Säkerställ att endast godkänd mjukvara får köras
Användare och deras klienter utgör kanske den enskilt största attackvektorn idag. Men vägen till att lyckas med en attack går ofta via olika programvaror eller applikationer.
Bloggpost #7 ⎸ Säkerställ att endast godkänd mjukvara får köras
Författare: Christer Böke, Concept Manager, säkerhet
De flesta känner till att det är viktigt med klientskydd (antivirus), eller Endpoint Detection and Response (EDR) som det ofta kallas idag, då det är av lite mera avancerat slag. Men det finns betydligt mer att göra än att följa, övervaka och blockera skadlig kod. Dessutom är det ingen självklarhet att det är funktionalitet som är inkluderad inom ramen för klient- serverskydd.
Implementation av en bra metod för applikationskontroll - eller vitlistning som det även kallas, är kanske det mest effektiva sättet att på övergripande nivå uppnå ett starkare skydd för sin klient- servermiljö. Det är trots detta inte helt ovanligt att stöta på verksamheter som inte har anammat det. Eller som använder det i en relativt begränsad utsträckning.
Vitlistning och svartlistning
För att reda upp bland begreppen bör man först och främst skilja på vitlistning och svartlistning. Att enbart förhindra vissa programvaror från att användas är inte detsamma som vitlistning. Det är heller inte optimalt. Helt enkelt eftersom det i princip är omöjligt att hålla en sådan lista med ”dåliga programvaror” au jour. Istället bör man vända på tänket och som rubriken lyder säkerställa att endast godkänd mjukvara får köras.
Att implementera det senare följer dock inte utan att man stöter på diverse olika problem. Till att börja med så bör man inventera sina applikationer och under en utvärderingsperiod fastställa vad som är relevant och för vem. Vad händer i organisationen om vi endast tillåter x, y och z? Grundprincipen skall förstås vara att användare i allmänhet inte på egen hand kan installera och lägga till ny programvara. Men sen då, och vad bör man tänka på för att åstadkomma en riktigt bra vitlistning?
Här följer några tips på vägen:
Vitlista inte endast på certifikatsnivå, även om programmet är utfärdat av ett betrott företag som t ex. Microsoft. Att vitlista endast på certifikatnivå kan nämligen medföra att man tillåter ”för mycket” då certifikatet även kan använts till att certifiera applikationer som man inte vill tillåta i sin miljö. Kombinera istället valideringen på certifikatsnivå med minst ett ytterligare kriterium, t.ex. produktbeskrivning, produktnamn eller en filhash. Nackdelen med det senare är att det i praktiken kräver en ganska regelbunden handpåläggning i samband med nya versioner eller uppdateringar.
Säkerställ att ni vitlistar exekverbara filer (EXE, COM), bibliotek (DLL, OCX), samt skript (BAT, CMD, VBS, JS och PS1).
Förhindra att makron inte kan anropa så kallade LOLBins (binärfiler som ingår i operativsystemet och som potentiellt kan nyttjas av en angripare för att exekvera skadlig kod). Detta kan åstadkommas genom att kodsignera alla makron med ett eget certifikat och endast lita på dessa. Eller genom att använda sig av någon specifik produkt för ändamålet.
Läs mer om hur Atea kan stötta er organisation med just den här rekommenderade åtgärden på sidan CIS - Ramverk för cybersäkerhet under kontroll 2.
Vill du veta hur ni säkerställer god informationssäkerhet och hur just din verksamhet bör tänka säkert? Tveka inte att höra av dig till Johan Nylén, säkerhetsspecialist.
Så länge..
...Tänk säkert och skydda era tillgångar 
