Whitelisting bein Non-Patchable-Systemen

[erkleerbeer 10]

Hallo zusammen,

bezüglich Whitelisting hätte ich gerne mal eure Meinung gehört.

 

Wir betreiben in einer Industrieumgebung mehrere Inselnetzwerke die keinen Anschluss an das Internet haben.

 

Die Systemvielfalt zieht sich durch alle Betriebssysteme Linux-Server, Windows XP, Server2003, Windows 7 Prof. .

Auf diesen Systemen laufen Messsysteme, Auswertesysteme und Visualisierungen über die Prozesse für das Wartenpersonal. Es ist kein Domänennetzwerk.

Die Physikalischen Zugänge zur Hardware sind alle gesperrt.

Diese Systeme haben nie ein Update erfahren geschweige denn einen Virenscanner.

 

Um doch nach Stuxnet etc. etwas mehr Sicherheit zu bekommen, haben wir über Whitelisting nachgedacht, als Alternative zu Virenscannern.

Als externes Tool CIFS integriert über ein MGuard-Modul der Firma PhoenixContact bei Systemen die wir nicht verändern dürfen.

Für Windows XP/2003 Server die "Richtlinien zur Softwareeinschränkung" parallel bei Windows 7 "Applocker"

Außerdem von McAfee Embedded Control.

 

Hat jemand von euch mit den aufgeführten Funktionen/Programmen schon Erfahrungen gesammelt?

Was nützt, was ist unnütz? Ziehe eigentlich Boardmittel immer einer extra Anwendung vor. Da jede neue Anwendung ja auch wieder einen Bug haben kann.

 

Bin gespannt ob ich in diesem Bereich ein Einzelkind bin ;-)

 

 

[daabm 1.354]

SRP/AppLocker mit Whitelisting ist der richtige Ansatz. Hilft aber nicht, wenn eine Lücke zu System-Privilegien verhilft... Dann hilft genau gesagt gar nix...

[erkleerbeer 10]

Ja, sicher der Ansatz ist sicher besser als garnichts zu unternehmen. Allerdings bin ich mir noch nicht ganz im klaren, ob man es mit Boardmitteln oder zusätzlichen Tools (embedded control, application control McAfee etc.) umsetzt.