Application Control e HIPS
La tradizionale protezione nei confronti dei cyberattacchi si basa sul rilevamento del malware: tale meccanismo controlla qualsiasi applicazione prima che la stessa venga eseguita, servendosi degli appositi database contenenti gli indicatori dei malware già noti. Nei prodotti Kaspersky, questo livello base di protezione dalle minacce è costituito da vari elementi: rilevamento cloud tramite KSN, classificazione del malware attraverso i modelli ML, specifiche funzionalità anti-rootkit e altre tecnologie anti-malware.
Un altro approccio particolarmente efficace consiste nell'applicare determinati criteri di Cybersecurity ai sistemi sottoposti ad attacco: l'hardening relativo all'accesso delle applicazioni alle risorse di sistema critiche consente ad esempio di bloccare persino le minacce sconosciute. I nostri principali esempi di tecniche di protezione incentrate sulle risorse sono rappresentati dalle due funzionalità qui di seguito descritte: Application Control consente o blocca l'esecuzione dei file in base alle regole di whitelisting/blacklisting locali, mentre Host Intrusion Prevention System (HIPS) limita l'accesso delle applicazioni alle risorse degli host (dati, chiavi di registro, memoria di processo ecc.), in base alla specifica reputazione dell'applicazione.
Per completare il quadro relativo all'endpoint security multilivello di Kaspersky occorre ugualmente menzionare alcune avanzate tecnologie adibite al controllo del processo di esecuzione: analisi comportamentale, exploit prevention, remediation engine e monitoraggio delle vulnerabilità, descritte in altri articoli di TechnoWiki.
Categorie di attendibilità
Nelle soluzioni Kaspersky, la protezione delle risorse si basa sull'assegnazione delle applicazioni a determinate categorie di attendibilità e sulla definizione delle operazioni consentite per ciascuna categoria. Tale processo comprende:
- Attribuzione delle applicazioni a specifiche categorie di attendibilità.
- Controllo basato su precise regole riguardo alla capacità, da parte delle applicazioni, di avviarsi e interagire con altri processi, dati, reti, ecc.
- Monitoraggio delle applicazioni, con relativo downgrade dei privilegi non appena un'applicazione mostra attività dannose: tentativi di controllare altre applicazioni, modifica delle voci di registro, ecc.
- Avvio protetto: fornisce la necessaria attendibilità alle operazioni di attribuzione, controllo e monitoraggio dell'applicazione.
I privilegi di cui beneficia l'applicazione sono determinati dalla categoria di attendibilità in cui rientra la stessa. Le applicazioni vengono automaticamente inventariate sull'host e assegnate alle categorie di attendibilità. In Kaspersky Endpoint Security for Business (KESB), gli elenchi delle applicazioni vengono distribuiti agli amministratori attraverso i computer degli utenti: ciò consente agli admin di sviluppare i propri criteri inerenti al controllo delle applicazioni.
L'attribuzione di una determinata applicazione a una categoria attendibile si basa sul comportamento dell'app in questione, conformemente alle valutazioni effettuate attraverso vari elementi: motore anti-malware, reputazione in KSN, firma elettronica e controllo dell'integrità dell'applicazione. L'assessment delle applicazioni viene effettuato al loro primo avvio o in gruppo, una volta completata l'installazione della soluzione anti-malware sull'host.
Le categorie utilizzate per determinare il livello di attendibilità sono le seguenti:
- Applicazioni attendibili: applicazioni del sistema operativo (svchost, smss e altre), applicazioni legittime sviluppate da noti vendor, con firma e integrità verificate.
- Applicazioni non attendibili: malware, di cui viene bloccato persino l'avvio.
- Applicazioni sconosciute: soggette a precise limitazioni, a seconda della loro natura. Ad esempio, è consentita l'esecuzione delle applicazioni riconosciute come adware (non ancora classificate come malware), ma le stesse non possono iniettare codice in altri processi. Le applicazioni che non evidenziano la conduzione di attività dannose, ma risultano prive di firma, beneficeranno di privilegi più ampi.
Una volta eseguita la categorizzazione iniziale, le applicazioni continuano a essere monitorate dalla soluzione anti-malware. Se mostrano tratti peculiari riconducibili al malware, interviene il downgrade a una categoria di attendibilità inferiore e i loro privilegi vengono limitati. La reputazione di un'applicazione viene periodicamente riconfermata tramite KSN, nel caso in cui tale reputazione sia stata di recente declassata in ambito cloud.
Le operazioni eseguite delle applicazioni che non rientrano nella categoria "Attendibili" vengono registrate dal remediation engine. Se un'applicazione evidenzia le tipiche caratteristiche del malware, il motore in questione esegue il rollback delle modifiche apportate dalla stessa.
Controllo delle applicazioni
La categoria di attendibilità a cui appartiene un'applicazione determina, per quest'ultima, la possibilità di essere avviata o meno.
In Kaspersky Internet Security (per utenti privati), gli utenti possono ottimizzare il blocco delle applicazioni sul proprio host e sceglierne la modalità:
- In modalità automatica, le applicazioni non attendibili vengono automaticamente bloccate (blacklist).
