应用程序白名单2025年3月17日 | 阅读13分钟 引言应用程序白名单是指在计算机系统中指定允许存在和运行的可执行文件或软件程序的索引。白名单用于保护网络和个人电脑免受潜在危险软件的侵害。  白名单本质上是一个授权实体列表。在信息安全(infosec)领域,当系统始终处于压力之下且在集中管理的坏境中时,白名单最为有效。美国国家标准与技术研究院(NIST)建议在高风险情况下使用应用程序白名单,因为在这些情况下,与系统安全相比,程序无限制使用不那么重要。白名单还可以索引软件库、插件、扩展、配置文件以及其他授权的应用程序组件,以提供更大的灵活性。 什么是白名单?白名单,有时也称为允许列表或允许列表,本质上是一个批准实体的索引;换句话说,它是一个应用程序列表以及这些应用程序允许在主机上加载的部件,严格遵守NIST定义的预定基线。在信息安全领域,系统通常在集中管理的坏境中运行;在这里,有效的白名单可以发挥其魔力。白名单还可以索引已授权的应用程序的不同部分。软件库、配置文件、插件和扩展是这种情况下的几个例子。 根据NIST的《应用程序白名单指南》,用于应用程序白名单的应用程序可以根据各种名称找到,例如应用程序控制程序、应用程序白名单技术或仅称为白名单程序。 应用程序白名单与黑名单的比较使用应用程序黑名单(阻止不需要的程序运行)的应用程序比白名单(仅允许已专门批准的程序执行)的限制性更小。安全专家们在白名单和黑名单哪个是更优策略的问题上存在分歧。黑名单的支持者认为管理应用程序白名单过于复杂。例如,为了编译第一个白名单,需要关于每个用户任务和他们执行这些任务所需的每个程序的所有信息。日益复杂的业务流程和应用程序的互联性使得维护列表更加困难。 白名单的支持者认为,主动保护系统并阻止未经授权或危险程序进入网络的投入时间是值得的。应用程序白名单仅允许明确批准的应用程序运行,与应用程序黑名单相比,它提供了更强的针对恶意软件的安全性,应用程序黑名单的标准更宽松,允许任何软件运行,直到发现其恶意并将其添加到黑名单中。 应用程序白名单的实施应用程序白名单的实施过程会根据所使用的白名单技术而有很大差异。尽管如此,在实践最佳实践时,有一些需要遵循的原则。 在开始实施应用程序白名单软件之前,组织需要创建一份在其内部使用的所有应用程序的详尽清单。请记住,组织的白名单策略必须适用于所有这些应用程序。由于应用程序白名单软件的目的是强制执行端点安全,任何未在公司建立的策略中明确提及的软件都将被禁止运行。因此,编译一份公司使用的所有应用程序的详尽清单至关重要。如果一个应用程序未被识别并添加到白名单策略中,用户将无法访问它。  另一个最佳实践是谨慎定义白名单应用程序。某些文件或文件夹名称可以添加到组织的白名单中。但是,采用这种方法可能会使公司面临威胁和勒索软件攻击的风险。 应用程序白名单软件可能会被使用与真实应用程序相同的文件名或文件夹的恶意代码欺骗,这就是为什么通过其使用的文件或文件夹来识别应用程序存在问题的原因。 通过加密文件哈希或发布者签名来识别应用程序是确保强大端点安全的最佳方法。大多数应用程序白名单解决方案允许您围绕一个或两个标识符构建白名单策略。 应用程序白名单的类型有几种方法可以实现应用程序白名单。美国国家标准与技术研究院(NIST)指出,以下五类主要类别依赖于
文件大小白名单文件大小是一个直接的特征,您可以在公司的系统中使用它进行应用程序白名单。当网络攻击者在任何设备上将恶意代码注入到文件中时,文件的实际大小会发生变化。这将立即发出警报并阻止软件运行,从而在此过程中保护您的公司免受数字损害。 不幸的是,这有很多缺点。它需要根据可变标准来考虑单个文件,这使得跟踪特别困难。此外,文件大小可能会在没有恶意干预的情况下发生变化。例如,如果一名员工修改了一份重要文档并向其中添加了新的文本和媒体,其大小将从(例如)1MB增加到5MB。不适合基于文件大小进行应用程序白名单。 文件路径白名单当您通过文件路径对应用程序进行白名单时,您的系统允许在指定路径上找到的任何应用程序在网络上执行。您可以使用完整文件路径白名单和基于目录的白名单,或者两者结合使用。而完整文件路径白名单仅针对单个文件,基于目录的白名单则授权整个文件夹。 例如,如果您决定对C:/Windows/Program Files这个路径进行白名单,那么该目录下的所有子文件夹都将被允许执行。然而,如果您决定对C:/Windows/Program Files/Microsoft Office/filename.xml进行白名单,那么在整个文件夹中,只有Microsoft Office子文件夹中的那个特定文件将被允许执行。