不少標榜為「新世代(Next Generation)」的防毒軟件均以「白名單(whitelist)」為重心,但就算是「傳統」的防毒軟件,「白名單」的地位亦舉足輕重。以 Kasperskey 為例,其白名單已記錄 24 億個檔案的 Hash,協助企業阻檔惡意程式。
傳統白名單設想美好但維護麻煩
傳統的防毒軟件採用「黑名單」,即列在黑名單上的程式都會阻截;而白名單則代表可信任的程式,名單以外的程式都會阻截。其實白名單並非新技術,但由於維護困難,白名單在以前並不流行。
要訂立白名單,管理人員需要把企業所有的應用程式檔案匯入列表;加上應用程式經常更新,白名單亦需同時更新方能確保程式如常運作,技術人員的工作有多繁複可想而知。部分企業為了省卻修改白名單的麻煩,甚至不願更新程式,衍生另外的網絡安全問題。
Kaspersky 動態白名單自動更新 記錄 24 億個檔案 hash
然而隨著技術進步,白名單的部署已愈來愈容易。以 Kaspersky 的「動態白名單」為例,它在其雲端引擎 Kaspersky Secure Network(KSN)記錄了 24 億個檔案的 hash,包括執行檔和 dll 檔,而且動態白名單會時刻更新,並與本機自動同步,大大減省了傳統白名單的工序,再毋須擔心程式更新後被白名單封鎖。由於程式只需配對 Hash,所以不會耗用大量電腦資源拖低運作速度。
而且 Kaspersky 的動態白名單會為檔案評級,信譽較低的程式可被阻截。舉個例,Foxy 本身不是惡意程式,但企業並不想員工執行 Foxy 的話,亦可封鎖「Untrust」的程式,進一步保障網絡安全。
動態白名單彈性部署 毋須擔心內部程式遭封鎖
但在「預設封鎖(Default Deny)」的情況下,一些未知而又正當的程式,例如是企業內部開發的程式,又會怎樣處理呢?第一,企業可手動把程式加入至白名單;第二,企業可照舊部署白名單,但只做通知而非自動封鎖,在一段時間後查看哪些程式曾被封鎖,哪些程式可以繼續執行,從而完善白名單,減少誤報問題。
除此之外,Kaspersky 用戶均可選擇啟動防毒程式的 KSN,讓 KSN 可收集和分析程式資訊。例如有廠商推出新程式時,KSN 可洞察程式的安裝人數逐漸增加和程式憑證,隨後就會知道有新程式推出,加進資料庫。
Kaspersky System Watcher 分析未知程式可疑行為
當然 KSN 亦有黑名單,但如有程式連動態白名單和黑名單都無法識別,Kaspersky 的 System Watcher 便會提供另一層防禦,分析和記錄程式的行為,例如修改註冊鍵(Registry Key)和加密檔案。當 System Watcher 察覺到可疑的行為時,便會終止程式及還原檔案。
舉個例,假如有未知的勒索軟件加密電腦檔案時,System Watcher 便會開始備分並記錄行為,當發現有問題時便會停止程式運作,並會還原檔案。整個分析過程在勒索軟件加密了兩至三個檔案後就會完成,故不會牽涉大量檔案。之後,System Watcher 便會把惡意程式的行為和 Hash 上載至 KSN,保護其他 Kaspersky 用戶。
配合最新 EDR 方案威脅走向無所遁形
以上的動態白名單功能配合 System Watcher,已可以做到預防惡意軟件入侵的「免疫」效果,如果企業追求更高階的主動防禦,則可同時部署 Kaspersky 最新推出的 Endpoint Detection and Response 方案,監控及紀錄端點上的行為,不但能找出能潛藏的攻擊,亦可追加爆發的源頭及追蹤攻擊在網絡內的走向,管理員更可透過控制平台遙控調查有問題的電腦,即時攔截可疑行為,是部署次世代網絡保安的重要工具。
查詢:立高科技(電話: 3694 0437 / 電郵: info@kaspersky.com.hk)
