大規(guī)模數(shù)據(jù)泄露事故正在以創(chuàng)紀(jì)錄水平持續(xù)發(fā)生;檢測(cè)最新惡意軟件的國(guó)際獨(dú)立服務(wù)提供商AV-TEST研究所每天都會(huì)注冊(cè)超過(guò)39萬(wàn)新惡意代碼變種;網(wǎng)絡(luò)空間已經(jīng)變成狂野西部,數(shù)據(jù)庫(kù)正以前所未有的頻率被盜以及在黑市出售。然而,我們無(wú)法每天將這么多數(shù)量的已知威脅列入黑名單,我們也無(wú)法將每個(gè)已知良好的應(yīng)用列入白名單。托管安全服務(wù)提供商都難以成功抵御攻擊者,因?yàn)榇蠖鄶?shù)工具和技術(shù)都專(zhuān)注于已知威脅,而這已經(jīng)不可能跟上威脅發(fā)展的步伐。目前嚴(yán)峻的現(xiàn)實(shí)是,我們正在失去這場(chǎng)戰(zhàn)爭(zhēng)。我們需要新的英雄,混合白名單-黑名單方法可能是答案。
現(xiàn)在很多安全產(chǎn)品是基于黑名單功能。黑名單允許電子郵件、IP地址、網(wǎng)址和域名,但只阻止黑名單上列出的項(xiàng)目。黑名單就像是阻止清單,如果你知道某些事物是威脅,則可添加到黑名單,則不會(huì)執(zhí)行。
問(wèn)題在于,你如何阻止你不知道是威脅的東西?通常,惡意軟件需要感染某些東西才會(huì)被識(shí)別、分析以及添加到黑名單。我們也無(wú)法通過(guò)簽名來(lái)解決這個(gè)問(wèn)題?;诤灻脑O(shè)備和軟件會(huì)對(duì)比文件,查找已知惡意簽名。系統(tǒng)的安全性取決于簽名數(shù)據(jù)庫(kù),然而,我們無(wú)法足夠快地創(chuàng)建簽名以跟上每天生成新惡意軟件樣本的速度。
即使我們將啟發(fā)式和行為檢測(cè)添加到黑名單功能,我們?nèi)匀粺o(wú)法贏得這場(chǎng)戰(zhàn)爭(zhēng)。知識(shí)產(chǎn)權(quán)、個(gè)人數(shù)據(jù)、醫(yī)療保健記錄、財(cái)務(wù)數(shù)據(jù)和選民記錄都容易受到攻擊,黑名單不足以保護(hù)企業(yè)及其員工。
為了填補(bǔ)這個(gè)空白,我們通常會(huì)使用白名單技術(shù)。白名單只允許白名單中的網(wǎng)絡(luò)或應(yīng)用數(shù)據(jù),白名單就像是允許列表。只有白名單中列出的項(xiàng)目才被允許執(zhí)行或運(yùn)行。早期應(yīng)用白名單并沒(méi)有得到好評(píng);早期部署者發(fā)現(xiàn)白名單難以部署和維護(hù)。此外,很多企業(yè)沒(méi)有部署和管理白名單解決方案所需要的專(zhuān)業(yè)技能。然而,現(xiàn)在的產(chǎn)品和服務(wù)包含沙箱技術(shù),可幫助在受控制的環(huán)境中探索惡意軟件。
企業(yè)不應(yīng)該僅僅依靠黑名單或白名單,而應(yīng)該同時(shí)部署這兩者。理想的解決方案是混合白名單-黑名單方法,結(jié)合這兩者的優(yōu)勢(shì)。使用數(shù)據(jù)白名單可幫助尋找已知良好的應(yīng)用,而黑名單可幫助尋找已知惡意應(yīng)用及代碼。隨著我們看到更多混合白名單-黑名單解決方案逐漸成熟且有效,我們將會(huì)看到大家對(duì)白名單及MSSP(托管安全服務(wù)提供商)看法的改變。
白名單是未來(lái)更強(qiáng)大網(wǎng)絡(luò)安全方法的關(guān)鍵組成部分,這將幫助企業(yè)抵御看似不可應(yīng)對(duì)的威脅。在我們可確保環(huán)境中數(shù)據(jù)安全性以及僅允許已知好的應(yīng)用執(zhí)行,我們才可能贏得這場(chǎng)戰(zhàn)爭(zhēng)。混合白名單-黑名單方法是很好的解決方案,如果說(shuō),我們需要一個(gè)英雄,那就是現(xiàn)在。