image

'Applicatie whitelist oplossing voor malware'

donderdag 4 oktober 2012, 11:51 door Redactie, 21 reacties

Traditionele virusscanners zouden niet meer genoeg zijn om malware te bestrijden, maar het gevecht is nog niet verloren. Dat stelt marktvorser Forrester in een nieuw rapport, waarin het applicatie whitelisting als oplossing aandraagt. De huidige databases met signatures die virusscanners gebruiken worden alleen maar groter, waardoor ze een belasting op de infrastructuur van bedrijven en de prestaties van het endpoint vormen, aldus het onderzoeksbureau.

"Gecombineerd met het feit dat anti-virusfabrikanten een groot aantal van de onbekende of zero-day dreigingen missen, hebben veel security professionals vragen over het centraal stellen van de virusscanner in het beschermen van het endpoint." De huidige aanpak van signatures schaalt dan ook niet.

Whitelist
Chris Sherman van Forrester maakt zich in een nieuw rapport hard voor het aanvullen van anti-virus met een applicatie whitelist. Whitelisting neemt een andere aanpak en blokkeert alles behalve de betrouwbare applicaties. Dit zou voor betere prestaties op het endpoint moeten zorgen.

"Er zijn natuurlijk operationele uitdagingen die de overstap naar een whitelist in bepaalde omgevingen lastig maakt", merkt Sherman op.

Het gaat dan om het opstellen van de whitelist en dynamische omgevingen. "Het bepalen welke applicaties noodzakelijk zijn en welke moeten worden verwijderd is geen eenvoudige taak. Aan het eind van de dag heb je een endpoint-omgeving die minder afhankelijk van anti-virustechnieken is en met een behoorlijk verkleind aanvalsoppervlak."

Reacties (21)
04-10-2012, 11:58 door Anoniem
Tja. Zal nog wel flink uitgewerkt moeten worden vrees ik. Zo simpel is het niet. Malware start vaak in de achtergrond als service en buiten de API's om. Het zal ongetwijfeld kunnen maar niet op de korte termijn.
04-10-2012, 12:09 door Anoniem
Tja, hoe open wil je een deur hebben? Ik snap ook nog steeds niet waarom gebruikers zo nodig alles moeten kunnen installeren en nog steeds adminstratieve bevoegdheden nodig hebben. Applicaties kunnen prima ontsloten worden op een whitelist maar dat moet dan wel via de juiste kanalen.
04-10-2012, 12:16 door Anoniem
Je moet ook niet van de virusscanner verwachten dat ie alles doet. Er moeten meer maatregelen worden ingevoerd. Bijv. een veilig ingestelde browser, het blokkeren van iframes, en advertentiebanners, het blokkeren van scripts, het verwijderen van java (als het niet strikt nodig is) het verwijderen van flash en adobe reader, om maar een paar voorbeeldjes te noemen.
04-10-2012, 12:18 door SirDice
Whitelisting neemt een andere aanpak en blokkeert alles behalve de betrouwbare applicaties.
Wel eens geprobeerd zo'n whitelist bij te houden? Dan stap je daar heel snel weer vanaf.

Da's leuk als iedereen hetzelfde werkstation met exact dezelfde software heeft maar in een praktische omgeving is het een operationele ramp.
04-10-2012, 12:31 door Anoniem
Tsja, dan zorg je als malwaremaker toch dat je op zo'n lijst komt te staan, of dat dit er genoeg op lijkt dat je langs de check komt? Want wie voorkomt er nou dat er precies hetzelfde gebeurt als die malware die toch correct gesigneerd blijkt te zijn? Lijkt me dat de voorstellers niet voldoende nagedacht hebben.

Wat mij betreft bouwen we onze computersystemen zo dat het ene programma het andere niet dwars kan zitten. En dit is geen verkapt "gebruik linux, dat lost alles op", want hoewel het een stuk beter is, is het geen silver bullet, geenszins. Maar dat is tegelijkertijd geen reden om dan toch maar bij het met grote afstand allerzwakste "moderne" systeem te blijven. Daarvan afstappen zou al een enorme verbetering betekenen. En niet allemaal naar hetzelfde alternatief graag; een beetje diversiteit helpt ook tegen de huidige globale overgevoeligheid voor malware.
04-10-2012, 12:37 door N4ppy
Dan hijacken ze een dll of ander component van een applicatie die niet zo nauw kijkt (of je gaat alle executable componenten whitelisten)
Dan moet je ook alle word/excel documenten whitelisten.

Wie gaat die whitelist maken. Ome hennie op de hoek? Die is al blij als hij wordfeud kan spelen.

Alles in de cloud laat big brother het maar regelen?

