Ringfencing gebruiken om de bewapening van vertrouwde software te voorkomen

Cyberbeveiliging
Ringfencing gebruiken om de bewapening van vertrouwde software te voorkomen

De uitdaging waar beveiligingsleiders voor staan ​​is enorm: het beveiligen van omgevingen waarin falen geen optie is. Het vertrouwen op traditionele beveiligingsmechanismen, zoals Endpoint Detection and Response (EDR) om bedreigingen te achtervolgen nadat ze het netwerk al zijn binnengekomen, is fundamenteel riskant en draagt ​​aanzienlijk bij aan de jaarlijkse kosten van cybercriminaliteit, die jaarlijks een half biljoen dollar kosten.

Zero Trust verandert deze aanpak fundamenteel: van het reageren op symptomen naar het proactief oplossen van het onderliggende probleem. Applicatiecontrole, het vermogen om rigoureus te definiëren welke software mag worden uitgevoerd, vormt de basis van deze strategie. Maar zelfs als een applicatie eenmaal wordt vertrouwd, kan deze worden misbruikt. Dit is waar ThreatLocker Ringfencing™, of granulaire applicatie-insluiting, onmisbaar wordt, waarbij de ultieme standaard van minimale privileges wordt afgedwongen voor alle geautoriseerde applicaties.

Ringfencing definiëren: beveiliging die verder gaat dan alleen toelatingslijsten

Ringfencing is een geavanceerde insluitingsstrategie die wordt toegepast op toepassingen waarvan de uitvoering al is goedgekeurd. Terwijl het op de toelatingslijst zetten ervoor zorgt dat alle onbekende software fundamenteel wordt geweigerd, beperkt Ringfencing de mogelijkheden van de toegestane software. Het werkt door precies te dicteren waartoe een applicatie toegang heeft, inclusief bestanden, registersleutels, netwerkbronnen en andere applicaties of processen.

Deze gedetailleerde controle is van cruciaal belang omdat actoren van bedreigingen vaak de veiligheidscontroles omzeilen door misbruik te maken van legitieme, goedgekeurde software, een techniek die gewoonlijk ‘van het land leven’ wordt genoemd. Onbeheerde applicaties, zoals productiviteitssuites of scriptingtools, kunnen worden ingezet om risicovolle onderliggende processen voort te brengen (zoals PowerShell of Command Prompt) of om te communiceren met ongeautoriseerde externe servers.

De veiligheidsimperatief: het stoppen van overbereik

Zonder effectieve beheersing laten beveiligingsteams aanvalsvectoren wijd open die rechtstreeks tot incidenten met grote impact leiden.

  • Verzachtende zijwaartse beweging: Ringfencing isoleert het gedrag van applicaties en belemmert de mogelijkheid van gecompromitteerde processen om zich over het netwerk te verplaatsen. Er kan beleid worden ingesteld om uitgaand netwerkverkeer te beperken, een maatregel die grote aanvallen zou hebben verijdeld waarbij servers afhankelijk waren van kwaadaardige eindpunten voor instructies.
  • Bevat toepassingen met een hoog risico: Een cruciaal gebruiksscenario is het verminderen van de risico’s die gepaard gaan met verouderde bestanden of scripts, zoals Office-macro’s. Door het toepassen van containment kunnen applicaties als Word of Excel dat ook doen, zelfs als dit door afdelingen als Financiën wordt vereist beperkt in de lancering scriptengines met een hoog risico, zoals PowerShell, of toegang tot mappen met een hoog risico.
  • Gegevensexfiltratie en encryptie voorkomen: Containmentbeleid kan de mogelijkheid van een applicatie beperken om te lezen of te schrijven naar gevoelige bewaakte paden (zoals documentmappen of back-upmappen), waardoor massale pogingen tot gegevensexfiltratie effectief worden geblokkeerd en wordt voorkomen dat ransomware bestanden versleutelt buiten het aangewezen bereik.

Ringfencing ondersteunt inherent compliance-doelstellingen door ervoor te zorgen dat alle applicaties strikt werken met de machtigingen die ze werkelijk nodig hebben, waardoor beveiligingsinspanningen worden afgestemd op best-practice-standaarden zoals CIS Controls.

Mechanica: hoe granulaire insluiting werkt

Ringfencing-beleid biedt uitgebreide controle over meerdere vectoren van applicatiegedrag en functioneert als een tweede verdedigingslaag nadat uitvoering is toegestaan.

Een beleid bepaalt of een toepassing toegang heeft tot bepaalde bestanden en mappen of wijzigingen kan aanbrengen in het systeemregister. Het allerbelangrijkste is dat het de Inter-Process Communication (IPC) regelt, waardoor wordt gegarandeerd dat een goedgekeurde applicatie geen interactie kan hebben met ongeautoriseerde onderliggende processen of deze kan voortbrengen. Ringfencing blokkeert bijvoorbeeld dat Word PowerShell of andere ongeautoriseerde onderliggende processen start.