同时使用这两种版本,最好是更侧重于完整文件路径白名单,将提高安全性。 文件名白名单在对应用程序进行白名单时,您也可以按文件名而不是按文件路径批准应用程序。此选项风险较高,但比前一个选项更容易获得和理解。通过重命名受感染的文件,使其看起来像是系统白名单上的名称,恶意行为者可以轻易地进入您的网络。 以之前提供的filename.xml为例。C:\Windows\Program Files\Microsoft Office中可以模仿相同的路径,尽管这需要黑客付出更多的努力。对他们来说,仅仅用重命名为filename.xml的宏可执行文件感染您的基础设施要容易得多。因此,我们建议不要单独使用文件名白名单,并始终考虑额外的MD5哈希白名单层。 哈希白名单MD5哈希为文件分配了一个唯一的字母数字值。因此,遵循此标准的应用程序白名单流程仅允许哈希文件的执行,而与它们的位置或名称无关。虽然这种类型的白名单是最安全的,但它会给您的网络管理员带来新的挑战。 当文件更新时,哈希值会发生变化。因此,当这种情况发生时,必须根据需要更新白名单要求。此外,白名单需要移除所有已知的易受攻击的软件版本的过时哈希。因此,虽然这种类型的应用程序白名单具有安全优势,但维护起来也可能很困难。 数字签名/发布者白名单基于发布者身份的应用程序白名单是基于这样的假设:来自信誉良好的开发者的程序是值得信赖的,因此可以安全地在您的公司网络上使用。在这种情况下,只有在提供新软件或发布者修改其签名密钥时才需要更新白名单。与其他白名单选项相比,流程团队将更容易处理这项任务。 然而,允许程序按发布者指示运行的最大缺点是,这也适用于有漏洞且已过时的软件。 为什么应用程序白名单很重要?应用程序白名单至关重要,因为它使您的IT管理员能够更好地控制哪些应用程序安装在主机上,并可以保护您的公司免受勒索软件和零日威胁的侵害。使用应用程序白名单有几个优势。当配置得当时,系统管理员可以轻松地监督这个过程,该过程提供了对恶意软件感染和其他恶意软件的强大防御。 应用程序白名单有很多优点,但这里我将重点介绍几点 1. 阻止勒索软件、零日漏洞和其他类型的恶意软件为确保您的公司不会执行任何危险代码,您将采取预防措施,以抵御使用各种恶意软件、勒索软件攻击、键盘记录器、APTs、无文件攻击和零日漏洞的网络攻击。典型的防病毒软件使用签名创建,其工作方式类似于黑名单。换句话说,如果一个文件想要在一个计算机上执行,防病毒程序将使用其哈希值与一个已经存在的数据库进行比较,该数据库包含恶意代码的实例。如果找不到它,它就允许执行。因此,应用程序白名单比简单的防病毒程序有效得多,因为任何未预先批准和列入白名单的文件都无法执行。 而且,由于恶意软件的范围不断扩大,不断出现新的变种和形式,没有任何防病毒软件能够跟上,导致其恶意代码数据库出错。看看统计数据:每天发现350,000种新的恶意软件。 2. 支持软件许可证合规性软件许可证合规性和审计要求持续保持一致。此过程将大大降低公司安装未获许可软件的可能性,因为只允许白名单应用程序运行。这意味着在审计时,您不会有任何软件许可证违规。 3. 使管理员能够控制已执行的应用程序在需要保护敏感数据的网络上,它使您能够控制哪个应用程序运行。管理员负责白名单应用程序。为了使系统更安全,他们将选择哪些应用程序被添加到白名单中并允许在端点上运行。任何被允许参与决策过程的最终用户都可能无意中允许任何程序运行,无论是否危险,这都可能导致安全漏洞。 4. 提高系统速度,减少系统中断它减少了系统中断并加快了系统速度。因此,跟踪已批准的应用程序将改善网络之间的资源管理,这将自然地导致改进的网络安全措施。 5. 需要较少的IT支持用户不必总是需要IT支持。用户安装可能与其他已安装程序冲突并导致需要IT支持的系统故障的软件的可能性会降低,因为他们只能安装白名单程序。这意味着公司将在服务台方面花费更少的钱。 6. 提供报告功能应用程序白名单工具可以通过提供关于数据使用情况和主机上新应用程序安装的报告,帮助您随时了解最新版本的程序。 应用程序白名单的好处关注安全的组织可以从应用程序白名单中获得巨大收益。应用程序白名单在效率和法律合规性方面也有优势。 
