Quando este ano a McAfee comprou a Solidcore para a associar à tecnologia das listas brancas, ou white lists, foi um sinal claro de que esta tecnologia estava a ter cada vez maior aceitação, apesar desta tendência não agradar a todos os utilizadores.
O princípio das white lists é o bloqueio de todas as aplicações que não estejam autorizadas. Regra geral as white lists têm fama de provocar uma difícil utilização porque requerem uma actualização constante das aplicações em qualquer sistema que as use. Pelo lado positivo, as listas brancas impedem que o malware possa ser executado, travam também programas que não desejamos e ajudam a criar relatórios de fiabilidade.
Com o crescimento exponencial de variados malwares, os métodos tradicionais das black lists, ou listas negras, baseados em sistemas de defesa contra ameaças já identificadas, são hoje em dia globalmente encarados como sistemas desactualizados. Diversos tipos de novas defesas contra o malware, tais como as análises de status baseadas na cloud, arrancaram em força em 2009. Mas será que as white lists vieram mesmo para ficar?
O produto que suporta as white lists da McAfee, o Application Control, obteve boas críticas, tal como outras aplicações similares como a Bit9 Parity e a CoreTrace Bouncer, o que indica a maturidade do produto. Mas o verdadeiro obstáculo às listas brancas continuama ser os funcionários que se lhes opõem dentro das empresas.
A CoVantage Credit Union percebeu que os seus funcionários se opunham abertamente quando o departamento informático tentou bloquear os seus computadores com a tecnologia de white lists da Faronics. “O feedback que recebemos é que este procedimento não é aceitável,” disse-nos Aaron Hurt, oficial de informação para a segurança da empresa. “Provavelmente avançámos com o bloqueio em força e depressa demais”, observa.
Embora as white lists nos protejam contra o malware e previnam aplicações que não nos interessam, como os programas peer-to-peer, também impedem o acesso imediato a programas de que os funcionários legitimamente necessitam, sublinha Hurt. As pessoas não querem ver-se obrigadas a contactar o departamento informático sempre que têm de lidar com novas aplicações.
Mas Hurt também acrescenta que o sistema das listas brancas tem vindo a melhorar. Este ano, a Faronics lançou um sistema administrativo mais funcional e Hurt está convicto que as white lists são uma boa forma de combater o malware. “Acredito que as white lists estão a ganhar bastante força e que iremos voltar a este sistema”, conclui.
Mas por agora, os computadores dos funcionários da CoVantage Credit Union estão bloqueados para programas P2P, jogos, ferramentas administrativas e dispositivos USB através da Sophos antimalware e de sistemas de prevenção de intrusos da Endpoint Protection, que bloqueiam aplicações através das black lists.
O fornecedor de serviços tecnológicos Unisys também partilha a opinião de que as white lists podem constituir um problema. Segundo Rene Head, responsável pelos serviços de segurança contra a ameaça global da Unisys, as white lists podem baixar a eficiência das empresas e sufocar a inovação. Mas por outro lado, realça, as white lists podem reduzir o número de chamadas no help desk.
E sobretudo, as listas brancas podem ser muito úteis quando são usadas em servidores aplicacionais ou na segurança do perímetro, que não estão particularmente sujeitos aos humores dos funcionários.
As white lists podem ser, ainda, uma boa maneira de combater novo malware que ainda não conste das “listas negras”, mas “as white lists só por si não são a resposta ao problema”, ressalva Head.
Kish Yerrapragada, director de gestão produto dos sistemas de segurança da McAfee, anteriormente ligado à Solidcore, adianta que tem vindo a ouvir relatos sobre a pouca funcionalidade das “listas brancas”.
As white lists são “dinâmicas, e trazem problemas porque implicam mudanças no sistema de controlo”, adianta Yerrapragada, que informa que a McAfee conta com cerca de 300 clientes, ao nível do sector e do governo, que usam actualmente o seu software de controlo de aplicações.
Para resolver a questão das aplicações autorizadas e não autorizadas, o controlo de aplicações da McAfee pode ligar-se a sistemas de gestão como o IBM Tivoli ou as aplicações autorizadas de SMS. Segundo Yerrapragada, as “listas brancas” funcionam particularmente bem como defesa contra aplicações, em servidores DNS e dispositivos POS, ou em ambientes empresariais altamente controlados.
No futuro espera-se que a McAfee não só especifique as white lists como uma protecção adicional aos seus produtos de segurança, mas também que demonstre que podem ser úteis para proteger em particular contra aplicações virtuais.
No que diz respeito a virtualização e segurança, Yerrapragada afirma que “o controlo de aplicações é a melhor forma de darmos passos em frente”. A abordagem tradicional da monitorização on-demand coloca muita pressão no supervisor, declara. “Encaramos a tecnologia das “listas brancas” como um ponto de viragem.”
Tags: McAfee, Segurança, white lists
