压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　允許無(wú)害的流量進(jìn)入企業(yè)環(huán)境，阻礙有害的流量進(jìn)入是確保企業(yè)安全的基礎(chǔ)知識(shí)。然而，只允許“已知良好（known-good）”的文件和鏈接進(jìn)入談何容易。

　　令人尷尬的是，攻擊者的發(fā)展速度不可避免地比企業(yè)防御的適應(yīng)和阻礙能力增長(zhǎng)得快。過(guò)去十年里，以黑名單的方法來(lái)反惡意軟件、形成防火墻、反垃圾郵件以及實(shí)現(xiàn)其它安全技術(shù)已經(jīng)顯現(xiàn)出明顯的弱點(diǎn)。而且，對(duì)于安全團(tuán)隊(duì)來(lái)說(shuō)，隨著黑名單的變多，協(xié)調(diào)每個(gè)黑名單，將它們?nèi)谌氲礁嗟陌踩ぞ咧校⑷扛乱炎兊迷絹?lái)越困難。

　　企業(yè)通過(guò)使用“已知良好”技術(shù)作為信息安全計(jì)劃的一部分，可以不用那么辛苦地維護(hù)黑名單，而且可以改善環(huán)境中的整體安全性。

　　在這篇文章中，專家Nick Lewis闡述了如何將“已知良好”技術(shù)運(yùn)用于企業(yè)以應(yīng)對(duì)當(dāng)今越發(fā)激烈和更具破壞性的威脅。

　　“已知良好”技術(shù)工作原理

　　使用“已知良好”技術(shù)類似于采用白名單的方法，白名單是傳統(tǒng)的方法只允許授權(quán)用戶或應(yīng)用程序在企業(yè)網(wǎng)絡(luò)中啟用，而“已知良好”技術(shù)是采用一個(gè)更廣闊更詳細(xì)級(jí)別的概念。在一個(gè)傳統(tǒng)的白名單方法中，電腦上只允許運(yùn)行具體的可執(zhí)行文件，但是無(wú)法阻止某人在企業(yè)網(wǎng)絡(luò)內(nèi)部為攻擊者打開(kāi)惡意文件讓攻擊者獲得初始訪問(wèn)。而“已知良好”技術(shù)可全面阻擊攻擊者執(zhí)行任意種類的攻擊。

　　接下來(lái)舉幾個(gè)例子來(lái)說(shuō)明。輸入驗(yàn)證是只接受“已知良好”輸入數(shù)據(jù)輸入到系統(tǒng)的一個(gè)很普遍的方法。一般運(yùn)用于網(wǎng)頁(yè)應(yīng)用程序或數(shù)據(jù)庫(kù)防火墻，對(duì)惡意的SQL語(yǔ)句進(jìn)行過(guò)濾，只允許驗(yàn)證通過(guò)的SQL語(yǔ)句執(zhí)行。

　　另一個(gè)例子是檢查網(wǎng)頁(yè)、PDF等文檔、識(shí)別潛在的惡意鏈接，然后剝離出威脅，在下載前重構(gòu)文檔，只留下“已知良好”那部分。系統(tǒng)可以檢查該文件，確定哪些是用戶輸入的數(shù)據(jù)并留下來(lái)，刪除可能包含惡意代碼的內(nèi)容。這是由供應(yīng)商如賽門鐵克（Symantec）、Blue Coat、 Websense提供的一些Web代理或內(nèi)容網(wǎng)關(guān)產(chǎn)品所具備的的性能。此外，還有開(kāi)源工具、框架，ExeFilter可以給文件和交互內(nèi)容提供這個(gè)性能，并且可以嵌入其它工具或掃描文件共享、電子郵件等功能中使用。

　　現(xiàn)在，攻擊者完全有可能入侵您所信賴的合作伙伴的系統(tǒng)，然后將惡意代碼嵌入安全的PDF中發(fā)送給您。利用像ExeFilter這樣的技術(shù)可以刪除文件中的惡意內(nèi)容，可以保證您和商業(yè)伙伴的安全通信不被打擾。

　　在企業(yè)環(huán)境中使用“已知良好”技術(shù)

　　使用“已知良好”技術(shù)進(jìn)行威脅防御和檢測(cè)需要深入了解和控制環(huán)境，大致了解惡意內(nèi)容的潛在位置，知道在何時(shí)何地有必要?jiǎng)h除惡意內(nèi)容，而不是徹底阻斷附件、流量、用戶以及鏈接。

