企业IT安全防护手法多样,我们常见的防护办法包括黑名单技术、白名单技术和行为检测技术,然而在安全领域对于这三种技术的有效性一直存在争论。在最近的一次采访中,安全专家就黑名单技术、白名单技术和行为检测技术在未来安全领域的应用进行了诠释。
在本文中,我们将逐一讨论这些安全方法的运行方式以及优缺点,并将简要探讨了沙箱技术(sandboxing)和虚拟化等安全机制。
保障安全的方法
当您需要保证重要的数据不外泄时,身为IT管理者的您可以采取措施来决定哪些人能进入网络或哪些人不能进入。
黑/白名单在反垃圾邮件中被广泛采用,但却必须借助已知的恶意的或安全的名单来保证其准确性。对违反过滤名单的行为进行主动阻断。
行为检测技术是通过检查代码的特征和规律来评估代码的风险,签名和基于异常行为的安全机制也属于行为安全技术的一种。根据其行为模式被认为可能构成威胁的某些文件和程序将被阻止。
所有这些都是有效的方法,但这些方法各有其优缺点。
基于行为和签名的安全技术
对于那些没有被归类为“好”或“坏”的程序或者文件,则可以采用行为安全技术,该技术是发现新威胁(在发生攻击前)的有效但不完美的方法。从最简单的级别来判断,这是行为安全技术的基础。
执法人员会使用很多不同的技术来进行行为鉴定,他们会观察对象的身体语言、面部表情、言词和行为来判断这个人的意图是恶意的还是良性的。眼睛运转、声音音调和其他生理因素都可以反应压力,反过来能够表明一个人是否在试图隐藏什么东西。同样的道理,基于行为的安全算法能够找出那些不是合法程序但试图隐藏自身的恶意软件。
基于签名的安全过滤器将具体的行为和代码序列与已知的签名数据库进行比较,或与预先确定的恶意软件的字符串代码进行比较。相比较而言,基于异常行为的安全技术不是那么具体化,它会找出不合常理的代码的行为或命令,正如执法人员所说的“合理的怀疑”。
启发式算法常常被用来鉴定异常行为,通过分析过去的网络流量和电子邮件等并将其与目前模式进行比较,或者通过分析代码本身的结构。启发式引擎通常是以规则为基础的,它能够“学习”以往的经验,并建立相应的新规则。大多数防病毒程序都是在签名更新可用之前,使用启发式算法来识别恶意软件威胁及其变种。
前美国联邦调查局犯罪学家John Douglas是行为特征技术方面资深专家,他表示,行为特征研究是形式调查中很有效的手段,事实上这种技术应该是在其他传统调查方法使用后才运用。换句话说,仅靠特征技术不足以作为犯罪行为的指标,也就是说,仅靠行为安全技术是不能够充分地保护你地网络和电脑地。它可能会允许一些已知恶意软件通过,因为这些恶意软件看起来像合法代码,更严重的问题是,它可能将某些形迹可疑的合法程序标记为恶意软件,行为安全技术的误报率是非常高的。
黑名单技术
在计算机安全中,黑名单只是一种防止已经恶意程序运行或者防止已知垃圾邮件发送者和其他不受欢迎的发件人向用户发送邮件的简单有效的方法,更新黑名单可以快速通过更新服务器来实现,大多数防病毒程序使用的是黑名单技术来阻止已知威胁,垃圾邮件过滤器往往需要依赖于黑名单技术。
黑名单技术只在某些应用中能够发挥良好作用,当然前提是黑名单内容准确性和完整性。基于黑名单技术的垃圾邮件过滤的一个共同问题是对合法发件人的阻止。
黑名单的另一个问题就是,它只能抵御已知的有害的程序和发送者,不能够抵御新威胁(零日攻击等),对进入网络的流量进行扫描并将其与黑名单对比还可能浪费相当多的资源以及降低网络流量。
白名单技术
白名单技术的宗旨是不阻止某些特定的事物,它采取了与黑名单相反的做法,利用一份“已知为良好”的实体(程序、电子邮件地址、域名、网址)名单,以下是白名单技术的优点:
没有必要运行必须不断更新的防病毒软件,任何不在名单上的事物将被阻止运行;
系统能够免受零日攻击。
用户不能够运行不在名单上的未经授权的程序,所以你不必担心用户有意或无意的安装可执行的有害程序,浪费时间的个人程序(例如游戏和P2P程序),或者未经授权的软件,因为如果你的公司正受到软件厂商或BSA的审计则可能导致罚款。
白名单技术十分简单,给予了管理员和公司最大的权利来控制能够进入网络或者在机器上运行的程序,白名单技术的优点是,除了名单上的实体外都不能运行或者通过,缺点则是,不在名单上的实体都不能运行和通过。可见,优点也是缺点。
当单独使用白名单技术的时候,它能够非常有效地阻止恶意软件和垃圾邮件,但是同样也会阻止合法代码的运行和合法邮件的通过。对于大多数用户而言,一个纯粹的白名单解决方案不能够很好的进行电子邮件过虑,因为我们经常会收到不认识的人的邮件,即使是合法可取的邮件。这对于经常会受到陌生人询价的销售人员,以及收到读者来信的作家或者其他定期收取潜在客户邮件的商业人士都不切实际,不过对于只需要和某些朋友和家庭成员联系的个人电子邮件帐户还是十分受用的。
白名单越来越流行,并经常被用来与其他安全方法结合使用。例如,很多电子邮件客户会利用垃圾邮件过滤器来分析邮件信息,而将那些符合某些条件(关键字、格式、重复度等)认定为垃圾邮件,然而,他们同样会允许用户编制“安全发件人”名单(白名单),以确保这些邮件不被标记为垃圾邮件(即使符合垃圾邮件标准)。
在典型的商业设置中,白名单能有效控制可以允许在某台机器上运行的可执行文件。不过,如果用户需要访问不在白名单上的网站时,白名单技术也可能造成某种问题。采用白名单技术能够减轻管理员的负担,知道那些程序能够在网络中运行。
总结
每种安全方法都有其优点和缺点,每种方法都可能会导致误报,不同的方法适用于不同的情况。当涉及垃圾邮件过虑时,结合这三种方法才是最有效的解决方案:允许启发式过滤器来分析过虑符合垃圾邮件标准的邮件,同时阻止那些不符合垃圾邮件标准但位于黑名单上的发送者和域名,并允许那些符合垃圾邮件但位于白名单上的发送者和域名,这是最有效的垃圾邮件软件解决方案采取的做法。
在商业环境中,当在计算机上运行代码时,纯粹的白名单技术时最安全的解决方案。有些人也表示担心,白名单可能不太实用,因为很多程序并不在列表上。实际上,商业组织通常仅使用数量有限的应用程序,因为很多应用程序是被多个用户所使用的。当运行文件的时候,只需要检查核对白名单即可,这比病毒签名黑名单占用更小的数据库。