Jak korzystać z funkcji WithSecure (dawniej F-Secure) Application Control?
Application Control to funkcjonalność premium, która rozszerza poziom ochrony o kontrolę uruchamianych i instalowanych aplikacji, kontrolę instalatorów oraz skryptów. Predefiniowane reguły stworzone przez ekspertów bezpieczeństwa WithSecure (dawniej F-Secure) blokują wiele z wektorów ataków malware. W module Application Control możesz również dodawać własne reguły wybierając opcję Add Exclusion.
Zanim wdrożysz nową regułę blokującą, przetestują ją – w Rule Action ustaw „Allow and monitor”. Wszystkie zdarzenia powiązane z utworzoną regułą będą raportowane w zakładce Applications w szczegółach stacji roboczej.
Kiedy tworzysz nową regułę, pamiętaj, że ich kolejność ma znaczenie. Na przykład jeśli tworzysz konkretną regułę zezwalającą na uruchomienie konkretnej aplikacji, przed ogólną regułą blokującą. W celu przesunięcia reguły możesz posłużyć się strzałkami w edytorze konfiguracji.
Poniżej przedstawiamy sposoby jakie WithSecure (dawniej F-Secure) Application Control oferuje, aby zapobiegać wektorom ataku, takim jak zero-day i ataki ukierunkowane.
3 główne scenariusze przeciwdziałania atakom przy pomocy WithSecure (dawniej F-Secure) Application Control:
- Blokowanie niepożądanych aplikacji
- Zapobieganie wykorzystaniu exploitów na znane podatności w pakiecie Microsoft Office
- Ograniczanie aplikacji z podatnościami na podstawie ich wersji
1. Zapobieganie wykorzystaniu exploitów na znane podatności w pakiecie Microsoft Office.
Zagrożenia wykorzystujące podatności w pakiecie MS Office stają się coraz bardziej popularne, przedostają się do sieci firmowej w postaci dokumentów załączonych np. do wiadomości e-mail. Gdy złośliwe oprogramowanie znajdzie się już w organizacji, może ustawić się na hoście swojej ofiary uruchamiając nowe procesy za pomocą skryptów PowerShell, tak aby rozprzestrzenić się po całej organizacji.
Parent Path – parametr odnoszący się do aplikacji, która ma uruchomić inny proces np. winword.exe
Uwaga: Wykluczenia uwzględniają domyślną ścieżkę instalacji, pakietu MS Office, i wykorzystują zmienną środowiskową %Program files%
Target command line – parametr ogranicza regułę do blokowania jedynie procesu powershell.exe
Uwaga: aby zablokować każdą aplikację przed uruchomieniem przez MS Office, usuń drugi parametr.
Ze względu na fakt, że powershell.exe jest powszechnie używany do konfigurowania ustawień stacji roboczych – w razie potrzeby można utworzyć dodatkową regułę, która wyłącza restrykcje dla powershell.exe, ale zezwoli na korzystanie z własnych skryptów. Na zrzucie ekranu, wskazaliśmy przykład przy założeniu, że skrypty przechowywane są w lokalizacji c:\myscripts
Wykluczenie zezwala tylko na skrypty powershell pod warunkiem, że znajdują się w lokalizacji c:\myscripts\
2. Blokowanie niepożądanych aplikacji za pomocą WithSecure (dawniej F-Secure) Application Control.
Application Control może pomóc z blokowaniem niepożądanych aplikacji np. gier. Poniższy przykład pokazuje jak zablokować instalację gier Steam.
Ta reguła jest określana dla instalatorów i bloków MSI, według tematu instalatora, który znajduje się we właściwościach pliku.
Aplication Control pozwala Ci również na sprecyzowanie reguł na podstawie metadanych aplikacji. Poniższy przykład pokazuje jak można zablokować aplikację Spotify na podstawie pola Copyright.
Ta reguła blokuje uruchomienie Spotify niezależnie od tego gdzie aplikacja się znajduje.
3. Ograniczanie działania aplikacji zawierającej podatności na podstawie jej wersji.
Application Control jest przydatna również, wtedy gdy chcesz zablokować uruchamianie aplikacji, która posiada znane luki i jest narażona na wykorzystanie podatności w celu przeprowadzenia ataku. Na przykład CCleaner naprawił krytyczną lukę w najnowszej wersji 5.42.148.6499, a wszystkie starsze wersje można zablokować.
Warunek wersji pliku docelowego jest mniejszy lub równy 5,41. *. * 'Pole gwiazdka wskazuje, że w porównaniu używane są tylko pola duże i małe. Ponieważ „CCleaner” znajduje się w opisie pliku Target, program jest blokowany niezależnie od nazwy pliku lub jego lokalizacji.
Moduł WithSecure (dawniej F-Secure) Application Control dostępny jest w następujących pakietach:
WithSecure (dawniej F-Secure) Business Suite (Client Security Premium)