FineArt News

白名單的原理 : 讓誰進家門?

應用程式白名單是防止未知軟體在電腦上執行的有效方法。NIST 為應用程式白名單提供了良好的遵循建議: "應用程式白名單是根據定義明確的基準上,授權在主機上允許執行應用程式及其元件和(程式庫等等)清單"。應用程式白名單機制在現實運作中是直接有效的理由是,對比於黑名單,你必須事先知道一切可能的壞人特徵點;顯然時效性與有效性都大打折扣。此外,黑名單方式無法有效面對未知威脅。

應用程式白名單技術恰好相反,僅允許預先核准的程序、可執行程式、程式庫和服務在系統上執行,同時阻止執行其他所有程式執行。當應用程式嘗試執行時,它會根據清單自動檢查,如果符合規則,就允許執行。 應用程式白名單技術正好遵循預設拒絕及最少授權的安全規範,這種模式比純粹防病毒技術或 IDS 應用的黑名單方法要嚴格得多、限制性更強,被SANS,NIST認為是最佳安全建議之一。例如他們將關鍵基礎建設安全控制設施(現在由 CIS 維護)納入應用程式白名單機制,作為最基本的安全措施 。

 

白名單的好處

降低被攻擊面

基於除了白名單中的程式之外,防止未經授權任何程式執行,這樣大大降低了惡意程式或使用者的攻擊面。在網際網路上有一大堆不知名程式,有人可能需要或不小心下載,其中一些可能有意料之外的副作用或者就是惡意程式;在白名單機制之下,預設是被禁止執行的。

 

降低保護時間差

安全的維護不再過於依賴無時無刻永、無止境的安全性更新維護。不論作業性統、防毒軟體、文書軟體,一直需要持續更新修補漏洞,才免於被惡意程式利用。當然更新修補很重要,然而,從漏洞被發現到修補機制完成,存在一定的時間差。

 

預防未經授權存取

如果不在白名單上的應用程序嘗試執行,則會被阻止。這點可以防止惡意程式存取檔案資源、網路資源,以及安裝沒有授權的軟體。例如,軟體本身不安全、浪費計算資源(P2P)、或者有授權疑慮等。

 

阻止未知的惡意程式

與傳統的防病毒軟體相反,並不依賴於已知的簽章特徵或其他啟發式檢測方法。這就是為什麼"未知"惡意檔可以被阻止。

 

消減基本攻擊和下載執行的攻擊方式

應用程式白名單減輕了一大堆的基本攻擊,SANS,Gartner等研究都確認大多數攻擊(80-90%),可以透過簡單的應用程式白名單機制阻止。

 

攻擊者被迫使用更刁鑽方式或更換目標

攻擊者必須尋找其他工具和方法,使其程式看起來正常,以通過該白名單機制的防守。這將加深攻擊的難度,駭客被迫投入時間和精力成本在準備攻擊程序方法,這可能導致他們尋找更弱的目標受害者。

 

收集用來事故應變的證據資訊

應用程式白名單追蹤哪些可執行檔被阻止,哪些應用程式正在組織內系統上被執行,也可以監測任意不必要的命令及工具的執行情況, 而且偵測未經授權的更改。 攻擊活動所產生的活動軌跡記錄就會出現。 由於初始攻擊準備活動被阻止或被記錄,更容易被發現可能的攻擊活動。

 

因此應用程式白名單提高了程式執行的可見性和對應訊號跡象,從而為事故應變應團隊提供了有價值的資訊。

 

白名單的缺點與限制

白名單機制最大挑戰莫過於,適當而及時的維護。面對多變現實的環境,每天都有作業系統的修補更新,應用程式更新,驅動程式更新。在一般的使用者環境,更容易造成業務運作不便。

  1. 信任程式的認可管理

    這是在管理應用程式白名單解決方案時面臨的主要挑戰。處理這一挑戰的兩種選擇。第一種選擇是賦予管理者或使用者責任,自行負責識別和驗證白名單的應用程式。另一種選擇是依靠已驗證的由第三方威脅情報服務,提供信任應用程式的資料庫。

  2. 白名單內容更新管理

    將應用白名單與修補程式收集管理是另一個重要的挑戰。在白名單中的當應用程式,其識別屬性參數(Hash或Signature)被保留以供規則比對。當已安裝更新或修補程式之後,應用程式的標識屬性參數將被變更,從而與白名單的內容不一致而被拒絕執行。此問題可能需要透過信任機制來解決,信任的更新程式,如windows updater,或信任的使用者,所更新的修補或程式,有條件的自動加入白名單中 。

  3. 偽造供應商憑證

    當前的技術可以驗證和檢查應用程式數位簽章名的有效性,但在對應用程式白名單解決方案的挑戰是偽造供應商的簽章憑證。有許多使用被盜憑證證書的惡意軟體案例 ,如果安全策略允許憑證軟體,則惡意軟體將會被誤認為是來自特定的供應商的應用程式。

  4. DLL 白名單影響效能

    當應用程式白名單延伸到包括DLL(動態連結庫) 白名單,載入應用程式時對效能有相當大的影響。 雖然DLL白名單提供了更好的安全附加優勢,但考慮到性能衰退問題成了一個艱難的取捨。

 

結論

應用白名單正在逐漸演變為解決零日威脅的有效的方案, 此方法僅允許列入白名單的執行應用程式,而所有其他應用程式被阻止;就不用擔心修補空窗,甚至是未被揭露的漏洞被利用。基於這些特點,可能在關鍵基礎設施控制設備,角色固定的伺服器,獨立運作的設備上,比一般終端使用者更適合。