基本介紹
簡介
區別
工作原理
眾所周知,白名單曾經是一個備受指責的技術。白名單歷來被認為難以部署、管理耗時,並且,這種技術讓企業很難應付想要部署自己選擇的套用的員工。然而,在最近幾年,白名單產品已經取得了很大進展,它更好地與現有端點安全技術整合來消除部署和管理障礙,為希望快速安裝套用的用戶提供了快速的自動批准。此外,現在的大部分產品還提供這種功能,即將一個系統作為基準模型,生成自己的內部白名單資料庫,或者提供模板用來設定可接受基準,這還可以支持PCI DSS或SOX等標準合規性。
優勢
如果企業不想要使用白名單來阻止進程的安裝,企業也可以使用它來提供警報。例如當用戶不小心或無意安裝了惡意程式或檔案,白名單可以檢測到這種違反政策行為,並提醒有關團隊未經授權進程正在系統中運行,讓安全人員立即採取行動。
白名單可以提高用戶工作效率,並保持系統以最佳性能運作。例如,幫助台支持人員可能會收到用戶對系統運行緩慢或不可預知行為的投訴,在經過調查後,工作人員會發現間諜軟體已經悄悄進入端點,正在吞噬記憶體和處理器功耗。這是使用白名單檢測未經授權程式並警告工作人員另一個用例,而不是在默認情況下完全阻止。
對於正在運行的套用、工具和進程方面,白名單可以提供對系統的全面可視性。如果相同的未經授權的程式試圖在多個端點運行,該數據可用於追蹤攻擊者的路徑。
白名單可以幫助抵禦高級記憶體注入攻擊;該技術提供了功能來驗證記憶體中運行的所有經批准的進程,並確保這些進程在運行時沒有被修改,從而抵禦高級記憶體漏洞利用。
高級攻擊通常涉及操縱合法套用。當這種高級攻擊涉及記憶體違規、可疑進程行為、配置更改或作業系統篡改時,白名單產品可以識別並發出警報。
挑戰
白名單產品允許創建、定製和管理集中式政策集,並推動到各個端點。白名單產品的政策管理控制台還可以在需要時創建例外情況,並推送這種變更到某些端點設定。由於這種特製架構,在政策推送到端點之前,政策需要一個進程來批准這種變更。這可能是很複雜的工作,尤其是對於大型企業,但現在很多白名單產品提供了功能來幫助和簡化政策例外批准及部署。
有些企業還擔心過多的最終用戶反饋意見;員工經常抱怨某天他們可能會從擁有完全訪問許可權來安裝和管理自己的套用,轉變為需要企業審批。然而,企業可以通過員工安全意識培訓以及分階段部署(在此期間,員工有機會提供反饋意見)來緩解這個問題。不過,底線是最終用戶有義務遵守企業安全政策,並且,當企業更新其政策以涵蓋白名單的使用時,用戶別無選擇,只能遵守。