@scream
3年前 提问
1个回答

什么是基于 “白名单” 的主机防护技术

007bug
3年前

“白名单”机制相对“黑名单”而言比较适用于工业控制现场。工业控制现场相对处于比较封闭隔离的状态,无法进行联网更新病毒库,系统一旦建设完成后,很长一段时间不会再进行升级或改造,“白名单”形成后也相对稳定,有利于工业现场的保护。

白名单的概念与“黑名单”相对应。黑名单启用后,被列入到黑名单的用户、IP地址、病毒等不能通过。如果设立了白名单,则在白名单中的用户会优先通过,实现工控主机运行安全性和可用性的平衡。

和黑名单技术相比,白名单技术有着巨大的技术优势:

  • 占用资源少:众所周知,杀毒软件需要经常更新病毒库,而且杀毒软件运行时需要占用大量的系统资源,对于配置比较差的主机,安装最新的杀毒软件会显得力不从心,但是白名单技术只是在程序启动时通过hash值检查程序是否是经过认可的程序,检查耗费资源少,哪怕配置极差的内存也能支持。

  • 能够抵御“零日”漏洞攻击和其他有针对性的攻击:因为在默认情况下,任何未经批准的软件、工具和进程都不能在端点安装,白名单技术会确定这不是可信进程并拒绝其运行。

  • 提供警报:如果多个用户不小心或无意安装了恶意程序或文件,白名单在后台可以检测到这种非法行为并根据统计结果给出警示,让安全人员立即采取行动,阻止恶意程序的传播。

  • 有利于系统以最佳性能运行,提供工作效率:例如,支持人员可能会收到用户对系统运行缓慢的投诉,经过调查后,发现间谍软件已经悄悄进入端点,正在吞噬内存和处理器功耗,支持人员就可以立即采取行动。

  • 对正在运行的应用、工具和进程来说,白名单技术可以提供对系统的全面可视性:如果相同的、未经授权的程序试图在多个端点运行,该数据可用于追踪攻击者的路径。

  • 能够帮助抵御高级内存注入攻击:该技术可以验证内存中运行的所有非经批准的进程并确保这些进程在运行时没有被修改,从而抵御高级内存漏洞利用。高级攻击通常涉及操作合法应用,当这种高级攻击涉及内存违规、可以进程行为、配置更改或操作系统篡改时,白名单技术可以识别并发出警报。