应用程序白名单或应用程序控制是一种安全功能,它通过仅允许运行受信任的文件、应用程序和进程来减少有害的安全攻击。
让我们定义白名单
为了阻止可能引发有害攻击的未经授权的活动,公司正在使用应用程序白名单或应用程序控制来加强其周边安全性。允许列表识别已知文件、应用程序或进程并允许它们执行。相反,未知活动被阻止或限制,从而阻止它们以攻击模式在系统或环境中开放和传播。
一些公司手动审查被阻止的文件以批准使用或在必要时进行补救。但是,高级端点安全解决方案可以通过软件控制和保护策略自动执行允许列表流程,从而完全锁定和保护公司资产、知识产权和受监管的数据。这些解决方案通过自动批准受信任的软件和消除对白名单管理的需要来减少停机时间。
白名单的效果如何?
虽然白名单被吹捧为必不可少的安全措施(请参阅下面的行业脉搏),但它只是提供完整和全面端点安全性的众多工具之一。
当它与行为分析和机器学习等其他先进技术结合使用时,白名单是阻止和防止恶意攻击的重要因素。
例如,提供网络安全指导的独立组织 NSS Labs 测试了高级端点保护 (AEP) 产品以确定其有效性。测试的目的是验证对已知和未知威胁的主动阻止和主动检测能力。
正如该公司 2017 年高级端点保护安全价值图所示,NSS 实验室的测试证明,可以使用白名单等工具和其他端点安全功能来阻止 100% 的攻击。
行业脉搏:将白名单列为核心安全策略
安全专家称,列入白名单是一种必备的基础安全策略,能够阻止勒索软件等恶意攻击。
事实上, 一篇关于 CSO 的文章 表明,基于建议、声誉分数和其他数据的实时白名单在理论上可以“以非常低的管理开销提供近乎完美的端点安全的承诺”。
Help Net Security 最近分享 了 Gartner 高级安全和隐私分析师 Neil MacDonald 的类似观点 ,关于如何使用白名单来阻止恶意攻击。“为了降低未来针对所有类型漏洞的攻击风险,我们长期以来一直提倡在服务器上使用应用程序控制和允许列表,”MacDonald 说。“ 如果您还没有这样做,那么现在是时候将默认的拒绝心态应用于服务器工作负载保护了——无论这些工作负载是物理的、虚拟的、公共云还是基于容器的。这应该成为 2018 年所有安全和风险管理领导者的标准做法和优先事项。”
安全解决方案公司 Red Canary 的数字取证和事件响应 (DFIR) 策略师 Phil Hagen 同意 MacDonald 的观点。在最近的一篇博客中,Hagen 指出,“我们的合作伙伴 Carbon Black 提供的应用控制解决方案绝对是组织可以采取的最有意义的预防措施。这种方法确保只有经过批准的二进制文件列表才能在企业内的系统上运行。无论网络钓鱼负载是普通勒索软件还是高度针对性的定制恶意软件,成为受害者的代价通常远远超出部署和维护白名单解决方案的代价。”
在第一周内,有 400,000 台机器受到 WannaCry 勒索软件爆发的感染。
答案:实时动态白名单
在当今高风险的网络世界中,拥有一个包含许可名单的完整端点安全解决方案至关重要,以便持续保护敏感数据。基于允许活动的严格政策,白名单和应用程序控制允许实时锁定关键系统,自动阻止所有不受信任的文件、应用程序和进程执行。凭借这些复杂的功能,公司可以:
- 阻止攻击 - 只允许经批准的软件运行
- 自动化软件 - 通过 IT 和云驱动的策略进行批准和更新
- 防止不必要的更改 - 在内核和用户模式级别进行系统配置
- 电源设备控制 - 文件完整性监控 (FIM/FIC ) 能力
- 应对 IT 风险 - 跨主要监管要求的审计控制
