企业潜在威胁防御新招：“known-good”技术

发布时间:2014-12-12 10:38 作者:柳芒来源:TechTarget中国点击:加载中...次

允许无害的流量进入企业环境，阻碍有害的流量进入是确保企业安全的基础知识。然而，只允许“已知良好(known-good)”的文件和链接进入谈何容易。

令人尴尬的是，攻击者的发展速度不可避免地比企业防御的适应和阻碍能力增长得快。过去十年里，以黑名单的方法来反恶意软件、形成防火墙、反垃圾邮件以及实现其它安全技术已经显现出明显的弱点。而且，对于安全团队来说，随着黑名单的变多，协调每个黑名单，将它们融入到更多的安全工具中，并全部更新已变得越来越困难。

企业通过使用“已知良好”技术作为信息安全计划的一部分，可以不用那么辛苦地维护黑名单，而且可以改善环境中的整体安全性。

在这篇文章中，专家Nick Lewis阐述了如何将“已知良好”技术运用于企业以应对当今越发激烈和更具破坏性的威胁。

　　“已知良好”技术工作原理

使用“已知良好”技术类似于采用白名单的方法，白名单是传统的方法只允许授权用户或应用程序在企业网络中启用，而“已知良好”技术是采用一个更广阔更详细级别的概念。在一个传统的白名单方法中，电脑上只允许运行具体的可执行文件，但是无法阻止某人在企业网络内部为攻击者打开恶意文件让攻击者获得初始访问。而“已知良好”技术可全面阻击攻击者执行任意种类的攻击。

接下来举几个例子来说明。输入验证是只接受“已知良好”输入数据输入到系统的一个很普遍的方法。一般运用于网页应用程序或数据库防火墙，对恶意的SQL语句进行过滤，只允许验证通过的SQL语句执行。

另一个例子是检查网页、PDF等文档、识别潜在的恶意链接，然后剥离出威胁，在下载前重构文档，只留下“已知良好”那部分。系统可以检查该文件，确定哪些是用户输入的数据并留下来，删除可能包含恶意代码的内容。这是由供应商如赛门铁克(Symantec)、Blue Coat、 Websense提供的一些Web代理或内容网关产品所具备的的性能。此外，还有开源工具、框架，ExeFilter可以给文件和交互内容提供这个性能，并且可以嵌入其它工具或扫描文件共享、电子邮件等功能中使用。

现在，攻击者完全有可能入侵您所信赖的合作伙伴的系统，然后将恶意代码嵌入安全的PDF中发送给您。利用像ExeFilter这样的技术可以删除文件中的恶意内容，可以保证您和商业伙伴的安全通信不被打扰。

　　在企业环境中使用“已知良好”技术

使用“已知良好”技术进行威胁防御和检测需要深入了解和控制环境，大致了解恶意内容的潜在位置，知道在何时何地有必要删除恶意内容，而不是彻底阻断附件、流量、用户以及链接。

由于防火墙可以使用“拒绝所有”、并“允许部分”策略，那么就有足够的理由只允许带有“已知良好”安全协议，来自“已知良好”的安全网络进行连接。这可以通过网络访问控制系统来实现，只允许“已知良好”并验证通过的系统使用批准的协议来连接到特定的网站。尽管黑名单和白名单两种技术都可以用来阻止恶意网络，但是一旦一个网站被发现是恶意网站，安全团队还是需要每次将其添加到黑名单。这同样适用于新的“已知良好”的网络或协议，随着它们被发现并验证通过，它们也需要被添加到白名单。

不幸的是，将这种方法推行到各种类型的文件或应用程序是相当困难的。为了简化该过程，对于企业来说，集中于最可能被攻击者利用漏洞也最常见的文件类型或数据是很有利的。此外，在某种程度上限定“已知良好”将不会造成大量的误报，大量的误报会对通信产生不利影响，对企业来说也是一个挑战。与此同时，企业需要进行不断地微调以保证有效运行。

“已知良好”类似于强制访问控制和在软件开发中使用形式化方法。强制访问控制就是基于数据分类和特定访问权限来访问特定的资源;另一方面，在软件开发中使用形式方法，是以数学方法验证软件是否正好实现了设计时所设想的功能。这两种方法都非常严密，且采用资源密集型的方法来使用已知良好的技术提高安全性。

当涉及到特定的“已知良好”技术，有几个产品可供企业采用。首先是白名单和灰名单产品，这两种产品会暂时拒绝传入的流量，帮助组织确认“已知良好”的行为并允许其发生在系统或网络上。此外，还有像PHP过滤器或安全基线配置这样的“已知良好”软件开发方法，只有“已知良好”的软件和设置才可以启用。这些方法可以通过减少攻击面来尽量减少成功攻击的可能性。

然而，由于很难定义“已知良好”，所以可以帮助企业扫描特定文件或应用程序，挑选“已知良好”组件的可行性程序目前很少。一个公司可能不知道包含高级功能的大量文件格式和应用程序是否被员工，合作伙伴和客户使用。使用ExeFilter并添加其他文件形式做支持，当新的文件格式或应用引入环境时，可以更快适用。

另外，JavaScirpt通常被视为高风险，对于企业来说，很难知道用户企图打开的PDF或其他文件是否被潜在恶意JavaScirpt所感染。在这种情况下，企业可以使用一种将PDF转换成静态PDF的技术，该技术可以从文件中完全取出JavaScirpt.或者可以在沙箱中打开PDF，看看哪些潜在的恶意行为被利用并从文件中删除恶意的JavaScirpt.以上行为都可以用来扼杀部分被钓鱼攻击的恶意PDF,保证用户打开文件时，他们的电脑不会被感染。

　　总结

相比起黑名单，白名单和其它技术，“已知良好”的安全方法有一定的改善，可更大程度帮助企业抵御威胁。

然而，即使是白名单也要承受挑战和变革的需求，跟上不断变化的威胁环境。白名单相对于20年前商业安全方法有显著的改善，但是如果没有为一般企业和消费者开发出来默认安全系统，我们将继续在白名单、灰名单和黑名单这样相同的螺旋中前行。

“已知良好”技术将有望给企业以及整个行业带来新希望，更好地管理其潜在的风险，防御今天黑客和攻击者所创建的最艰难的威胁，以保证安全性。

(责任编辑：安博涛)