fbpx
vida usługi it katowice
Kontakt
vida usługi it katowice

WithSecure (dawniej F-Secure) Application Control

Udostępnij

Jak korzystać z funkcji WithSecure (dawniej F-Secure) Application Control?

Application Control to funkcjonalność premium, która rozszerza poziom ochrony o kontrolę uruchamianych i instalowanych aplikacji, kontrolę instalatorów oraz skryptów. Predefiniowane reguły stworzone przez ekspertów bezpieczeństwa WithSecure (dawniej F-Secure) blokują wiele z wektorów ataków malware. W module Application Control możesz również dodawać własne reguły wybierając opcję Add Exclusion.

Zanim wdrożysz nową regułę blokującą, przetestują ją – w Rule Action ustaw „Allow and monitor”. Wszystkie zdarzenia powiązane z utworzoną regułą będą raportowane w zakładce Applications w szczegółach stacji roboczej.

Kiedy tworzysz nową regułę, pamiętaj, że ich kolejność ma znaczenie. Na przykład jeśli tworzysz konkretną regułę zezwalającą na uruchomienie konkretnej aplikacji, przed ogólną regułą blokującą. W celu przesunięcia reguły możesz posłużyć się strzałkami w edytorze konfiguracji.

Poniżej przedstawiamy sposoby jakie WithSecure (dawniej F-Secure) Application Control oferuje, aby zapobiegać wektorom ataku, takim jak zero-day i ataki ukierunkowane. 

3 główne scenariusze przeciwdziałania atakom przy pomocy WithSecure (dawniej F-Secure) Application Control:

  • Blokowanie niepożądanych aplikacji
  • Zapobieganie wykorzystaniu exploitów na znane podatności w pakiecie Microsoft Office
  • Ograniczanie aplikacji z podatnościami na podstawie ich wersji

1. Zapobieganie wykorzystaniu exploitów na znane podatności w pakiecie Microsoft Office.

Zagrożenia wykorzystujące podatności w pakiecie MS Office stają się coraz bardziej popularne, przedostają się do sieci firmowej w postaci dokumentów załączonych np. do wiadomości e-mail. Gdy złośliwe oprogramowanie znajdzie się już w organizacji, może ustawić się na hoście swojej ofiary uruchamiając nowe procesy za pomocą skryptów PowerShell, tak aby rozprzestrzenić się po całej organizacji.

Jako administrator możesz podnieść poziom bezpieczeństwa blokując programom pakietu MS Office uruchamianie innych aplikacji. Ten typ restrykcji nie ma większego wpływu na pracę użytkowników, gdyż aplikacje pakietu MS Office zazwyczaj nie wykonują tego typu działań.
WithSecure (dawniej F-Secure) application control

Parent Path – parametr odnoszący się do aplikacji, która ma uruchomić inny proces np. winword.exe

Uwaga: Wykluczenia uwzględniają domyślną ścieżkę instalacji, pakietu MS Office, i wykorzystują zmienną środowiskową %Program files%

Target command line – parametr ogranicza regułę do blokowania jedynie procesu powershell.exe

 

Uwaga: aby zablokować każdą aplikację przed uruchomieniem przez MS Office, usuń drugi parametr.

Ze względu na fakt, że powershell.exe jest powszechnie używany do konfigurowania ustawień stacji roboczych – w razie potrzeby można utworzyć dodatkową regułę, która wyłącza restrykcje dla powershell.exe, ale zezwoli na korzystanie z własnych skryptów. Na zrzucie ekranu, wskazaliśmy przykład przy założeniu, że skrypty przechowywane są w lokalizacji c:\myscripts

WithSecure (dawniej F-Secure) blokowanie powershell

Wykluczenie zezwala tylko na skrypty powershell pod warunkiem, że znajdują się w lokalizacji c:\myscripts\

2. Blokowanie niepożądanych aplikacji za pomocą WithSecure (dawniej F-Secure) Application Control.

Application Control może pomóc z blokowaniem niepożądanych aplikacji np. gier. Poniższy przykład pokazuje jak zablokować instalację gier Steam.

Blokowanie gier w antywirusie

Ta reguła jest określana dla instalatorów i bloków MSI, według tematu instalatora, który znajduje się we właściwościach pliku.

blokowanie programów w module application control

Aplication Control pozwala Ci również na sprecyzowanie reguł na podstawie metadanych aplikacji. Poniższy przykład pokazuje jak można zablokować aplikację Spotify na podstawie pola Copyright.

WithSecure (dawniej F-Secure) blokowanie aplikacji po copyright

Ta reguła blokuje uruchomienie Spotify niezależnie od tego gdzie aplikacja się znajduje.

3. Ograniczanie działania aplikacji zawierającej podatności na podstawie jej wersji.

Application Control jest przydatna również, wtedy gdy chcesz zablokować uruchamianie aplikacji, która posiada znane luki i jest narażona na wykorzystanie podatności w celu przeprowadzenia ataku. Na przykład CCleaner naprawił krytyczną lukę w najnowszej wersji 5.42.148.6499, a wszystkie starsze wersje można zablokować.

Blokowanie aplikacji po wersji

Warunek wersji pliku docelowego jest mniejszy lub równy 5,41. *. * 'Pole gwiazdka wskazuje, że w porównaniu używane są tylko pola duże i małe. Ponieważ „CCleaner” znajduje się w opisie pliku Target, program jest blokowany niezależnie od nazwy pliku lub jego lokalizacji.

f-secure-application-control

Moduł WithSecure (dawniej F-Secure) Application Control dostępny jest w następujących pakietach:

WithSecure (dawniej F-Secure) Business Suite (Client Security Premium)

WithSecure (dawniej F-Secure) Elements Endpoint Protection (dawniej WithSecure (dawniej F-Secure) PSB)

Żródło: https://community.f-secure.com/t5/Common-Topics/Application-control-exclusion/ta-p/108151

Sprawdź nasze usługi

Szkolenie
ESET
EarlyBird - 199 zł netto
Cyberbezpieczny
pracownik
Zwiększ bezpieczeństwo IT swojej firmy poprzez cyberedukację pracowników
szkolenie
Forti
Trade Up
Skorzystaj z rabatu 45% na nowe urządzenie!
Bezpłatne
Konsultacje FortiGate
Sprawdź czy w pełni wykorzystujesz możliwości urządzenia FortiGate w swojej firmie

Zobacz również

Webinar Fortinet
Zapisz się!
szkolenie bezpieczny pracownik w IT

Ludzie są najcenniejszą wartością Twojej organizacji

Zwiększ bezpieczeństwo IT firmy poprzez cyberedukację pracowników. Postaw na szkolenie CyberBezpieczny Pracownik!

Dowiedz się więcej

Zaufali nam

Poprzedni
Następny
Sprawdź jak ocenili nas klienci
5/5
251 opinii z Google

Case Study

Blog

Polecane produkty

Szkolenia

Webinary

Śledź nas:

Szkolenie ESET
Praktyczne warsztaty stacjonarne
199 zł netto
Katowice 26.04.2024 r.
Sprawdź szczegóły