[[177639]]

大規(guī)模數(shù)據(jù)泄露事故正在以創(chuàng)紀錄水平持續(xù)發(fā)生;檢測最新惡意軟件的國際獨立服務(wù)提供商AV-TEST研究所每天都會注冊超過39萬新惡意代碼變種;網(wǎng)絡(luò)空間已經(jīng)變成狂野西部，數(shù)據(jù)庫正以前所未有的頻率被盜以及在黑市出售。然而，我們無法每天將這么多數(shù)量的已知威脅列入黑名單，我們也無法將每個已知良好的應(yīng)用列入白名單。托管安全服務(wù)提供商都難以成功抵御攻擊者，因為大多數(shù)工具和技術(shù)都專注于已知威脅，而這已經(jīng)不可能跟上威脅發(fā)展的步伐。目前嚴峻的現(xiàn)實是，我們正在失去這場戰(zhàn)爭。我們需要新的英雄，混合白名單-黑名單方法可能是答案。

現(xiàn)在很多安全產(chǎn)品是基于黑名單功能。黑名單允許電子郵件、IP地址、網(wǎng)址和域名，但只阻止黑名單上列出的項目。黑名單就像是阻止清單，如果你知道某些事物是威脅，則可添加到黑名單，則不會執(zhí)行。

問題在于，你如何阻止你不知道是威脅的東西?通常，惡意軟件需要感染某些東西才會被識別、分析以及添加到黑名單。我們也無法通過簽名來解決這個問題?；诤灻脑O(shè)備和軟件會對比文件，查找已知惡意簽名。系統(tǒng)的安全性取決于簽名數(shù)據(jù)庫，然而，我們無法足夠快地創(chuàng)建簽名以跟上每天生成新惡意軟件樣本的速度。

即使我們將啟發(fā)式和行為檢測添加到黑名單功能，我們?nèi)匀粺o法贏得這場戰(zhàn)爭。知識產(chǎn)權(quán)、個人數(shù)據(jù)、醫(yī)療保健記錄、財務(wù)數(shù)據(jù)和選民記錄都容易受到攻擊，黑名單不足以保護企業(yè)及其員工。

為了填補這個空白，我們通常會使用白名單技術(shù)。白名單只允許白名單中的網(wǎng)絡(luò)或應(yīng)用數(shù)據(jù)，白名單就像是允許列表。只有白名單中列出的項目才被允許執(zhí)行或運行。早期應(yīng)用白名單并沒有得到好評;早期部署者發(fā)現(xiàn)白名單難以部署和維護。此外，很多企業(yè)沒有部署和管理白名單解決方案所需要的專業(yè)技能。然而，現(xiàn)在的產(chǎn)品和服務(wù)包含沙箱技術(shù)，可幫助在受控制的環(huán)境中探索惡意軟件。

企業(yè)不應(yīng)該僅僅依靠黑名單或白名單，而應(yīng)該同時部署這兩者。理想的解決方案是混合白名單-黑名單方法，結(jié)合這兩者的優(yōu)勢。使用數(shù)據(jù)白名單可幫助尋找已知良好的應(yīng)用，而黑名單可幫助尋找已知惡意應(yīng)用及代碼。隨著我們看到更多混合白名單-黑名單解決方案逐漸成熟且有效，我們將會看到大家對白名單及MSSP(托管安全服務(wù)提供商)看法的改變。

白名單是未來更強大網(wǎng)絡(luò)安全方法的關(guān)鍵組成部分，這將幫助企業(yè)抵御看似不可應(yīng)對的威脅。在我們可確保環(huán)境中數(shù)據(jù)安全性以及僅允許已知好的應(yīng)用執(zhí)行，我們才可能贏得這場戰(zhàn)爭。混合白名單-黑名單方法是很好的解決方案，如果說，我們需要一個英雄，那就是現(xiàn)在。