　　由于防火墻可以使用“拒絕所有”、并“允許部分”策略，那么就有足夠的理由只允許帶有“已知良好”安全協(xié)議，來(lái)自“已知良好”的安全網(wǎng)絡(luò)進(jìn)行連接。這可以通過(guò)網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)來(lái)實(shí)現(xiàn)，只允許“已知良好”并驗(yàn)證通過(guò)的系統(tǒng)使用批準(zhǔn)的協(xié)議來(lái)連接到特定的網(wǎng)站。盡管黑名單和白名單兩種技術(shù)都可以用來(lái)阻止惡意網(wǎng)絡(luò)，但是一旦一個(gè)網(wǎng)站被發(fā)現(xiàn)是惡意網(wǎng)站，安全團(tuán)隊(duì)還是需要每次將其添加到黑名單。這同樣適用于新的“已知良好”的網(wǎng)絡(luò)或協(xié)議，隨著它們被發(fā)現(xiàn)并驗(yàn)證通過(guò)，它們也需要被添加到白名單。

　　不幸的是，將這種方法推行到各種類型的文件或應(yīng)用程序是相當(dāng)困難的。為了簡(jiǎn)化該過(guò)程，對(duì)于企業(yè)來(lái)說(shuō)，集中于最可能被攻擊者利用漏洞也最常見(jiàn)的文件類型或數(shù)據(jù)是很有利的。此外，在某種程度上限定“已知良好”將不會(huì)造成大量的誤報(bào)，大量的誤報(bào)會(huì)對(duì)通信產(chǎn)生不利影響，對(duì)企業(yè)來(lái)說(shuō)也是一個(gè)挑戰(zhàn)。與此同時(shí)，企業(yè)需要進(jìn)行不斷地微調(diào)以保證有效運(yùn)行。

　　“已知良好”類似于強(qiáng)制訪問(wèn)控制和在軟件開(kāi)發(fā)中使用形式化方法。強(qiáng)制訪問(wèn)控制就是基于數(shù)據(jù)分類和特定訪問(wèn)權(quán)限來(lái)訪問(wèn)特定的資源；另一方面，在軟件開(kāi)發(fā)中使用形式方法，是以數(shù)學(xué)方法驗(yàn)證軟件是否正好實(shí)現(xiàn)了設(shè)計(jì)時(shí)所設(shè)想的功能。這兩種方法都非常嚴(yán)密，且采用資源密集型的方法來(lái)使用已知良好的技術(shù)提高安全性。

　　當(dāng)涉及到特定的“已知良好”技術(shù)，有幾個(gè)產(chǎn)品可供企業(yè)采用。首先是白名單和灰名單產(chǎn)品，這兩種產(chǎn)品會(huì)暫時(shí)拒絕傳入的流量，幫助組織確認(rèn)“已知良好”的行為并允許其發(fā)生在系統(tǒng)或網(wǎng)絡(luò)上。此外，還有像PHP過(guò)濾器或安全基線配置這樣的“已知良好”軟件開(kāi)發(fā)方法，只有“已知良好”的軟件和設(shè)置才可以啟用。這些方法可以通過(guò)減少攻擊面來(lái)盡量減少成功攻擊的可能性。

　　然而，由于很難定義“已知良好”，所以可以幫助企業(yè)掃描特定文件或應(yīng)用程序，挑選“已知良好”組件的可行性程序目前很少。一個(gè)公司可能不知道包含高級(jí)功能的大量文件格式和應(yīng)用程序是否被員工，合作伙伴和客戶使用。使用ExeFilter并添加其他文件形式做支持，當(dāng)新的文件格式或應(yīng)用引入環(huán)境時(shí)，可以更快適用。

　　另外，JavaScirpt通常被視為高風(fēng)險(xiǎn)，對(duì)于企業(yè)來(lái)說(shuō)，很難知道用戶企圖打開(kāi)的PDF或其他文件是否被潛在惡意JavaScirpt所感染。在這種情況下，企業(yè)可以使用一種將PDF轉(zhuǎn)換成靜態(tài)PDF的技術(shù)，該技術(shù)可以從文件中完全取出JavaScirpt.或者可以在沙箱中打開(kāi)PDF，看看哪些潛在的惡意行為被利用并從文件中刪除惡意的JavaScirpt.以上行為都可以用來(lái)扼殺部分被釣魚(yú)攻擊的惡意PDF，保證用戶打開(kāi)文件時(shí)，他們的電腦不會(huì)被感染。

　　總結(jié)

　　相比起黑名單，白名單和其它技術(shù)，“已知良好”的安全方法有一定的改善，可更大程度幫助企業(yè)抵御威脅。

　　然而，即使是白名單也要承受挑戰(zhàn)和變革的需求，跟上不斷變化的威脅環(huán)境。白名單相對(duì)于20年前商業(yè)安全方法有顯著的改善，但是如果沒(méi)有為一般企業(yè)和消費(fèi)者開(kāi)發(fā)出來(lái)默認(rèn)安全系統(tǒng)，我們將繼續(xù)在白名單、灰名單和黑名單這樣相同的螺旋中前行。

　　“已知良好”技術(shù)將有望給企業(yè)以及整個(gè)行業(yè)帶來(lái)新希望，更好地管理其潛在的風(fēng)險(xiǎn)，防御今天黑客和攻擊者所創(chuàng)建的最艱難的威脅，以保證安全性。