- In modalità Default Deny (whitelist), vengono avviate solo le applicazioni attendibili (file PE32, eseguibili .Net, programmi di installazione e alcuni altri formati). Le altre applicazioni risultano bloccate in modo permanente, anche durante il riavvio e l'aggiornamento del sistema operativo.
- In modalità manuale gli utenti possono, in occasione del primo avvio, decidere se bloccare o meno una particolare applicazione.
In Kaspersky Endpoint Security for Business, gli amministratori possono configurare specifici criteri inerenti al blocco dell'avvio relativamente ad applicazioni, moduli eseguibili (file PE, exe, scr, dll) e script eseguiti tramite un'ampia serie di interpreti (com, bat, cmd, ps1, vbs, js, msi, msp, mst, ocx, appx, reg, jar, mmc, hta, sys). Per fare questo, l'amministratore esegue un inventario delle applicazioni presenti sui computer degli utenti e riceve il relativo elenco con i metadati (vendor, certificato, nome, versione, percorso di installazione, ecc.). Se successivamente compaiono sugli host nuove applicazioni, anch'esse saranno inventariate.
Le applicazioni vengono raggruppate automaticamente in categorie gerarchiche (ad esempio giochi, applicazioni di Office, browser). La suddivisione in categorie consente agli amministratori di creare gruppi di criteri relativi all'avvio delle applicazioni. In base ai diversi gruppi di utenti, gli amministratori possono bloccare l'avvio di specifiche applicazioni, categorie di applicazioni o applicazioni che rientrano in determinate condizioni (ad es. con un rating basso da parte del cloud KSN).
Application Control fornisce ugualmente numerosi strumenti per semplificare la configurazione iniziale delle regole di whitelisting, tra cui una procedura guidata atta a creare regole basate sui risultati dell'inventario, regole predefinite raccomandate da Kaspersky e regole di whitelisting aggiornate in modo dinamico, basate su fonti attendibili (percorsi dei file o computer di riferimento).
Attraverso l'interfaccia KESB di cui dispongono, gli utenti hanno la possibilità di richiedere l'autorizzazione dell'amministratore per avviare una determinata applicazione. Per evitare di bloccare un'applicazione legittima, gli amministratori possono abilitare una regola di blocco in test mode. Le regole di testing non influiscono sull'avvio dell'applicazione; tuttavia, gli amministratori ricevono apposite notifiche riguardo a qualsiasi trigger: ciò consente loro di identificare eventuali blocchi relativi all'avvio di applicazioni indesiderate e di testare le regole proposte (o persino la funzionalità completa relativa al controllo dell'avvio) sulla loro rete.
HIPS
Oltre a controllare l'effettiva possibilità di avvio dell'applicazione, la categoria di attendibilità determina i privilegi di quest'ultima, ovvero cosa possa fare o meno un'applicazione all'interno del sistema host. Il controllo dei privilegi si basa su precise regole: si tratta di un insieme predefinito di regole "pronte all'uso" che possono essere modificate sia dagli utenti privati, sia dagli amministratori di soluzioni di sicurezza dedicate alle aziende.
Tali regole definiscono, per ogni categoria di attendibilità, le azioni che ogni applicazione può svolgere:
- Modifica di file, chiavi di registro (lettura, scrittura, creazione, eliminazione)
- Stabilire connessioni di rete
- Accesso alla webcam e al microfono (nel caso specifico vengono applicate regole più rigide anche per le applicazioni attendibili)
- Esecuzione di operazioni di sistema, ad es. apertura di un processo, arresto di Windows. Si rivela di particolare importanza controllare le operazioni di sistema, in quanto il malware può utilizzare le stesse per interferire con la memoria di altri processi, iniettare codice nocivo o interferire con il funzionamento del sistema operativo.
Ogni regola definisce le categorie di applicazioni interessate, l'azione che controlla e il relativo verdetto: "consenti" o "nega". Nella soluzione per utenti privati, il verdetto può ugualmente essere "chiedi all'utente": in sostanza, si chiede all'utente di prendere la relativa decisione, e tali decisioni vengono memorizzate nella cache.
Container protetto
Utilizzando un'apposita serie di regole HIPS, qualsiasi processo può essere eseguito all'interno di un container protetto: l'accesso a un processo del genere è di fatto molto limitato, anche per le applicazioni attendibili. Ulteriori limitazioni garantiscono il blocco degli screenshot, la protezione del contenuto degli Appunti e il controllo dell'integrità, atto a proteggere il processo dalle iniezioni di codice malevolo. In tal modo, tutti i dati interni dell'applicazione (compresi i dati personali dell'utente) vengono mantenuti al sicuro. Questa tecnica HIPS rappresenta l'elemento cardine della modalità Safe Money (Safe Browser).
Protezione all'avvio del sistema operativo
Nel momento in cui viene avviato il sistema operativo, tutte le applicazioni non attendibili risultano completamente bloccate, mentre per le rimanenti vengono applicate specifiche limitazioni (è ad esempio bloccato il loro accesso alla rete). Ciò riduce sensibilmente la possibilità di subire un attacco durante l'operazione di avvio del computer.
Prodotti correlati
Kaspersky Endpoint Security for Business
Kaspersky Internet Security
Kaspersky Safe Browser
Tecnologie correlate
The protection technologies of...