Programkontroller och värdbaserade intrångsdetekteringssystem (HIPS)

Vanliga skydd mot cyberattacker baseras på identifiering av skadlig programvara genom att kontrollera programmen via databaser som innehåller välkända indikatorer för skadlig programvara innan programmet startas. I Kasperskys produkter utgörs detta grundläggande skydd av KSN-molnidentifiering, klassificering av skadlig programvara via maskininlärning, skydd mot rootkits och annan teknik som skyddar dig mot skadlig programvara.

Ett annat effektivt tillvägagångssätt är ”påtvingade hälsokontroller” av de utsatta systemen. Begränsa programmets åtkomst till kritiska systemresurser avsevärt för att även kunna blockera okända hot. Våra främsta exempel på resursfokuserad skyddsteknik är programkontroll som tillåter eller blockerar filkörning baserat på lokala regler för vitlistade/svartlistade objekt och värdbaserade intrångsskydd (HIPS, Host-Based Intrusion Prevention System) som begränsar programmets åtkomst till värdsystemets resurser (som data, registernycklar och processminne) i enlighet med programmets rykte.

Vi bör även nämna våra senaste körningsstyrningstekniker för att ge dig en översikt över hela Kaspersky-sviten för klientsäkerhet. Dessa är: beteendeidentifiering, skydd mot utsatthet, återställningsmotor och sårbarhetsövervakning. Beskrivningar av dessa hittar du i TechnoWiki-artiklarna.

Tillförlitlighetskategorier

Resursskydden i Kaspersky-lösningarna bygger på att tilldela programmen tillförlitlighetskategorier och definiera vilka funktioner som är tillåtna inom dessa. Dessa inkluderar:

• Programbehörighet för tillförlitlighetskategorierna.
• Regelbaserade kontroller av programmets förmåga att starta och interagera med andra processer, data och nätverk m.m.
• Programövervakning där behörigheterna begränsas vid tecken på skadlig programvara, som försök att ta över andra program, ändringar av arkivposter m.m.
• Startskydd för säker hantering av programbehörighet, kontroller och övervakning.

Programbehörigheterna baseras på den tillförlitlighetskategori som den hamnar i. Programmen lagras automatiskt i värdsystemet och tilldelas en tillförlitlighetskategori. I programmet Kaspersky Endpoint Security for Business (KESB) skickas programlistor från användarnas dator till administratörer för att de ska kunna utveckla anpassade programkontrollspolicyer.

Programbehörigheten för tillförlitlighetskategorin baseras på beteendet som identifieras av motorn mot skadlig programvara, programmets rykte inom KSN, dess elektroniska signatur och programintegritetskontroller. Programmen bedöms under första körningen eller i en grupp efter att skyddet mot skadlig programvara har installerats på värdenheten.

Tillförlitlighetskategorierna inkluderar:

• Betrodda program: program i operativsystemet (svchost, smss m.m.), berättigade program från kända leverantörer, program med verifierad signatur och integritet.
• Icke-betrodda program: skadlig programvara som förhindras från att ens starta.
• Okända program: begränsade baserat på dess egenskaper. Program som annonsprogram (som inte klassas som skadlig programvara) kan till exempel köras men får inte överföra koden till andra processer. Program som inte visar tecken på skadlig programvara men saknar signatur tilldelas fler behörigheter.

Programmen fortsätter att övervakas av skyddet mot skadlig programvara efter den första kategoriseringen. Om de börjar att uppvisa tecken på skadlig programvara begränsas behörigheterna och programmet flyttas till en lägre tillförlitlighetskategori. Programmets rykte (omdömen) kontrolleras regelbundet via KSN för att hålla koll på om ryktet i molnet har försämrats.

De programfunktioner som inte placeras i någon ”betrodd” kategori loggas av återställningsmotorn. Om programmet visar sig vara skadlig programvara kommer motorn att återställa de ändringar som programmet hunnit utföra.

Programkontroll

Programmets startförmåga beror på vilken tillförlitlighetskategori det tillhör.

I Kaspersky Internet Security (för användning i hemmet) går det att finjustera programblockeringen för värden och välja läge.

