Capisco che la whitelisting dell'applicazione sia migliore e più accurata della lista nera. Tuttavia, la mia domanda è: se annulli una directory, il malware non sarà in grado di eseguirlo in quella directory? Quindi, a cosa serve la whitelist delle applicazioni in questo senso?
Se autorizzi una directory, allora certo, qualsiasi malware in quella directory può essere eseguito.
Ecco perché non fai la lista bianca delle directory. Invece, si autorizzano i programmi e si prendono precauzioni per garantire che i programmi non vengano modificati. Ad esempio, invece di inserire nella whitelist "c: \ Programmi \ Internet Explorer", si autorizza "c: \ Programmi \ Internet Explorer \ iexplore.exe con checksum SHA-256 c09bc04058f1e2d4eae481490b998381486311e02ff782e99383c16d77c1b3bc".
In un ambiente aziendale lo scopo della whitelisting è che un amministratore può autorizzare i programmi a essere eseguiti, ma un utente normale non può.
In questo caso è ok per autorizzare una directory a cui un utente normale non ha accesso in scrittura. Infatti, esiste un profilo AppLocker standard che consente l'esecuzione da C: \ Programmi e C: \ Windows, ma esclude le directory scrivibili dall'utente. È raro vederlo in pratica, ma penso che sia un eccellente controllo di sicurezza. In particolare, impedisce all'utente di scaricare un file exe da Internet e di eseguirlo.
L'approccio che Mark cita di hashing di singoli file exe e dll, sebbene piacevole in thoery, è stato generalmente screditato come impossibile da implementare nella pratica.
Posso immaginare la tua domanda di follow-up: cosa succede se il malware privilegia l'escalation e scrive se stesso in una directory whitelist? Bene, chiaramente quel malware verrà quindi eseguito di nuovo in futuro. L'elenco bianco di AppLocker non protegge da questo. In effetti, pochissime protezioni funzionano contro il malware che ha aumentato i privilegi a root / administrator. La whitelisting è una tecnica utile, ma non è un proiettile d'argento.
Leggi altre domande sui tag whitelist