Application Control – mehr Sicherheit mit wenig Aufwand
Die Bedeutung digitaler Sicherheit lässt sich heute sicherlich nur schwer überschätzen. Dabei ist es wichtig, viele unterschiedliche Methoden und Mechanismen komplementär zueinander zu nutzen, um die Hürden für Angreifer möglichst hoch zu setzen. Ein Thema haben wir dabei bisher allerdings eher stiefmütterlich behandelt: Anwendungskontrolle oder Application Control.
Anwendungskontrolle – das klingt auf den ersten Blick ganz einfach. Die IT lässt „einfach“ nur die Anwendung auf den Systemen zu, die die User brauchen. Aber genau hier beginnen die Herausforderungen: Wer braucht konkret welche Applikation und in welcher Version? Je größer ein Unternehmen, desto größer auch die Vielfalt an Unternehmensbereichen und damit die Notwendigkeit, die Systeme der Anwender:innen vielleicht nicht unbedingt komplett individuell, aber doch abteilungsspezifisch bereitzustellen und zu verwalten.
Doch was ist, wenn die Anwendenden zusätzliche Programme benötigen? Das klingt dann bei vielen Nutzer:innen nach erheblichem Administrationswand, schließlich soll ja zentral nur die Software, Software-Bibliotheken und Skripte, die zum produktiven Arbeiten benötigt werden, für die Systeme freigegeben werden. In der jüngsten Vergangenheit hat sich hier allerdings einiges getan.
Moderne Lösungen zur Anwendungskontrolle verfügen nicht nur über Allow Lists genehmigter und/oder Block Lists verbotener Programme, sondern sind mittlerweile auch in der Lage zu lernen. Ein Beispiel hierfür: Unser Technologiepartner DriveLock.
Keine Lösung: Starre Listen
Starten wir aber zunächst mit ein paar Worten zu den traditionellen Ansätzen des Allow und Block Listings: Wie erwähnt, führt starres
Allow Listing dazu, dass Anwender:innen entweder nur sehr unflexibel arbeiten können oder der Administrationsaufwand sich in inakzeptablen Größenordnungen bewegt.
Das zeigt allein schon die Liste der Parameter, die beim traditionellen Ansatz per se berücksichtigt werden müssen, denn verschiedene Kriterien und Regeltypen definieren
diese Freigaben oder Sperren. Dazu gehören:
- Anwendungs-Hashdatenbanken
- Hersteller-Zertifikats-Regeln (digitale Signaturen)
- Datei-Eigentümer-Regeln (NTFS Berechtigungen)
- Hash-Regeln (Application Hash Database)
- Trusted Updater Regeln
- Dateinamen- und Pfad-Regeln (z.B. .exe / .dll / .msi)
- Spezial-Regeln (Erlauben aller OS-Komponenten, Updates, .net Framework, etc.)
- Freigabe durch die Anwender:innen mit lokalen Rechten (Privilege elevation)
Dies hat zur Folge, dass die Anzahl der Parameter, die bei neuer Software angepasst werden muss, stark steigt – und damit auch der Aufwand in der Administration. Folglich
ist konsequentes Block Listing beim Thema Application Control die sinnvollere Vorgehensweise, erst recht, wenn die IT-Teams hier permanent aktuelle Signaturen der
verfügbaren Schadsoftware integrieren.
Das heißt aber, dass neue Malware hier natürlich keine Berücksichtigung finden kann. Denn erst wenn ein neuer Trojaner, ein neues Virus oder Ransomware gefunden und dann
auch deren Signatur verfügbar und in der Block List hinterlegt ist, sind die Systeme sicher – auch das ist also eher schwierig.
Mindestanforderung: Automatisiertes Lernen
IT-Teams müssen deshalb eine Lösung finden, die aktuell ist, Anwender:innen größtmögliche Flexibilität ermöglicht und IT-Abteilungen entlastet. Das
geht nur, wenn die Anwendungskontrolle „lernen“ kann. Und genau das sollten Admins heute von einer modernen Software zur Applikationskontolle erwarten!
Die Application Control Lösung von Drivelock verfügt über so genanntes Predictive Allow Listing. Durch
automatisiertes Lernen erweitert sich im Laufe der Zeit das Portfolio, das die Anwender:innen im Unternehmen unter der Anwendungskontrolle nutzen können, ohne Kompromisse bei der Sicherheit
in Kauf nehmen zu müssen.
Bei neuen und/oder unbekannten Anwendungen stellt die Anwendungskontrolle dem IT-Team verschiedene Möglichkeiten zur Verfügung, wie Benutzer:innen benachrichtigt werden und – sofern ihnen
entsprechende Rechte eingeräumt wurden – steuernd eingreifen können.
Freiheit für die Anwender:innen
Je nach Sicherheitseinstellungen werden User lediglich informiert oder können selbst bestimmen, wie sich das System bei unbekannten Anwendungen verhalten soll. Das gibt IT-Abteilungen
die Möglichkeit, Verantwortung an die Endanwender zu delegieren und letzteren die Freiheit, sich selbst zu verwalten. Benutzer mit entsprechender Berechtigung können neue Software
installieren, ohne auf die Bestätigung durch das IT‑Team warten zu müssen. Die IT-Verantwortlichen überprüfen anschließend an zentraler Stelle, welche Anwendungen durch Selbstfreigaben
installiert und gestartet wurden.
Diese Vorgehensweise stellt auf der einen Seite sicher, dass die Produktivität von Anwender:innen nicht unter zu starren Regeln eingeschränkt wird. Sie
bringt auf der anderen Seite aber hohe Sicherheit im gesamten Unternehmen, da die Administrierenden sich auf kritische Aufgaben konzentrieren können und somit Viren,
Trojaner und andere Malware fest im Blick behalten.
Kontrolle der Anwendungen – Application Behaviour Control
Aber auch vermeintlich harmlose Anwendungen, die auf der Liste der erlaubten Programme stehen, können von Angreifern ausgenutzt werden. Sogenannte „dateilose
Schadsoftware“ kann Skripte oder Systemwerkzeuge umfunktionieren. Diesem Angriff kann mit einer Einschränkung der Berechtigung und der Kontrolle des Verhaltens dieser Anwendungen
begegnet werden. Mittels Application Behavior Control kann genau definiert werden, auf
welche Ressourcen und Dienste eine Anwendung zugreifen darf. Auch hier hilft die Lernfähigkeit dabei, präzise zu bestimmen, was konformes Verhalten ist und
was als Anomalie blockiert werden soll.
Zum einen stellt diese Vorgehensweise sicher, dass die Produktivität der User nicht von zu starren Regeln eingeschränkt wird. Andererseits bietet sie hohe Sicherheit im gesamten
Unternehmen, da Admins entlastet werden und so Zeit haben, sich auf den Schutz vor Viren, Trojaner und andere Malware zu konzentrieren.
