未授權軟體執行是惡意程式在企業環境中立足最常見的途徑之一。員工安裝個人工具、從未經驗證的來源下載免費軟體,或無意中執行偽裝成合法應用程式的惡意載荷。Ping64的應用程式控制框架透過將預設安全態勢從被動偵測轉變為主動白名單管理來應對這一挑戰,確保只有經過授權的軟體才能在受管端點上執行。
本文探討Ping64在企業部署中如何實施應用程式控制,涵蓋原則架構、白名單管理、執行模式,以及提供整個組織端點應用程式執行事件可見性的稽核功能。
原則架構與執行模式
Ping64支援三種主要應用程式控制執行模式,組織可根據安全成熟度和風險承受能力進行選擇。稽核模式在不封鎖任何應用程式的情況下收集執行事件資料,在啟用更嚴格控制之前提供軟體狀況的基準可見性。警告模式允許執行,但在未授權應用程式執行時向使用者顯示通知,形成阻礙層以抑制隨意安裝,同時不影響正常生產效率。執行模式則直接封鎖未授權應用程式,產生警示並記錄包含完整上下文的被封鎖執行事件。
通常情況下,組織先在稽核模式下執行兩至四週,利用收集到的資料全面瞭解實際使用的軟體狀況,然後再建構白名單規則。這種基於證據的白名單建構方法,在啟用執行模式時可顯著減少誤報。
白名單規則類型與身分驗證
Ping64的白名單引擎支援多種規則類型來識別授權應用程式。基於路徑的規則授權特定檔案系統位置的執行。基於雜湊的規則使用SHA-256指紋授權特定二進位版本,透過將授權與確切的二進位內容而非位置綁定,提供最高級別的身分保證。基於憑證的規則授權由特定程式碼簽署憑證簽署的應用程式,允許對受信任廠商的所有軟體進行廣泛授權,而無需為每個版本更新雜湊。
對於企業軟體部署工作流程,Ping64與軟體散佈系統整合,隨著新批准的應用程式版本透過標準修補程式管理週期部署,自動將其新增至白名單。
使用者和群組原則範圍
組織內不同使用者群體需要不同的應用程式控制原則。開發團隊需要編譯器、除錯器和指令碼工具,而這些工具對於標準辦公使用者完全不適用。財務人員可能需要其他部門無法取得的專用會計軟體。Ping64的原則範圍功能允許管理員在組織單位層級定義應用程式控制設定檔,為每個使用者群體套用適當的白名單。
例外工作流程允許使用者透過管理主控台中可見的核准流程請求授權特定應用程式。當使用者遇到被封鎖的應用程式時,可以提交附有業務理由的申請。安全團隊審查請求後核准或拒絕,決定自動傳播到相關原則。
執行事件稽核與威脅調查
Ping64受管端點上的每個應用程式執行事件都會記錄可執行檔路徑、檔案雜湊、數位簽章狀態、執行使用者和時間戳記。被封鎖的執行事件還會記錄觸發的封鎖規則,為整個端點群體的原則執行活動建立可搜尋的記錄。
在Ping64主控台中,導覽至端點安全,然後依序點選應用程式控制和原則管理,即可使用白名單建立器匯入從稽核模式資料中得出的應用程式清單,為知名廠商套用基於憑證的規則,為內部開發或未簽署的應用程式套用基於雜湊的規則。
請先 登入 以發表留言。