• Om du väljer automatiskt läge kommer alla icke-betrodda program att blockeras (svartlistas).
• Om du väljer läget Neka som standard startas endast betrodda (vitlistade) program (PE32-filer, körbara .Net-filer, installationsprogram och vissa andra format). Övriga program blockeras permanent, även under omstart och vid uppdatering av operativsystemet.
• Vid användning av manuellt läge kan du välja om ett specifikt program ska blockeras eller inte vid första start.

I Kaspersky Endpoint Security for Business är det möjligt för administratörer att konfigurera policyer för blockering vid start av program, körbara moduler (PE-filer, exe, scr, dll) och skript från ett flertal programtolkar (com, bat, cmd, ps1, vbs, js, msi, msp, mst, ocx, appx, reg, jar, mmc, hta och sys). Administratören lagrar i sådana fall programmet på användardatorerna och väntar sedan in deras lista över metadata (leverantör, certifikat, namn, version, installationssökväg m.m.). Nya program som läggs till i värdsystemet vid senare tillfälle kommer också att lagras.

Programmen delas automatiskt upp i hierarkiska kategorier som spel, kontorsprogram och webbläsare). Med hjälp av dessa kategorier skapar administratörerna programstartspolicyer. Användargrupperna kommer inte att kunna starta vissa program, programkategorier eller program med specifika tillstånd (t.ex. lågt KSN-omdöme i molnet).

Programkontrollen omfattar även ett flertal verktyg som underlättar den initiala konfigurationen av vitlistningsregler, t.ex. en guide för att skapa regler baserade på lagringsresultat, fördefinierade regler som rekommenderas av Kaspersky och dynamiskt uppdaterade vitlistningsregler baserade på betrodda källor (filplatser eller referensdatorer).

Användarna kan be administratören om behörighet för att kunna starta ett specifikt program via deras KESB-gränssnitt. I vissa fall tillämpar administratörerna en blockeringsregel för testläget för att förhindra att befogade program blockeras. Testreglerna påverkar inte programstarten men administratörerna kommer att meddelas om att de har aktiverats. Detta för att kunna identifiera oönskade startblockeringar av program och testa föreslagna regler eller för att slutföra en startkontroll i deras eget nätverk.

HIPS

Programmets tillförlitlighetskategori påverkar inte bara startmöjligheterna utan definierar även dess behörighetsnivå, dvs. vilka funktioner som kan utföras i värdsystemet. Behörighetskontrollerna är regelbaserade med fördefinierade ”medföljande” regler som kan justeras av hemmaanvändare eller företagsadministratören.

Reglerna i tillförlitlighetskategorierna påverkar programmets möjlighet till att

• utföra ändringar i filer och registernycklar (läsa, skriva, skapa, ta bort)
• upprätta nätverksanslutningar
• få åtkomst till webbkamera och mikrofon (striktare regler tillämpas här även för betrodda program)
• utföra systemfunktioner som att öppna processer eller stänga fönster. Det är viktigt att kontrollera systemfunktionerna eftersom skadlig programvara kan använda dem för att få åtkomst till andra processminnen, sprida skadliga koder eller påverkar operativsystemsfunktionerna.

Varje regel definierar den programkategori som den påverkar, kontrollåtgärden och bedömningen: ”tillåta” eller ”neka”. I lösningar som används i hemmet erbjuds ibland bedömningen ”fråga användaren”. I dessa fall får användaren en uppmaning om att ta ett beslut som sedan lagras i cacheminnet.

Säkra inneslutningar

Vid användning av specifika HIPS-regler går det att köra valfri process i en säker inneslutning. Åtkomsten till denna process är dock mycket begränsad, även för betrodda program. Ytterligare restriktioner omfattar skärmdumpsblockering, urklippsskydd och integritetskontroller som skyddar processen från skadlig kod. På så sätt skyddas alla interna programdata (inkl. användarens personliga data). Den här HIPS-tekniken är grunden till läget Säkra pengar (säker webbläsare).

Skydd vid start av operativsystem

Samtliga icke-betrodda program blockeras när operativsystemet startas och resterande program begränsas (nätverksåtkomsten blockeras t.ex.). Detta minskar riskerna för eventuella attacker vid omstart av datorn.