白名單助力高級惡意軟件防御
最近Target、Neiman Marcus等公司遭遇的數(shù)據泄露事故表明,企業(yè)必須明確了解其系統(tǒng)中運行的哪些底層進程在處理信用卡數(shù)據或任何涉及高度敏感數(shù)據的企業(yè)端點,這是至關重要的。
而白名單是實現(xiàn)這一目的的方法之一。白名單技術是指創(chuàng)建預先批準或受信任的應用及進程列表,僅允許這些“已知良好”的應用和進程運行,并默認阻止其他一切。這與黑名單相反,黑名單是創(chuàng)建不被允許運行的應用或進程列表。然而,白名單能夠比黑名單更好地幫助企業(yè)解決安全問題,白名單和黑名單分別相當于“默認拒絕”和“默認允許”。白名單過濾方法可以用于企業(yè)現(xiàn)在使用的所有技術領域,具體應用類型包括應用白名單、電子郵件白名單和網絡白名單。
隨著高級惡意軟件攻擊不斷增加和演變,檢測或阻止它們成為企業(yè)面對的持續(xù)挑戰(zhàn)。對于想要添加可靠的防御層以低于不斷變化的威脅的企業(yè),白名單技術是一種不錯的選擇,特別是對于端點反惡意軟件產品經常無法檢測的零日攻擊。
在本文中,我們將研究白名單的優(yōu)點、該技術如何發(fā)展以及部署白名單作為端點保護技術的潛在挑戰(zhàn)。
白名單的工作原理
通過識別系統(tǒng)中的進程或文件是否具有經批準的屬性、常見進程名稱、文件名稱、發(fā)行商名稱、數(shù)字簽名,白名單技術能夠讓企業(yè)批準哪些進程被允許在特定系統(tǒng)運行。有些供應商產品只包括可執(zhí)行文件,而其他產品還包括腳本和宏,并可以阻止更廣泛的文件。其中,一種越來越受歡迎的白名單方法被稱為“應用控制”,這種方法專門側重于管理端點應用的行為。
眾所周知,白名單曾經是一個備受指責的技術。白名單歷來被認為難以部署、管理耗時,并且,這種技術讓企業(yè)很難應付想要部署自己選擇的應用的員工。然而,在最近幾年,白名單產品已經取得了很大進展,它更好地與現(xiàn)有端點安全技術整合來消除部署和管理障礙,為希望快速安裝應用的用戶提供了快速的自動批準。此外,現(xiàn)在的大部分產品還提供這種功能,即將一個系統(tǒng)作為基準模型,生成自己的內部白名單數(shù)據庫,或者提供模板用來設置可接受基準,這還可以支持PCI DSS或SOX等標準合規(guī)性。
此外,很多安全供應商在使用基于云計算的白名單解決方案來維護大型白名單數(shù)據庫,并收集來自世界各地的獨特的已知和可信應用及文件類型,以讓配置和自動化基于政策的決策更加直觀。
讓我們看看白名單在防止高級惡意軟件感染企業(yè)端點方面的具體優(yōu)勢:
• 該技術可以抵御零日惡意軟件和有針對性的攻擊,因為在默認情況下,任何未經批準的軟件、工具和進程都不能在端點上運行。如果惡意軟件試圖在啟用了白名單的端點安裝,白名單技術會確定這不是可信進程,并否定其運行權限。
• 如果企業(yè)不想要使用白名單來阻止進程的安裝,企業(yè)也可以使用它來提供警報。例如當用戶不小心或無意安裝了惡意程序或文件,白名單可以檢測到這種違反政策行為,并提醒有關團隊未經授權進程正在系統(tǒng)中運行,讓安全人員立即采取行動。
• 白名單可以提高用戶工作效率,并保持系統(tǒng)以最佳性能運作。例如,幫助臺支持人員可能會收到用戶對系統(tǒng)運行緩慢或不可預知行為的投訴,在經過調查后,工作人員會發(fā)現(xiàn)間諜軟件已經悄悄進入端點,正在吞噬內存和處理器功耗。這是使用白名單檢測未經授權程序并警告工作人員另一個用例,而不是在默認情況下完全阻止。
• 對于正在運行的應用、工具和進程方面,白名單可以提供對系統(tǒng)的全面可視性。如果相同的未經授權的程序試圖在多個端點運行,該數(shù)據可用于追蹤攻擊者的路徑。
• 白名單可以幫助抵御高級內存注入攻擊;該技術提供了功能來驗證內存中運行的所有經批準的進程,并確保這些進程在運行時沒有被修改,從而抵御高級內存漏洞利用。
• 高級攻擊通常涉及操縱合法應用。當這種高級攻擊涉及內存違規(guī)、可疑進程行為、配置更改或操作系統(tǒng)篡改時,白名單產品可以識別并發(fā)出警報。#p#
應對白名單挑戰(zhàn)
在一開始,部署白名單產品可能看起來像一個具有挑戰(zhàn)性的任務,但根據利益相關者的目標制定合理的進程和項目規(guī)劃可以幫助推動部署工作。
白名單產品允許創(chuàng)建、定制和管理集中式政策集,并推動到各個端點。白名單產品的政策管理控制臺還可以在需要時創(chuàng)建例外情況,并推送這種變更到某些端點設置。由于這種特制架構,在政策推送到端點之前,政策需要一個進程來批準這種變更。這可能是很復雜的工作,尤其是對于大型企業(yè),但現(xiàn)在很多白名單產品提供了功能來幫助和簡化政策例外批準及部署。
有些企業(yè)還擔心過多的最終用戶反饋意見;員工經常抱怨某天他們可能會從擁有完全訪問權限來安裝和管理自己的應用,轉變?yōu)樾枰髽I(yè)審批。然而,企業(yè)可以通過員工安全意識培訓以及分階段部署(在此期間,員工有機會提供反饋意見)來緩解這個問題。不過,底線是最終用戶有義務遵守企業(yè)安全政策,并且,當企業(yè)更新其政策以涵蓋白名單的使用時,用戶別無選擇,只能遵守。
總之,企業(yè)應該考慮使用白名單用于網絡中的主機托管。黑名單或端點防毒等傳統(tǒng)技術根本不足以檢測和阻止現(xiàn)在的復雜惡意軟件。通過部署白名單技術,限定到僅允許已知應用和進程,企業(yè)可以減少風險、降低支持成本和提高對每個網絡端點的可視性,同時,確保抵御高級攻擊的有效的縱深防御。
