Американский Национальный институт стандартов и технологий (National Institute of Standards and Technology, государственная организация в составе Минторга) опубликовал отчёт «Руководство по применению белых списков» – имеются ввиду перечни разрешённого к применению в государственных структурах программных продуктов. Это принципиально иной подход по сравнению с используемыми ныне методами обеспечения информационной безопасности, обещающий существенно более высокую эффективность по сравнению с нынешней практикой, сообщает Nextgov.com.
В настоящее время IT-системы защищаются от внешних воздействий, условно говоря, пассивно – антивирусами, DLP-решениями и другими специальными продуктами, а также регламентами эксплуатации вне зависимости от того, какое программное обеспечение находится внутри контура защиты. Между тем софт с точки зрения злоумышленника неодинаков – что-то атаковать проще, а что-то – сложнее. Крайний случай состоит в специальной разработке программ, предназначенных для взлома, но маскирующихся под полезные приложения.
«В отличие от антивирусного программного обеспечения, которое блокирует известные угрозы, применение белых списков приложений разрешает приложениям исполнять только полезные функции, и блокирует все другие», — говорит старший советник по IT-политике Адам Седжевик (Adam Sedgewick).
Одну из проблем практического применения белых списков программных продуктов состоит в противодействии персонала, сознательном (привычка к определённым приложениям) или нет (обновление программных продуктов до того, как патч попал в белый список).
В руководстве NIST рекомендуется использовать поэтапное внедрение белых списков программного обеспечения. Главная цель такой постепенности – «минимизировать непредвиденные проблемы в самом начале определить потенциальные проблемы».
NIST рекомендует пяти ступеней внедрения белых списков:
Инициирование решение. Государственная организация должны определить текущие и будущие потребностей в программных продуктах, подлежащих включению в белые списки, «с особым акцентом» на требования к производительности и функциональности софта.
Дизайн-решение. На этой стадии надо решить, в какой форме следует создавать и вести белые списки – вариантов тут много.
Внедрение и проверка прототипа белых списков. После того, как прототип решения продемонстрировал принципиальную возможность внедрения, его следует тестировать в лабораторных условиях с целью определения функциональности, управляемости, производительности и уровня безопасности IT-системы организации.
Развёртывание белых списков. Но и этот, предпоследний, этап внедрения белых списков во всей организации должно быть постепенным, е не единовременным для всей системы и всех подразделений.
Сопровождение белых списков. Работа над белыми списками программных продуктов не останавливается после их развертывания – необходимо сопровождение технологии на всём протяжении её жизненного цикла.