白名單是設置能通過的用戶���,白名單以外的用戶都不能通過���。
黑名單是設置不能通過的用戶���,黑名單以外的用戶都能通過�。
所以一般情況下白名單比黑名單限制的用戶要更多一些���。
工作原理:
通過識別系統中的進程或文件是否具有經批準的屬性���、常見進程名稱�����、文件名稱�、發行商名稱�����、數字簽名�����,白名單技術能夠讓企業批準哪些進程被允許在特定系統運行�����。有些供應商產品只包括可執行文件�,而其他產品還包括腳本和宏�,并可以阻止更廣泛的文件�。其中�,一種越來越受歡迎的白名單方法被稱為“應用控制”�,這種方法專門側重于管理端點應用的行為�����。
眾所周知�,白名單曾經是一個備受指責的技術�。白名單歷來被認為難以部署���、管理耗時�,并且�����,這種技術讓企業很難應付想要部署自己選擇的應用的員工�。然而�����,在最近幾年���,白名單產品已經取得了很大進展���,它更好地與現有端點安全技術整合來消除部署和管理障礙���,為希望快速安裝應用的用戶提供了快速的自動批準���。此外���,現在的大部分產品還提供這種功能���,即將一個系統作為基準模型�,生成自己的內部白名單數據庫�,或者提供模板用來設置可接受基準���,這還可以支持PCI DSS或SOX等標準合規性���。
該技術可以抵御零日惡意軟件和有針對性的攻擊���,因為在默認情況下�,任何未經批準的軟件���、工具和進程都不能在端點上運行�。如果惡意軟件試圖在啟用了白名單的端點安裝�����,白名單技術會確定這不是可信進程�,并否定其運行權限�����。
如果企業不想要使用白名單來阻止進程的安裝�,企業也可以使用它來提供警報�����。例如當用戶不小心或無意安裝了惡意程序或文件���,白名單可以檢測到這種違反政策行為�,并提醒有關團隊未經授權進程正在系統中運行�,讓安全人員立即采取行動�����。
白名單可以提高用戶工作效率���,并保持系統以最佳性能運作�。例如���,幫助臺支持人員可能會收到用戶對系統運行緩慢或不可預知行為的投訴���,在經過調查后�,工作人員會發現間諜軟件已經悄悄進入端點�����,正在吞噬內存和處理器功耗���。這是使用白名單檢測未經授權程序并警告工作人員另一個用例���,而不是在默認情況下完全阻止�。
對于正在運行的應用�、工具和進程方面���,白名單可以提供對系統的全面可視性�。如果相同的未經授權的程序試圖在多個端點運行���,該數據可用于追蹤攻擊者的路徑�����。
白名單可以幫助抵御高級內存注入攻擊���;該技術提供了功能來驗證內存中運行的所有經批準的進程�,并確保這些進程在運行時沒有被修改�,從而抵御高級內存漏洞利用�。
高級攻擊通常涉及操縱合法應用�。當這種高級攻擊涉及內存違規���、可疑進程行為�、配置更改或操作系統篡改時�,白名單產品可以識別并發出警報���。