Als ik even op mijn laptop kijk 5300 .exe en 32000 .dll objecten krijg ik dan 35000 keer een whitelist vraag?
Wie bepaald of api-ms-win-core-rtlsupport-l1-1-0.dll wel of niet mag? Zal wel iets voor RTL tv zijn? ;)

Op zich is zoiets als PSI van secunia al een aardige start
04-10-2012, 13:52 door Anoniem
N4pp4.. waarom zou je de documenten moeten whitelisten? Het gaat alleen om het lokale systeem, 9/10 bedrijven regulieren de documenten meestal via share's.
04-10-2012, 13:58 door Anoniem
als een lijst van malifiede programmas niet schaalt omdat het een lijst is, waarom zou een lijst van niet-malifiede programmas dan wel schalen?
04-10-2012, 14:15 door RichieB
Door SirDice:
Whitelisting neemt een andere aanpak en blokkeert alles behalve de betrouwbare applicaties.
Wel eens geprobeerd zo'n whitelist bij te houden? Dan stap je daar heel snel weer vanaf.

Da's leuk als iedereen hetzelfde werkstation met exact dezelfde software heeft maar in een praktische omgeving is het een operationele ramp.
Ja, wel eens geprobeerd in een organisatie met 6000 man. Ging prima. Alle software moet nu verplicht worden aangevraagd bij de ICT afdeling. Anders werkt het gewoon niet. Er zijn een paar (stuk of 3) gebruikers die hardleers zijn en het niet willen snappen. Dat geeft niets, ze worden gedwongen om de software alsnog aan te vragen. Sindsdien hebben ze daar geen enkele virus of malware besmetting meer gehad.
04-10-2012, 14:24 door Anoniem
De huidige databases met signatures die virusscanners gebruiken worden alleen maar groter, waardoor ze een belasting op de infrastructuur van bedrijven en de prestaties van het endpoint vormen.....
Volgens mij is een whitelist-db een stuk groter dan de malware-db.
Vormt dat geen belasting dan?

Verder kost het driverontwikkelaars nu al veel moeite (en geld) om hun drivers bijvoorbeeld windows gecertificeerd te krijgen.
Hoe moet het dan wel niet met hobbyprogrammeurs?
Of met systeembeheerders die regelmatisch scripts schrijven en compileren om hun werkzaamheden beter uit te voeren.
En wat als iemand een (gewhiteliste) opensource applicatie downloadt en naar eigen smaak aanpast?

door n4ppy:Dan moet je ook alle word/excel documenten whitelisten.
Lang leve de macrovirussen (die ooit bijna uitgestorven waren(toch???))
04-10-2012, 15:15 door RichieB
Volgens mij is een whitelist-db een stuk groter dan de malware-db.
Vormt dat geen belasting dan?
De whitelist db bevat alleen de software die jij echt gebruikt. Die is dus niet zo heel groot. Een malware db bevat alle kwaadaardige software die je zou kunnen krijgen op je PC. Die is in 99% van de organisaties groter dan een whitelist.

Verder kost het driverontwikkelaars nu al veel moeite (en geld) om hun drivers bijvoorbeeld windows gecertificeerd te krijgen. Hoe moet het dan wel niet met hobbyprogrammeurs?
Een whitelist is iets dat je als organisatie zelf maakt, niet iets wat je aan een Microsoft of virus vendor over laat. Dus het idee dat een programmeur zelf iets op jouw lijst kunnen zetten klopt niet.
04-10-2012, 15:17 door RichieB
Door Anoniem: als een lijst van malifiede programmas niet schaalt omdat het een lijst is, waarom zou een lijst van niet-malifiede programmas dan wel schalen?
Omdat de whitelist van alle software die je gebruikt veel kleiner is dan alle malware die je eventueel zou kunnen tegenkomen.
04-10-2012, 15:29 door Anoniem
Door RichieB:
Door Anoniem: als een lijst van malifiede programmas niet schaalt omdat het een lijst is, waarom zou een lijst van niet-malifiede programmas dan wel schalen?
Omdat de whitelist van alle software die je gebruikt veel kleiner is dan alle malware die je eventueel zou kunnen tegenkomen.
We hebben het hier wel over lijsten die in virusscanners geimplementeerd worden; en dus net als bij malware alle versies van alle software die iedereen gebruikt zou moeten documenteren
04-10-2012, 15:47 door RichieB
Door Anoniem: We hebben het hier wel over lijsten die in virusscanners geimplementeerd worden; en dus net als bij malware alle versies van alle software die iedereen gebruikt zou moeten documenteren
Nee, dat maak jij ervan. Bij Application Whitelisting bepaalt de beheerder en niet een extrne leverancier welke software wordt vertrouwd. Lees de tekst hierboven en het blog van Forrester nog maar eens. Nergens staat dat antivirus vendors whitelisten (moeten) maken.
04-10-2012, 17:16 door Anoniem

Ja, wel eens geprobeerd in een organisatie met 6000 man. Ging prima. Alle software moet nu verplicht worden aangevraagd bij de ICT afdeling. Anders werkt het gewoon niet. Er zijn een paar (stuk of 3) gebruikers die hardleers zijn en het niet willen snappen. Dat geeft niets, ze worden gedwongen om de software alsnog aan te vragen. Sindsdien hebben ze daar geen enkele virus of malware besmetting meer gehad.

