Programkontroll og HIPS

Tradisjonell beskyttelse mot nettangrep er basert på oppdagelse av skadelig programvare som kontrollerer programmer mot databaser med kjente indikatorer på skadelig programvare før de kjøres. I Kaspersky-produkter består dette grunnleggende laget med trusselbeskyttelse av oppdagelse i KSN-nettskyen, ML-klassifisering av skadelig programvare, beskyttelse mot rootkits og andre teknologier for beskyttelse mot skadelig programvare.

En annen effektiv metode er å «håndheve hygiene» i systemene som angripes – selv ukjente trusler kan blokkeres med strengere kontroll av programtilgang til viktige systemressurser. De viktigste eksemplene på ressursorienterte beskyttelsesteknikker er programkontrollsom enten tillater eller blokkerer kjøring av filer i henhold til lokale regler for hvitelisting/svartelisting, og HIPS (Host Intrusion Prevention System), som begrenser tilgangen til vertsressurser (data, registernøkler, prosessminne osv.) basert på programmets omdømme.

For å gi et fullstendig bilde av Kasperskys flerlagsløsning for endepunktsikkerhet bør noen av teknologiene for utførelseskontroll i det neste laget også nevnes: Atferdsregistrering, forhindring av utnyttelse, utbedringsmotoren og sårbarhetsovervåking, som beskrives i andre TechnoWiki-artikler.

Klareringskategorier

I Kasperskys løsninger er beskyttelsen av ressurser basert på at programmer tilordnes til klareringskategorier, og at det defineres tillatte handlinger for hver kategori. Dette omfatter følgende:

• Tilskrivelseav programmer til klareringskategorier.
• Regelbasert kontrollover programmers evne til å starte og samhandle med andre prosesser, data, nettverk osv.
• Overvåking av programmer med nedgradering av rettigheter når et program viser tegn på skadelig aktivitet: forsøk på å styre andre programmer, endre registeroppføringer osv.
• Beskyttet oppstart, som gir klarering for tilskrivelse, kontroll og overvåking av programmer.

Programmets rettigheter defineres av hvilken klareringskategori det tilhører. Programmer blir automatisk registerført på en vert og tilordnet til klareringskategorier. I Kaspersky Endpoint Security for Business (KESB)blir programlister levert til administratorer fra brukernes datamaskiner, slik at de kan utvikle egne policyer for programkontroll.

Programmer tilskrives en klareringskategori basert på programmets atferd, som vurdert av motoren mot skadelig programvare, omdømmet i KSN, den elektroniske signaturen og en kontroll av programmets integritet. Programmer vurderes når de startes for første gang, eller gruppevis etter at løsningen mot skadelig programvare er installert på verten.

Klareringskategoriene er som følger:

• Klarerte programmer:OS-programmer (svchost, smss med flere), legitime programmer fra kjente leverandører, med verifisert signatur og integritet.
• Ikke-klarerte programmer: skadelig programvare, som blokkeres før de startes.
• Ukjente programmer: har begrensninger, avhengig av egenskapene deres. Programmer som gjenkjennes som annonseprogrammer (som ikke er skadelig programvare), har for eksempel tillatelse til å kjøre, men ikke til å injisere kode i andre prosesser. Programmer som ikke viser tegn på skadelig aktivitet, men mangler signatur, får mer generelle rettigheter.

Etter den innledende kategoriseringen fortsetter løsningen mot skadelig programvare å overvåke programmene. Hvis de utviser egenskaper forbundet med skadelig programvare, blir de nedgradert til en lavere klareringskategori og rettighetene deres begrenses. Programmenes omdømme blir regelmessig kontrollert på nytt via KSN i tilfelle det nylig har blitt nedgradert i nettskyen.

Handlingene til programmer som ikke faller inn under kategorien «klarert», logges av utbedringsmotoren. Hvis et program viser seg å være skadelig programvare, tilbakestiller motoren endringene det har utført.

Programkontroll

Et programs evne til å starte avhenger av hvilken klareringskategori den tilhører.

