混合“白+黑”名单方法是如何帮助企业加强安全的？
2016-12-01 15:43:00   来源：来源：TechTarget中国   评论：0 点击：

推广 | 令人窒息的奖品等你―2016最权威的全球开发者调研

大规模数据泄露事故正在以创纪录水平持续发生;检测最新恶意软件的国际独立服务提供商AV-TEST研究所每天都会注册超过39万新恶意代码变种;网络空间已经变成狂野西部，数据库正以前所未有的频率被盗以及在黑市出售。然而，我们无法每天将这么多数量的已知威胁列入黑名单，我们也无法将每个已知良好的应用列入白名单。托管安全服务提供商都难以成功抵御攻击者，因为大多数工具和技术都专注于已知威胁，而这已经不可能跟上威胁发展的步伐。目前严峻的现实是，我们正在失去这场战争。我们需要新的英雄，混合白名单-黑名单方法可能是答案。

现在很多安全产品是基于黑名单功能。黑名单允许电子邮件、IP地址、网址和域名，但只阻止黑名单上列出的项目。黑名单就像是阻止清单，如果你知道某些事物是威胁，则可添加到黑名单，则不会执行。

问题在于，你如何阻止你不知道是威胁的东西?通常，恶意软件需要感染某些东西才会被识别、分析以及添加到黑名单。我们也无法通过签名来解决这个问题。基于签名的设备和软件会对比文件，查找已知恶意签名。系统的安全性取决于签名数据库，然而，我们无法足够快地创建签名以跟上每天生成新恶意软件样本的速度。

即使我们将启发式和行为检测添加到黑名单功能，我们仍然无法赢得这场战争。知识产权、个人数据、医疗保健记录、财务数据和选民记录都容易受到攻击，黑名单不足以保护企业及其员工。

为了填补这个空白，我们通常会使用白名单技术。白名单只允许白名单中的网络或应用数据，白名单就像是允许列表。只有白名单中列出的项目才被允许执行或运行。早期应用白名单并没有得到好评;早期部署者发现白名单难以部署和维护。此外，很多企业没有部署和管理白名单解决方案所需要的专业技能。然而，现在的产品和服务包含沙箱技术，可帮助在受控制的环境中探索恶意软件。

企业不应该仅仅依靠黑名单或白名单，而应该同时部署这两者。理想的解决方案是混合白名单-黑名单方法，结合这两者的优势。使用数据白名单可帮助寻找已知良好的应用，而黑名单可帮助寻找已知恶意应用及代码。随着我们看到更多混合白名单-黑名单解决方案逐渐成熟且有效，我们将会看到大家对白名单及MSSP(托管安全服务提供商)看法的改变。

白名单是未来更强大网络安全方法的关键组成部分，这将帮助企业抵御看似不可应对的威胁。在我们可确保环境中数据安全性以及仅允许已知好的应用执行，我们才可能赢得这场战争。混合白名单-黑名单方法是很好的解决方案，如果说，我们需要一个英雄，那就是现在。

【编辑推荐】