fbpx

F-Secure Application Control

Jak korzystać z funkcji F-Secure Application Control?

Application Control to funkcjonalność premium, która rozszerza poziom ochrony o kontrolę uruchamianych i instalowanych aplikacji, kontrolę instalatorów oraz skryptów. Predefiniowane reguły stworzone przez ekspertów bezpieczeństwa F-Secure blokują wiele z wektorów ataków malware. W module Application Control możesz również dodawać własne reguły wybierając opcję Add Exclusion.

Zanim wdrożysz nową regułę blokującą, przetestują ją – w Rule Action ustaw „Allow and monitor”. Wszystkie zdarzenia powiązane z utworzoną regułą będą raportowane w zakładce Applications w szczegółach stacji roboczej.

Kiedy tworzysz nową regułę, pamiętaj, że ich kolejność ma znaczenie. Na przykład jeśli tworzysz konkretną regułę zezwalającą na uruchomienie konkretnej aplikacji, przed ogólną regułą blokującą. W celu przesunięcia reguły możesz posłużyć się strzałkami w edytorze konfiguracji.

Poniżej przedstawiamy sposoby jakie F-Secure Application Control oferuje, aby zapobiegać wektorom ataku, takim jak zero-day i ataki ukierunkowane. 

3 główne scenariusze przeciwdziałania atakom przy pomocy F-Secure Application Control:

  • Blokowanie niepożądanych aplikacji
  • Zapobieganie wykorzystaniu exploitów na znane podatności w pakiecie Microsoft Office
  • Ograniczanie aplikacji z podatnościami na podstawie ich wersji

1. Zapobieganie wykorzystaniu exploitów na znane podatności w pakiecie Microsoft Office.

Zagrożenia wykorzystujące podatności w pakiecie MS Office stają się coraz bardziej popularne, przedostają się do sieci firmowej w postaci dokumentów załączonych np. do wiadomości e-mail. Gdy złośliwe oprogramowanie znajdzie się już w organizacji, może ustawić się na hoście swojej ofiary uruchamiając nowe procesy za pomocą skryptów PowerShell, tak aby rozprzestrzenić się po całej organizacji.

Jako administrator możesz podnieść poziom bezpieczeństwa blokując programom pakietu MS Office uruchamianie innych aplikacji. Ten typ restrykcji nie ma większego wpływu na pracę użytkowników, gdyż aplikacje pakietu MS Office zazwyczaj nie wykonują tego typu działań.
F-Secure application control

Parent Path – parametr odnoszący się do aplikacji, która ma uruchomić inny proces np. winword.exe

Uwaga: Wykluczenia uwzględniają domyślną ścieżkę instalacji, pakietu MS Office, i wykorzystują zmienną środowiskową %Program files%

Target command line – parametr ogranicza regułę do blokowania jedynie procesu powershell.exe

 

Uwaga: aby zablokować każdą aplikację przed uruchomieniem przez MS Office, usuń drugi parametr.

Ze względu na fakt, że powershell.exe jest powszechnie używany do konfigurowania ustawień stacji roboczych – w razie potrzeby można utworzyć dodatkową regułę, która wyłącza restrykcje dla powershell.exe, ale zezwoli na korzystanie z własnych skryptów. Na zrzucie ekranu, wskazaliśmy przykład przy założeniu, że skrypty przechowywane są w lokalizacji c:\myscripts

F-Secure blokowanie powershell

Wykluczenie zezwala tylko na skrypty powershell pod warunkiem, że znajdują się w lokalizacji c:\myscripts\

2. Blokowanie niepożądanych aplikacji za pomocą F-Secure Application Control.

Application Control może pomóc z blokowaniem niepożądanych aplikacji np. gier. Poniższy przykład pokazuje jak zablokować instalację gier Steam.

Blokowanie gier w antywirusie

Ta reguła jest określana dla instalatorów i bloków MSI, według tematu instalatora, który znajduje się we właściwościach pliku.

blokowanie programów w module application control

Aplication Control pozwala Ci również na sprecyzowanie reguł na podstawie metadanych aplikacji. Poniższy przykład pokazuje jak można zablokować aplikację Spotify na podstawie pola Copyright.

F-Secure blokowanie aplikacji po copyright

Ta reguła blokuje uruchomienie Spotify niezależnie od tego gdzie aplikacja się znajduje.

3. Ograniczanie działania aplikacji zawierającej podatności na podstawie jej wersji.

Application Control jest przydatna również, wtedy gdy chcesz zablokować uruchamianie aplikacji, która posiada znane luki i jest narażona na wykorzystanie podatności w celu przeprowadzenia ataku. Na przykład CCleaner naprawił krytyczną lukę w najnowszej wersji 5.42.148.6499, a wszystkie starsze wersje można zablokować.

Blokowanie aplikacji po wersji

Warunek wersji pliku docelowego jest mniejszy lub równy 5,41. *. * ‘Pole gwiazdka wskazuje, że w porównaniu używane są tylko pola duże i małe. Ponieważ „CCleaner” znajduje się w opisie pliku Target, program jest blokowany niezależnie od nazwy pliku lub jego lokalizacji.

f-secure-application-control

Moduł F-Secure Application Control dostępny jest w następujących pakietach:

F-Secure Business Suite (Client Security Premium)

F-Secure PSB (Computer Protection Premium)

Bezpieczeństwo sieci

Teatralna 8/13
40-003 Katowice
NIP: 651-15-41-295
Tel: 32 25 213 10

email: kontakt@vida.pl

Zapytaj o produkt

Rozwiązania IT

Teatralna 8/13
40-003 Katowice
NIP: 651-15-41-295
Tel: 32 25 213 10

email: kontakt@vida.pl