RSS订阅信息安全技术跟踪与研究:技术、平台、会议、论文、产业
你现在的位置:首页 / 技术积累 / 正文

应用白名单机制:有效的安全解决方案?

0 技术积累 | 2014年12月27日
转载申明:本站原创,欢迎转载。但转载时请保留原文地址。
原文地址:http://www.vonwei.com/post/whitelisting.html

我们的各种计算设备,每天都会面对不同的攻击。小到个人、企业,大到国家安全,都是不容忽视的问题。随着互联网的发展,攻击的方式和种类也在不断变化,传统小打小闹的恶意软件,现在变成了有组织有规模有目的的去攻击,在这种情况下,仅仅依靠传统的防病毒软件(AntiVirus)和防火墙(Firewall)是远远不够的。现在很多安全公司和组织都在寻找新的安全技术和方案。其中之一是应用白名单方案,思想非常简单,即“非白即黑”,所有不是我认可的都不让在我系统中运行。这种方法在防止未知恶意软件和攻击时(特别是零日攻击)很有效,被认为是一种主动的防御方法;不过,其管理控制太严,而且白名单本身也会遭到攻击,这种方法是否昙花一现,或者真能发挥很大的作用。只能见仁见智了。

本文主要推荐一篇调研文章“Application Whitelisting: Panacea or Propaganda?"(应用白名单:是灵丹妙药还是止于宣传呢?)。

这篇文章从应用白名单的各个角度进行全面的调研和总结,给出了目前市场上主流的商业解决方案和产品,包含Bit9安全平台、微软的AppLocker;以及给出了白名单能防止的各种攻击场景,还对白名单本身的安全性进行了分析,列举了很多针对白名单本身的攻击方式。

最后还对目前比较流行的APT(Advanced Persistent Threat,高级可持续性威胁)攻击进行了简单的说明,作者的想法也比较客观,针对APT这类攻击,不可能有完美的解决方案,任何安全产品都一样,你不可能靠一个技术特长击败所有攻击,白名单也一样,并不是万能的。就像药品一样,没有一种药能治所有病,所以需要对症下药,而且需要很有经验的医生,所有医生在一起形成一个医院,能治大部分病。现在安全软件估计也是这样一种趋势,在云计算和数据分析技术不断发展和完善的今天,大部分安全技术会集成到一个平台或者软件中,像一个医院一样,对不同的攻击、不同的恶意软件、不同的环境,自动智能的采取各种针对性的检测和防御机制。之前调研的“Bit9+Carbon Black”就正走在这条大路上,白名单也只是他们很多方案中的一种。

下面列举一下主流的白名单产品:

1. Bit9 Parity

    Bit9最开始是一个纯粹的应用白名单厂商,2003年获得NIST(美国国家标准技术研究所)两百万美金的支持。其最有名的是“Global Software Registry (GSR)”(全球软件注册表),收集了全球几乎所有软件的文件哈希值、以及文件其它的云数据(产品、发布者、信任级别等),目前大概有60亿条记录,而且每天以2000万的速度在增长。哈希值,我们都知道可以作为文件的唯一标识,用作白名单再好不过。GSR这么庞大的白名单软件记录,用来标识和认证软件会有很好的效果。Bit9 Party就是基于该GSR软件库的一个白名单产品,可以在各种计算设备上维护软件的可信性。目前,Bit9不只包含白名单,收购Carbon Black后,其安全平台和解决方案更强大更加全面,可以参考www.bit9.com

2. Coretrace Bouncer

    Coretrace及其Bouncer产品也是一种纯粹的应用白名单机制。Coretrace最有名的是其创新的内存保护机制(surrounding memory protection within a whitelisting solution),而且还可以针对缓冲区溢出攻击提供保护。其网址为www.coretrace.com

3. Faronics Anti-Executable

    Faronics Anti-Executable是新进入白名单领域的厂商之一。Anti-Exe是增加到Faronocs Core agent里面的一个功能模块。Faronics最有名的可能是其Deep Freeze产品,另一个可以放在Core agent里面的模块。Deep Freeze可以在每次重启后,将计算机平台恢复到一个已知的良好状态。Faronics也提供反病毒、电源管理和配置管理等解决方案,详细参考www.faronics.com

4. Lumension Application Control

    Lumension Application Control是该公司终端管理和安全套件的一部分。Lumension安全套件可以为客户提供终端安全和管理的各种需求,包含反病毒、应用控制(即白名单)、设备控制、脆弱性、补丁和配置管理等,请参考www.lumension.com

5. McAfee Application Control

    McAfee相信大家比较熟悉,其在2009年通过收购白名单厂商SolidCore而进入应用白名单这个市场。McAfee Application Control为McAfee的杀毒软件客户以及使用其EPO管理解决方案的客户提供一个强大的候选方案。McAfee的安全产品相关信息可以查阅www.mcafee.com

6. Microsoft AppLocker

    微软比较强大,为了推广其操作系统,可以免费做很多工具,AppLocker就是Windows 7的一部分,而且是免费的。这一点导致了很多其它安全厂商必须努力工作,使得他们的白名单赶超微软的。AppLocker主要代替Windows XP和Vista系统中的SRP (Software Restriction Policies),不过由于AppLocker只能限于Windows 7及其以上系统,而且也缺少其它安全管理方面的特征,构成了其瓶颈。不过喜欢Windows的用户大可以用这个产品,AppLocker相关的信息可以参考http://technet.microsoft.com/en-us/library/dd560656(WS.10).aspx

7. Savant Protection

    Savant Protection业务也比较单一,也是一个纯粹的应用白名单厂商。其与其它白名单机制的不同点是,其为每个客户端系统创建一个唯一的白名单,而不是使用一个中心的数据库。根据它们的说法,这可以减少查询中心服务器数据库的开销,改进系统性能,而且可以防止对中心点的攻击。详细参考http://www.savantprotection.com/

先介绍到这里,应用白名单主要基于密码哈希技术,在具体进行实施时,必须在系统底层(至少内核级别)按照白名单进行管理。不同产品基本思想都一致,不过在管理方式和策略上肯定会各有不同。



  • ------------------分隔线----------------

  • 如果感兴趣,欢迎关注本站微信号,跟踪最新博文信息,手机微信扫一扫下面的二维码,即可关注!
  • 微月信公众号
  • 推荐您阅读更多有关于“ 安全软件  白名单   ”的文章

    请填写你的在线分享代码
    上一篇:应对泄密事件:保护好自己的账号和密码下一篇:TCG TPM 2.0规范研读之:可信平台特征-认证

    猜你喜欢

    评论列表:

    发表评论

    必填

    选填

    选填

    必填,不填不让过哦,嘻嘻。

    记住我,下次回复时不用重新输入个人信息

    本站介绍
    最近发表
    本年最热文章
    本月最热文章
    网站分类
    文章归档