最近Target、Neiman Marcus等公司遭遇的數(shù)據(jù)泄露事故表明，企業(yè)必須明確了解其系統(tǒng)中運行的哪些底層進程在處理信用卡數(shù)據(jù)或任何涉及高度敏感數(shù)據(jù)的企業(yè)端點，這是至關(guān)重要的。

[[112716]]

而白名單是實現(xiàn)這一目的的方法之一。白名單技術(shù)是指創(chuàng)建預(yù)先批準或受信任的應(yīng)用及進程列表，僅允許這些“已知良好”的應(yīng)用和進程運行，并默認阻止其他一切。這與黑名單相反，黑名單是創(chuàng)建不被允許運行的應(yīng)用或進程列表。然而，白名單能夠比黑名單更好地幫助企業(yè)解決安全問題，白名單和黑名單分別相當于“默認拒絕”和“默認允許”。白名單過濾方法可以用于企業(yè)現(xiàn)在使用的所有技術(shù)領(lǐng)域，具體應(yīng)用類型包括應(yīng)用白名單、電子郵件白名單和網(wǎng)絡(luò)白名單。

隨著高級惡意軟件攻擊不斷增加和演變，檢測或阻止它們成為企業(yè)面對的持續(xù)挑戰(zhàn)。對于想要添加可靠的防御層以低于不斷變化的威脅的企業(yè)，白名單技術(shù)是一種不錯的選擇，特別是對于端點反惡意軟件產(chǎn)品經(jīng)常無法檢測的零日攻擊。

在本文中，我們將研究白名單的優(yōu)點、該技術(shù)如何發(fā)展以及部署白名單作為端點保護技術(shù)的潛在挑戰(zhàn)。

白名單的工作原理

通過識別系統(tǒng)中的進程或文件是否具有經(jīng)批準的屬性、常見進程名稱、文件名稱、發(fā)行商名稱、數(shù)字簽名，白名單技術(shù)能夠讓企業(yè)批準哪些進程被允許在特定系統(tǒng)運行。有些供應(yīng)商產(chǎn)品只包括可執(zhí)行文件，而其他產(chǎn)品還包括腳本和宏，并可以阻止更廣泛的文件。其中，一種越來越受歡迎的白名單方法被稱為“應(yīng)用控制”，這種方法專門側(cè)重于管理端點應(yīng)用的行為。

眾所周知，白名單曾經(jīng)是一個備受指責的技術(shù)。白名單歷來被認為難以部署、管理耗時，并且，這種技術(shù)讓企業(yè)很難應(yīng)付想要部署自己選擇的應(yīng)用的員工。然而，在最近幾年，白名單產(chǎn)品已經(jīng)取得了很大進展，它更好地與現(xiàn)有端點安全技術(shù)整合來消除部署和管理障礙，為希望快速安裝應(yīng)用的用戶提供了快速的自動批準。此外，現(xiàn)在的大部分產(chǎn)品還提供這種功能，即將一個系統(tǒng)作為基準模型，生成自己的內(nèi)部白名單數(shù)據(jù)庫，或者提供模板用來設(shè)置可接受基準，這還可以支持PCI DSS或SOX等標準合規(guī)性。

此外，很多安全供應(yīng)商在使用基于云計算的白名單解決方案來維護大型白名單數(shù)據(jù)庫，并收集來自世界各地的獨特的已知和可信應(yīng)用及文件類型，以讓配置和自動化基于政策的決策更加直觀。

讓我們看看白名單在防止高級惡意軟件感染企業(yè)端點方面的具體優(yōu)勢：

• 該技術(shù)可以抵御零日惡意軟件和有針對性的攻擊，因為在默認情況下，任何未經(jīng)批準的軟件、工具和進程都不能在端點上運行。如果惡意軟件試圖在啟用了白名單的端點安裝，白名單技術(shù)會確定這不是可信進程，并否定其運行權(quán)限。

• 如果企業(yè)不想要使用白名單來阻止進程的安裝，企業(yè)也可以使用它來提供警報。例如當用戶不小心或無意安裝了惡意程序或文件，白名單可以檢測到這種違反政策行為，并提醒有關(guān)團隊未經(jīng)授權(quán)進程正在系統(tǒng)中運行，讓安全人員立即采取行動。

• 白名單可以提高用戶工作效率，并保持系統(tǒng)以最佳性能運作。例如，幫助臺支持人員可能會收到用戶對系統(tǒng)運行緩慢或不可預(yù)知行為的投訴，在經(jīng)過調(diào)查后，工作人員會發(fā)現(xiàn)間諜軟件已經(jīng)悄悄進入端點，正在吞噬內(nèi)存和處理器功耗。這是使用白名單檢測未經(jīng)授權(quán)程序并警告工作人員另一個用例，而不是在默認情況下完全阻止。

• 對于正在運行的應(yīng)用、工具和進程方面，白名單可以提供對系統(tǒng)的全面可視性。如果相同的未經(jīng)授權(quán)的程序試圖在多個端點運行，該數(shù)據(jù)可用于追蹤攻擊者的路徑。

• 白名單可以幫助抵御高級內(nèi)存注入攻擊;該技術(shù)提供了功能來驗證內(nèi)存中運行的所有經(jīng)批準的進程，并確保這些進程在運行時沒有被修改，從而抵御高級內(nèi)存漏洞利用。

• 高級攻擊通常涉及操縱合法應(yīng)用。當這種高級攻擊涉及內(nèi)存違規(guī)、可疑進程行為、配置更改或操作系統(tǒng)篡改時，白名單產(chǎn)品可以識別并發(fā)出警報。#p#

應(yīng)對白名單挑戰(zhàn)

在一開始，部署白名單產(chǎn)品可能看起來像一個具有挑戰(zhàn)性的任務(wù)，但根據(jù)利益相關(guān)者的目標制定合理的進程和項目規(guī)劃可以幫助推動部署工作。

白名單產(chǎn)品允許創(chuàng)建、定制和管理集中式政策集，并推動到各個端點。白名單產(chǎn)品的政策管理控制臺還可以在需要時創(chuàng)建例外情況，并推送這種變更到某些端點設(shè)置。由于這種特制架構(gòu)，在政策推送到端點之前，政策需要一個進程來批準這種變更。這可能是很復(fù)雜的工作，尤其是對于大型企業(yè)，但現(xiàn)在很多白名單產(chǎn)品提供了功能來幫助和簡化政策例外批準及部署。

有些企業(yè)還擔心過多的最終用戶反饋意見;員工經(jīng)常抱怨某天他們可能會從擁有完全訪問權(quán)限來安裝和管理自己的應(yīng)用，轉(zhuǎn)變?yōu)樾枰髽I(yè)審批。然而，企業(yè)可以通過員工安全意識培訓(xùn)以及分階段部署(在此期間，員工有機會提供反饋意見)來緩解這個問題。不過，底線是最終用戶有義務(wù)遵守企業(yè)安全政策，并且，當企業(yè)更新其政策以涵蓋白名單的使用時，用戶別無選擇，只能遵守。

總之，企業(yè)應(yīng)該考慮使用白名單用于網(wǎng)絡(luò)中的主機托管。黑名單或端點防毒等傳統(tǒng)技術(shù)根本不足以檢測和阻止現(xiàn)在的復(fù)雜惡意軟件。通過部署白名單技術(shù)，限定到僅允許已知應(yīng)用和進程，企業(yè)可以減少風險、降低支持成本和提高對每個網(wǎng)絡(luò)端點的可視性，同時，確保抵御高級攻擊的有效的縱深防御。