[Oprindeligt publiceret af Center for Cybersikkerhed]
Der introduceres dagligt ny ondsindet software (malware). Denne malware kan forårsage forstyrrelser i driften og medføre omfattende økonomisk skade eller få betydning for organisationens omdømme.
Eksisterende sikkerhedsværktøjer er udfordret af udviklingen på området. Tidligere optrådte malware i få genkendelige versioner, men i dag er virkeligheden, at versioner muteres løbende inden for korte tidsrum.
Blokerer ukendt software
Som en løsning på denne udfordring, kan organisationen vælge at implementere en positivliste over applikationer, der supplerer traditionel antivirus-software, hvor applikationer og kode bliver blokeret, hvis deres signatur bliver genkendt (blacklisting).
Positivliste over applikationer fungerer ved, at der udarbejdes en liste over de applikationer, der må anvendes på det enkelte system. Denne liste kan angive, hvor applikationerne er placeret, deres specifikke navne samt eventuelt hash-værdier på de enkelte godkendte moduler. Hvis en applikation ikke er på listen over godkendte applikationer, bør den blive blokeret.
Udover at beskytte mod ondsindet software, kan en positivliste over applikationer også anvendes til beskyttelse mod installation af uautoriseret, men ikke ondsindet, software. Uautoriseret software kan udgøre en trussel, da denne software ikke indgår i en virksomheds regelmæssige patch management-proces og sikkerhedsvedligeholdelsesprogram. Derved øger applikationen sårbarhederne for organisationen. Herudover kan den påføre virksomheden uventede krav om licensbetaling.
Start med monitorering
Positivliste over applikationer kan implementeres med værktøjer, som er indbygget i visse nyere versioner af operativsystemer. Der findes endvidere leverandører af Enterprise-løsninger til understøttelse af processen. De fleste løsninger hjælper med administration af godkendte applikationer, herunder med monitorering af forsøg på sikkerhedsbrud.
For at opnå erfaring med ens valgte løsning, kan man udvælge et begrænset område til implementering af positivliste over applikationer. Udvælgelsen bør ske med udgangspunkt i en risikovurdering. Såfremt løsningen for positivlisten testes inden implementering eksempelvis ved, at løsningen igangsættes i monitoreringstilstand, kan it-driften indledningsvis få en fornemmelse af, i hvilken grad løsningen vil blokere for vitale applikationer, som fejlagtigt ikke er omfattet af listen over godkendte applikationer (falske positiver).
Læs mere her:
Vejledningen "Cyberforsvar der virker" fra Center for Cybersikkerhed beskriver en syv-trinsmodel for, hvordan en organisation kan forbedre cyberforsvaret.