Whitelisting

產品介紹

為什麼需要白名單資安強化服務?

傳統資訊安全防護機制,最為人所知的基本防禦手段,就是安裝防毒軟體,再更有概念的使用者會加上防火牆防護機制來杜絕其他大部分的攻擊。近幾年的發展下來,確實能夠杜絕實際能對系統造成嚴重破壞的病毒等重大危害,但惡意的攻擊行為在專職惡意行為開發的黑帽駭客研究下,轉而著重社交工程的手段,利用各種已經被允許的網路連接管道,在防火牆允許為前提,更深入的攻擊相關網路程式。在避免防毒軟體方面也採用激進的自動隨機產生的電腦機制來混淆其特徵,藉此避過防毒軟體的偵測,因此以圖一為參考,可發現雖然電腦病毒減少了,但是惡意軟體卻有大量上升的情況。顯示惡意使用者將目的從破壞,轉往其他面向去發展,例如:植入惡意軟體竊取使用者隱私,藉此販售大量個人資料。也有惡意軟體專門顯示廣告來賺取廣告費用。部分激進的駭客也透過此法來植入勒索軟體,藉由加密所有相關高價值的檔案來對一般使用者勒索金錢。

而在今年2018年的台灣半導體製造大廠台灣積體電路公司,也驚爆出史上最嚴重資安事件,因為從設備供應商購買來的機台,在出廠前已經被該公司成員不經意的使用已經中毒的USB隨身碟接上該機台,造成台積電歷來最嚴重的產線大當機事件,營收估計損失高達超過50億新台幣,可說是創下台灣歷史上損失金額最高的資安事件,比起去年的遠銀18億盜領事件,再高上兩倍之多。影響更深遠的是這樣的當機可能導致後續Apple iPhone的出貨。而這個事件的惡意軟體正是之前正紅的WannaCry勒索病毒,但這是一個變種過後的勒索病毒,此嚴重事件明確顯示出,防毒軟體最大的弱點依然在對抗變種的形態上,在這超過20年的發展下,依然無法研究出非常有效率的偵測方式,反過來存在的是被繞過的方式反而變成顯學。而此事件中,關鍵的Windows7更新,無法在台積電這類24小時全力運轉製造的環境中,有效的100%全面進行。

在概念上,白名單需要是整個作業系統環境還在乾淨、確保無惡意軟體的時期所建立的白名單才具有保護效果,因此需要在作業系統和關鍵所必需的軟體皆已經安裝完成的情況下進行部屬。而在工程上的部屬方式,目前有兩種做法:一種是透過對整個硬碟檔案的完整掃描,把所有可以執行的檔案全部經過哈希值計算以後放入白名單資料庫;第二種是讓使用者執行所要執行的程式,並計算第一次執行的程式的哈希值之後放入白名單中。而白名單的存放方式也存在各種技巧,第一種是存放在資料庫檔案中,第二種是存放在硬碟檔案格式中的額外儲存欄位。此兩種存放方式各有好壞。存放在資料庫檔案的方式較為方便維護與管理,但是相對難以確保不被竄改。而存放在硬碟檔案格式的額外資訊欄位上,同樣也面臨被竄改的風險,故需要額外的保護機制與流程確保這件事情,一般來說這件事情會把解決方案採用到公開金鑰的數學問題上來解決,故在資料庫上都可以採用現有的金鑰認證手段來進行,而硬碟檔案格式的做法需要作業系統核心針對此項目進行金鑰認證的保護機制。

白名單保護概念,其目的更是為確保作業統在運作時,僅能執行預先允許的應用程式軟體,避免惡意的使用者進行額外的破壞行為。圖二為描述工研院白名單部屬的運作模型,此保護機制會在作業系統啟動時載入白名單檢測驅動程式,藉此進行系統呼叫的攔截準備工作,同時也等待該相關系統呼叫被觸發,當被觸發時,就會對其所提供的檔案路徑資訊進行檢測。而在攔截準備工作中,會從先前已經建立好的白名單來載入到核心驅動程式的記憶體空間中,所有的檢查工作,會對該檔案進行哈希值計算,並以該數值去資料庫記憶體中進行查詢,另外在效率上的考量,會加入快取機制以及監控機制。快取機制能夠在檔案不被更改的情況下沿用前次檢驗結果。而監控機制能夠確保檔案被改動時,清除快取中的相對檔案資訊,避免被竄改以後的惡意程式能夠被執行。


本團隊目前提供以下執行環境之白名單資安強化服務
  • Windows 7 ~ 10
  • ARM Embedeed Platform
  • Linux distribution: Ubuntu/Debian/Archlinux …etc

影片或介紹頁面連結

服務連結
返回