Sovellusten hallinta ja HIPS

Perinteinen kyberhyökkäyksiltä suojautuminen perustuu haittaohjelmien tunnistukseen, joka vertaa kaikkia sovelluksia haittaohjelmien tunnettujen indikaattorien tietokantaan ennen kuin sovellus suoritetaan. Kasperskyn tuotteissa tätä uhilta suojautumisen perustasoa edustavat KSN:n pilvipohjainen tunnistus, koneoppimispohjainen haittaohjelmaluokitus, piilohallintaohjelmien esto ja muut haittaohjelmien torjuntatekniikat.

Toinen tehokas lähestymistapa on vaatia ”hygieniaa” hyökkäyksen kohteeksi joutuneilta järjestelmiltä: jopa tuntemattomat uhat voidaan estää rajaamalla sovelluksen pääsyä kriittisiin järjestelmäresursseihin. Tärkeimmät esimerkkimme resursseihin kohdistuvista suojaustekniikoista ovat Sovellusten hallinta, joka joko sallii tai estää tiedostojen suorittamisen paikallisten hyväksyntä- ja estoluetteloiden sääntöjen perusteella, ja Isäntäpohjainen hyökkäysten estojärjestelmä (Host-based Intrusion Prevention System, HIPS), joka rajoittaa sovellusten pääsyä isäntäkoneen resursseihin (tietoihin, rekisteriavaimiin, prosessimuistiin jne.) sovelluksen maineen perusteella.

Jotta Kasperskyn monitasoisesta päätepisteiden suojauksesta saadaan kattava kuva, on mainittava myös muutamia seuraavalla tasolla toimivia suorituksen hallintatekniikoita: Toiminnan tunnistus, Hyväksikäytön esto, Korjausmoduuli ja Haavoittuvuuksien seuranta, jotka kuvataan muissa TechnoWiki-artikkeleissa.

Luottamusluokat

Kasperskyn ratkaisuissa resurssien suojaus perustuu siihen, että sovellukset määritetään luottamusluokkiin ja kullekin luokalle määritetään sallitut toiminnot, muun muassa seuraavat:

• Sovellusten määritysluottamusluokkiin.
• Sääntöpohjainen hallintasovellusten kyvylle käynnistää ja käsitellä muita prosesseja, tietoja, verkkoja jne.
• Sovellusten valvonta, jossa käyttöoikeuksia vähennetään heti, kun sovelluksessa ilmenee haitallisia toimia: yritys hallita muita sovelluksia, muuttaa rekisteriarvoja jne.
• Suojattu käynnistys, joka tekee sovelluksen määrityksestä, hallinnasta ja valvonnasta luotettavaa.

Sovelluksen käyttöoikeudet määritetään sen luottamusluokan perusteella. Sovellukset luetteloidaan automaattisesti isäntäkoneessa ja määritetään luottamusluokkiin. Kaspersky Endpoint Security for Business (KESB)-ohjelmassa sovellusluettelot toimitetaan käyttäjien tietokoneilta järjestelmänvalvojille, jotta he voivat kehittää omat sovellusten hallinnan käytäntönsä.

Sovelluksen määritys luottamusluokkaan perustuu sovelluksen toimintaan, jonka arvioi haittaohjelmien torjuntamoduuli, sen maineeseen KSN:ssä, sähköiseen allekirjoitukseen ja sovelluksen eheysvarmistukseen. Sovellukset arvioidaan ensimmäisen käynnistyksen aikana tai ryhmässä sen jälkeen, kun haittaohjelmien torjuntaratkaisu on asennettu isäntäkoneeseen.

Luottamusluokat:

• Luotetut sovellukset:Käyttöjärjestelmän sovellukset (svchost, smss ja muut), tunnettujen toimittajien luvalliset sovellukset, joiden allekirjoitus ja eheys on tarkistettu.
• Ei-luotetut sovellukset: haittaohjelmat, jotka estetään jopa käynnistymästä.
• Tuntemattomat sovellukset: rajoitettuja niiden luonteesta riippuen. Esimerkiksi sovelluksille, jotka tunnistetaan mainosohjelmiksi (jotka eivät kuitenkaan ole haittaohjelmia), sallitaan suoritus, mutta ne eivät saa lisätä koodia muihin prosesseihin. Sovelluksilla, joissa ei ilmene haitallista toimintaa, mutta joilta puuttuu allekirjoitus, on laajemmat käyttöoikeudet.

Alustavan luokittelun jälkeen haittaohjelmien torjuntaratkaisu jatkaa sovellusten valvomista. Jos niissä ilmenee haittaohjelmien piirteitä, ne siirretään alempaan luottamusluokkaan ja niiden käyttöoikeuksia rajoitetaan. Sovelluksen maine vahvistetaan säännöllisesti KSN:n kautta sen varalta, että maineen tasoa on laskettu hiljattain pilvipalvelussa.

Korjausmoduuli kirjaa lokiin sovellusten sellaisen toiminnan, joka ei kuulu luotettujen luokkaan. Jos sovellus todetaan haittaohjelmaksi, moduuli kumoaa sen tekemät muutokset.

Sovellusten hallinta

Sovelluksen kyky käynnistyä määräytyy sen luottamusluokan perusteella.

