白名單可以抵禦惡意軟件和有針對性的攻擊,因為默認情況下,任何未經批準的軟件、工具和進程都不能在終端上運行。如果惡意軟件試圖安裝在啟用白名單的端點上,白名單技術將確定它不是受信任的進程,並拒絕其運行權限。
白名單和黑名單的區別:
白名單就是設置可以通過的用戶,白名單之外的用戶不能通過。
黑名單是指不能通過設置的用戶,黑名單之外的用戶都可以通過。
所以壹般來說,白名單限制的用戶比黑名單多。
白名單是如何工作的
通過識別系統中的進程或文件是否具有批準的屬性、公共進程名稱、文件名、發布者名稱和數字簽名,白名單技術可以使企業批準哪些進程被允許在特定系統中運行。壹些供應商產品只包括可執行文件,而其他產品包括腳本和宏,可以阻止更大範圍的文件。其中,壹種越來越流行的白名單方法被稱為“應用控制”,它專註於管理端點應用的行為。
眾所周知,白名單曾經是壹項飽受詬病的技術。白名單壹直被認為是難以部署和耗時管理的,這種技術使得企業難以處理想要部署他們選擇的應用程序的員工。但近年來,白名單產品有了很大的進步,它與現有的終端安全技術更好地結合,消除了部署和管理的障礙,並為希望快速安裝應用的用戶提供了自動批準。另外,現在大部分產品都提供了這個功能,即使用壹個系統作為基準模型來生成自己的內部白名單數據庫,或者提供模板來設置可接受的基準,也可以支持PCI DSS或SOX等標準的符合性。?
白名單的優勢
這種技術可以抵禦零日惡意軟件和有針對性的攻擊,因為默認情況下,任何未經批準的軟件、工具和流程都無法在終端上運行。如果惡意軟件試圖安裝在啟用白名單的端點上,白名單技術將確定它不是受信任的進程,並拒絕其運行權限。
如果企業不想使用白名單來阻止進程的安裝,他們也可以使用白名單來提供警報。例如,當用戶意外或無意安裝惡意程序或文件時,白名單可以檢測到這種違反策略的行為,並提醒相關團隊系統中正在運行未經授權的進程,以便安全人員可以立即采取措施。
白名單可以提高用戶的工作效率,保持系統以最佳性能運行。例如,幫助臺支持人員可能會收到用戶對系統運行緩慢或行為不可預測的投訴。經過調查,工作人員會發現間諜軟件已經悄悄進入端點,正在吞噬內存和處理器功耗。這是使用白名單來檢測未授權程序並警告工作人員,而不是在默認情況下完全阻止它們的另壹個用例。