应用程序白名单的局限性尽管有很多优点,但实施良好的应用程序白名单可能会非常困难。让我们在确定白名单对您的公司是否有益时,考虑一些需要考虑的限制。 1. 较高的维护成本维护一个更新的白名单可能很困难,需要管理员进行持续评估和及时采取行动。为了确保组织的IT系统尽可能安全,需要持续维护。今天被认为安全的工具明天可能容易受到攻击,因为攻击者总是在寻找新的漏洞。 因此,在某些情况下,黑名单可能更有效,因为它们提供了更多样化的选择。然而,效率和安全需求是权衡的。这需要根据许多因素仔细权衡,包括您的风险承受能力、对生产的影响以及任何法律要求。 2. 初始索引的建立困难实施应用程序白名单需要仔细考虑多个因素。如果一个程序不符合安全标准,一个在使用它而没有白名单的公司很可能会停止使用它的一些现有应用程序。替换它们可能需要时间和精力。此外,可能需要对替换工具进行广泛的员工培训。虽然培训花费的时间从长远来看是有益的,但它可能会对正在进行的任务的势头产生即时影响。 生产力和安全性通常是成反比的。虽然安全性提高有助于减少漏洞,但它也为员工带来了许多困难,可能会影响他们的产出。在完成工作时,遵循安全标准通常需要采取额外的、有时是意想不到的措施。 3. 生产力下降生产力和安全性通常是成反比的。虽然安全性提高有助于减少漏洞,但它也为员工带来了许多困难,可能会影响他们的产出。在完成工作时,遵循安全标准通常需要采取额外的、有时是意想不到的措施。这可能会让员工总体上感到更加沮丧。 减少公司内部可用的应用程序数量将不可避免地减少能够满足职位要求的必要技能的候选人的范围。招聘经理的工作可能会因此变得更具挑战性。 应用程序白名单最佳实践在您的企业基础设施中实施应用程序白名单有三个关键组成部分:创建基线、白名单受信任的应用程序以及监控必要的更新。我们将在接下来的子部分中详细介绍每个步骤,以及您应该立即开始使用的一些额外的应用程序白名单最佳实践。 1. 审计您的公司网络评估您的公司网络是成功实现应用程序白名单的第一步。扫描您的系统和任何外部驱动器,假设一切都干净,找出哪些程序和流程对您的业务运作至关重要。这将帮助您确定需要您批准的最少程序数量。通过这样做,您还将移除正在使用网络的任何不必要或可能有害的程序。 例如,在这种情况下,您可以使用补丁和资产管理工具。为什么?因为它可以在几秒钟内为您提供公司所有已安装软件的全面资产库存报告。 2. 白名单受信任的应用程序在确定了哪些应用程序您可以信任之后,是时候对这些应用程序进行白名单了。这实际上意味着您控制哪些应用程序可以在您的公司网络上运行,并可以阻止任何其他应用程序。您应该尽快采取此行动,以进一步降低风险。这也是决定您希望实施哪种类型的应用程序白名单的时候。 您可以选择以下选项:发布者、加密哈希、文件大小、文件名和文件位置。为了涵盖所有方面,请实施多种标准的良好平衡组合。您可以借助我们的Heimdal Security Application Control软件来获得这方面的帮助以及更多。 通过发布者、证书、MD5哈希、软件名称、文件路径或发布者来管理系统访问,以完全控制您的访问治理计划。应用程序控制是一个复杂的网络安全解决方案,它超越了白名单。 3. 持续更新白名单在创建了白名单并拥有使其更强的工具后,请记住更新您的白名单。正如我在本文中所述,应用程序早期版本中发现的漏洞通常会导致新版本的发布。在自动软件修补之后,在这种情况下,最好的网络安全实践是更新系统白名单。 4. 白名单本地和云应用程序对于每个企业来说,云端和本地应用程序都至关重要。为了提高组织安全性,管理员应该识别属于每个类别的关键业务应用程序并对其进行白名单。 5. 检查发布者将应用程序添加到您的系统之前,每次都确认软件的发布者是白名单应用程序的推荐过程。这样做,您可以确保您的计算机没有病毒。 6. 白名单特定的管理员工具一些管理员工具也应该被白名单。用户可以通过白名单这些特定的管理员工具来使用它们,而不会触发限制。通过选择性访问协议,可以帮助限制谁可以访问某些工具。 7. 将应用程序白名单与现有的其他网络安全措施结合使用应用程序白名单并非您应该使用的唯一策略,以确保您的组织的安全性。它只是对现有的网络安全技术(如防病毒软件、电子邮件加密、补丁管理、DNS过滤等)的补充。 例如,应用程序白名单可以与自动补丁管理工具结合使用。这允许在部署到您的公司之前批准补丁,因为白名单技术通常会阻止新版本软件的执行。通过允许管理员在部署和添加到白名单之前批准补丁,补丁管理解决方案将实现这一点。 下一主题控制线 (LOC) |
我们请求您订阅我们的新闻通讯以获取最新更新。
我们提供所有技术(如 Java 教程、Android、Java 框架)的教程和面试问题
G-13, 2nd Floor, Sec-3, Noida, UP, 201301, India
Python
Java
JavaScript
SQL
C
C++
HTML
CSS
React
Node.js
Spring Boot
C#
PHP
MySQL
MongoDB
AI
ML
DSA
DBMS
OS
Aptitude
Reasoning