應(yīng)用程序白名單或應(yīng)用程序控制是一種安全功能，它通過僅允許運行受信任的文件、應(yīng)用程序和進程來減少有害的安全攻擊。

讓我們定義白名單

為了阻止可能引發(fā)有害攻擊的未經(jīng)授權(quán)的活動，公司正在使用應(yīng)用程序白名單或應(yīng)用程序控制來加強其周邊安全性。允許列表識別已知文件、應(yīng)用程序或進程并允許它們執(zhí)行。相反，未知活動被阻止或限制，從而阻止它們以攻擊模式在系統(tǒng)或環(huán)境中開放和傳播。

一些公司手動審查被阻止的文件以批準使用或在必要時進行補救。但是，高級端點安全解決方案可以通過軟件控制和保護策略自動執(zhí)行允許列表流程，從而完全鎖定和保護公司資產(chǎn)、知識產(chǎn)權(quán)和受監(jiān)管的數(shù)據(jù)。這些解決方案通過自動批準受信任的軟件和消除對白名單管理的需要來減少停機時間。

白名單的效果如何？

雖然白名單被吹捧為必不可少的安全措施（請參閱下面的行業(yè)脈搏），但它只是提供完整和全面端點安全性的眾多工具之一。

當它與行為分析和機器學(xué)習(xí)等其他先進技術(shù)結(jié)合使用時，白名單是阻止和防止惡意攻擊的重要因素。

例如，提供網(wǎng)絡(luò)安全指導(dǎo)的獨立組織 NSS Labs 測試了高級端點保護 (AEP) 產(chǎn)品以確定其有效性。測試的目的是驗證對已知和未知威脅的主動阻止和主動檢測能力。

正如該公司 2017 年高級端點保護安全價值圖所示，NSS 實驗室的測試證明，可以使用白名單等工具和其他端點安全功能來阻止 100% 的攻擊。

行業(yè)脈搏：將白名單列為核心安全策略

安全專家稱，列入白名單是一種必備的基礎(chǔ)安全策略，能夠阻止勒索軟件等惡意攻擊。

事實上， 一篇關(guān)于 CSO 的文章 表明，基于建議、聲譽分數(shù)和其他數(shù)據(jù)的實時白名單在理論上可以“以非常低的管理開銷提供近乎完美的端點安全的承諾”。

Help Net Security 最近分享 了 Gartner 高級安全和隱私分析師 Neil MacDonald 的類似觀點 ，關(guān)于如何使用白名單來阻止惡意攻擊。“為了降低未來針對所有類型漏洞的攻擊風險，我們長期以來一直提倡在服務(wù)器上使用應(yīng)用程序控制和允許列表，”MacDonald 說。“ 如果您還沒有這樣做，那么現(xiàn)在是時候?qū)⒛J的拒絕心態(tài)應(yīng)用于服務(wù)器工作負載保護了——無論這些工作負載是物理的、虛擬的、公共云還是基于容器的。這應(yīng)該成為 2018 年所有安全和風險管理領(lǐng)導(dǎo)者的標準做法和優(yōu)先事項。”

安全解決方案公司 Red Canary 的數(shù)字取證和事件響應(yīng) (DFIR) 策略師 Phil Hagen 同意 MacDonald 的觀點。在最近的一篇博客中，Hagen 指出，“我們的合作伙伴 Carbon Black 提供的應(yīng)用控制解決方案絕對是組織可以采取的最有意義的預(yù)防措施。這種方法確保只有經(jīng)過批準的二進制文件列表才能在企業(yè)內(nèi)的系統(tǒng)上運行。無論網(wǎng)絡(luò)釣魚負載是普通勒索軟件還是高度針對性的定制惡意軟件，成為受害者的代價通常遠遠超出部署和維護白名單解決方案的代價。”

在第一周內(nèi)，有 400,000 臺機器受到 WannaCry 勒索軟件爆發(fā)的感染。

答案：實時動態(tài)白名單

在當今高風險的網(wǎng)絡(luò)世界中，擁有一個包含許可名單的完整端點安全解決方案至關(guān)重要，以便持續(xù)保護敏感數(shù)據(jù)。基于允許活動的嚴格政策，白名單和應(yīng)用程序控制允許實時鎖定關(guān)鍵系統(tǒng)，自動阻止所有不受信任的文件、應(yīng)用程序和進程執(zhí)行。憑借這些復(fù)雜的功能，公司可以：

• 阻止攻擊 - 只允許經(jīng)批準的軟件運行
• 自動化軟件 - 通過 IT 和云驅(qū)動的策略進行批準和更新
• 防止不必要的更改 - 在內(nèi)核和用戶模式級別進行系統(tǒng)配置
• 電源設(shè)備控制 - 文件完整性監(jiān)控 (FIM/FIC ) 能力
• 應(yīng)對 IT 風險 - 跨主要監(jiān)管要求的審計控制