區别
白名單是設置能通過的用戶,白名單以外的用戶都不能通過。
黑名單是設置不能通過的用戶,黑名單以外的用戶都能通過。
所以一般情況下白名單比黑名單限制的用戶要更多一些。
工作原理
通過識别系統中的進程或文件是否具有經批準的屬性、常見進程名稱、文件名稱、發行商名稱、數字簽名,白名單技術能夠讓企業批準哪些進程被允許在特定系統運行。有些供應商産品隻包括可執行文件,而其他産品還包括腳本和宏,并可以阻止更廣泛的文件。其中,一種越來越受歡迎的白名單方法被稱為“應用控制”,這種方法專門側重于管理端點應用的行為。
衆所周知,白名單曾經是一個備受指責的技術。白名單曆來被認為難以部署、管理耗時,并且,這種技術讓企業很難應付想要部署自己選擇的應用的員工。然而,在最近幾年,白名單産品已經取得了很大進展,它更好地與現有端點安全技術整合來消除部署和管理障礙,為希望快速安裝應用的用戶提供了快速的自動批準。此外,現在的大部分産品還提供這種功能,即将一個系統作為基準模型,生成自己的内部白名單數據庫,或者提供模闆用來設置可接受基準,這還可以支持PCI DSS或SOX等标準合規性。
優勢
該技術可以抵禦零日惡意軟件和有針對性的攻擊,因為在默認情況下,任何未經批準的軟件、工具和進程都不能在端點上運行。如果惡意軟件試圖在啟用了白名單的端點安裝,白名單技術會确定這不是可信進程,并否定其運行權限。
如果企業不想要使用白名單來阻止進程的安裝,企業也可以使用它來提供警報。例如當用戶不小心或無意安裝了惡意程序或文件,白名單可以檢測到這種違反政策行為,并提醒有關團隊未經授權進程正在系統中運行,讓安全人員立即采取行動。
白名單可以提高用戶工作效率,并保持系統以最佳性能運作。例如,幫助台支持人員可能會收到用戶對系統運行緩慢或不可預知行為的投訴,在經過調查後,工作人員會發現間諜軟件已經悄悄進入端點,正在吞噬内存和處理器功耗。這是使用白名單檢測未經授權程序并警告工作人員另一個用例,而不是在默認情況下完全阻止。
對于正在運行的應用、工具和進程方面,白名單可以提供對系統的全面可視性。如果相同的未經授權的程序試圖在多個端點運行,該數據可用于追蹤攻擊者的路徑。
白名單可以幫助抵禦高級内存注入攻擊;該技術提供了功能來驗證内存中運行的所有經批準的進程,并确保這些進程在運行時沒有被修改,從而抵禦高級内存漏洞利用。
高級攻擊通常涉及操縱合法應用。當這種高級攻擊涉及内存違規、可疑進程行為、配置更改或操作系統篡改時,白名單産品可以識别并發出警報。
挑戰
在一開始,部署白名單産品可能看起來像一個具有挑戰性的任務,但根據利益相關者的目标制定合理的進程和項目規劃可以幫助推動部署工作。
白名單産品允許創建、定制和管理集中式政策集,并推動到各個端點。白名單産品的政策管理控制台還可以在需要時創建例外情況,并推送這種變更到某些端點設置。由于這種特制架構,在政策推送到端點之前,政策需要一個進程來批準這種變更。這可能是很複雜的工作,尤其是對于大型企業,但現在很多白名單産品提供了功能來幫助和簡化政策例外批準及部署。
有些企業還擔心過多的最終用戶反饋意見;員工經常抱怨某天他們可能會從擁有完全訪問權限來安裝和管理自己的應用,轉變為需要企業審批。然而,企業可以通過員工安全意識培訓以及分階段部署(在此期間,員工有機會提供反饋意見)來緩解這個問題。不過,底線是最終用戶有義務遵守企業安全政策,并且,當企業更新其政策以涵蓋白名單的使用時,用戶别無選擇,隻能遵守。