Precies, die mensen die roepen "dat valt nooit te behappen" of "als niet iedereen zelf software kan installeren dan
kan niemand meer werken" die hebben het meestal niet geprobeerd of hebben het al te ver laten komen.
Hier kan niemand iets installeren en niemand kan programma's starten van USB keys, netwerkshares e.d. en dat
geeft echt nooit problemen. Maar dan moet je wel een helpdesk hebben die dat begrijpt en duidelijk uitlegt
als er vragen zijn.
04-10-2012, 17:37 door Anoniem
"Tsja, dan zorg je als malwaremaker toch dat je op zo'n lijst komt te staan"

Hoe zie je dat voor je, ga jij als beheerder van een bedrijf malware makers inlichten over de vraag welke applicaties jij als beheerder whitelist, en op welke systemen ?

"We hebben het hier wel over lijsten die in virusscanners geimplementeerd worden; en dus net als bij malware alle versies van alle software die iedereen gebruikt zou moeten documenteren"

Waarvoor heb je een virusscanner nodig wanneer je application whitelisting gebruikt, en zelf bepaalt welke applicaties jij wilt toestaan op een systeem ? Indien andere applicaties niet werken, is een virusscanner in principe overbodig.

"als een lijst van malifiede programmas niet schaalt omdat het een lijst is, waarom zou een lijst van niet-malifiede programmas dan wel schalen?"

Welke lijst is meer schaalbaar, de lijst van alle applicaties waar je gebruik van maakt op je systeem, of de lijst van alle andere bestaande applicaties (inclusief malware) waar je geen gebruik van maakt, en die dus niet in je whitelisting lijst opgenomen hoeven te worden ?

De vraag welke lijst het meest schaalbaar is lijkt me duidelijk ;)
05-10-2012, 09:06 door dutchfish
Door SirDice:
Whitelisting neemt een andere aanpak en blokkeert alles behalve de betrouwbare applicaties.
Wel eens geprobeerd zo'n whitelist bij te houden? Dan stap je daar heel snel weer vanaf.

Da's leuk als iedereen hetzelfde werkstation met exact dezelfde software heeft maar in een praktische omgeving is het een operationele ramp.

Nee hoor. dat heet in LINUX land gewoon een distributie met bekende hashes en een voorspelbaar gedrag. Dat kan je bovendien nog uitbreiden met repositories.

De vraag blijft natuurlijk waarom we dat niet zouden willen?

Mijn 2 centen
05-10-2012, 15:14 door FBevers
Faronics Anti-Executable in combinatie met Faronics Deep Freeze & Antiv-Virus is eigenlijk de ideale oplossing.
Dit filmpje laat het op een ludieke manier zien: http://www.youtube.com/watch?v=qZnoG9iLRMM&feature=plcp
05-10-2012, 19:15 door Anoniem
En exploits voor white-listed software dan???
08-10-2012, 09:18 door RichieB
Door Anoniem: En exploits voor white-listed software dan???
Application Whitelisting helpt niet rechtstreeks tegen exploits. De code die direct via exploits in het proces van de kwetsbare applicatie kan worden uitgevoerd is vaak beperkt. Daarom werken exploits vaak via een dropper: de exploit plaatst een exe of dll bestand op de PC. Dit bestand wordt dan aangeroepen door de exploit. Dat laatste zal Application Whitelisting wel tegenhouden omdat het dll of exe bestand niet in de whitelist staat.

Het is een kwestie van tijd totdat Application Whitelisting zo veel gebruikt wordt dat malware schrijvers alle malware code in de exploit gaan stoppen en zo de whitelist omzeilen. Voordeel is wel dat de malware dan niet persistent is. Na een reboot zal hij niet zomaar weer opstarten. Maar voorlopig (enkele jaren schat ik) loop je met Application Whitelisting voor de muziek uit, en kan je genieten optimale bescherming.
08-10-2012, 10:31 door FBevers
>>>En exploits voor white-listed software dan???

Na een herstart is je PC tgv de werking van DeepFreeze weer helemaal clean; op partities & MBR kan niets permanent bewaard worden. Vandaar hun 3 lagen aanpak (layered security)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.