应用程序白名单
应用程序白名单 是什么?
应用程序白名单一种防御控制,只允许显式批准的可执行文件、脚本和库在端点上运行,默认拒绝其他一切。
应用程序白名单(应用 Allowlisting)颠覆了杀毒软件的"默认允许"模型:只有与批准策略相符的可执行文件、DLL、脚本与安装程序——按哈希、发布者签名或路径匹配——才被允许运行,其它一律阻断。Microsoft AppLocker 与 Windows Defender Application Control(WDAC)、Linux 的 fapolicyd、macOS 公证机制,以及 Airlock Digital、ThreatLocker 等独立产品都实现了该模式。NIST SP 800-167(Application Whitelisting 指南)给出体系结构,美国 CISA/NSA/FBI 的"Essential Eight"将其列为针对定向入侵最有效的单项缓解措施。该控制对无文件攻击和未签名勒索软件非常有效,但需要严格的变更管理流程,因为每个新工具都要走审批。
● 示例
- 01
Windows 服务器通过 WDAC 仅允许 Microsoft 签名的二进制以及少量经过审批的内部工具。
- 02
Airlock Digital 阻止一段未签名的 PowerShell 脚本下载 Cobalt Strike beacon。
● 常见问题
应用程序白名单 是什么?
一种防御控制,只允许显式批准的可执行文件、脚本和库在端点上运行,默认拒绝其他一切。 它属于网络安全的 防御与运营 分类。
应用程序白名单 是什么意思?
一种防御控制,只允许显式批准的可执行文件、脚本和库在端点上运行,默认拒绝其他一切。
应用程序白名单 是如何工作的?
应用程序白名单(应用 Allowlisting)颠覆了杀毒软件的"默认允许"模型:只有与批准策略相符的可执行文件、DLL、脚本与安装程序——按哈希、发布者签名或路径匹配——才被允许运行,其它一律阻断。Microsoft AppLocker 与 Windows Defender Application Control(WDAC)、Linux 的 fapolicyd、macOS 公证机制,以及 Airlock Digital、ThreatLocker 等独立产品都实现了该模式。NIST SP 800-167(Application Whitelisting 指南)给出体系结构,美国 CISA/NSA/FBI 的"Essential Eight"将其列为针对定向入侵最有效的单项缓解措施。该控制对无文件攻击和未签名勒索软件非常有效,但需要严格的变更管理流程,因为每个新工具都要走审批。
如何防御 应用程序白名单?
针对 应用程序白名单 的防御通常结合技术控制与运营实践,详见上方完整定义。
应用程序白名单 还有哪些其他名称?
常见的别称包括: 应用 Allowlisting, 软件白名单。
● 相关术语
- defense-ops№ 050
杀毒软件 (AV)
端点软件,通过特征码库、文件扫描和基本启发式检测和清除恶意文件,是端点安全的历史基础。
- defense-ops№ 725
新一代杀毒软件 (NGAV)
在特征码扫描之外,结合机器学习模型、行为分析与漏洞利用防护,以阻止未知与无文件威胁的端点保护方案。
- defense-ops№ 371
EDR(端点检测与响应)
持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。
- malware№ 417
无文件恶意软件
主要在内存中运行、利用受信任的系统工具,尽量避免在磁盘上留下传统可执行文件的恶意软件。
- defense-ops№ 298
防御规避
MITRE ATT&CK 战术 TA0005,涵盖攻击者用来规避检测、禁用安全工具并隐藏自身活动的各种技术。
- malware№ 900
勒索软件
对受害者数据进行加密或锁定系统,并要求支付赎金以恢复访问的恶意软件。