità del software sicuro ed attendibile, rilasciato da un gran numero di fonti primarie situate in varie regioni del globo. L’aggiornamento del database deve essere necessariamente compiuto in modalità automatica; stiamo in effetti parlando di giganteschi volumi di informazioni (vari terabyte di dati al giorno). A tale scopo, le società che forniscono i database di Whitelisting Dinamico “sguinzagliano” in Rete i cosiddetti crawler, ovvero speciali agenti di ricerca preposti al monitoraggio di tutti i nuovi programmi che compaiono sulla scena mondiale del software e, se necessario, provvedono ad effettuare il caricamento di nuove applicazioni.

Per garantire l’inserimento all’interno del database di informazioni sempre “fresche” ed attuali, si rivela quantomai indispensabile la creazione di partnership tecnologiche tra i vendor che operano nel settore della sicurezza informatica ed i principali produttori e distributori mondiali di software (ISV – Independent Software Vendors). L’obiettivo fondamentale di simili partnership è rappresentato dalla possibilità di ricevere, elaborare ed analizzare (tramite operazioni di classificazione e suddivisione in apposite categorie) i nuovi software prodotti addirittura prima che gli stessi vengano rilasciati al pubblico, allo scopo di ridurre al minimo l’eventualità di “falsi positivi” – casi in cui si manifesta incompatibilità tra la soluzione di sicurezza ed il software prodotto dal vendor-partner.

Un’ulteriore potenziale fonte da utilizzare per l’elaborazione di tali database è rappresentata dalle reti informatiche globali create dai vendor e basate sulle community degli utenti. Sottolineiamo come un network del genere possa indubbiamente costituire un innegabile e sostanzioso vantaggio nei confronti di ogni competitor: esso permette, in effetti, di realizzare il tracking in tempo reale dei metadati relativi ai software quotidianamente avviati ed eseguiti sui computer degli utenti, e di fornire quindi preziose informazioni sulle miriadi di nuove applicazioni e di nuovi aggiornamenti software progressivamente rilasciati nei vari paesi del globo.

Kaspersky Lab, da parte sua, dispone di tutti gli elementi e di tutti i componenti sopra elencati, indispensabili per poter adeguatamente integrare ad aggiornare il database Dynamic Whitelist. Attualmente, le avanzate partnership tecnologiche che coinvolgono varie centinaia di partner a livello internazionale, le decine di milioni di utenti di ogni angolo del pianeta che prendono parte al Kaspersky Security Network – la rete di sicurezza globale da noi allestita – così come una vasta rete di agenti di ricerca automatici, garantiscono continue integrazioni e tempestivi aggiornamenti del database dinamico implementato da Kaspersky Lab: in media, viene aggiunto oltre 1 milione di nuovi file al giorno.

L’elevato livello qualitativo del database dinamico di Whitelist realizzato da Kaspersky Lab è stato ampiamente dimostrato tramite un test indipendente condotto dalla società West Coast Labs. Il test in questione ha evidenziato come il nostro database dinamico contenga informazioni sul 94% di tutto il software “pulito”, sicuro ed attendibile rilasciato nel mondo intero.

Naturalmente, si rivela indispensabile controllare con la massima attenzione tutti gli oggetti che entrano a far parte del database Dynamic Whitelist e, soprattutto, verificare costantemente il grado di reputazione di cui essi godono. In effetti, un software che oggi può essere classificato come “pulito”, domani, se sottoposto ad un’analisi maggiormente accurata, potrebbe magari risultare “portatore” di un pericoloso codice nocivo.

E’ di particolare importanza sottolineare come l’effettuazione di regolari scansioni e verifiche del database Dynamic Whitelist sia un compito tutt’altro che elementare e banale. Per eseguire al meglio tali approfonditi controlli, oltre agli strumenti automatici impiegati per l’elaborazione e l’analisi delle informazioni raccolte, occorre difatti disporre di un team dedicato di esperti, che, in caso di eventuali conflitti logici, sia perfettamente in grado di poter analizzare i codici di cui si compongono i programmi e possa pertanto emettere i necessari verdetti definitivi. Le società di piccole dimensioni, oppure i produttori di soluzioni antivirus “gratuite”, non possono ovviamente permettersi l’implementazione di un laboratorio del genere, appositamente dedicato al Whitelisting. Inoltre, le specifiche che determinano il trattamento del software dannoso e di quello “pulito” presentano in genere notevoli diversità tra loro. Per ogni società di sicurezza IT l’ideale sarebbe quindi di poter disporre non solo di un laboratorio antivirus, ma anche di un laboratorio specializzato nelm Whitelisting, preposto a monitorare tutti i flussi di informazione in arrivo, realizzare sistemi di intelligence sempre più sofisticati e, ovviamente, reagire immediatamente in caso di eventuali emergenze (Kaspersky Lab, da parte sua, dispone di un simile laboratorio, specificamente dedicato al Whitelisting).

