黑白名单要你何用 许多网络攻击根本不涉及恶意软件

高级威胁时代的企业安全

保护企业网络安全面临巨大挑战,因为企业网络内的主机可达数百上千台,而罪犯仅需入侵其中一台,即可觊觎收获整个网络。安全公司数十年来都在努力保护计算机网络,用尽各种方法确保(或者说试图确保)没有任何一台计算机被感染。

刚开始的时候,这很容易,威胁数量极少,能够识别全部威胁便已足够。但后来随着恶意软件的进化,成为反病毒公司的噩梦,因为这会消耗专家研究员数天甚至数周时间,才能创建新的检测规则。

随着互联网的崛起,金钱成为网络罪犯的动机。黑客攻击能力提升巨大,无论在规模还是复杂性方面都如此。过去,一款病毒要数周或数月,才能从洛杉矶传播到纽约。现在,互联网上,数秒之内病毒就能从华盛顿传到东京。渗透防御和隐藏恶意软件的新技术,让威胁能够在企业网络中驻留更长时间。而安全公司,被迫再次做出调整适应。

黑名单,是传统反病毒公司用来对抗网络犯罪的一种战术。黑名单有着几十年的经验,包含准确的病毒特征检测,能够有效检测亿万恶意软件样本。但不利的一面是,黑名单有很多不确定性。它们的目标是找出恶意软件,任何被认为是非恶意的东西都被允许运行。尽管安全厂商和客户都不清楚什么是“非恶意”,这些“非恶意的东西”又都干些什么。

为弥补该不确定性,我们又看到了白名单战术。白名单因只允许好软件在系统中执行而很有效果。然而,就像黑名单一样,该方法也有缺陷,比如被植入了木马的程序。

黑名单和白名单都曾辉煌一时,但在高级威胁时代,单纯依靠黑/白名单是行不通的。万一攻击根本不涉及恶意软件呢?那这两种方法就都失效了,因为他们根本就是一体两面,都只是在消除恶意软件而已。网络罪犯可以尝试千万次,而一旦一次成功,他们就赢了。这可不是一场公平竞赛,我们的解决方案需要进化,要领先一步。

今年的威瑞森数据泄露调查报告中,他们涵盖了安全事件及攻击者使用的不同战术。仅51%的案例中使用了恶意软件,一半都根本没涉及到恶意软件!这意味着,黑名单和白名单两种方法都毫无作用,保护不了你的公司。

那么,我们现在开始该怎么做呢?企业未来的高级网络安全解决方案应该怎样做呢?

1. 所有文件分类使用

黑名单:如上文解释的,这些技术有其局限性,但同时,它们在执行检测恶意软件的工作上又十分突出;

白名单:有了它,我们可以摒除黑名单导致的不确定性。

2. 自动化

分类所有文件的唯一可扩展&可行方法,就是通过自动化,可提供最佳可能准确率。

3. 实时监测

攻击者已经能很成功地利用好软件,所有我们需要知道每台电脑上实时发生的所有事,包括无恶意软件攻击检测。

4. 取证

无论我们做得有多好,无论罪犯终会入侵计算机,我们不可能总是胜过他们。这就是为什么要有这最后一个组件的原因。一旦检测到安全事件,在取证的支持下,我们可以回答所有需要被回答的问题:发生了什么?什么时候发生的?攻击者是怎么进来的?他们做了什么?

纳入所有这些组件对安全厂商而言是一场艰苦的战斗,但作为一个行业,我们知道过去对抗最复杂的网络攻击需要付出什么。如今,这就是个执行问题,是企业认识到安全对自身目标重要性的问题。

本文作者:nana

来源:51CTO

时间: 2017-11-02

黑白名单要你何用 许多网络攻击根本不涉及恶意软件的相关文章

黑白名单:PHP实现IP黑白名单过滤

    需求来自一个运维的同事,对一个php文件执行进行IP过滤,不方便直接配置服务器,于是需要直接在php文件开头进行IP的过滤.    IP过滤规则,可以有如下形式:    1.完整的IP地址 如:192.168.0.1     2.某一段IP 如:192.168.0.* .    运维可以自定义IP黑白名单,由多个IP过滤规则组成,保存在数组中.通过编写代码,实现IP黑白名单功能.一个比较简单的需求.    首先实现一个函数,功能是判断ip是否符合某个ip过滤规则:   function

Winform开发框架之权限管理系统改进经验总结(3)系统登录黑白名单的实现

在一般的权限系统里面,可能经常会看到系统的黑名单或者白名单的拦截功能.在一般权限系统里面 ,常见的黑名单就是禁止用户在某些IP上登录系统,白名单就是允许用户只在某些IP上登录系统.本随 笔主要介绍在我的权限系统里面,如何实现这个黑白名单的功能,以及介绍在其中应用到的IP对比操作 ,IP段判断等操作代码. 1.黑白名单的配置 要完成黑名单的拦截和白名单的放行,我们需要进行名单的配置操作,我们把相关的配置放到列表里 面进行展示,可以添加多个黑名单或者白名单,如下界面所示. 开发框架之权限管理系统改进

