Jag accepterar att kakor lagras på min dator

Läs mer

Application whitelisting. Raises the bar against certain threats but no silver bullet.

Application whitelisting. Raises the bar against certain threats but no silver bullet. Beställ tryckt exemplar Lägg i kundvagnen Ladda ned som PDF
Författare: Arne Vidström
Ort: Linköping
Sidor: 25
Utgivningsår: 2012
Publiceringsdatum: 2012-07-04
Rapportnummer: (FOI-R--3434--SE)
Nyckelord vitlistning, SCADA, antivirus, skadlig kod, uppdatering
Keywords whitelisting, SCADA, antivirus, malware, patching
Sammanfattning Vitlistning har föreslagits som en lösning på några av de speciella säkerhetsproblem som finns hos SCADA-system (Supervisory Control and Data Acquisition). Av olika anledningar är sådana system svåra att uppdatera och det kan också vara problematiskt att köra och hålla antivirusprogram uppdaterade i dem. Vitlistning handlar framför allt om att förhindra oavsiktlig exekvering av filer som kan innehålla skadlig kod. Man kan inte förvänta sig andra säkerhetsfunktioner från vitlistningsprodukter, som till exempel skydd mot buffertöverskridningsattacker, även om de kan innehålla sådana funktioner. Anledningen är helt enkelt att det ligger utanför vitlistningens uppgift. Ibland kan vitlistning i sig också skydda mot andra sorters attacker, men det är inget mer än en positiv bieffekt och inget man kan förlita sig på. Det finns en konsensusförväntan om att allt som inte uttryckligen godkänns är spärrat vid vitlistning. Den här studien visar att det är en mycket förenklad bild av verkligheten. En konsekvens av det är att man kan förvänta sig att framtida skadlig kod ibland kommer innehålla funktionalitet som utnyttjar sårbarheter i vitlistningsprodukterna själva. Vitlistning bör betraktas som ett användbart komplement till andra säkerhetslösningar. Skyddet som ges av vitlistning är inte tillräckligt för att ersätta uppdateringar av mjukvara och antivirusprogram. Vitlistning är ingen universallösning som kan ersätta andra säkerhetslösningar.
Abstract Whitelisting has been suggested as a solution to some of the special security problems faced by SCADA (Supervisory Control and Data Acquisition) systems. For various reasons, such systems can be hard to patch and it can also be problematic to run and keep antivirus software up-to-date on them. Whitelisting is mainly about the protection against unintended execution of files which may contain malware. Specific whitelisting products may also contain other security features - for example protection against buffer overruns. Such features must not be expected though, since they are not part of whitelisting itself. Sometimes whitelisting itself will protect against other kinds of attacks too, but that is no more than a positive side-effect, and nothing to be relied upon. There is also a consensus expectancy of default deny in whitelisting. However, this study shows that default deny is a very simplified picture of reality. A consequence of this is that we should expect future malware to sometimes contain circumvention functionality which exploits vulnerabilities in the whitelisting products themselves. Whitelisting should be regarded as a useful complement to other security solutions. The kind of protection offered by whitelisting is not enough to replace software patching and antivirus software though. It is no silver bullet capable of replacing other security solutions.

Kundvagn

Inga rapporter i kundvagnen

FOI, Totalförsvarets forskningsinstitut

FOI
Totalförsvarets forskningsinstitut
164 90 Stockholm

Tel: 08-555 030 00
Fax: 08-555 031 00

Orgnr: 202100-5182