Application Control and HIPS

Kiểm soát ứng dụng và HIPS

Bằng cách hạn chế khả năng khởi chạy hoặc truy cập tài nguyên hệ thống quan trọng của ứng dụng, ngay cả các mối đe dọa không xác định cũng có thể bị chặn một cách hiệu quả.

Danh mục tin cậy

Trong các giải pháp của Kaspersky Lab, việc bảo vệ tài nguyên dựa trên việc gán các ứng dụng cho các danh mục tin cậy và xác định các hoạt động được phép của từng danh mục, bao gồm:

• Phân bổ ứng dụng cho danh mục tin cậy.
• Kiểm soát dựa trên quy tắc về khả năng khởi động và tương tác của ứng dụng với các quy trình, dữ liệu, mạng, v.v. khác
• Giám sát ứng dụng, với việc hạ cấp đặc quyền ngay khi ứng dụng có hoạt động độc hại: cố gắng kiểm soát các ứng dụng khác, thay đổi mục đăng ký, v.v.
• Khởi động được bảo vệ, cung cấp sự tin cậy cho việc phân bổ, kiểm soát và giám sát ứng dụng.

Các đặc quyền của ứng dụng được xác định theo danh mục tin cậy mà nó nằm trong đó. Các ứng dụng được kiểm kê tự động trên máy chủ lưu trữ và được gán cho các danh mục tin cậy. Trong Kaspersky Endpoint Security for Business (KESB), danh sách ứng dụng được chuyển đến quản trị viên từ máy tính của người dùng – cho phép họ phát triển các chính sách kiểm soát ứng dụng của riêng mình.

Việc phân bổ ứng dụng cho danh mục tin cậy dựa trên hành vi của nó, như được đánh giá bởi công cụ chống phần mềm độc hại, danh tiếng trong KSN, chữ ký điện tử và kiểm tra tính toàn vẹn của ứng dụng. Các ứng dụng được đánh giá trong lần khởi chạy đầu tiên hoặc trong một nhóm, sau khi cài đặt giải pháp chống phần mềm độc hại trên máy chủ.

Các danh mục tin cậy là:

• Các ứng dụng đáng tin cậy: Các ứng dụng hệ điều hành (svchost, smss và các ứng dụng khác), các ứng dụng hợp pháp từ các nhà cung cấp đã biết, với chữ ký đã được xác minh và tính toàn vẹn.
• Ứng dụng không đáng tin cậy: phần mềm độc hại, bị chặn ngay cả khi khởi động.
• Các ứng dụng không xác định: bị hạn chế, tùy thuộc vào bản chất của chúng. Ví dụ: các ứng dụng được công nhận là phần mềm quảng cáo (vẫn không phải là phần mềm độc hại) được phép chạy, nhưng không được đưa mã vào các quy trình khác. Các ứng dụng không hiển thị các hoạt động độc hại nhưng thiếu chữ ký sẽ có các đặc quyền rộng hơn.

Điều khiển ứng dụng

Khả năng khởi động của một ứng dụng được xác định theo danh mục tin cậy của nó.

Trong Kaspersky Internet Security (dành cho người dùng gia đình), người dùng có thể tinh chỉnh tính năng chặn ứng dụng trên máy chủ của họ và chọn chế độ của nó:

• Ở chế độ tự động, các ứng dụng không đáng tin cậy sẽ tự động bị chặn (Denylist).
• Trong chế độ Từ chối mặc định (Danh sách cho phép), chỉ các ứng dụng đáng tin cậy mới được khởi động (PE32-tệp, .Net-tệp thực thi, trình cài đặt và một số định dạng khác). Các ứng dụng khác bị chặn vĩnh viễn, bao gồm cả trong quá trình khởi động lại và cập nhật hệ điều hành.
• Ở chế độ thủ công, ngay từ đầu, người dùng có thể quyết định có chặn một ứng dụng cụ thể hay không.

HIPS

Ngoài việc kiểm soát khả năng khởi động của ứng dụng, danh mục tin cậy của ứng dụng xác định các đặc quyền của nó: tức là ứng dụng có thể làm gì trong hệ thống máy chủ. Kiểm soát đặc quyền dựa trên quy tắc, với một bộ quy tắc “hữu ích” được xác định trước có thể được sửa đổi bởi người dùng gia đình hoặc quản trị viên của giải pháp kinh doanh.

Đối với mỗi danh mục tin cậy, các quy tắc xác định khả năng của ứng dụng để:

• Sửa đổi tệp, khóa đăng ký (đọc, ghi, tạo, xóa)
• Thiết lập kết nối mạng
• Truy cập máy ảnh web và micrô (các quy tắc nghiêm ngặt hơn được áp dụng ở đây ngay cả đối với các ứng dụng đáng tin cậy)
• Thực thi các hoạt động của hệ thống, ví dụ: quá trình mở, cửa sổ tắt. Điều quan trọng là phải kiểm soát hoạt động của hệ thống vì phần mềm độc hại có thể sử dụng chúng để can thiệp vào bộ nhớ của các quy trình khác, chèn mã hoặc can thiệp vào hoạt động của hệ điều hành.

Hộp đựng an toàn

Sử dụng một bộ quy tắc HIPS đặc biệt, bất kỳ quy trình nào cũng có thể chạy trong một vùng chứa bảo mật: quyền truy cập vào quy trình này rất hạn chế, ngay cả đối với các ứng dụng đáng tin cậy. Các hạn chế bổ sung cung cấp tính năng chặn ảnh chụp màn hình, bảo vệ khay nhớ tạm và kiểm soát tính toàn vẹn để bảo vệ quá trình khỏi các tác nhân gây hại. Bằng cách này, tất cả dữ liệu nội bộ của ứng dụng (bao gồm cả dữ liệu cá nhân của người dùng) được giữ an toàn. Kỹ thuật HIPS này là cốt lõi của chế độ Tiền an toàn (Safe Browser).

Bảo vệ khởi động hệ điều hành

Khi khởi động hệ điều hành, tất cả các ứng dụng không đáng tin cậy đều bị chặn hoàn toàn và phần còn lại bị hạn chế (ví dụ: quyền truy cập mạng của chúng bị chặn). Điều này làm giảm khả năng bị tấn công trong quá trình khởi động máy tính.

Vina Aspire là Công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.

Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:

Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com

Vina Aspire – Vững bảo mật, trọn niềm tin