โปรแกรมความปลอดภัย วิธีการทำงานและตำแหน่งที่เหมาะสม

โปรแกรมความปลอดภัย ความหมายและคำจำกัดความในรายการที่อนุญาต รายการที่อนุญาตเป็นกลยุทธ์การรักษาความปลอดภัยบนโลกไซเบอร์ที่ผู้ใช้สามารถดำเนินการกับคอมพิวเตอร์ของตนที่ผู้ดูแลระบบอนุญาตไว้ล่วงหน้าเท่านั้น แทนที่จะพยายามก้าวไปข้างหน้าหนึ่งก้าวของผู้โจมตีทางไซเบอร์เพื่อระบุและบล็อกโค้ดที่เป็นอันตรายเจ้าหน้าที่ไอทีจะรวบรวมรายการแอปพลิเคชันที่ได้รับอนุมัติซึ่งคอมพิวเตอร์หรืออุปกรณ์เคลื่อนที่สามารถเข้าถึง โดยพื้นฐานแล้วผู้ใช้สามารถเข้าถึงชุดฟังก์ชันที่ จำกัด เท่านั้นและสิ่งที่พวกเขาสามารถเข้าถึงได้นั้นผู้ดูแลระบบถือว่าปลอดภัย

การอนุญาตพิเศษเป็นมาตรการปิดกั้นที่ค่อนข้างรุนแรงซึ่งหากนำไปใช้อย่างถูกต้องสามารถป้องกันปัญหาความปลอดภัยทางไซเบอร์ได้มากมาย อย่างไรก็ตามอาจเป็นเรื่องที่ไม่สะดวกและน่าหงุดหงิดสำหรับผู้ใช้ปลายทางต้องใช้งานอย่างระมัดระวังและการดูแลระบบอย่างต่อเนื่องที่เหมาะสมและไม่ได้เป็นอุปสรรคต่อการโจมตี

[ติดตาม8 เทรนด์ความปลอดภัยในโลกไซเบอร์ที่กำลังมาแรง ให้อาชีพของคุณเพิ่มด้วยรับรองความปลอดภัยด้านบน: ใครที่พวกเขากำลังสำหรับสิ่งที่พวกเขามีค่าใช้จ่ายและที่ที่คุณต้องการ | ลงทะเบียนเพื่อรับจดหมายข่าว CSO ]
รายการที่อนุญาตกับบัญชีดำ
บัญชีดำเป็นที่คุ้นเคยมากขึ้นเล็กน้อยแนวคิด – รายการของสิ่งที่เป็นอันตรายและจำเป็นที่จะต้องถูกปิดกั้นจากเครื่องที่คุณกำลังพยายามที่จะปกป้อง โดยพื้นฐานแล้วโปรแกรมป้องกันไวรัสและมัลแวร์จำนวนมากเป็นบัญชีดำ: ประกอบด้วยรายการรหัสที่เป็นอันตรายที่ทราบและจะดำเนินการโดยอัตโนมัติเมื่อตรวจพบโปรแกรมเหล่านั้นในคอมพิวเตอร์ที่ได้รับการป้องกัน บัญชีดำมีข้อเสียที่ค่อนข้างชัดเจนเนื่องจากต้องได้รับการอัปเดตอย่างต่อเนื่องเพื่อให้ทันต่อการโจมตีล่าสุด ตามคำนิยามซอฟต์แวร์ป้องกันไวรัสที่ไม่สามารถปกป้องคุณกับzero-dayโจมตี

รายการที่อนุญาตคือการกลับรายการบัญชีดำ หากคุณใช้รายการที่อนุญาตพิเศษคุณได้ขึ้นบัญชีดำทุกอย่างในจักรวาลยกเว้นสิ่งที่อยู่ในรายการของคุณ ในตอนแรกสิ่งนี้ดูเหมือนจะทำให้การรักษาความปลอดภัยเป็นไปอย่างรวดเร็ว: คุณไม่ต้องกังวลกับรหัสที่เป็นอันตรายใหม่ที่เกิดขึ้นเป็นภัยคุกคามต่อโครงสร้างพื้นฐานของคุณเพราะสิ่งเดียวที่เครื่องของคุณสามารถเข้าถึงได้คือสิ่งที่คุณรู้อยู่แล้วว่าปลอดภัย โปรแกรมความปลอดภัย

