Configurare Kaspersky Application Privilege Control per bloccare i ransomware

Il modulo Application Privilege Control di Kaspersky svolge un ruolo fondamentale nell’arginare la diffusione di malware di difficile individuazione con i metodi tradizionali.

In particolare per mitigare il rischio portato dai malware più sofisticati, quelli in grado di comprendere quando sono sotto analisi euristica rendendola inefficace, è importante effettuare una configurazione rigorosa di Application Privilege Control.

Il modulo discrimina in base alla firma dell’eseguibile, quelli noti da quelli sconosciuti, e concede l’accesso alle risorse in base al livello di fiducia.

kas application privilege control

Per poter essere il più efficace possibile la configurazione di default deve essere modificata e deve essere settata per l’opzione: “For unknown applications” il valore: “Automatically move to group: Untrusted“.

In questo caso avremo la certezza di bloccare l’esecuzione di tutte le applicazioni sconosciute, ed un malware rientrerà sicuramente in questa categoria.

Una configurazione così rigida porta a diversi casi in cui applicazioni poco diffuse possono rimanere bloccate.

Suggeriamo di monitorare il comportamento effettuando il log degli eventi di blocco da parte di Application Privilege Control in modo da rendere facile lo sblocco manuale delle applicazioni non pericolose.

argonavislabArgonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con le tecnologie più efficaci.

Richiedi Informazioni

30 Giugno 2016

Monitorare le regole di Kaspersky Application Privilege Control

Il modulo Application Privilege Control presente nel prodotto Kaspersky Endpoint Security for Business è uno degli strumenti più efficaci contro le infezioni dei malware ransomware, tuttavia possono capitare dei falsi positivi, che comportano il blocco delle funzionalità di alcune applicazioni.

La policy di default non effettua il log delle regole di Application Privilege Control quando vengono applicate.

Per attivare il log di queste situazioni, è necessario modificare la policy, nella sezione “Event notification“, selezionare il tab “info” e modificare l’evento “Application Privilege Control rule triggered” selezionando la registrazione del log su “Administrator Server

kas application privileges control

Eventualmente è possibile ricevere una notifica via EMAIL, SMS, SNMP oppure eseguire uno script quando l’evento viene registrato.

argonavislabArgonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con la tecnologia Kaspersky.

Richiedi Informazioni

28 Giugno 2016

La tecnologia Kaspersky efficace nel bloccare il CryptoLocker

Una delle minacce più diffuse e temute è CryptoLocker (ransomware).
Di questa famiglia di minaccia siamo kasperskygià arrivati alla 3 generazione ed inizia a presentarsi qualche esemplare talmente evoluto da poter affermare di essere di fronte alla 4 generazione.

Inoltre iniziano a diffondersi malware CryptoLocker anche per sistemi operativi non Microsoft, ad esempio per Linux e Mac.

La protezione da CryptoLocker deve basarsi su due pilastri, il primo impedire al malware di arrivare, e questo è solitamente avviene tramite un buon antispam, il secondo invece è riuscire a bloccare il funzionamento nel caso il malware sia comunque entrato.

Kaspersky-LOGOKaspersky ha sviluppato delle tecnologie che rendono inefficace il funzionamento del CryptoLocker nel caso il malware non fosse identificabile con le tecniche di rilevazione.
Nel dettaglio il modulo più efficace è il modulo “Application Privilege Control”.

Questo modulo funziona in collaborazione con il servizio cloud Kaspersky KSN, valuta per ciascuna applicazione se la firma di quel eseguibile è considerata collegata ad una applicazione fidata. Se l’applicazione non è fidata gli vengono tolti i privilegi di esecuzione, ad esempio lettura e scrittura sul file system.

Nel caso di una variante recentissima di cryptolocker, la firma dell’applicazione non sarà considerata fidata, se anche dovesse sfuggire l’individuazione dell’analisi euristica e l’applicazione dovesse partire, si ritroverebbe ad essere reso inoffensivo perché non avrebbe i privilegi di scrittura su disco.

Il secondo modulo che interviene è System Watcher, che tiene sotto controllo loggando le operazioni svolte sui file di sistema da applicazioni non fidate, e permettendo un rollback dei file di sistema completo in caso l’applicazione sotto osservazione si rivelasse un malware.

argonavislab
Argonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con la tecnologia Kaspersky.

Richiedi Informazioni

20 Novembre 2015