在過去一年中殺毒軟件供應商一直都在討論應用程序白名單的有效性問題,但是當討論這項技術是否會取代殺毒軟件時,大家都不敢下結論。
白名單允許在特定機器上使用批準的文件,這樣的話,惡意的或者可疑的應用程序將自動攔截。這個概念并不新鮮,不過到目前為止,該技術已經吸引了很多供應商(如McAfee和賽門鐵克等)的關注,隨著惡意應用程序的數量不斷增加。
純粹的白名單供應商(如Bit9和CoreTrace)已經準備好接受市場的考驗,CoreTrace公司的產品管理總監Wes Miller表示,白名單不僅僅能夠防病毒,而且是阻止惡意軟件攻擊的有效解決方案。
CoreTrace公司即將推出的BOUNCER產品最新版本,通過兩種方式來保護內存。首先,它可以防止內存內的非白名單dll感染白名單化的進程,靈活,它提供內核內存寫入保護,旨在防止緩沖區溢出篡改Windows內核并啟動非法進程。這兩個功能可以提供更好的保護,與傳統的只有載荷的白名單相比。
“白名單不僅僅是一個重要組成部分,”Wes Miller表示,“使用應用程序白名單作為主要的執行機制,所有的威脅都將自動停止,而黑名單更加適合反應式的解決方案。簡而言之,我們相信白名單可以是獨立的,因為很多客戶已經實現這一點。”
盡管如此,白名單還是需要處理所有未知的應用程序,其中很多是某些市場或者地域特有的合法應用程序,或者公司內部使用的定制程序,451集團分析師Paul Roberts表示。不過對于ATM、POS終端和其他單一用途的設備(不需要運行除其職責外的程序),白名單是很有效的,而對于其他機器則不一定。
“這不是一種能夠很容易就能與一般企業筆記本電腦/臺式機協作的模式,在企業計算機中用戶需要自由添加新工具和軟件來完成他們的工作,”Roberts表示,“白名單對于很多擔心維護問題、影響生產力或者妨礙C級員工工作的企業而言仍然不是最佳解決方案,白名單對于POS和其他類型的重點部署是白名單目前的主要利用形式。”
雖然管理員為負載流行應用程序的封閉的服務器建立一個白名單是相對容易的事情,但這對一般企業或者家庭電腦用戶而言還是很難的,賽門鐵克公司的安全技術響應團隊研究人員Carey Nachenberg表示。
“用戶每天都會安裝成百上千的來自軟件供應商的應用軟件,”Carey指出,“因此,對于一般公司而言,甚至對于大多數安全供應商而言,維護一個全面的及時更新的白名單都是不可能的事情。” 打擊惡意軟件需要混合利用黑名單和白名單,這是根據信譽來部署的安全措施。
“就像亞馬遜網站根據購買信息對用戶評級一樣,我們相信應用程序和URL信譽度(來自所有用戶的意見)將能夠最大限度的幫助我們確定惡意軟件以及對成千上萬的應用程序進行評級,”他表示。
McAfee公司剛剛在幾個星期前收購了SolidCore系統公司,這是一件專門為POS設備提供白名單技術的公司。根據該公司的發言人表示,這次收購旨在結合SolidCore公司的動態白名單和實時文檔完整性監測與McAfee ePolicy Orchestrator的安全和合規管理功能。
“必須同時結合白名單和黑名單,使用相同的引擎阻止已知的惡意軟件并同時識別已知的合法軟件,”他表示,“同時還總是存在一個‘灰名單’,也需要采取控制辦法來處理不斷上升的灰名單問題。”(編輯:王小凡)
進入論壇>>聲明:IT商業新聞網登載此文出于傳遞更多信息之目的,并不意味著贊同其觀點或證實其描述。文章內容僅供參考。新聞咨詢:(010)68023640.推薦閱讀
正規本本降價,進一步打壓了山寨本市>>>詳細閱讀
本文標題:白名單是否會影響殺毒軟件市場?
地址:http://m.sdlzkt.com/a/xie/20111230/202571.html
網友點評
精彩導讀
科技快報
品牌展示