แต่ก็มีข้อเสียในการอนุญาตพิเศษเช่นกันซึ่งควรจะชัดเจน ประการหนึ่งคือการ จำกัด อิสระของผู้ใช้ในการใช้เครื่องของตนในแบบที่ต้องการ (และโดยทั่วไปแล้วผู้คนมักคิดว่าคอมพิวเตอร์ที่ทำงานเป็นเครื่อง “ของตน” เนื่องจากพวกเขานั่งอยู่หน้าเครื่องแปดชั่วโมงต่อวัน) นอกจากนี้ยังมีงานอีกเล็กน้อยที่ต้องนำไปสร้างรายการที่อนุญาตพิเศษ อย่างไรก็ตามในขณะที่ผู้ขายสามารถรวบรวมมัลแวร์และไซต์โจมตีที่เป็นที่รู้จักเพื่อการใช้งานอย่างแพร่หลาย แต่รายการที่อนุญาตพิเศษของทุกองค์กรที่พวกเขาจำเป็นต้องใช้อาจไม่ซ้ำกัน และยังมีอีกหลายวิธีที่ผู้โจมตีเจ้าเล่ห์สามารถ “เข้าร่วมรายการ” ได้

รายการที่อนุญาตพิเศษของแอปพลิเคชัน
โดยทั่วไปแล้วประเภทของรายการที่อนุญาตพิเศษที่เราได้พูดถึงไปแล้วคือรายการที่อนุญาตพิเศษของแอปพลิเคชันนั่นคืออนุญาตให้แอปพลิเคชันบางชุดทำงานบนคอมพิวเตอร์ที่ได้รับการป้องกันเท่านั้น (คำนี้มีความหมายค่อนข้างแตกต่างกันเมื่อพูดถึงอีเมลหรือที่อยู่ IP ซึ่งเราจะพูดถึงในตอนท้ายของบทความ) สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) มีคำแนะนำเกี่ยวกับการอนุญาตพิเศษของแอปพลิเคชันและในขณะที่ ตอนนี้อายุไม่กี่ขวบก็ยังแนะนำหัวข้อได้ดี มันเจาะลึกในหลายหัวข้อ เราจะพูดถึงข้อมูลพื้นฐานที่นี่

ภัยคุกคามใดบ้างที่ต่อสู้กับการอนุญาตพิเศษ แอปพลิเคชันที่อนุญาตพิเศษเป็นตัวป้องกันที่ดีเยี่ยมจากภัยคุกคามด้านความปลอดภัยสองประเภท สิ่งที่ชัดเจนที่สุดคือมัลแวร์: เพย์โหลดซอฟต์แวร์ที่เป็นอันตรายเช่นคีย์ล็อกเกอร์หรือแรนซัมแวร์จะไม่สามารถดำเนินการได้หากไม่ได้อยู่ในรายการที่อนุญาต แต่นั่นไม่ใช่ประโยชน์เพียงอย่างเดียว รายการที่อนุญาตพิเศษยังสามารถเป็นเครื่องมือในการต่อสู้กับ “เงาไอที” ผู้ใช้ปลายทางหรือแต่ละแผนกอาจพยายามติดตั้งโปรแกรมบนคอมพิวเตอร์ที่ไม่ปลอดภัยหรือไม่ได้รับอนุญาตอย่างถูกต้อง หากแอปเหล่านั้นไม่อยู่ในรายการที่อนุญาตพิเศษแผนกโกงจะหยุดอยู่ในเส้นทางของพวกเขาและฝ่ายไอทีจะได้รับแจ้งเกี่ยวกับความพยายามนี้

คุณจะสร้างรายการที่อนุญาตพิเศษของแอปพลิเคชันได้อย่างไร มีสองวิธีที่แตกต่างกันที่นี่ อันดับแรกคือการใช้รายการมาตรฐานที่จัดหาโดยผู้จำหน่ายซอฟต์แวร์ในรายการที่อนุญาตของคุณซึ่งเป็นแอปพลิเคชันทั่วไปสำหรับประเภทสภาพแวดล้อมของคุณซึ่งสามารถปรับแต่งให้เหมาะสม อีกระบบหนึ่งคือมีระบบที่คุณรู้ว่าไม่มีมัลแวร์และซอฟต์แวร์ไม่พึงประสงค์อื่น ๆ และสแกนเพื่อใช้เป็นต้นแบบของเครื่องอื่น ๆ วิธีที่สองเหมาะสำหรับคีออสก์หรืออุปกรณ์สาธารณะอื่น ๆ ซึ่งเรียกใช้ชุดแอปพลิเคชันที่ จำกัด และไม่ต้องการการปรับแต่งมากนัก