Dalla teoria alla pratica: Endpoint 10 di Kaspersky Lab

Gli amministratori delle reti aziendali eseguono task complessi e spesso ripetitivi, dovendosi necessariamente occupare della gestione di un elevato numero di workstation, preposte ad utilizzi di vario genere. L’implementazione dell’approccio di sicurezza Whitelist Security Approach (scenario Default Deny) assicura indubbiamente al network aziendale un livello di protezione superiore. Tuttavia, l’applicazione del criterio di sicurezza Default Deny, caratterizzato da un rigido sistema di restrizioni e divieti, richiede la realizzazione – all’interno dei prodotti che integrano tale scenario – di importanti e sofisticati strumenti per l’automatizzazione dei task che ogni amministratore si trova quotidianamente a dover affrontare e risolvere.

Analizzeremo, qui di seguito, le specifiche modalità e procedure con cui viene realizzato il passaggio dal concetto teorico alla pratica, esaminando, nella fattispecie, alcune caratteristiche e funzionalità dei prodotti Kaspersky Lab della classe Endpoint Security, e più precisamente le varie fasi che determinano l’intero “ciclo di vita”, dall’esecuzione del controllo di inventario del software alle operazioni di supporto ed assistenza degli endpoint che compongono il network aziendale (dopo l’introduzione del prodotto all’interno di quest’ultimo).

Il Whitelist Security Approach è stato implementato per la prima volta nel 2011, nella soluzione di sicurezza Kaspersky Endpoint Security 8 for Windows. Attualmente, nel 2013, il prodotto Kaspersky Endpoint Security 10 for Windows è in grado di offrire funzionalità ancora più estese ed avanzate, anche per ciò che riguarda lo specifico componente Application Control.

La funzionalità di protezione Controllo Avvio Applicazioni: uno strumento chiave per garantire la sicurezza della rete aziendale. Parte 2

Le varie fasi del “ciclo di vita” (Default Deny)

  • Inventario del software. Inizialmente, dopo aver installato il prodotto, all’amministratore spetta il compito di eseguire il controllo di inventario, una procedura tramite la quale Kaspersky Endpoint Security provvede a raccogliere in maniera automatica le informazioni relative a tutto il software installato nel network aziendale, sia a livello di computer che di risorse di rete.
  • La funzionalità di protezione Controllo Avvio Applicazioni: uno strumento chiave per garantire la sicurezza della rete aziendale. Parte 2

    Risultato della procedura di inventario relativa alle applicazioni presenti all’interno di una determinata directory

  • Suddivisione in categorie (procedura automatica realizzata tramite il database Dynamic Whitelist). Una volta terminato il controllo di inventario, viene automaticamente eseguita la suddivisione in specifiche categorie di tutto il software rilevato; le applicazioni installate nel network aziendale vengono così ripartite in determinati gruppi funzionali, sulla base di regole definite dal prodotto di sicurezza stesso (componenti del sistema operativo, applicazioni multimediali, periferiche, giochi, browser web, etc.). Desideriamo evidenziare come, attualmente, tale funzionalità non venga offerta da tutti i vendor di soluzioni di sicurezza IT che hanno provveduto a sviluppare lo specifico componente Application Control. Per quel che ci riguarda, tuttavia, abbiamo ritenuto che, per facilitare la gestione dell’enorme varietà di software diversi tra loro installati nell’ambito delle reti aziendali, si rivelasse del tutto indispensabile implementare la funzionalità in questione. Abbiamo quindi suddiviso il nostro database di Whitelist in 16 categorie di livello superiore e ben 96 sottocategorie (vedi il nostro catalogo delle categorie).
  • La funzionalità di protezione Controllo Avvio Applicazioni: uno strumento chiave per garantire la sicurezza della rete aziendale. Parte 2

