白名單

白名單

白名單的概念與“黑名單”相對應。例如:在電腦系統里,有很多軟體都應用到了黑白名單規則,操作系統、防火牆、殺毒軟體、郵件系統、應用軟體等,凡是涉及到控制方面幾乎都應用了黑白名單規則。

黑名單啟用后,被列入到黑名單的用戶(或IP地址、IP包、郵件、病毒等)不能通過。如果設立了白名單,則在白名單中的用戶(或IP地址、IP包、郵件等)會優先通過,不會被當成垃圾郵件拒收,安全性和快捷性都大大提高。將其含義擴展一步,那麼凡有黑名單功能的應用,就會有白名單功能與其對應。

簡介


例如:在運營體系中,如果某一用戶的號碼被列入黑名單,那麼它可能不能享用某項業務或全部業務,而白名單內的用戶則可不受系統中對普通用戶的規則限制。

區別


白名單是設置能通過的用戶,白名單以外的用戶都不能通過。
黑名單是設置不能通過的用戶,黑名單以外的用戶都能通過。
所以一般情況下白名單比黑名單限制的用戶要更多一些。

工作原理


通過識別系統中的進程或文件是否具有經批准的屬性、常見進程名稱、文件名稱、發行商名稱、數字簽名,白名單技術能夠讓企業批准哪些進程被允許在特定系統運行。有些供應商產品只包括可執行文件,而其他產品還包括腳本和宏,並可以阻止更廣泛的文件。其中,一種越來越受歡迎的白名單方法被稱為“應用控制”,這種方法專門側重於管理端點應用的行為。
眾所周知,白名單曾經是一個備受指責的技術。白名單歷來被認為難以部署、管理耗時,並且,這種技術讓企業很難應付想要部署自己選擇的應用的員工。然而,在最近幾年,白名單產品已經取得了很大進展,它更好地與現有端點安全技術整合來消除部署和管理障礙,為希望快速安裝應用的用戶提供了快速的自動批准。此外,現在的大部分產品還提供這種功能,即將一個系統作為基準模型,生成自己的內部白名單資料庫,或者提供模板用來設置可接受基準,這還可以支持PCI DSS或SOX等標準合規性。

優勢


該技術可以抵禦零日惡意軟體和有針對性的攻擊,因為在默認情況下,任何未經批准的軟體、工具和進程都不能在端點上運行。如果惡意軟體試圖在啟用了白名單的端點安裝,白名單技術會確定這不是可信進程,並否定其運行許可權。
如果企業不想要使用白名單來阻止進程的安裝,企業也可以使用它來提供警報。例如當用戶不小心或無意安裝了惡意程序或文件,白名單可以檢測到這種違反政策行為,並提醒有關團隊未經授權進程正在系統中運行,讓安全人員立即採取行動。
白名單可以提高用戶工作效率,並保持系統以最佳性能運作。例如,幫助台支持人員可能會收到用戶對系統運行緩慢或不可預知行為的投訴,在經過調查后,工作人員會發現間諜軟體已經悄悄進入端點,正在吞噬內存和處理器功耗。這是使用白名單檢測未經授權程序並警告工作人員另一個用例,而不是在默認情況下完全阻止。
對於正在運行的應用、工具和進程方面,白名單可以提供對系統的全面可視性。如果相同的未經授權的程序試圖在多個端點運行,該數據可用於追蹤攻擊者的路徑。
白名單可以幫助抵禦高級內存注入攻擊;該技術提供了功能來驗證內存中運行的所有經批准的進程,並確保這些進程在運行時沒有被修改,從而抵禦高級內存漏洞利用。
高級攻擊通常涉及操縱合法應用。當這種高級攻擊涉及內存違規、可疑進程行為、配置更改或操作系統篡改時,白名單產品可以識別併發出警報。

挑戰


在一開始,部署白名單產品可能看起來像一個具有挑戰性的任務,但根據利益相關者的目標制定合理的進程和項目規劃可以幫助推動部署工作。
白名單產品允許創建、定製和管理集中式政策集,並推動到各個端點。白名單產品的政策管理控制台還可以在需要時創建例外情況,並推送這種變更到某些端點設置。由於這種特製架構,在政策推送到端點之前,政策需要一個進程來批准這種變更。這可能是很複雜的工作,尤其是對於大型企業,但現在很多白名單產品提供了功能來幫助和簡化政策例外批准及部署。
有些企業還擔心過多的最終用戶反饋意見;員工經常抱怨某天他們可能會從擁有完全訪問許可權來安裝和管理自己的應用,轉變為需要企業審批。然而,企業可以通過員工安全意識培訓以及分階段部署(在此期間,員工有機會提供反饋意見)來緩解這個問題。不過,底線是最終用戶有義務遵守企業安全政策,並且,當企業更新其政策以涵蓋白名單的使用時,用戶別無選擇,只能遵守。