ซอฟต์แวร์ที่อนุญาตพิเศษแยกความแตกต่างระหว่างแอปพลิเคชันที่ไม่ได้รับการอนุมัติและได้รับอนุมัติอย่างไร คู่มือ NIST จะแบ่งแอตทริบิวต์ต่างๆที่สามารถใช้เพื่อจุดประสงค์นี้:

ชื่อไฟล์
เส้นทางของไฟล์
ขนาดไฟล์
ลายเซ็นดิจิทัลโดยผู้เผยแพร่ซอฟต์แวร์
แฮชการเข้ารหัส
ควรใช้แอตทริบิวต์ใดและควรให้น้ำหนักเท่าใดเป็นกุญแจสำคัญในศิลปะการอนุญาตพิเศษ ตัวอย่างเช่นหากซอฟต์แวร์ที่อยู่ในรายการที่อนุญาตของคุณอนุญาตให้แอปพลิเคชันใด ๆ ที่มีชื่อไฟล์ที่ระบุหรือในโฟลเดอร์ที่ระบุสามารถดำเนินการได้แฮ็กเกอร์ทั้งหมดจะต้องหลีกเลี่ยงการป้องกันนั้นคือการวางมัลแวร์ด้วยชื่อไฟล์นั้นในตำแหน่งที่อนุญาต การระบุขนาดไฟล์ที่แน่นอนหรือต้องตรวจสอบแฮชการเข้ารหัสทำให้การหลอกลวงซอฟต์แวร์ที่อนุญาตพิเศษทำได้ยากขึ้น แต่ข้อมูลนี้จะต้องได้รับการอัปเดตในรายการที่อนุญาตทุกครั้งที่มีการเปลี่ยนแปลงไฟล์แอปพลิเคชัน – เมื่อใดก็ตามที่มีการแก้ไขเป็นต้น และหากการแพตช์ถูกเลื่อนออกไปเนื่องจากอาจรบกวนซอฟต์แวร์ที่อนุญาตพิเศษนั่นก็สามารถเปิดช่องโหว่ด้านความปลอดภัยได้เอง

และตามที่ NIST ชี้ให้เห็นว่าแอปพลิเคชันเต็มรูปแบบไม่ได้เป็นภัยคุกคามต่อคอมพิวเตอร์เท่านั้น ซอฟต์แวร์ที่อนุญาตพิเศษจำเป็นต้องอยู่เหนือไลบรารีสคริปต์มาโครปลั๊กอินเบราว์เซอร์ไฟล์การกำหนดค่าและบนเครื่อง Windows รายการรีจิสตรีที่เกี่ยวข้องกับแอปพลิเคชัน ผู้ขายที่แตกต่างกันสามารถจัดการกับสิ่งเหล่านี้ได้โดยมีระดับความละเอียดที่แตกต่างกัน ซอฟต์แวร์ที่อนุญาตพิเศษบางตัวยังสามารถกำหนดพฤติกรรมเฉพาะบางอย่างจากแอปพลิเคชันที่ได้รับอนุมัติซึ่งอาจเป็นประโยชน์หากแฮกเกอร์จัดการเพื่อขโมยข้อมูลเหล่านี้ได้ และซอฟต์แวร์ที่อนุญาตพิเศษควรรวมเข้ากับโครงสร้างการอนุญาตของระบบปฏิบัติการของคุณแอปพลิเคชันที่อนุญาตพิเศษสำหรับผู้ใช้บางราย (เช่นผู้ดูแลระบบ) แต่ไม่ใช่ซอฟต์แวร์อื่น

แนวทางปฏิบัติที่ดีที่สุดในการอนุญาตพิเศษ
คุณจะแน่ใจได้อย่างไรว่าจะได้รับประโยชน์สูงสุดจากรายการที่อนุญาตพิเศษ ปฏิบัติตามคำแนะนำเหล่านี้:

NIST ขอแนะนำให้คุณเปิดตัวรายการที่อนุญาตพิเศษเป็นระยะในองค์กรของคุณเพื่อให้แน่ใจว่าคุณจะไม่ขัดขวางการดำเนินงานที่ชาญฉลาดขององค์กรหากมีสิ่งผิดปกติเกิดขึ้น
ใช้เวลาตรวจสอบให้แน่ใจว่ารายการที่อนุญาตของคุณถูกต้อง โปรแกรมที่อนุญาตพิเศษนั้นดีพอ ๆ กับตัวรายการเท่านั้น คิดว่าเป็นโอกาสในการตรวจสอบว่าองค์กรของคุณติดตั้งแอปพลิเคชันใดในโครงสร้างพื้นฐานไอทีของคุณและแอปพลิเคชันใดที่จำเป็น ที่จะคิดออกสิ่งที่ไปในรายการคุณจะต้องการที่จะเกิดขึ้นกับนโยบายการยกเว้น
และอย่าละเลยการดูแลรักษารายการที่อนุญาตของคุณ มันไม่คงที่ ซอฟต์แวร์บางส่วนของคุณจะไม่สามารถใช้งานได้บางส่วนจะต้องได้รับการอัปเดตในรูปแบบที่อาจทำให้รายชื่อที่อนุญาตพิเศษไม่สามารถจดจำซอฟต์แวร์ได้และซอฟต์แวร์ใหม่จะกลายเป็นสิ่งที่จำเป็นสำหรับองค์กรของคุณในการบรรลุพันธกิจ การบำรุงรักษานี้ต้องใช้ทรัพยากร คุณอาจจะต้องมีพนักงานซึ่งเป็นส่วนหนึ่งของหน้าที่ของพวกเขาหรือคุณจะต้องจ่ายเงินให้กับผู้ให้บริการของคุณสำหรับบริการนี้หรือบางส่วนรวมกัน
กรณีที่รายการที่อนุญาตพิเศษเข้ากับโปรแกรมความปลอดภัย
รายการที่อนุญาตไม่ใช่เครื่องมือที่เหมาะกับทุกขนาดและอาจไม่ใช่โซลูชันปลายทางที่ดีที่สุดสำหรับคอมพิวเตอร์ทุกเครื่องภายใต้ขอบเขตของคุณ Calyptix Security แนะนำสามสถานการณ์ที่การอนุญาตพิเศษของแอปพลิเคชันเหมาะสม:

บนโฮสต์ที่จัดการจากส่วนกลางที่เชื่อมต่อกับคอมพิวเตอร์เครื่องอื่น
บนคอมพิวเตอร์ในสภาพแวดล้อมที่มีความเสี่ยงสูง
บนแล็ปท็อปหรือคีออสก์ที่ผู้ใช้ไม่มีสิทธิ์ระดับผู้ดูแลระบบ
ความจริงก็คือรายการที่อนุญาตพิเศษไม่ใช่ยาครอบจักรวาลด้านความปลอดภัยและต้องสอดคล้องกับภูมิทัศน์ด้านความปลอดภัยที่ใหญ่ขึ้นภายในองค์กรของคุณ คุณยังคงต้องใช้ระบบป้องกันมัลแวร์การป้องกันปลายทางและระบบป้องกันปริมณฑลเพื่อปกป้องคอมพิวเตอร์ที่รายการที่อนุญาตพิเศษไม่เหมาะสมหรือเพื่อตรวจจับสิ่งที่รายการที่อนุญาตพิเศษพลาดไม่ได้

ซอฟต์แวร์รายการที่อนุญาตพิเศษของแอปพลิเคชันที่ดีที่สุด
ส่วนใหญ่ระบบปฏิบัติการเชิงพาณิชย์มีบางฟังก์ชั่นยกเว้นในตัวรวมถึงวินโดวส์ 10และMacOS ร้านแอปประเภทที่ใช้ในการติดตั้งแอปพลิเคชันบนอุปกรณ์ iOS และ Android สามารถมองเห็นได้ในรูปแบบของรายการที่อนุญาตพิเศษของแอปพลิเคชัน เห็นได้ชัดว่าอนุญาตเฉพาะแอปพลิเคชันที่ได้รับการรับรองว่าปลอดภัยเท่านั้น ซอฟต์แวร์การจัดการอุปกรณ์เคลื่อนที่ส่วนใหญ่ให้การควบคุมที่ละเอียดยิ่งขึ้น