Kaspersky Internet Security -ohjelmassa (kotikäyttäjille) käyttäjät voivat hienosäätää sovellusten eston isäntäkoneessaan ja valita sen tilan:

• Automaattisessa tilassa ei-luotetut sovellukset estetään automaattisesti (estolista).
• Oletusarvoisen eston tilassa (hyväksyntäluettelo) vain luotetut sovellukset käynnistetään (PE32-tiedostot, suoritettavat .Net-tiedostot, asennusohjelmat ja jotkin muut muodot). Muut sovellukset estetään pysyvästi, myös uudelleenkäynnistyksen ja käyttöjärjestelmän päivityksen aikana.
• Manuaalisessa tilassa käyttäjät voivat ensimmäisen käynnistyksen yhteydessä päättää, estetäänkö tietty sovellus vai ei.

Kaspersky Endpoint Security for Business -ohjelmassa järjestelmänvalvojat voivat määrittää käynnistyksen estokäytäntöjä sovelluksille, suoritettaville moduuleille (PE-tiedostot, exe, scr, dll) ja eri tulkkien kautta suoritettaville komentosarjoille (com, bat, cmd, ps1, vbs, js, msi, msp, mst, ocx, appx, reg, jar, mmc, hta, sys). Tätä varten järjestelmänvalvoja luetteloi käyttäjien tietokoneiden sovellukset ja saa niiltä luettelon metatietoineen (toimittaja, varmenne, nimi, versio, asennuspolku jne.). Jos isäntäkoneisiin ilmestyy uusia sovelluksia myöhemmin, myös ne luetteloidaan.

Sovellukset ryhmitellään automaattisesti hierarkkisiin luokkiin (esimerkiksi pelit, toimistosovellukset, selaimet). Luokkien avulla järjestelmänvalvojat voivat luoda sovellusten käynnistyskäytäntöjen ryhmiä. Järjestelmänvalvojat voivat estää käyttäjäryhmiltä tiettyjen sovellusten, sovellusluokkien tai tietyt ehdot täyttävien sovellusten (esim. alhainen KSN:n pilvipalvelun luokitus) käynnistämisen.

Sovellusten hallinnassa on myös useita työkaluja helpottamaan hyväksyntäluetteloiden sääntöjen alkumääritystä, muun muassa ohjattu toiminto, jolla säännöt voi luoda luettelointitulosten perusteella, Kasperskyn suosittelemia esimääritettyjä sääntöjä ja luotettuihin lähteisiin (tiedostosijainnit tai viitetietokoneet) perustuvien päivitettyjen hyväksyntäluetteloiden sääntöjä.

Käyttäjät voivat pyytää järjestelmänvalvojan oikeuksia sovelluksen käynnistämiseen KESB-käyttöliittymänsä kautta. Jotta vältetään luvallisen sovelluksen estäminen, järjestelmänvalvojat voivat ottaa estosäännön käyttöön testitilassa. Testisäännöt eivät vaikuta sovelluksen käynnistykseen, mutta järjestelmänvalvojille ilmoitetaan käynnistimistä, jotta he voivat löytää ei-toivotut sovellusten estot ja testata ehdotettuja sääntöjä, tai jopa koko käynnistyksen hallintaominaisuutta, omassa verkossaan.

HIPS

Sen lisäksi, että sovelluksen luottamusluokka hallitsee sovelluksen kykyä käynnistyä, se määrittää sovelluksen käyttöoikeudet eli sen, mitä sovellus saa tehdä isäntäjärjestelmässä. Käyttöoikeuksien hallinta toimii sääntöpohjaisesti ja siinä on esimääritetyt valmiit säännöt, joita kotikäyttäjät tai yrityksen ratkaisun järjestelmänvalvojat voivat muokata.

Kussakin luottamusluokassa säännöt määrittävät sovelluksen kyvyn seuraaviin:

• tiedostojen ja rekisteriavainten muokkaaminen (luku, kirjoitus, luonti, poisto)
• verkkoyhteyksien muodostaminen
• verkkokameran ja mikrofonin käyttö (tässä sovelletaan tiukempia sääntöjä myös luotetuille sovelluksille)
• järjestelmän toimintojen suorittaminen, esim. prosessin avaaminen, Windowsin sammutus. On tärkeää hallita järjestelmän toimintoja, koska haittaohjelma voi käyttää niitä muiden prosessien muistin häiritsemiseen, lisätä koodia tai haitata käyttöjärjestelmän toimintaa.

Kukin sääntö määrittää sovellusluokat, joihin se vaikuttaa, hallittavan toimen ja tuloksen: ”salli” tai ”estä”. Kotikäyttäjien ratkaisussa tulos voi olla myös ”kysy käyttäjältä”. Käyttäjää pyydetään tekemään päätös, ja päätökset tallennetaan välimuistiin.

Suojattu säilö

Kun käytetään erityistä HIPS-sääntöjen joukkoa, minkä tahansa prosessin voi suorittaa suojatussa säilössä, jolloin pääsy prosessiin on hyvin rajoitettua, myös luotetuille sovelluksille. Lisärajoituksia ovat näyttökuvien esto, leikepöydän suojaus ja eheyden hallinta, joka suojaa prosessia haittakoodin lisäämiseltä. Tällä tavoin kaikki sovelluksen sisäiset tiedot (mukaan lukien henkilötiedot) pidetään turvassa. Tämä HIPS-tekniikka on keskeinen osa Rahaturva (Safe Browser) -tilaa.

Käyttöjärjestelmän käynnistyksen suojaus

Käyttöjärjestelmän käynnistyksen aikana kaikki ei-luotetut sovellukset estetään kokonaan ja muita rajoitetaan (esimerkiksi niiden verkkoyhteys estetään). Tämä vähentää hyökkäyksen mahdollisuutta tietokoneen käynnistyksen aikana.