    Catalogo delle categorie di software predefinite da Kaspersky Lab

  • Per determinare i componenti dell’OS ed i driver di importanza critica, all’interno di Kaspersky Endpoint Security è stata definita una specifica categoria relativa ai file del sistema operativo, denominata Golden Image. Essa comprende tutti i componenti ed i processi di sistema necessari per Win XP, Vista, Win7, Win8 (32 e 64) ed oltre 15 localizzazioni per ognuno di essi (in totale oltre 100 versioni e localizzazioni). Per l’amministratore di rete sarà quindi sufficiente aggiungere alla categoria Golden Image i file presenti nel database di Whitelist locale, e la configurazione dello scenario Default Deny risulterà in tal modo pronta.
  • Suddivisione in categorie (manuale). E’ importante tenere in dovuta considerazione il fatto che il database di Whitelisting sviluppato da qualsiasi produttore di soluzioni di sicurezza IT non può contenere informazioni riguardo alla totalità del software installato nell’ambito del network aziendale. Non di rado, difatti, le società dispongono di software di proprietà
  • specializzato, sviluppato in loco o specificamente commissionato a software house esterne. Con il nuovo prodotto Kaspersky Endpoint Security 10, attraverso la funzionalità Application Control, l’amministratore ha la possibilità di elaborare manualmente, per conto proprio, una Whitelist locale.
    Allo stesso modo, in Kaspersky Endpoint Security 10 è stata aggiunta una sofisticata funzionalità riguardante la categorizzazione multivettoriale; ciò significa, in sostanza, che un’applicazione può appartenere, contemporaneamente, a categorie diverse.
  • La funzionalità di protezione Controllo Avvio Applicazioni: uno strumento chiave per garantire la sicurezza della rete aziendale. Parte 2

    L’utente ha la possibilità di classificare i file in modalità manuale

  • Configurazione. Il prodotto Kaspersky Endpoint Security offre l’opportunità di poter gestire il software, precedentemente classificato all’interno di varie categorie, mediante l’introduzione di specifiche restrizioni per i vari utenti/gruppi di utenti della rete aziendale. Ad esempio, si può consentire l’utilizzo della categoria di software “Accounting” esclusivamente al servizio contabilità dell’impresa, affinché nessun altro utente possa avere accesso alle informazioni e ai dati finanziari della società.
    E’ proprio in questa specifica fase che possono essere stabiliti divieti o restrizioni relativamente all’utilizzo di software non provvisti di licenza d’uso, oppure non direttamente collegati allo svolgimento delle attività lavorative previste per il personale d’impresa. Si può quindi vietare l’impiego di qualsiasi software di cui la società non possieda la licenza d’uso, oppure impedire l’utilizzo di tutti i programmi IM di messaggistica istantanea, ad eccezione, per esempio, di Skype. Risulta ugualmente possibile vietare l’utilizzo di specifiche versioni di un software; si possono così inibire, ad esempio, tutti i browser web, a parte la versione di Internet Explorer definita dall’amministratore.
  • Meccanismi sicuri ed affidabili per l’esecuzione degli aggiornamenti del software. Nel prodotto Kaspersky Endpoint Security, la funzionalità preposta ad eseguire l’aggiornamento dei programmi in modalità automatica è garantita dall’avanzata tecnologia Trusted Updaters (Updater affidabili). Essa permette l’esecuzione di regolari e sicure procedure di aggiornamento del software legittimo, procedure che tengono specificamente conto delle complesse sequenze di chiamate di programma effettuate nel corso del processo di update.
  • Esecuzione test e fornitura del supporto necessario per l’effettuazione delle prove di utilizzo dello scenario di sicurezza implementato. Poiché l’introduzione di rigide policy di sicurezza all’interno della rete aziendale rappresenta indubbiamente un di attività particolarmente delicato e comporta altresì specifiche responsabilità, Kaspersky Lab ha previsto l’implementazione della modalità Test Mode, che ogni amministratore di sistema può utilizzare per modellare e valutare l’effettivo funzionamento di qualsiasi regola da egli definita. Operando con Test Mode non si genera un blocco reale di determinate applicazioni; grazie a tale modalità l’amministratore ha di fatto la possibilità di verificare, attraverso specifici report di sistema, cosa avverrebbe se lo scenario prescelto fosse stabilmente funzionante. Tale opportunità consente naturalmente di poter apportare i dovuti correttivi alle regole stabilite – qualora gli stessi si rivelino necessari – prima di procedere all’implementazione definitiva dello scenario prescelto, senza peraltro generare alcun tipo di reazione negativa da parte degli utenti del network aziendale; soprattutto, in tale maniera, non vengono in alcun modo compromessi i processi di business dell’impresa, se le regole definite dovessero risultare per qualche ragione inappropriate.
  • Feedback e supporto per gli utenti. All’interno di un’azienda l’ambiente IT rappresenta indubbiamente una realtà sempre estremamente dinamica; per tale motivo, all’utente finale deve essere concessa la possibilità di richiedere all’amministratore di rete il permesso di avviare ed eseguire nuovi software sul proprio computer; l’amministratore, da parte sua, deve avere l’opportunità di poter impedire o consentire – cliccando semplicemente su un pulsante ed avvalendosi di una comoda interfaccia – la realizzazione di tale richiesta. Il nostro prodotto per la sicurezza degli endpoint prevede entrambe le possibilità. Per garantire la necessaria flessibilità nello svolgimento delle attività lavorative in seno all’azienda, nell’ambito dello stesso scenario Default Deny abbiamo implementato la possibilità, da parte dell’amministratore, di ricevere e processare eventuali “lamentele” e richieste sollevate dagli utenti del network. Ad esempio, nel caso in cui una determinata applicazione risultasse bloccata, e l’utente ritenesse invece che la stessa sia indispensabile per condurre la propria attività lavorativa, quest’ultimo non avrà altro da fare che cliccare sul pulsante “Invia richiesta”: in tal modo, un’apposita notifica giungerà immediatamente all’amministratore di sistema, in maniera del tutto automatica.

