Cos’è e come funziona l’Application Block di ThreatDown by Malwarebytes?

Cos’è l’Application Block di ThreatDown?

Application Block è un add-on di ThreatDown che protegge gli endpoint impedendo l’esecuzione di software non autorizzato. Molti attacchi sfruttano le vulnerabilità di applicazioni installate sugli endpoint; bloccando l’utilizzo di applicazioni non approvate da policy aziendali si riduce la superficie di attacco e si aumenta la sicurezza.

Application Block produce dei log sulle applicazioni che blocca e sui tentativi di eseguirle. Utilizza delle regole per determinare quali applicazioni, tra quelle installate sull’endpoint, debbano essere bloccate: non ha influenza su applicazioni non installate sull’endpoint, per esempio su applicazioni cloud.

Come si attiva l’Application Block di ThreatDown?

Application Block deve essere attivato a livello di subscription, di policy, quindi di regole.

Attivazione a livello di subscription

Application block è un add-on di ThreatDown e deve essere attivato a livello di subscription.

Per farlo, andare in manage → site, quindi scegliere il site sul quale si vuole attivare Application Block. A questo punto, scegliere manage subscription.

All’interno delle subscription andare nella sezione add-on e attivare Application Block

Specificando anche per quanti endpoint si desidera attivare Application Block.

Una volta salvate le modifiche, si può attivare Application Block a livello di policy

Attivazione a livello di Policy

Una volta attivato Application block a livello di Subscription, bisogna attivarlo a livello di policy. Per farlo, andare in Configure → policies → [scegliere la policy] → software management → Application block e mettere la spunta su Allow blocking chosen executables from running,quindi salvare le modifiche.

Come si configura Application block di ThreatDown?

Una volta attivato Application Block, bisogna configurarlo. La configurazione di Application Block avviene secondo delle regole (rules) che si possono configurare dalla console oneview andando in Monitor → Application Block → tab Rules e scegliendo Add Rule (tasto ‘+’).

Proseguire quindi scegliendo un nome per la regola e un ambito di applicazione.

Alle regole possono essere applicate diverse preferenze:

1. Apply Rule to: si possono applicare regole a tutti gli endpoint della propria console, agli endpoint di un sito o a quelli ai quali è applicata una certa policy.

1. Rule applies to: si può scegliere se bloccare le applicazioni selezionate, o tutte le applicazioni tranne quelle selezionate.

1. Policies: se nella sezione Apply rule to si è scelto di applicare una regola ad una policy, la si può scegliere qui.

1. Rule Type: si può scegliere di impostare la regola su un’applicazione specifica oppure su uno specifico vendor.

N.B.: questo tipo di regole non bloccano le applicazioni portable. Per bloccare le applicazioni portable, è necessario usare le Advanced Rules.

Advanced Rules: attivando questa voce si può scegliere di bloccare tutte le applicazioni che si trovano in un certo percorso, o che hanno un certo hash, o ancora in base alle proprietà (nome o vendor, per esempio) del file.

Nell’esempio, viene mostrata una regola che blocca il percorso di installazione di Filezilla FTP Client:

Le regole di Application Block possono bloccare applicazioni non solo in base al percorso, ma anche in base ad altre proprietà.

Come posso recuperare le informazioni sulle proprietà dei file per produrre la mia regola?

Nella sezione file property sono specificate proprietà del file che non possono essere recuperate così facilmente come invece il percorso del file stesso.

Tuttavia, queste informazioni si possono recuperare tramite comandi Powershell.

Per recuperare la versione del file:

(Get-Item “<path to file>”).VersionInfo | Format-List

Per i vari tipi di Hash:

Get-FileHash “path to file” -Algorithm <MD5|SHA1|SHA256> | Format-List

Per la dimensione (in Byte):

(Get-Item "<path to file>").Length

Per le proprietà del certificato del file:

Get-AuthenticodeSignature "<file path>" | Format-List

N.B.: Le advanced rules sono molto potenti e devono essere usate con cautela – se si bloccano le applicazioni, usando una wildcard, di una parte significativa del disco di una macchina, si possono causare seri disagi agli utenti.

Personalizzazione della notifica “applicazione bloccata”

Nella sezione Settings della configurazione delle regole è possibile personalizzare il messaggio contenuto nel pop-up.

La riceve l’utente che cerca di usare un’applicazione non permessa.

Le modifiche possono essere facilmente annullate cliccando su Revert to default che riporta i messaggi al valore originale.

• Related Articles

• Che operazioni posso eseguire direttamente sull’endpoint di ThreatDown?

  ThreatDown by Malwarebytes è un prodotto gestito completamente tramite le sue console nel cloud (Oneview e Nebula). La comunicazione con le console è bidirezionale e i comandi inseriti nella console (scansioni, cambiamenti di policy, etc.) sono ...

• Come funziona il Rollback di ThreatDown Endpoint Protection and Response?

  La funzione di Rollback di ThreatDown by Malwarebytes (parte del modulo di Endpoint Protection and Response – EPR) è strettamente collegata alla funzionalità Attività Sospette (Suspicious activity). Per illustrarla è necessaria una descrizione del ...

• Come funzionano le impostazioni Anti-Exploit di ThreatDown?

  La Exploit protection di ThreatDown by Malwarebytes protegge gli endpoint da exploit dovuti a vulnerabilità presenti nei programmi installati su un endpoint. Le impostazioni di default nelle policy di ThreatDown offrono un equilibrio tra le ...

• Come posso disattivare la protezione di ThreatDown dalla GUI locale?

  A volte, per esaminare un problema o perché è richiesto dal produttore di un software che si sta installando, bisogna fermare, per poi farlo ripartire, il servizio di protezione di Malwarebytes. L’arresto temporaneo si può eseguire dalla GUI locale, ...

• Come funziona e a cosa serve l’help screen di Mobile Security for Business di ThreatDown?

  Se si verificassero problemi o anomalie con la versione per dispositivi mobili di ThreatDown, è possibile che il supporto di ThreatDown richieda le informazioni contenute nell’help screen dell’applicazione. L’help screen di Mobile Security for ...