浅谈应用程序白名单技术关键问题

 ZDNet安全频道原创翻译 转载请注明作者以及出处

现在看来，应用白名单技术的发展充满了希望。看起来这当中似乎应该意味着一些事情。现在就让我们来看一下三家来自安全领域的公司是怎么看待这个问题的。

应用白名单技术看上去似乎很简单。只要容许获得批准的应用程序运行即可。但实际上，实际情况没有这么简单，在我上一篇关于应用白名单技术的文章发表后，关于它的工作原理大家就提出各种各样的问题。好的问题需要有答案。

所以，我就忙碌了起来，要求一些安全公司的专家来对他们应用白名单技术的产品进行介绍，并回答大家的提问。在我询问的四家公司中，有三家：CoreTrace、Faronics和专家保护公司(Savant　Protection)很友好地做出了回应。下面就是他们的答复：

作者：能否对贵公司及与应用白名单技术相关的产品进行一下介绍?

CoreTrace：我们关注的重点是具有高安全性易于设置的应用白名单技术解决方案的开发。公司的建立者是丹·蒂尔。管理者及员工在企业软件开发方面拥有大量经验，和Check Point系统以及PGP等一样，都属于安全公司。

我们的白名单解决方案叫做Bouncer，可以实现在每台计算机上自动创建白名单，并且在新的可信任应用程序被添加进去的时间自动更新。

Faronics：公司关注的重点是计算机电源管理技术和低成本的信息技术解决方案。我们已经在美国、加拿大和英国设立了办事处。客户遍及150多个国家，数目已经超过了30000。

我们的产品被称做反可执行工具(Anti-Executable)。该产品的特色是将黑名单技术(任何没有获得信任的程序都将被阻止运行)和白名单技术融合在同一工具中。

专家保护公司：我们是一家私人公司，关注的重点是应用程序白名单技术自动化。我们产品的名称与公司名称相同，属于业务驱动的应用程序白名单解决方案，可以为台式机、服务器、流程控制系统和点销售系统上运行的操作系统和软件提供保护。

作者：关于应用白名单技术的定义有很多种说法。因此，我想问一下，贵公司是怎么定义的呢?

CoreTrace：应用白名单技术指的是确保只有安全获得审核的应用才能运行，这里包括了最早获得批准的以及那些随着时间推移被允许执行的程序。应用白名单技术的解决方案，也应避免通过白名单内的合法应用程序发起的内存攻击。

Faronics：白名单是一种在计算机上按照实际情况对文件进行控制的模式：不是担心现有和将要创建的文件，白名单关注的是已经存在并获得认证的文件。

专家保护公司：应用白名单技术的主要目的是保障计算机和应用的正常运行。这包括了操作系统和应用程序中的所有可执行文件。如果应用不在列表上，它将无法运行。

作者：怎样实现按照需求创建白名单，并进行更新呢?对应用程序进行标记的时间，需要选择什么样的属性?

CoreTrace：在安装完成后，Bouncer会对所有的二进制可执行文件进行识别，为加入到白名单里的每一项添加二进制信息。一旦完成白名单的设置，系统就会处于受保护的状态。如果你希望有自身特色的话，也可以对设置进行调整。举例来说，你可以调整Bouncer的设置让记事本在任何位置都可以运行。

在安装新应用和升级补丁的时间，信任部分(受到信任的应用程序、路径、数字签名、用户以及ActiveX安装包)可以选择使用Bouncer的受信变化功能来进行处理。一旦获得认证，自动传送机制或者指定用户就可以在不需要深入技术支持的情况下进行安装和更新操作。

每一条二进制信息都是唯一确定的，它由文件名称、文件大小、文件路径以及安全散列算法修订版本(SHA1)哈希值等参数组成。

Faronics：在对文件夹或驱动器进行扫描后就可以创建一份白名单。在使用"扫描"功能的时间，文件夹或驱动器中所有的可执行文件都将会被添加到白名单中。反可执行工具还容许选择特定文件并将其添加到白名单里。此外，还有第三种选择，你可以将整个文件夹添加到白名单中。这样的文件夹叫着白文件夹(whitefolder)，里面的所有可执行文件都将被允许运行。

有好几种方式可以用于白名单的维护。第一种就是所谓的维护模式。在维护模式下，反可执行工具将容许软件进行安装和更新。当维护模式完成的时间，它就可以将新安装的或更新完成的文件添加到白名单中。

另一种方式是采用出版商设置。当一家出版商被加入到白名单中，由它提供数字签名的软件就可以进行新应用的安装和现有应用的更新操作了。

为了对应用程序进行认证，我们采用了SHA-1哈希值和出版商两类参数。

专家保护公司：在代理工具安装到设备上后，每台设备都可以创建白名单。该工具可以对指定的磁盘进行扫描，将所有可执行文件添加到白名单中。如前所述，它可以自动建立白名单。对于文件和计算机来说，哈希值是唯一的。举例来说，对于不同的计算机来说，写字板的哈希值是不同的。这样的话，恶意软件的扩展就受到了限制。

专家保护公司还建立了一个包含"过滤器设置"的资料库，让你可以对需要更新、安装或者添加补丁的软件进程进行设置。创建资料库中没有的新过滤器设置非常简单。举例来说，专家保护的资料库里已经包含了关于软件交付系统的过滤器设置，这样的话，系统管理员们就可以继续利用原有工具进行软件的安装和更新。

SHA-1哈希值、文件大小和文件名称这三个参数被用于可执行文件的识别。

作者：对于来自白名单以外的应用发出的请求，软件将如何处理?

