什么是基于 “白名單” 的主機防護技術

“白名單”機制相對“黑名單”而言比較適用于工業控制現場。工業控制現場相對處于比較封閉隔離的狀態，無法進行聯網更新病毒庫，系統一旦建設完成后，很長一段時間不會再進行升級或改造，“白名單”形成后也相對穩定，有利于工業現場的保護。

白名單的概念與“黑名單”相對應。黑名單啟用后，被列入到黑名單的用戶、IP地址、病毒等不能通過。如果設立了白名單，則在白名單中的用戶會優先通過，實現工控主機運行安全性和可用性的平衡。

和黑名單技術相比，白名單技術有著巨大的技術優勢：

• 占用資源少：眾所周知，殺毒軟件需要經常更新病毒庫，而且殺毒軟件運行時需要占用大量的系統資源，對于配置比較差的主機，安裝最新的殺毒軟件會顯得力不從心，但是白名單技術只是在程序啟動時通過hash值檢查程序是否是經過認可的程序，檢查耗費資源少，哪怕配置極差的內存也能支持。

• 能夠抵御“零日”漏洞攻擊和其他有針對性的攻擊：因為在默認情況下，任何未經批準的軟件、工具和進程都不能在端點安裝，白名單技術會確定這不是可信進程并拒絕其運行。

• 提供警報：如果多個用戶不小心或無意安裝了惡意程序或文件，白名單在后臺可以檢測到這種非法行為并根據統計結果給出警示，讓安全人員立即采取行動，阻止惡意程序的傳播。

• 有利于系統以最佳性能運行，提供工作效率：例如，支持人員可能會收到用戶對系統運行緩慢的投訴，經過調查后，發現間諜軟件已經悄悄進入端點，正在吞噬內存和處理器功耗，支持人員就可以立即采取行動。

• 對正在運行的應用、工具和進程來說，白名單技術可以提供對系統的全面可視性：如果相同的、未經授權的程序試圖在多個端點運行，該數據可用于追蹤攻擊者的路徑。

• 能夠幫助抵御高級內存注入攻擊：該技術可以驗證內存中運行的所有非經批準的進程并確保這些進程在運行時沒有被修改，從而抵御高級內存漏洞利用。高級攻擊通常涉及操作合法應用，當這種高級攻擊涉及內存違規、可以進程行為、配置更改或操作系統篡改時，白名單技術可以識別并發出警報。

回答所涉及的環境：聯想天逸510S、Windows 10。