I Kaspersky Internet Security(for hjemmebrukere) kan brukerne finjustere blokkeringen av programmer på verten og velge hvilken modus som skal brukes:

• I automatisk modus blir ikke-klarerte programmer blokkert automatisk (svarteliste).
• I modus for standard avvisning (hviteliste) startes bare klarerte programmer (PE32-filer, kjørbare .NET-filer, installasjonsprogrammer og enkelte andre formater). Andre programmer blokkeres permanent, også under oppstart og OS-oppdateringer.
• I manuell modus kan brukerne velge om et bestemt program skal blokkeres, når det startes for første gang.

I Kaspersky Endpoint Security for Business kan administratorer konfigurere policyer for blokkering av oppstart for programmer, kjørbare moduler (PE-filer, EXE, SCR, DLL) og skript som kjøres via en rekke ulike tolker (COM, BAT, CMD, PS1, VBS, JS, MSI, MSP, MST, OCX, APPX, REG, JAR, MMC, HTA, SYS). Til dette formålet registerfører administratoren programmer på brukernes datamaskiner og mottar en liste med metadata for programmene (leverandør, sertifikat, navn, versjon, installasjonsbane osv.). Hvis det dukker opp nye programmer på vertene senere, blir disse også registerført.

Programmene grupperes automatisk i hierarkiske kategorier (f.eks. spill, kontorprogrammer, nettlesere). Kategorier hjelper administratorer med å opprette grupper med oppstartspolicyer for programmer. For brukergrupper kan administratorer blokkere oppstart av bestemte programmer, programkategorier eller programmer som faller inn under visse betingelser (f.eks. med en lav rangering i KSN-nettskyen).

Programkontroll har også flere verktøy for å forenkle den innledende konfigurasjonen av hvitelisteregler. Dette omfatter blant annet en veiviser for å opprette regler basert på registerresultater, forhåndsdefinerte regler anbefalt av Kaspersky og hvitelisteregler som oppdateres dynamisk basert på klarerte kilder (filplasseringer eller referansedatamaskiner).

Brukerne kan be om administratortillatelse til å starte et program via KESB-grensesnittet. For å unngå å blokkere legitime programmer kan administratorer aktivere en blokkeringsregel i testmodus. Testregler påvirker ikke oppstart av programmer, men administratorer blir varslet om eventuelle utløsere, slik at de kan identifisere uønskede blokkeringer av programoppstart og teste foreslåtte regler – eller til og med hele oppstartkontrollfunksjonen – på nettverket.

HIPS

I tillegg til å kontrollere programmets evne til å starte definerer klareringskategorien programmets rettigheter, det vil si hva programmet kan gjøre på vertssystemet. Rettighetskontroll er regelbasert, med et forhåndsdefinert sett med standardregler som kan endres av hjemmebrukere eller administratoren for en bedriftsløsning.

For hver klareringskategori definerer reglene programmenes evne til å gjøre følgende:

• Endre filer, registernøkler (lese, skrive, opprette, slette).
• Opprette nettverkstilkoblinger.
• Få tilgang til webkamera og mikrofon (selv klarerte programmer er underlagt strengere regler her).
• Utføre systemoperasjoner, f.eks. åpningsprosessen, avslutning av Windows. Det er viktig å kontrollere systemoperasjoner fordi skadelig programvare kan bruke dem til å påvirke andre prosessminner, injisere kode eller forstyrre OS-driften.

Hver regel definerer programkategoriene den påvirker, handlingen den kontrollerer, og vurderingen: «tillat» eller «avvis». I løsningen for hjemmebrukere kan vurderingen også være «spør brukeren». Brukeren blir bedt om å ta avgjørelsen, og slike beslutninger lagres i hurtigbufferen.

Sikker beholder

Ved hjelp av et spesielt sett med HIPS-regler kan en hvilken som helst prosess kjøres i en sikker beholder. Tilgang til denne prosessen er svært begrenset, selv for klarerte programmer. Ytterligere begrensninger omfatter blokkering av skjermdumper, beskyttelse av utklippstavlen og integritetskontroll som beskytter prosessen mot skadelige injeksjoner. Dette sikrer at alle programmets interne data (herunder brukerens personlige data) holdes trygge. Denne HIPS-teknikken er sentral i Safe Money-modus (Safe Browser).

Beskyttelse av OS-oppstart

Når operativsystemet startes, blokkeres alle ikke-klarerte programmer, og alle andre programmer begrenses (f.eks. blokkeres nettverkstilgangen). Dette reduserer risikoen for angrep under oppstart av datamaskinen.