Applicatie-insluiting implementeren

Het adopteren van Ringfencing vereist een gedisciplineerde, gefaseerde implementatie, gericht op het voorkomen van operationele ontwrichting en politieke gevolgen.

Het vaststellen van de basislijn

De implementatie begint met het inzetten van een monitoringagent om zichtbaarheid te creëren. De agent moet eerst worden ingezet bij een kleine testgroep of geïsoleerde testorganisatie (vaak liefkozend de cavia’s genoemd) om de activiteit te monitoren. In deze initiële leermodus registreert het systeem alle uitvoeringen, verhogingen en netwerkactiviteit zonder iets te blokkeren.

Simulatie en handhaving

Voordat enig beleid wordt vastgelegd, moet het team de Unified Audit gebruiken om simulaties uit te voeren (gesimuleerde weigeringen). Deze preventieve audit laat precies zien welke acties zouden worden geblokkeerd als het nieuwe beleid zou worden afgedwongen, waardoor beveiligingsprofessionals vooraf noodzakelijke uitzonderingen kunnen maken en kunnen voorkomen dat de goedkeuringsscore van de IT-afdeling wordt aangetast.

Ringfencing-beleid wordt dan doorgaans eerst gemaakt en afgedwongen voor applicaties die als risicovol worden beschouwd, zoals PowerShell, Command Prompt, Register-editor en 7-Zip, vanwege hun hoge potentieel voor bewapening. Teams moeten ervoor zorgen dat ze goed zijn getest voordat ze naar een veilige, handhavingsstaat verhuizen.

Schaalvergroting en verfijning

Zodra het beleid in de testomgeving is gevalideerd, wordt de implementatie geleidelijk door de hele organisatie geschaald, meestal beginnend met gemakkelijke overwinningen en langzaam richting de moeilijkste groepen. Beleid moet voortdurend worden herzien en verfijnd, inclusief het regelmatig verwijderen van ongebruikt beleid om de administratieve rompslomp te verminderen.

Strategische implementatie en best practices

Om de voordelen van applicatiebeheersing te maximaliseren en tegelijkertijd de wrijving tussen gebruikers te minimaliseren, moeten leiders zich houden aan bewezen strategieën:

  • Begin klein en gefaseerd: Pas nieuw Ringfencing-beleid altijd eerst toe op een niet-kritieke testgroep. Vermijd het in één keer oplossen van alle zakelijke problemen; Pak eerst zeer gevaarlijke software aan (zoals Russische tools voor externe toegang) en stel politieke beslissingen (zoals het blokkeren van games) uit tot latere fasen.
  • Continue monitoring: Controleer regelmatig de Unified Audit en controleer op gesimuleerde weigeringen voordat u beleid beveiligt om er zeker van te zijn dat legitieme functies niet worden verbroken.
  • Combineer bedieningselementen: Ringfencing is het meest effectief in combinatie met Application Allowlisting (standaard weigeren). Het moet ook worden gecombineerd met Storage Control om kritieke gegevens te beschermen en massaal gegevensverlies of exfiltratie te voorkomen.
  • Geef prioriteit aan configuratiecontroles: Maak gebruik van geautomatiseerde tools, zoals Defense Against Configurations (DAC), om te verifiëren dat Ringfencing en andere beveiligingsmaatregelen op alle eindpunten correct zijn geconfigureerd, waarbij wordt aangegeven waar de instellingen mogelijk in de monitor-only-modus zijn terechtgekomen.

Resultaten en organisatorische winsten

Door Ringfencing te implementeren, gaan organisaties over van een reactief model – waarbij goedbetaalde cybersecurityprofessionals tijd besteden aan het achtervolgen van waarschuwingen – naar een proactieve, geharde architectuur.

Deze aanpak biedt aanzienlijke waarde die verder gaat dan alleen beveiliging:

  • Operationele efficiëntie: De applicatiecontrole wordt aanzienlijk verminderd Security Operations Center (SOC)-waarschuwingen– in sommige gevallen tot 90% – wat resulteert in minder alertheid en aanzienlijke besparingen in tijd en middelen.
  • Verbeterde beveiliging: Het stopt het misbruik van vertrouwde programma’s, bevat bedreigingen en maakt het leven van de cybercrimineel zo moeilijk mogelijk.
  • Bedrijfswaarde: Het minimaliseert het bereik van applicaties zonder bedrijfskritische workflows te onderbreken, zoals die vereist door de financiële afdeling voor oudere macro’s.

Uiteindelijk versterkt Ringfencing de Zero Trust-mentaliteit en zorgt ervoor dat elke applicatie, gebruiker en apparaat strikt binnen de grenzen van de noodzakelijke functie functioneert, waardoor detectie en respons echt een back-upplan worden, in plaats van de primaire verdediging.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Deze apps en games hebben zojuist de Best of 2025-prijzen van Google Play gewonnen

Google heeft zojuist zijn Sans Flex-lettertype uitgebracht dat iedereen kan gebruiken

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]