要列入白名单还是黑名单:这是个麻烦的问题。
应用程序控制主要有两种方法:应用程序白名单和应用程序黑名单。由于缺乏标准的定义准则,IT管理员不得不在两者之间进行选择时常常感到烦恼。下面,我们将探讨两者的优缺点,以便您可以评估出最适合您的组织的方法。
在开始之前,让我们看一个类比,以了解白名单和黑名单的原理以及灰名单的引入。一些组织可能会在入口处设置一名保安,以确保只允许持有有效证件的员工进入。这是白名单的基本概念;所有请求访问的实体都将根据一个已批准的列表进行验证,只有当它们出现在该列表中时才允许访问。
相反,因渎职被解雇的雇员通常被列入禁入名单,被拒绝进入。黑名单的原理相似:通常将所有可能存在危险的实体放入一个集合列表中,并阻止该列表人员进入。
试图进入的非雇员(例如面试候选人)将进入灰名单,因为他们不属于白名单或黑名单。安全卫士根据其真实性同意或拒绝其进入的请求。在网络中,管理员通常担当安全卫士的角色,对访问请求具有完全控制权。
黑名单是计算机安全性中最古老的算法之一,大多数杀毒软件都将其用于阻止有害实体。将应用程序列入黑名单的过程涉及创建一个列表,其中包含所有可能对网络构成威胁的应用程序或可执行文件的列表,这些应用程序或可执行文件可能以恶意软件攻击的形式出现,也可能只是阻碍网络的工作效率。黑名单可以视为将威胁集中监管的方法。
当然,黑名单的明显好处是它很简单。管理员可以轻松地仅阻止已知的恶意软件并允许其他程序运行。这样,用户将可以访问所需的所有应用程序,从而减少了管理员工单量或必要应用被阻止的数量。对于渴望采用更为轻松的方法进行应用程序控制的企业,应用黑名单是一种不错的方法。
但是,单纯地阻止所有不信任的内容,即使简单有效,也不一定是最好的方法。每天大约有23万个恶意软件样本产生,这使得管理员无法确保恶意应用程序列表的全面性和最新性。由于30%的恶意软件都是针对零日漏洞,因此在将受影响的应用列入黑名单之前,就很可能会发生安全泄露。
糟糕的是,对于零日攻击,无论采用何种安全系统,企业都很容易受到攻击。最近专门从企业窃取机密数据的针对性攻击的增加,也是管理员需要担心的事情。使用黑名单来预测和阻止这类攻击是无效的。
顾名思义,白名单与黑名单相反,在白名单中,创建了一系列受信任实体(例如应用程序和网站),并且仅允许列表中的应用在网络中运行。白名单采用了更多以信任为中心的方法,被认为是更加安全的一种方法。这种应用程序控制方法既可以基于诸如文件名、产品和供应商之类的策略,也可以应用于可执行级别,其中验证可执行文件的数字证书或加密哈希。
尽管黑名单在过去很流行,但是最近呈指数增长的恶意软件数量已经表明它不够有效。白名单仅允许运行有限数量的应用程序,从而有效地减少了攻击面。此外,建立白名单要容易得多,因为与不信任的应用程序相比,受信任的应用程序数量肯定会更少。这对遵守严格的标准合规实践的企业来说是更有利的。
尽管白名单是有优势的,但它也有其缺点。建立白名单似乎很容易,但是一个疏忽的举动可能会导致管理员的帮助台查询工作堆积如山。无法访问基本应用程序将使各种关键任务陷入瘫痪。此外,确定应允许执行哪些应用程序本身就是一个繁琐的过程。
这将导致管理员倾向于创建过于宽泛的白名单规则。错误的信任可能会使整个企业陷入危险之中。另一个缺点是,虽然黑名单可以使用杀毒软件在一定程度上实现自动化,但是白名单如果没有人工干预,将无法无缝工作。
说实话,广受争议的主题“白名单与黑名单”没有真正的答案。实际上,随着技术的进步和应用程序控制工具的发展,没有必要只选择一种。我们全面的应用程序控制工具带有内置选项,可同时启用应用程序白名单和黑名单。企业可以同时使用这些功能来满足其独特的需求,兼具两者的优势。
立即免费试用30天ManageEngine Application Control Plus,应用程序控制解决方案叭!