服务器安全狗怎么设置黑白名单

  如果是服务器安全狗白名单内的IP,直接放过,如果是黑名单内的IP则直接拦截,这个时候就需要我们对黑白名单来设置了,那怎么设置呢?小编和大家分享服务器安全狗黑白名单使用教程,这里是以白名单为例哦! 我们以超级白名单为例进行IP地址的添加,IP地址通过单个IP地址和IP地址段两种方式进行添加. 规则列表有增加规则.修改规则.删除规则.清空列表.导入规则.导出规则五种规则制度,通过增加规则对IP地址进行添加,如图所示. 单个IP地址的添加,如下图所示: 以IP地址段进行添加,需要注意的是,目前服务

android电话、短信黑白名单拦截、电话录音

功能描述:  总的来说这是一个防骚扰的应用,设置黑名单,白名单,通话录音名单.添加到黑名单的联系人或号码将被拒绝来电或短信:添加到白名单的联系人或号码将通过来电或短信(除白名单以外的号码将被拒绝来电或短信),因此逻辑上黑名单和白名单是不能同时开启的:添加到通话录音列表的联系人或号码,连接通话时将会开启录音,挂断时完成录音. 先上图,接着分析实现这几个部分的关键技术点,最后附上安装程序apk和工程源码.     要重点具备的知识: 电话拦截部分:   电话是手机最基本的服务,自然在系统服务中可以获

php实现ip白名单黑名单功能

 本文给大家分享了2个php用于实现黑白名单的实用函数,分别是安全IP检测函数和获取客户端IP函数,注释里解释的非常清楚,这里我就不多废话了.     这个是一个检测ip是否非法的php函数,适应于白名单,黑名单功能开发,主要场景应用于:api来源限制,访问限制等.   代码如下: /** * 安全IP检测,支持IP段检测 * @param string $ip 要检测的IP * @param string|array $ips 白名单IP或者黑名单IP * @return boolean tr

大数据安全分析的6个要点

现在,很多行业都已 经开始利用大数据来提高销售,降 低成本,精准营销等等.然而, 其实大数据在网络安全与信息安全方面也有很长足的应用.特别是利用大数据来甄别和发现风险和漏洞.498)this.width=498;' onmousewheel = 'javascript:return big(this)' style="width: 455px; height: 254px" border="0" alt="大数据安全分析的 6个要点" width

公测与奥运同行,云服务总线CSB:“连”无边界

本文主要谈及了服务互通开放典型问题,也介绍了企业业务能力API化,着重说明了云服务总线CSB的服务处理过程,最后概括了综合场景. 以下为精彩内容整理: 云服务总线CSB与ESB有什么关系呢?CSB就是互联网以及云计算场景下的企业服务总线,但重点不同,CSB真正要做的是能力开放平台,无论是ESB还是CSB,它们都是要实现系统之间的服务互通.   服务互通开放典型问题 服务协议和接口差异: 举个例子,如果用企业互联网架构平台 Apsara Aliware的"三驾马车"(EDAS/DRDS/

BDTC PPT集萃(一):BAT、华为、网易等分享的大数据架构

从2008年60人规模的"Hadoop in China"技术沙龙,到当下数千人规模的行业技术盛宴,七届BDTC(大数据技术大会)完整地见证了中国大数据技术与应用的变革,忠实地描绘了大数据领域内的技术热点,沉淀了无数极具价值的行业实战经验.同时,2014年12月12至14日,第八届中国大数据技术盛会将一如既往的引领当前领域内的技术热点,分享行业实战经验. 为了更好地洞悉行业发展趋势,了解企业技术挑战,在BDTC 2014召开前夕,我们将带大家一起对历届大会沉淀的知识进行挖掘,分享各IT

加强网络安全的措施

这是一个充满变革的时代,94年一条64k的数据线第一次将我国接入世界,到今天,从政府.企业.医疗.教育--各行各业都广泛的使用互联网来获取无数的信息和机会.对多数企业来说,互联网不仅带来了丰富的网上资源,也把信息化带进了企业,使得企业传统运作方式迎来了深刻的变革.互联网极大地陈低了组织的运营和沟通成本,利用互联网,大多数员工可以更高效率的完成工作. 但是,作为一把"双刃剑",互联网也给组织和企业带来前所未有的威胁.全天候24小时在网络上流动的内容当中,存在着太多的风险:垃圾邮件.恶意网

浏览器哪个好 怎么选择浏览器

大家平时在使用电脑时常常不知道给如何选择浏览器,什么浏览器好用呢?下面小编来告诉你.其实每个主流浏览器都有自己的优点和缺点,最适合自己 的就是最好的浏览器,没有一个绝对满意的浏览器,因为浏览器用户是百万千万甚至更多的,众口难调,所以抱着理性的态度,选择一个自己有一些满意的就好了 吧,下面仅给一些普通用户介绍一下当前一些主流浏览器的优缺点等,如果你是特殊用户,高端用户就无视了吧,毕竟每个人都有自己的爱好需要和选择,以下是针 对最大众化用户的推荐. 115浏览器 整体评价:★★★★☆ 115浏览器是