扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在过去一年中杀毒软件供应商一直都在讨论应用程序白名单的有效性问题,但是当讨论这项技术是否会取代杀毒软件时,大家都不敢下结论。
白名单允许在特定机器上使用批准的文件,这样的话,恶意的或者可疑的应用程序将自动拦截。这个概念并不新鲜,不过到目前为止,该技术已经吸引了很多供应商(如McAfee和赛门铁克等)的关注,随着恶意应用程序的数量不断增加。
纯粹的白名单供应商(如Bit9和CoreTrace)已经准备好接受市场的考验,CoreTrace公司的产品管理总监Wes Miller表示,白名单不仅仅能够防病毒,而且是阻止恶意软件攻击的有效解决方案。
CoreTrace公司即将推出的BOUNCER产品最新版本,通过两种方式来保护内存。首先,它可以防止内存内的非白名单dll感染白名单化的进程,灵活,它提供内核内存写入保护,旨在防止缓冲区溢出篡改Windows内核并启动非法进程。这两个功能可以提供更好的保护,与传统的只有载荷的白名单相比。
“白名单不仅仅是一个重要组成部分,”Wes Miller表示,“使用应用程序白名单作为主要的执行机制,所有的威胁都将自动停止,而黑名单更加适合反应式的解决方案。简而言之,我们相信白名单可以是独立的,因为很多客户已经实现这一点。”
尽管如此,白名单还是需要处理所有未知的应用程序,其中很多是某些市场或者地域特有的合法应用程序,或者公司内部使用的定制程序,451集团分析师Paul Roberts表示。不过对于ATM、POS终端和其他单一用途的设备(不需要运行除其职责外的程序),白名单是很有效的,而对于其他机器则不一定。
“这不是一种能够很容易就能与一般企业笔记本电脑/台式机协作的模式,在企业计算机中用户需要自由添加新工具和软件来完成他们的工作,”Roberts表示,“白名单对于很多担心维护问题、影响生产力或者妨碍C级员工工作的企业而言仍然不是最佳解决方案,白名单对于POS和其他类型的重点部署是白名单目前的主要利用形式。”
虽然管理员为负载流行应用程序的封闭的服务器建立一个白名单是相对容易的事情,但这对一般企业或者家庭电脑用户而言还是很难的,赛门铁克公司的安全技术响应团队研究人员Carey Nachenberg表示。
“用户每天都会安装成百上千的来自软件供应商的应用软件,”Carey指出,“因此,对于一般公司而言,甚至对于大多数安全供应商而言,维护一个全面的及时更新的白名单都是不可能的事情。” 打击恶意软件需要混合利用黑名单和白名单,这是根据信誉来部署的安全措施。
“就像亚马逊网站根据购买信息对用户评级一样,我们相信应用程序和URL信誉度(来自所有用户的意见)将能够最大限度的帮助我们确定恶意软件以及对成千上万的应用程序进行评级,”他表示。
McAfee公司刚刚在几个星期前收购了SolidCore系统公司,这是一件专门为POS设备提供白名单技术的公司。根据该公司的发言人表示,这次收购旨在结合SolidCore公司的动态白名单和实时文档完整性监测与McAfee ePolicy Orchestrator的安全和合规管理功能。
“必须同时结合白名单和黑名单,使用相同的引擎阻止已知的恶意软件并同时识别已知的合法软件,”他表示,“同时还总是存在一个‘灰名单’,也需要采取控制办法来处理不断上升的灰名单问题。”
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者