¡Qué excelente pregunta!
Spoiler: AppLocker de Microsoft tiene un uso en el control de la red, pero no en la seguridad de la red.
De hecho, la “lista blanca” de los archivos ejecutables que se pueden ejecutar en una computadora, y denegar la ejecución a todo lo demás, es una de las principales recomendaciones de los titulares hechas por profesionales de la seguridad y agencias gubernamentales de todo el mundo. Entonces, ¿por qué no todos?
- ¿Qué tan bueno es ESET antivirus y cómo se compara con otros programas antivirus?
- ¿Qué debe estudiarse para convertirse en un experto en ciberseguridad?
- ¿La seguridad cibernética es buena para proteger nuestras instalaciones y plantas nucleares aquí en los Estados Unidos?
- ¿Qué te inició en el negocio de la seguridad cibernética?
- ¿Cuánto gastan las empresas en ciberseguridad?
Además, toda la AppStore iOS de Apple para aplicaciones de iPhone y iPad, y aplicaciones MacOS, ha sido un gran éxito al demostrar cómo la firma de aplicaciones, en la que solo las aplicaciones firmadas por un desarrollador identificado, registrado y ‘pagado’ en el ecosistema de desarrolladores de aplicaciones iOS – se puede vender, descargar, instalar y ejecutar en cualquier dispositivo iOS o Mac, es efectivamente una forma de lista blanca. Desde la perspectiva de la seguridad y el fraude, ha sido un éxito espectacular: no ha habido grandes brotes de malware conocidos en la AppStore de iOS en sus 9 años de operación, y apenas algunas demostraciones de prueba de concepto, rápidamente extraídas y / o parcheadas.
Esta es seguramente una de las principales razones por las que Microsoft está resucitando su antiguo concepto de tienda de aplicaciones estilo jardín amurallado ‘Metro Apps’ para Microsoft Surface RT, ahora relanzado para Windows 10 S, que solo podrá ejecutar aplicaciones desde la Tienda Windows. El mundo amante de Windows no estaba listo para las limitaciones de ‘Metro Apps’ y Surface RT en Windows 8 días (no importa cuán escandalosamente exitoso Apple haya tenido exactamente este concepto durante los últimos 5 años). Microsoft apuesta a que algunos usuarios de Windows ahora lo están.
Por supuesto, hay más en la vida del usuario de la computadora que la gama de aplicaciones disponibles en estas respectivas tiendas de aplicaciones Apple iOS y Windows. Algunas aplicaciones simplemente no pueden funcionar de manera efectiva dentro de las restricciones impuestas a las aplicaciones dentro de esos ecosistemas.
También hay algunos desarrolladores que todavía sacuden su puño a Apple / Microsoft por tener que pagar una pequeña tarifa para tener acceso a los cientos de millones de usuarios de barril en esas tiendas, porque el Manifiesto de código abierto Blah Blah Bullshit.
Para el resto de las aplicaciones que no encajan bien en esos ecosistemas, los usuarios individuales aún necesitan descargarlas e instalarlas, y asumir más responsabilidad de examinar esas aplicaciones, desde una perspectiva de seguridad y privacidad. Y ahí está el problema de la lista blanca de aplicaciones: se convierte rápidamente en un PITA
La lista blanca de aplicaciones de primera generación era rígida y básicamente requería que un administrador de TI con experiencia se configurara correctamente, por lo que generalmente solo se hacía en empresas medianas y grandes que podían pagar esa sobrecarga administrativa. Además, todo el esfuerzo de la lista blanca realmente necesita comenzar desde un principio limpio y conocido: una ‘imagen’ del sistema operativo y las aplicaciones que han sido examinadas y agregadas a la lista blanca y luego implementadas en una flota de computadoras, relativamente seguro en El conocimiento de que cualquier cosa y todo lo que se agregue al sistema a partir de ese momento debe incluirse explícitamente en la lista blanca o bloquearse, bajo el cuidado de un administrador de TI vigilante. Esto es bastante distinto de agregar una solución de lista blanca a las instalaciones de PC que ya han estado en uso durante algún tiempo, con los usuarios instalando y desinstalando cosas por su propia cuenta, y donde realmente no puede declarar que algo ya está instalado y funcionando o no es malware. Incluir en la lista blanca una infección de malware existente es la definición misma de un producto de elefante blanco.
La próxima generación de ‘listas blancas seleccionadas’ por proveedores externos está sobre nosotros, lo que puede facilitar la implementación de la lista blanca. Sin embargo, incluso eso no está funcionando tan bien, porque cuando se llega a los detalles básicos del malware sofisticado moderno, la inclusión en la lista blanca realmente no lo ayuda mucho. El malware moderno puede ‘superponerse’ en aplicaciones legítimas, es decir, incluidas en la lista blanca, en virtud de las mismas vulnerabilidades de seguridad que explotan en primer lugar, por lo que relegar la lista blanca a ser efectivamente inútil.
Además, muchos malwares explotan vulnerabilidades específicamente para lograr una ‘escalada de privilegios’, ejecutándose con permisos de administrador / raíz, a menudo a nivel de kernel, donde la lista blanca no funciona, lo que nuevamente hace que la lista blanca sea ineficaz.
Lo que nos lleva de vuelta a su pregunta, sobre por qué más organizaciones no usan AppLocker: porque AppLocker, a pesar de lo que algunas personas podrían tratar de decirle, no es una estrategia de reducción de malware, es solo una estrategia de control de usuario. AppLocker solo es útil para evitar que los humanos (el personal de una empresa) instalen aplicaciones que la Administración no quiere que hagan. El malware, por otro lado, puede, lo hará, y se desliza por debajo del alféizar de la ventana, más allá de las bases de la lista blanca de AppLocker.
AppLocker de Microsoft tiene un uso en el control de la red, pero no en la seguridad de la red.
