Сейчас трудно представить себе компанию, ИТ-менеджмент которой не занимается разработкой и внедрением политик безопасности, пытаясь улучшить защиту важных данных. Ранее мы рассказывали о технологиях Device Control и Web Control, предназначенных, соответственно, для контроля внешних устройств и реализации ограничений на посещение сотрудниками различных веб-сайтов. Но защита важных корпоративных данных не будет полной без контроля над программами, которые устанавливают и запускают ваши сотрудники. Причем речь идет не только о блокировании вредоносных программ. Эффективная система защиты должна знать о том, какими программными инструментами пользуются работники, и блокировать запрещенные приложения. В числе последних могут быть и игровые приложения, отрицательно сказывающиеся на эффективности сотрудников, и те программы, которые могут быть случайно или намеренно использованы для кражи корпоративных данных. Один из самых эффективных в индустрии методов контроля над программами доступен в решении Kaspersky Endpoint Security 8 for Windows.
Ограничения на установку программ формально существуют практически во всех компаниях, во многих используются базовые методы инструментального контроля, чаще всего – путем лишения пользователя прав администратора. Новым сотрудникам также нужно ознакомиться и согласиться с документом, описывающим политики безопасности. Насколько неэффективен такой подход, можно увидеть по результатам тестирования корпоративного продукта «Лаборатории Касперского» в одной достаточно крупной компании. Те или иные нарушения утвержденных правил были обнаружены на половине компьютеров. 50% инцидентов были связаны с установкой программ для удаленного управления компьютером, 18% — с установкой запрещенных в компании программ для обмена мгновенными сообщениями, в 15% случаев были установлены не относящиеся к работе программы. И это несмотря на действующий в компании запрет на использование сторонних приложений. Кроме того, 1% инцидентов были связаны с заражением рабочей станции вредоносным ПО из-за ошибок в реализации политик безопасности.
Технология Application Control позволяет не только блокировать запуск опасных и просто нежелательных программ, но и контролирует запуск легитимных приложений на принадлежащих компании рабочих станциях. Для решения этой задачи Application Control использует многоступенчатую систему проверки. На первом этапе технология ищет программу в списках, созданных системным администратором компании. Если результат поиска отрицательный, Application Startup Control отправляет запрос в глобальную базу данных о легитимных программах, расположенную в облаке Kaspersky Security Network (KSN). В ней содержится информация о более чем 500 миллионах программ со всего мира, и каждый день добавляется в среднем еще миллион. Конечно же, неизвестная программа проверяется антивирусным движком «Лаборатории Касперского», что позволяет отфильтровать вредоносные программы. Благодаря тому, что корпоративное решение «Лаборатории Касперского» знает и о вредоносных программах, и о легитимных приложениях, обеспечивается эффективная защита компьютеров в компании. Кроме того, такой подход снижает нагрузку на ресурсы компьютера, так как позволяет не анализировать детально те программы, которые были признаны добросовестными. Важное преимущество технологии Application Control, как и в случае с технологиями контроля веб-активности и использования внешних устройств, заключается в том, что защита обеспечивается не только для офисных компьютеров, но и для устройств за пределами корпоративной сети, с общими правилами и настройками безопасности.
Обзор технологий контроля запуска приложений и списков разрешенных приложений доступен на Securelist.