白名单是什么意思?
白名单可以抵御恶意软件和有针对性的攻击,因为默认情况下,任何未经批准的软件、工具和进程都不能在终端上运行。如果恶意软件试图安装在启用白名单的端点上,白名单技术将确定它不是受信任的进程,并拒绝其运行权限。
白名单和黑名单的区别:
白名单就是设置可以通过的用户,白名单之外的用户不能通过。
黑名单是指不能通过设置的用户,黑名单之外的用户都可以通过。
所以一般来说,白名单限制的用户比黑名单多。
白名单是如何工作的
通过识别系统中的进程或文件是否具有批准的属性、公共进程名称、文件名、发布者名称和数字签名,白名单技术可以使企业批准哪些进程被允许在特定系统中运行。一些供应商产品只包括可执行文件,而其他产品包括脚本和宏,可以阻止更大范围的文件。其中,一种越来越流行的白名单方法被称为“应用控制”,它专注于管理端点应用的行为。
众所周知,白名单曾经是一项饱受诟病的技术。白名单一直被认为是难以部署和耗时管理的,这种技术使得企业难以处理想要部署他们选择的应用程序的员工。但近年来,白名单产品有了很大的进步,它与现有的终端安全技术更好地结合,消除了部署和管理的障碍,并为希望快速安装应用的用户提供了自动批准。另外,现在大部分产品都提供了这个功能,即使用一个系统作为基准模型来生成自己的内部白名单数据库,或者提供模板来设置可接受的基准,也可以支持PCI DSS或SOX等标准的符合性。?
白名单的优势
这种技术可以抵御零日恶意软件和有针对性的攻击,因为默认情况下,任何未经批准的软件、工具和流程都无法在终端上运行。如果恶意软件试图安装在启用白名单的端点上,白名单技术将确定它不是受信任的进程,并拒绝其运行权限。
如果企业不想使用白名单来阻止进程的安装,他们也可以使用白名单来提供警报。例如,当用户意外或无意安装恶意程序或文件时,白名单可以检测到这种违反策略的行为,并提醒相关团队系统中正在运行未经授权的进程,以便安全人员可以立即采取措施。
白名单可以提高用户的工作效率,保持系统以最佳性能运行。例如,帮助台支持人员可能会收到用户对系统运行缓慢或行为不可预测的投诉。经过调查,工作人员会发现间谍软件已经悄悄进入端点,正在吞噬内存和处理器功耗。这是使用白名单来检测未授权程序并警告工作人员,而不是在默认情况下完全阻止它们的另一个用例。