Alles muss heute dynamisch sein. Daher hört man heute immer mehr Begriffe wie ZTNA (Zero Trust Network Access) oder CARTA (Continuous Adaptive Risk and Trust Assessment). Dabei wird der Zugriff oder der Trust stetig angepasst. Er ist dynamisch. Daher stellt sich die Frage, ist in der heutigen Zeit ein vielfach starres Application Whitelisting auf dem Endpoint überhaupt noch zeitgemäss und praktikabel?
Um die Frage zu beantworten, müssen wir einen Schritt zurückgehen, damit wir das ganze Bild sehen können.
Warum wird Application Whitelisting heute immer noch eingesetzt?
Application Whitelisting ist eine der wenigen Methoden, die nicht auf Erkennen wie Anti-Virus Software basieren. Auch die KI / ML Features von den AV’s basieren letzten Endes auf kennen / erkennen. Daher ist Application Whitelisting ein rudimentärer aber sehr effektiver Schutz. Falls doch mal der Endpoint kompromittiert wird, verhindert Application Whitelisting, dass der Angreifer seine Tools nutzen und somit weiteres infiltrieren kann.
Die Schattenseiten des Application Whitelistings
Die Vorgehensweise von Application Whitelisting ist einfach: Eine Software auf dem Endpoint steuert das Ausführen oder Blockieren eines Programms gemäss der Konfiguration.
Hier sind wir schon beim Übeltäter des Application Whitelistings angelangt: die Konfiguration. Entweder wird die Konfiguration gefüttert von einer Liste von erlaubten oder blockierten Programmen, oder ein Endpoint-Scan nimmt die erlaubten Programme in die Konfigurationsdatei auf. Beide Varianten haben den Nachteil, dass ohne eine Konfigurationsanpassung neue Programme auf dem Endpoint nicht zugelassen werden. Somit kann der Unterhalt teuer werden, vor allem dann, wenn im Unternehmen unterschiedliche Konfigurationen gepflegt werden müssen.
Gibt es noch eine Rettung für Application Whitelisting?
Viele Hersteller nutzen für das Application Whitelisting immer noch einer der oben genannten Methoden. Jedoch gibt es Hoffnung: BeyondTrust setzt mit Endpoint Privileged Management (EPM) den Trusted Owner Application Whitelisting Ansatz. Was bedeutet das? Alle Softwares, die mit einer Softwareverteilungslösung (wie SCCM) verteilt werden, werden per se mit einem Trusted Owner verteilt und sind somit erlaubt. Wird später ein neues Programm per Softwareverteilung ausgerollt, muss dies im EPM nicht manuell gepflegt werden. Es müssen nur die Programme bei EPM hinzugefügt werden, die der Benutzer selbst installiert oder herunterladen und ausführen darf. Von solchen Programmen liest man nicht den Hash Wert aus und setzt diesen auf die Whitelist. Da man sonst jede Programmversion neu whitelisten muss. Bei EPM kann man nebst dem Trusted Owner Ansatz die Programme anhand nachstehenden Hauptpunkte whitelisten:
-
- Publisher / Code Signing
EPM überprüft die Hersteller Signatur vom Programm / Installer - Produktinformationen
EPM kann Produktinformationen aus dem Programm herauslesen. Bsp: Notepad++ ab Version X - Path
EPM überprüft den Programmpfad - Etc… 🙂
- Publisher / Code Signing
Natürlich können auch mehrere der oben genannten Punkte verknüpft werden.
Fazit
Endpoint Privilege Management (EPM) von Beyondtrust ist zwar agentbasiert aber eine zeitgemässe clevere Application-Whitelisting-Lösung. Mit dem Trusted-Owner-Ansatz, müssen nur noch die Programme erfasst werden, welche nicht per Softwareverteilung ausgerollt werden. Somit ist ein Anpassen der Konfiguration nur noch selten notwendig. Der Initialaufwand der Konfiguration wird durch die Templates des Herstellers extrem minimiert. EPM kann nicht nur das Ausführen oder Blockieren eines Programms steuern, sondern auch noch das User Access-Token dazu anpassen. Mit dem Ziel, dass keine local Admins mehr gebraucht werden. Mehr dazu im nächsten Blog-Post.
«So stelle ich mir ein Application Whitelisting im 21. Jahrhundert vor.»
von Point.
Point
Point ist Security Engineer bei AVANTEC und hat sich spezialisiert im Access-, Identitäts- und im Clientbereich. Die MS-Welt ist ihm auch nicht fremd. Er setzt sich für das Gute ein, weil die gute Seite am Schluss immer gewinnt :-)