La funzionalità di protezione Controllo Avvio Applicazioni: uno strumento chiave per garantire la sicurezza della rete aziendale. Parte 2

Esempio di messaggio inviato automaticamente all’amministratore di sistema in caso di avvenuto blocco del processo di avvio di una determinata applicazione

Nel corso di quest’ultimo anno alcuni laboratori di prova indipendenti hanno condotto specifici test relativamente alle funzionalità implementate nel componente di sicurezza Application Control. Due società in particolare hanno verificato l’efficacia delle tecnologie Application Control nell’ambito della protezione contro gli attacchi informatici mirati, così come riguardo ai processi di gestione del software non autorizzato.

All’inizio del 2012 la società West Coast Labs ha pubblicato un dettagliato report in cui si riassumono i risultati del primo test comparativo indipendente eseguito in merito alle suddette funzionalità: le tecnologie implementate nei prodotti di Kaspersky Lab hanno ottenuto le migliori valutazioni in assoluto.

Successivamente, la società Dennis Labs ha condotto un ulteriore test comparativo, presentando poi al pubblico, all’inizio del 2013, i risultati ottenuti. La nostra soluzione di sicurezza, per la seconda volta consecutiva, ha ricevuto i punteggi più elevati.

Conclusioni

Il costante aumento del numero delle minacce presenti nel panorama del malware e la crescente complessità di queste ultime obbliga i produttori di programmi antivirus a ricercare sempre nuove soluzioni per garantire un’efficace protezione delle reti aziendali. Il nuovo approccio di sicurezza denominato Whitelist Security Approach, come abbiamo visto, consente esclusivamente l’avvio e l’esecuzione, all’interno del sistema informatico dell’impresa, di software sicuri ed attendibili, facenti parte di apposite Whitelist. Al tempo stesso, viene inibita l’esecuzione di qualsiasi software che risulti sconosciuto o non autorizzato. La naturale conseguenza di una simile tipologia di approccio è che nessun programma dannoso può essere di fatto avviato all’interno del sistema. Tale approccio di sicurezza, ideale per le aziende, assicura un’efficace protezione nei confronti delle minacce IT particolarmente complesse e di quelle ancora sconosciute, incluso gli attacchi informatici mirati.

