Application whitelisting. Raises the bar against certain threats but no silver bullet

Författare:

  • Arne Vidström

Publiceringsdatum: 2012-07-04

Rapportnummer: FOI-R--3434--SE

Sidor: 25

Skriven på: Engelska

Nyckelord:

  • vitlistning
  • SCADA
  • antivirus
  • skadlig kod
  • uppdatering

Sammanfattning

Vitlistning har föreslagits som en lösning på några av de speciella säkerhetsproblem som finns hos SCADA-system (Supervisory Control and Data Acquisition). Av olika anledningar är sådana system svåra att uppdatera och det kan också vara problematiskt att köra och hålla antivirusprogram uppdaterade i dem. Vitlistning handlar framför allt om att förhindra oavsiktlig exekvering av filer som kan innehålla skadlig kod. Man kan inte förvänta sig andra säkerhetsfunktioner från vitlistningsprodukter, som till exempel skydd mot buffertöverskridningsattacker, även om de kan innehålla sådana funktioner. Anledningen är helt enkelt att det ligger utanför vitlistningens uppgift. Ibland kan vitlistning i sig också skydda mot andra sorters attacker, men det är inget mer än en positiv bieffekt och inget man kan förlita sig på. Det finns en konsensusförväntan om att allt som inte uttryckligen godkänns är spärrat vid vitlistning. Den här studien visar att det är en mycket förenklad bild av verkligheten. En konsekvens av det är att man kan förvänta sig att framtida skadlig kod ibland kommer innehålla funktionalitet som utnyttjar sårbarheter i vitlistningsprodukterna själva. Vitlistning bör betraktas som ett användbart komplement till andra säkerhetslösningar. Skyddet som ges av vitlistning är inte tillräckligt för att ersätta uppdateringar av mjukvara och antivirusprogram. Vitlistning är ingen universallösning som kan ersätta andra säkerhetslösningar.