实现应用程序白名单

应用程序白名单

最近接触应用程序白名单，这里对应用程序白名单的概念进行简单的介绍。
文章地址：https://www.acsc.gov.au/publications/protect/application_whitelisting.htm

介绍

应用程序白名单是确保系统安全的最有效的防御策略之一。因此，在减少网络安全事件的必不可少的"八项策略"中，使用应用程序白名单作为其中之一。
本文档提供了关于什么是应用程序白名单、什么不属于用程序白名单以及应如何实现应用程序白名单的指导。

什么是应用程序白名单

应用程序白名单是一种安全方法，旨在防止恶意代码（也称为恶意软件）在系统上执行。当正确执行时，它能够确保只有授权的应用程序（例如程序、软件库、脚本和安装程序）才能执行。
虽然应用程序白名单的主要目的是防止恶意代码的执行和传播，但它也可以防止安装或使用未经授权的应用程序。
在整个组织中实现应用程序白名单可能是一项艰巨的任务，但是，在高级管理人员及其工作人员、系统管理员、人力资源管理、销售、市场营销、财务和法律领域等高风险用户的工作站上部署应用程序白名单是非常重要的一部分。

什么不属于应用程序白名单

以下方法虽然对纵深防御仍然有价值，但不被认为属于应用程序白名单：
1.为授权应用程序提供接口或其他安装方法；
2.使用web或电子邮件内容过滤器组织用户从Internet下载应用程序；
3.在执行应用程序之前，使用基于云的服务检查应用程序的信誉度；
4.使用下一代防火墙，确定网络流量是否由批准的应用程序生成。

如何部署应用程序白名单

部署应用程序白名单涉及以下高级步骤：
1.识别授权在系统上执行的应用程序；
2.开发应用程序白名单规则，确保只有经过授权的应用程序才能执行；
3.使用可变管理程序维护应用程序白名单规则。

在正确部署确定用于应用程序白名单的特定规则方面，使用加密散列、发布方证书（结合发布方名称和产品名称）、绝对路径和父文件夹都是可以采用的方法。
注意，如果使用基于绝对路径的应用程序白名单规则，应该特别注意确保用户没有覆盖已进入白名单的文件的能力。同样，如果使用父文件夹，则应特别注意确保用户没有能力在以进入白名单的任何路径中写入其他内容。因为，在这两种情况下，用户都可以绕过应用程序白名单。此外，为了确保应用程序白名单的完整性，用户和系统管理员都不应能够临时或永久禁用、绕过或以其他方法免除于应用程序白名单机制。
为确保应用程序白名单已得到适当实施，应当定期进行检测，以检查文件系统权限的错误配置，以及绕过应用程序白名单规则或执行未经授权的应用程序的其他方法。
除了防止执行未经授权的应用程序之外，应用程序白名单还可以帮助识别攻击者尝试在系统上执行恶意代码的行为。这可以通过配置应用程序白名单为执行失败生成事件日志来实现。理想情况下，此类事件日志应该包含注入被阻止文件的名称、日期/时间戳和试图执行该文件的用户名等信息。
最后，重要的是，应用程序白名单不能取代已经在系统上安装的杀毒软件和其他安全软件。同时使用多个安全解决方案可以有效地深入防御、防止系统被破坏。

八项策略（由ASCS给出，链接已经在上给出）

1.应用程序白名单——控制未经授权的软件的执行；
2.修补应用程序——修复已知的安全漏洞；
3.配置Microsoft Office宏设置——阻止不守信任的宏；
4.应用加固——避免有漏洞的函数；
5.限制管理员权限——限制对系统的过高权限；
6.安装操作系统补丁——修复已知的安全漏洞；
7.多因素认证——防止危险行为；
8.每日备份——维护关键数据的可用性。