Il Whitelist Security Approach rappresenta indubbiamente una nuova fase nell’evoluzione delle sofisticate tecnologie preposte al controllo dell’avvio e dell’esecuzione dei programmi (funzionalità Application Control), integrate, nella circostanza, dall’implementazione di un avanzato criterio di sicurezza IT, lo scenario “Nega Predefinito” (Default Deny), così come dall’utilizzo di un’innovativa tecnologia inerente all’impiego delle Whitelist (Dynamic Whitelist).

La realizzazione della modalità Default Deny, che permette di innalzare ulteriormente il livello di sicurezza IT all’interno della rete aziendale, richiede l’implementazione di funzionalità aggiuntive. Lo scenario che determina il corretto funzionamento del componente Application Control prevede in effetti il ricorso ad alcuni semplici – ma efficaci – strumenti e meccanismi, quali il controllo d’inventario del software, la suddivisione di quest’ultimo in specifiche categorie, l’esecuzione di determinate operazioni di configurazione (Application Management), una gestione flessibile delle policy inerenti al database di Whitelisting locale (contenente le applicazioni consentite a livello locale) e la possibilità di avvalersi del database Dynamic Whitelist, disponibile nel cloud, potente strumento in grado di reagire con immediatezza ai continui ed innumerevoli cambiamenti che si producono ogni giorno, nel mondo intero, a livello di produzione ed aggiornamento del software. Inoltre, per realizzare al meglio un corretto ed efficace passaggio allo scenario di sicurezza Default Deny, si rivela altresì indispensabile l’utilizzo della specifica funzionalità che prevede l’esecuzione di test e la fornitura del supporto necessario per l’effettuazione delle prove di utilizzo dello scenario prescelto.

Il Whitelist Security Approach fornisce ad ogni amministratore di rete un prezioso ausilio nello svolgimento di un’estesa serie di task ed attività:

  • Controllare (consentire, vietare, limitare in maniera flessibile eseguendo opportune verifiche) che nelle workstation presenti nella rete aziendale vengano avviati ed eseguiti esclusivamente programmi sicuri ed attendibili, conformemente alle policy di sicurezza definite per l’ambiente IT dell’impresa.
  • Ricevere dal fornitore della soluzione di sicurezza implementata nel network aziendale informazioni specialistiche relative all’attendibilità dei file eseguibili, tramite il sofisticato database in-the-cloud denominato Dynamic Whitelist.
  • Garantire il normale e corretto funzionamento del software sicuro ed autorizzato.
  • Gestire specifiche categorie di software, e non singoli programmi.
  • Nell’ambito delle attività produttive e amministrative svolte in seno all’azienda, effettuare le necessarie operazioni di monitoraggio e controllo, reagendo tempestivamente ad eventuali problemi che potrebbero sorgere a seguito del divieto di utilizzo di un determinato software.
  • Ottimizzare l’impiego delle risorse IT aziendali ed innalzare il loro livello di produttività, controllando adeguatamente l’eventuale utilizzo in rete di programmi estranei alle specifiche attività dell’impresa o non provvisti di regolare licenza d’uso.

La funzionalità di protezione Application Control, combinata all’implementazione dello scenario Default Deny, rappresenta un potente e comodo strumento in grado di agevolare considerevolmente gli specifici compiti che spettano ad ogni amministratore di rete nel quadro delle operazioni di gestione, assistenza e manutenzione delle workstation che compongono il network aziendale, garantendo, al tempo stesso, un livello superiore di sicurezza informatica per gli endpoint.

Kaspersky Lab, da parte sua, ritiene che il Whitelist Security Approach rappresenti, nell’immediato futuro, uno degli elementi chiave nell’ambito della protezione IT delle reti aziendali. Al tempo stesso, crediamo che non esista una sola panacea o un’unica tecnologia in grado di assicurare un’adeguata protezione nei confronti di tutte le minacce informatiche che popolano la scena del malware globale. Pertanto, per ogni rete aziendale, si rivela estremamente conveniente ed opportuno ricorrere all’utilizzo di un prodotto per la sicurezza degli endpoint che risulti potente ed efficace, e riunisca in sé numerose e sofisticate tecnologie di sicurezza. Solo un sistema multilivello di protezione e controllo permette difatti di poter garantire il massimo grado di sicurezza per il network aziendale.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *