IRCAR201206142
تاريخ: 31/03/91
مقدمه
برخي ملاحظات كليدي در مورد استفاده از ليست سفيد در شركتها وسازمانها، براي كنترل اينكه كاربران حق استفاده از چه برنامه هايي را دارا هستند، وجود دارد. ليست سفيد ميتواند يك ابزار بسيار قدرتمند براي كمك به كاهش سطح حملات در يك سازمان يا شركت باشد. اين روش به معناي داشتن قدرت كنترل يك به يك برنامه هاست كه كدام يك ميتوانند اجرا گردند و كدام يك نميتوانند. اما برخي مسائل نيز در هنگام تنظيم و پياده سازي يك ليست سفيد مطرح ميشوند. اگر شما قادر باشيد از موانع ايجاد شده در هنگام به كار گيري يك ليست سفيد عبور نماييد، استفاده از آن قويا توصيه ميگردد. اما اگر قادر نباشيد از اين موانع عبور نماييد، راههاي ديگري نيز وجود دارند كه بهتر است از آنها استفاده كنيد.
ليست سفيد
ليست سفيد روشي براي ايجاد يك ليست اصلي از برنامه هايي است كه شما در سازمان خود مجوز اجراي آنها را صادر ميكنيد. براي مثال فرض كنيم كه شما يك شركت حسابرسي داريد و برنامه هاي بسيار كمي را اجرا مينماييد. ليست سفيد شما ممكن است فقط شامل موارد زير باشد:
- Word
- Excel
- Quickbooks
- IE
اما به هر حال شما ميدانيد كه برنامه هاي ديگري وجود دارند كه شما نميخواهيد كارمندان شما آنها را اجرا نمايند، در نتيجه يك ليست سياه نيز ايجاد ميكنيد. اين ليست ممكن است شامل موارد زير باشد:
- Cain
- Dumpsec
- Ldp
از اين مثال روشن ميگردد كه كارمندان شما حق اجراي چه چيزهايي را دارند و حق اجراي چه چيزهايي را ندارند.
موانع استفاده از ليست سفيد
با توجه به مثال ساده بالا و با وجود چنين شركت و برنامه هاي محدودي، ميتوانيم يك ليست از موانع بالقوه براي روش ليست سفيد خود ايجاد نماييم.
- برنامه هاي فراموش شده
براي مثال فرض كنيم كه صاحب شركت حسابرسي يك برنامه خاص را براي بررسي موجوديها اجرا ميكند. اين برنامه AcmeStock ناميده ميشود. زماني كه شما روش ليست سفيد خود را بر مبناي ليستهاي فوق اجرا ميكنيد، در حقيقت AcmeStock را فراموش كرده ايد و در نتيجه اين برنامه براي مدير عامل كار نخواهد كرد. بعد از بستن ليست سفيد، متوجه خواهيد شد كه بسياري از برنامه ها را فراموش كرده ايد، چرا كه به نظر ميرسد كه هر كاربر برنامه هاي منحصر به فردي را اجرا ميكند كه اكنون جا افتاده اند. - برنامه هاي تعريف شده اما نامطلوب
در يك روش ليست سفيد نوعي، شما قادر نخواهيد بود با توجه به اين واقعيت كه برنامه هاي بسيار زيادي در Program Files و System32 واقع شده اند كه بايد به عنوان بخشي از عملكرد روتين سيستم عامل در نظر گرفته شوند، تمامي برنامه ها را ليست كنيد. بنابراين نياز خواهيد داشت كه فولدرهاي Program Files و Syestem32 را در ليست سفيد خود داشته باشيد. وقتي اين كار را انجام دهيد، يك فرد خرابكار ميتواند يك برنامه خرابكار را در يكي از اين فولدرها قرار دهد و در نتيجه مجوز اجراي برنامه خرابكار وي صادر ميگردد. - فراموش كردن برنامه هاي خرابكار
هزاران يا دهها هزار برنامه خرابكار وجود دارند كه شما ميتوانيد از اينترنت دانلود نماييد. اين نكته بدون توجه به برنامه هاي خرابكار خانگي است كه ميتوانند بر روي سيستم نهايي اجرا گردند. ليستهاي سياه بسيار كمي وجود دارند كه ميتوانند براي در بر گرفتن تمامي اين برنامه هاي خرابكار ايجاد گردند. در نتيجه غلبه بر اين مانع بسيار سخت بوده و برخي موارد به يك هدف متحرك تبديل ميگردد. - ليست سفيد اولويت برنامه ها را ارتقاء نميدهد
اگر كاربر به عنوان يك كاربر استاندارد (بدون داشتن حقوق دسترسي مديريت محلي) بر روي سيستم نهايي وارد شده باشد، ليست سفيد حق دسترسي وي را براي اجراي برنامه هايي كه نياز به مديريت محلي دارند (مانند Quickbooks) ارتقاء نميدهد. در مثال ما اين مسأله باعث توقف اجراي Quickbooks ميگردد. اعطاي مجوزهاي مديريت محلي به كاربر براي اجراي يك برنامه نيز يك سطح حمله اساسي ايجاد مينمايد، در نتيجه اعطاي مجوزهاي مديريت محلي به كاربر راه حل مناسبي براي اين مسأله نيست.
غلبه بر موانع
همانطور كه مشاهده كرديد، موانع زيادي براي پياده سازي ليست سفيد وجود دارند. بسياري از روشهاي پيچيده تر ليست سفيد، پاسخهايي را براي بسياري از اين موانع فراهم آورده اند، اما هنوز نتوانسته اند تمامي آنها را حل كنند.
براي حل مسأله برنامه هاي فراموش شده، اغلب روشهاي ليست سفيد داراي نوعي سرويس نظارت و گزارش دهي برنامه هستند. اين سرويس يك ليست از تمامي برنامه هاي مورد استفاده بر روي تمامي سيستمهاي نهايي توليد ميكند، در نتيجه حتي برنامه هايي كه به ندرت مورد استفاده قرار میگیرند نيز ميتوانند در نظر گرفته شده و به ليست سفيد اضافه گردند.
درصورت عدم استفاده از ليست سفيد، امنيت حداقلي چيست؟
با توجه به سربار جمع آوري و به كار گيري ليست سفيد و ليست سياه، بسياري از سازمانها از پياده سازي يك روش ليست سفيد براي محافظت از كاربران نهايي و شبكه خود دوري ميكنند. اگر شما نيز در اين دسته قرار داريد، توصيه ميشود كه در سيستمهاي نهايي، از تركيب يك راه حل مديريت حق دسترسي به همراه يك آنتي ويروس استفاده نماييد.
چيزي كه يك راه حل مديريت حق دسترسي ارائه ميدهد، روشي براي اين است كه يك كاربر مجبور شود كاربر استاندارد باقي بماند، كه وي را از نصب و اجراي هر برنامه اي كه نياز به مجوزهاي مديريت محلي دارد، باز ميدارد، مگر برنامه هايي كه مجوز آنها به وي داده شده باشد. بر خلاف يك روش ليست سفيد/ ليست سياه، راه حلهاي مديريت حق دسترسي مانند PowerBroker، صرفا نيازمند داشتن يك ليست از برنامه هايي است كه نياز به ارتقاي حق دسترسي دارند. برنامه هايي كه در اين ليست قرار نگرفته باشند و نياز به ارتقاي حق دسترسي داشته باشند، به طور پيش فرض اجرا نميگردند.
چيزي كه راه حل مديريت حق دسترسي به تنهايي كم دارد، قابليت رد كردن برنامه هايي است كه ميتوانند توسط يك كاربر عادي اجرا گردند، اما مطلوب نيستند.
- 5