最近Target、Neiman Marcus等公司遭遇的数据泄露事故表明,企业必须明确了解其系统中运行的哪些底层进程在处理信用卡数据或任何涉及高度敏感数据的企业端点,这是至关重要的。
而白名单是实现这一目的的方法之一。白名单技术是指创建预先批准或受信任的应用及进程列表,仅允许这些“已知良好”的应用和进程运行,并默认阻止其他一切。这与黑名单相反,黑名单是创建不被允许运行的应用或进程列表。然而,白名单能够比黑名单更好地帮助企业解决安全问题,白名单和黑名单分别相当于“默认拒绝”和“默认允许”。白名单过滤方法可以用于企业现在使用的所有技术领域,具体应用类型包括应用白名单、电子邮件白名单和网络白名单。
随着高级恶意软件攻击不断增加和演变,检测或阻止它们成为企业面对的持续挑战。对于想要添加可靠的防御层以低于不断变化的威胁的企业,白名单技术是一种不错的选择,特别是对于端点反恶意软件产品经常无法检测的零日攻击。
在本文中,我们将研究白名单的优点、该技术如何发展以及部署白名单作为端点保护技术的潜在挑战。
白名单的工作原理
通过识别系统中的进程或文件是否具有经批准的属性、常见进程名称、文件名称、发行商名称、数字签名,白名单技术能够让企业批准哪些进程被允许在特定系统运行。有些供应商产品只包括可执行文件,而其他产品还包括脚本和宏,并可以阻止更广泛的文件。其中,一种越来越受欢迎的白名单方法被称为“应用控制”,这种方法专门侧重于管理端点应用的行为。
众所周知,白名单曾经是一个备受指责的技术。白名单历来被认为难以部署、管理耗时,并且,这种技术让企业很难应付想要部署自己选择的应用的员工。然而,在最近几年,白名单产品已经取得了很大进展,它更好地与现有端点安全技术整合来消除部署和管理障碍,为希望快速安装应用的用户提供了快速的自动批准。此外,现在的大部分产品还提供这种功能,即将一个系统作为基准模型,生成自己的内部白名单数据库,或者提供模板用来设置可接受基准,这还可以支持PCI DSS或SOX等标准合规性。
此外,很多安全供应商在使用基于云计算的白名单解决方案来维护大型白名单数据库,并收集来自世界各地的独特的已知和可信应用及文件类型,以让配置和自动化基于政策的决策更加直观。
让我们看看白名单在防止高级恶意软件感染企业端点方面的具体优势:
• 该技术可以抵御零日恶意软件和有针对性的攻击,因为在默认情况下,任何未经批准的软件、工具和进程都不能在端点上运行。如果恶意软件试图在启用了白名单的端点安装,白名单技术会确定这不是可信进程,并否定其运行权限。
• 如果企业不想要使用白名单来阻止进程的安装,企业也可以使用它来提供警报。例如当用户不小心或无意安装了恶意程序或文件,白名单可以检测到这种违反政策行为,并提醒有关团队未经授权进程正在系统中运行,让安全人员立即采取行动。
• 白名单可以提高用户工作效率,并保持系统以最佳性能运作。例如,帮助台支持人员可能会收到用户对系统运行缓慢或不可预知行为的投诉,在经过调查后,工作人员会发现间谍软件已经悄悄进入端点,正在吞噬内存和处理器功耗。这是使用白名单检测未经授权程序并警告工作人员另一个用例,而不是在默认情况下完全阻止。
• 对于正在运行的应用、工具和进程方面,白名单可以提供对系统的全面可视性。如果相同的未经授权的程序试图在多个端点运行,该数据可用于追踪攻击者的路径。
• 白名单可以帮助抵御高级内存注入攻击;该技术提供了功能来验证内存中运行的所有经批准的进程,并确保这些进程在运行时没有被修改,从而抵御高级内存漏洞利用。
• 高级攻击通常涉及操纵合法应用。当这种高级攻击涉及内存违规、可疑进程行为、配置更改或操作系统篡改时,白名单产品可以识别并发出警报。
应对白名单挑战
在一开始,部署白名单产品可能看起来像一个具有挑战性的任务,但根据利益相关者的目标制定合理的进程和项目规划可以帮助推动部署工作。
白名单产品允许创建、定制和管理集中式政策集,并推动到各个端点。白名单产品的政策管理控制台还可以在需要时创建例外情况,并推送这种变更到某些端点设置。由于这种特制架构,在政策推送到端点之前,政策需要一个进程来批准这种变更。这可能是很复杂的工作,尤其是对于大型企业,但现在很多白名单产品提供了功能来帮助和简化政策例外批准及部署。
有些企业还担心过多的最终用户反馈意见;员工经常抱怨某天他们可能会从拥有完全访问权限来安装和管理自己的应用,转变为需要企业审批。然而,企业可以通过员工安全意识培训以及分阶段部署(在此期间,员工有机会提供反馈意见)来缓解这个问题。不过,底线是最终用户有义务遵守企业安全政策,并且,当企业更新其政策以涵盖白名单的使用时,用户别无选择,只能遵守。
总之,企业应该考虑使用白名单用于网络中的主机托管。黑名单或端点防毒等传统技术根本不足以检测和阻止现在的复杂恶意软件。通过部署白名单技术,限定到仅允许已知应用和进程,企业可以减少风险、降低支持成本和提高对每个网络端点的可视性,同时,确保抵御高级攻击的有效的纵深防御。