CoreTrace：作为系统服务，Bouncer运行在内核级上。这让我们在应用程序加载以前，就可以确定它的二进制信息是否在白名单中。如果该信息不在白名单中(并且不是位于获得预先授权可靠来源的文件里)，该文件的运行将会被阻止。从系统安全的角度来看，这项功能很有价值。它是在加载前而不是加载中或后，检查信息的有效性。这样的话，就不可能造成损害。

Faronics：当有人企图运行文件时，反可执行工具会对文件的数字签名进行审核。如果获得了确认，反可执行工具将会在白名单中对文件的出版商信息进行再次检验。如果发现出版商信息也已经包含在白名单中，文件将会被允许运行。

如果该文件没有包含数字签名，反可执行工具将会计算文件的哈希值(SHA-1)并在白名单中再次检验。如果找到了文件的哈希值，它就会被容许运行。否则的话，运行会被阻止。

专家保护公司：专家保护工具中包含了一个内核级的过滤器驱动程序。在系统启动的时间就开始运行，可以阻止应用程序的运行，并防止动态链接库文件在内核中的加载。通过这样的方法，我们可以阻止任何不包含在白名单中的应用运行。

作者：用户对软件的选择是完全不同的。举例来说，工程师们需要的可能是计算机辅助设计软件，而其它用户是不会使用的。这样的问题应该怎么解决呢?

CoreTrace：我们的工具可以为每台计算机创建不同的白名单。如果一名工程师在使用的工作站上安装了计算机辅助设计软件，没有理由让他和接待员的计算机使用相同的应用程序规则。

Bouncer还提供了基于角色的管理功能，容许系统管理员对用户进行分组。举例来说，你可以事前在所有工程用工作站上部署同样的计算机辅助设计软件，而不必在全公司范围内这么做。

Faronics：你可以为全公司选择相同的白名单，也可以让每个部门选择自己的白名单，甚至可以为每台计算机选择专用的白名单。在反可执行工具的支持下，只要有足够的时间来进行设置，你可以选择任意的白名单。

专家保护公司：只有在那些没有系统管理员需要单独控制的机器上，白名单才需要进行调整。并且计算机辅助设计软件只能运行在这些端点上。既然我们已经在所有设备上都安装了代理工具，管理员就可以通过光盘进行软件安装，白名单将自动更新并应用到所有可执行文件上。

作者：如果被核准的应用受到恶意软件的攻击，会发生什么事情。这种类型的攻击是否会带来问题呢?

CoreTrace：对于我们的工作来说，这是一个非常关键的问题。应用'Foo'非常有价值，需要被加入到白名单中。但不幸的是，Foo恰好有一个已知的漏洞。如果没有某种形式的内存保护，我们相信你仍然很容易受到来自恶意软件的攻击。

CoreTrace关注的重点是减少这些攻击的范围。这就是为什么Bouncer可以防范包括　动态链接库注入和内核写入尝试在内的几种内存攻击的原因。

Faronics：想象一下，文件的哈希值就如同脱氧核糖核酸(DNA)一样。文件中发生任何一点变化都会导致哈希值的彻底改变。如果哈希值不在白名单中，该文件将无法运行。出版商选项的作用也是相同的;文件发生任何变化都将破坏数字签名，这样就不可能被执行了。任何恶意软件对已核准应用进行攻击都会被反可执行工具检测到，该应用就会被阻止运行。

专家保护公司：为了完成攻击，很多恶意工具会潜伏在系统的可执行文件中。但由于该文件不可能进入白名单，所以并不会产生持续的威胁。但是，对于内存中的漏洞来说，如果它属于已核准应用中一部分的话，就不会停下来。由于攻击成功需要感染传播开来，而内存漏洞试图利用可执行文件时，我们就会关闭它，所以攻击会被阻止。

除了阻止没有位于白名单中的可执行文件外，专家保护还提供了一个安全模式，只允许受到信任的程序建立、修改或删除可执行文件。

有一件事情是清楚的

在读完关于应用白名单技术发展情况的本文后，有一点是很清楚的。你必须在确保系统安全的情况下，才能安装上述任何工具。如果恶意软件已经占据了整个系统，这些应用会很高兴地将它们加入白名单，并容许其继续运行。

最后的思考

应用白名单技术可能并不是最终的解决方案，但它可以帮助我们在针对恶意软件的战斗中获得主动。这就是它为反恶意软件工具带来的优势。

考虑到其复杂性，应用白名单技术肯定需要引起重视。仅仅有几台未托管计算机的家庭用户不需要考虑白名单的所有影响。这仅仅是一些需要做的工作而已。

在这里，我要感谢来自Faronics公司的凯利·巴特克、来自专家保护公司的保罗·佩吉特以及来自库勒萨·福尔(代表CoreTrace)的克里斯蒂娜·莫尔菲诺提供的帮助，让我对应用白名单技术有了深入的了解。