混合“白+黑”名单方法是如何帮助企业加强安全的?

日期:2016-11-24作者:Beth Musumeci

【TechTarget中国原创】

大规模数据泄露事故正在以创纪录水平持续发生;检测最新恶意软件的国际独立服务提供商AV-TEST研究所每天都会注册超过39万新恶意代码变种;网络空间已经变成狂野西部,数据库正以前所未有的频率被盗以及在黑市出售。然而,我们无法每天将这么多数量的已知威胁列入黑名单,我们也无法将每个已知良好的应用列入白名单。托管安全服务提供商都难以成功抵御攻击者,因为大多数工具和技术都专注于已知威胁,而这已经不可能跟上威胁发展的步伐。目前严峻的现实是,我们正在失去这场战争。我们需要新的英雄,混合白名单-黑名单方法可能是答案。

现在很多安全产品是基于黑名单功能。黑名单允许电子邮件、IP地址、网址和域名,但只阻止黑名单上列出的项目。黑名单就像是阻止清单,如果你知道某些事物是威胁,则可添加到黑名单,则不会执行。

问题在于,你如何阻止你不知道是威胁的东西?通常,恶意软件需要感染某些东西才会被识别、分析以及添加到黑名单。我们也无法通过签名来解决这个问题。基于签名的设备和软件会对比文件,查找已知恶意签名。系统的安全性取决于签名数据库,然而,我们无法足够快地创建签名以跟上每天生成新恶意软件样本的速度。

即使我们将启发式和行为检测添加到黑名单功能,我们仍然无法赢得这场战争。知识产权、个人数据、医疗保健记录、财务数据和选民记录都容易受到攻击,黑名单不足以保护企业及其员工。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

企业安全风险管理>更多

  • 企业如何构建用户行为分析功能?

    现在每个企业每天都会生成海量日志数据,涉及用户行为、服务器活动、应用和网络设备等。然而,企业却无法从这些日志数据中获得洞察力……

  • CJIS安全政策:企业如何确保FIPS合规性?

    我们被告知我们公司的WebOMNI系统需要符合FIPS 140-2标准,因为其中包含一些CJIS数据。如何确认哪些FIPS证书可覆盖我们的配置?如今已确定是证书1008(bcrypt.dll)或者1010(RSAENH),如何对其进行判断?

  • 企业该如何平衡隐私性和安全性?

    在企业中,隐私和安全往往会发生相互冲撞的现象,那么企业该如何更好地平衡二者呢?为了顺利协调二者,企业需要更好地理解隐私和安全各自的界定以及连接二者的有效方式……

  • 解决数据安全问题:企业需有针对性地进行防御

    据统计,黑客们利用仅仅是有限的少量应用程序漏洞,但针对这些程序的攻击却占据了绝大多数。如果企业重视监视和防御有限的这些易被攻击的应用程序,攻击者的日子就要难过得多……

相关推荐

技术手册>更多

  • 身份认证技术指南

    一次RSA遭攻击事件,让安全认证成为热点。如何才能实现有效的身份认证和访问管理?本技术手册,将从三个方面为你详细介绍有关认证的知识,帮助你选择合适的认证方案。

  • 统一威胁管理实用手册

    为了应对更加纷繁复杂的攻击,供应商开发出一些集成系统,将所有不同的防御技术集成到一个产品中,统一威胁管理(UTM)系统应运而生。统一威胁管理系统囊括多种功能,且价格相对较低,以其高性价比而颇受青睐。

  • 黑客攻击技术和策略

    黑客策略和技术一直都在进步。黑客还在继续开发新的攻击工具和黑客方法,来恶意访问系统并攻击你的网络,这样企业在开发和采取恰当的方法防御黑客的攻击就变得非常困难。《黑客攻击技术和策略》的技术指南将介绍黑客的内心想法,并帮助你理解恶意攻击者的动机,也提供了一些黑客攻击具体信息的方式,采用的方法以及企业应该采用的保护敏感数据的方法。这里将会提供大量黑客技术和策路的信息,例如允许黑客获取网络系统或者文件访问的系统特征探测。

  • 开源加密工具TrueCrypt(附软件下载)

    本专题将介绍一款免费的、开源的、可移动的适用于笔记本电脑的加密软件TrueCrypt。TrueCrypt适用于个人或者小型企业和团队,可以在任何系统上运行而不需要安装。TrueCrypt可以采用多种加密算法,有效地保护机密数据。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

大规模数据泄露事故正在以创纪录水平持续发生;检测最新恶意软件的国际独立服务提供商AV-TEST研究所每天都会注册超过39万新恶意代码变种;网络空间已经变成狂野西部,数据库正以前所未有的频率被盗以及在黑市出售。然而,我们无法每天将这么多数量的已知威胁列入黑名单,我们也无法将每个已知良好的应用列入白名单。托管安全服务提供商都难以成功抵御攻击者,因为大多数工具和技术都专注于已知威胁,而这已经不可能跟上威胁发展的步伐。目前严峻的现实是,我们正在失去这场战争。我们需要新的英雄,混合白名单-黑名单方法可能是答案。

现在很多安全产品是基于黑名单功能。黑名单允许电子邮件、IP地址、网址和域名,但只阻止黑名单上列出的项目。黑名单就像是阻止清单,如果你知道某些事物是威胁,则可添加到黑名单,则不会执行。

问题在于,你如何阻止你不知道是威胁的东西?通常,恶意软件需要感染某些东西才会被识别、分析以及添加到黑名单。我们也无法通过签名来解决这个问题。基于签名的设备和软件会对比文件,查找已知恶意签名。系统的安全性取决于签名数据库,然而,我们无法足够快地创建签名以跟上每天生成新恶意软件样本的速度。

即使我们将启发式和行为检测添加到黑名单功能,我们仍然无法赢得这场战争。知识产权、个人数据、医疗保健记录、财务数据和选民记录都容易受到攻击,黑名单不足以保护企业及其员工。

为了填补这个空白,我们通常会使用白名单技术。白名单只允许白名单中的网络或应用数据,白名单就像是允许列表。只有白名单中列出的项目才被允许执行或运行。早期应用白名单并没有得到好评;早期部署者发现白名单难以部署和维护。此外,很多企业没有部署和管理白名单解决方案所需要的专业技能。然而,现在的产品和服务包含沙箱技术,可帮助在受控制的环境中探索恶意软件。

企业不应该仅仅依靠黑名单或白名单,而应该同时部署这两者。理想的解决方案是混合白名单-黑名单方法,结合这两者的优势。使用数据白名单可帮助寻找已知良好的应用,而黑名单可帮助寻找已知恶意应用及代码。随着我们看到更多混合白名单-黑名单解决方案逐渐成熟且有效,我们将会看到大家对白名单及MSSP(托管安全服务提供商)看法的改变。

白名单是未来更强大网络安全方法的关键组成部分,这将帮助企业抵御看似不可应对的威胁。在我们可确保环境中数据安全性以及仅允许已知好的应用执行,我们才可能赢得这场战争。混合白名单-黑名单方法是很好的解决方案,如果说,我们需要一个英雄,那就是现在。