在应用控制中,使用黑名单与白名单是主要的控制方法。在明确使用的控制方法之前,IT管理员通常需要在二者之间做出取舍。我们需要了解这两种方法的优缺点,以决定哪种方法最适合您的组织。
我们可以通过一个类比来了解黑白名单如何工作,以及未经托管的应用程序是如何加入其中的。例如,一些公司或组织可能会在入口处安排保安,以确保只有持有效身份证的员工才能进入。这就是白名单的基本概念:所有请求访问的实体都将根据已经批准的列表进行验证,而且只有当它们出现在该列表中才允许访问。
相反,某些玩忽职守而被解雇的员工则可能被列入黑名单,并被拒绝进入。黑名单的工作原理类似,即所有可能造成危险的实体将放进一个集中列表中并被阻止。
而对于视图进入的非员工人员,例如面试候选人,将进入未管理的程序,因为他们不在黑名单与白名单中。保安将根据身份真实性来允许或者拒绝他们的进入请求。在网络环境中,IT管理员通常扮演保安的角色,来完全控制进入网络的所有内容。
黑名单是计算机安全中最早的算法之一,很多杀毒软件都用它来阻止不需要的实体。阻止应用程序的过程包括创建一个列表,其中有可能对网络造成威胁的所有应用程序或可执行文件,无论是恶意软件的攻击还是仅仅影响到生产力的行为。黑名单是一种以威胁为管理中心的方法。
黑名单最明显的优点就是简单,管理员很容易阻止已知的恶意软件,并允许其他软件。这样,用户就可以访问需要的所有程序,从而减少管理的压力与重要程序被阻止的情况。对于倾向于宽松管理的企业来说,黑名单是很好的方法。
然而,仅仅阻止所有未信任的程序,即使简单有效也未必是最好的方法。每天大约有23万个恶意软件样本产生,这使得IT管理员不可能保持恶意程序列表的全面与更新。而考虑到约30%的恶意软件倾向于针对零日漏洞,在受影响的应用程序被列入黑名单之前,就可能会有安全漏洞。
不幸的是,在存在零日漏洞攻击的情况下,无论企业的安全系统如何,都容易被攻击。同时,以窃取企业机密数据为目的的针对性攻击激增,也使IT管理员面临很大压力。而使用黑名单来预测并防止这些类型的攻击收效甚微。
顾名思义,白名单与黑名单相反,创建了一个受信任的实体列表,并允许相关的应用程序与网站在网络中运行。白名单更多地采用以信任为中心的方法,并认为更安全。这种应用控制既可以基于文件名、产品名或厂商指定,也可以应用于可执行文件,验证可执行文件的证书或哈希值。
虽然黑名单简单有效,但恶意软件的指数级增长显示出它的局限性。而白名单只允许有限数量的应用程序运行,有效减少了攻击面。此外,建立允许列表会容易很大,因为与未知的不受信任的程序数量相比,已知的信任程序数量肯定更少。
但建立白名单保证安全的同时也带来了一些缺点,创建白名单似乎更容易,但一不小心就会加大IT管理员的工作压力。任何可能的重要的程序不在白名单被阻止都可能将各种关键任务暂停。此外,确定应该允许哪些应用程序运行本身也是一个复杂的过程。
因此,在某些情况下,管理员就倾向于创建过于宽泛的白名单。这种错误的信任规则就可能会让整个企业环境处于危险之中。另一个缺点是,黑名单可以通过使用杀毒软件在一定程度上完成自动化管理,但白名单无法在没有人为干预的情况下无缝运行。
总而言之,黑白名单孰优孰劣并没有标准答案,实际上,随着技术进步与应用控制工具的发展,没有必要只选择一种方式来管理。Endpoint Central提供的应用控制工具带有内置选项,可以综合使用应用程序的黑名单与白名单。企业可以同时使用不同特性来满足他们环境的需求,同时利用二者的优势。