แต่มีผู้ให้บริการบุคคลที่สามที่นำเสนอซอฟต์แวร์รายการที่อนุญาตพิเศษของแอปพลิเคชันที่มีประสิทธิภาพหรือละเอียดกว่าซึ่งมักจะรวมเป็นข้อเสนอขนาดใหญ่หรือชุดรักษาความปลอดภัย ตัวอย่างยอดนิยม ได้แก่ :

AppLocker ซึ่งเป็นข้อเสนอของ Microsoft สำหรับรุ่น OS ขององค์กร
BeyondTrust ซึ่งมีข้อเสนอสำหรับ Mac และ Windows รวมถึงระบบปฏิบัติการที่เหมือน Unix
PolicyPak ซึ่งทำงานบนคอมพิวเตอร์ในสถานที่และระยะไกล
Centrify ซึ่งเน้นหลักการไม่ไว้วางใจในชุดผลิตภัณฑ์
Kasperksy Whitelist บริการโฮสต์ที่ทำงานร่วมกัน
อีเมลและที่อยู่ IP ที่อนุญาตพิเศษ: การเปลี่ยนแปลงตามแนวคิด
หมายเหตุสุดท้ายเกี่ยวกับบริบทอื่น ๆ สองบริบทที่คุณอาจเห็นคำว่า “รายการที่อนุญาตพิเศษ” ที่ใช้ในการรักษาความปลอดภัยด้านไอที ได้แก่ อีเมลและที่อยู่ IP ในพื้นที่เหล่านี้การอนุญาตพิเศษไม่ได้มีความหมายเหมือนกับที่ทำกับรายการที่อนุญาตพิเศษของแอปพลิเคชัน: เห็นได้ชัดว่าคุณอนุญาตเฉพาะรายการที่อยู่อีเมลที่กำหนดไว้อย่างแคบเพื่อติดต่อคุณหรือคอมพิวเตอร์จากรายการที่อยู่ IP เฉพาะเพื่อเข้าถึงเว็บไซต์ของคุณ คุณจะสูญเสียยูทิลิตี้ส่วนใหญ่ในการมีเว็บไซต์หรือใช้อีเมล

ในบริบทเหล่านี้ “รายการที่อนุญาตพิเศษ” โดยทั่วไปหมายถึงการทำตามขั้นตอนด้วยตนเองเพื่อให้แน่ใจว่าที่อยู่ IP บางรายการจะไม่ถูกปิดกั้นไม่ให้เข้าถึงไซต์ของคุณโดยกระบวนการรักษาความปลอดภัยอัตโนมัติหรือตรวจสอบให้แน่ใจว่าอีเมลจากผู้รับรายใดรายหนึ่งจะไม่เข้าไปในโฟลเดอร์สแปมของคุณ แน่นอนว่าอย่างหลังนี้เป็นความหลงใหลของนักการตลาดทางอีเมลที่กระตือรือร้นที่จะแบ่งปันคำแนะนำเกี่ยวกับวิธีการเพิ่มที่อยู่อีเมลที่อนุญาตพิเศษเพื่อให้แน่ใจว่าอีเมลของพวกเขาจะไม่ถูกมองว่าเป็นสแปม เดิมเป็นผลิตภัณฑ์ของไฟร์วอลล์ที่น่ากลัวซึ่งบางครั้งอาจส่งผลให้ผู้คนไม่สามารถเข้าถึงเว็บไซต์ของตนเองได้

THAI-PDPA ให้คำปรึกษาและบริการปกป้องข้อมูลส่วนบุคคลตาม พ.ร.บ.ฯ แบบครบวงจร

ผู้ที่สนใจใช้บริการ Data Protection Services ของ THAI-PDPA สามารถติดต่อฝ่ายขายที่ดูแลคุณหรือฝ่ายการตลาดได้ที่เบอร์ 0-2860-6659 หรืออีเมล dcs@ko.in.th