防病毒產(chǎn)品中的嚴(yán)重漏洞

　　幾天過(guò)后，公司雇來(lái)調(diào)查此事件的安全公司給出了一個(gè)意料之外的答案：黑客是利用了你電腦上安裝的公司防病毒程序中的一個(gè)漏洞才得以進(jìn)入的，而此程序本應(yīng)保護(hù)你的電腦免遭黑客攻擊。這個(gè)漏洞的觸發(fā)條件十分簡(jiǎn)單，攻擊者只需要給你發(fā)一封郵件，你甚至不需要打開(kāi)它就中招了。

　　這一場(chǎng)景聽(tīng)起來(lái)似乎有點(diǎn)不大可能，其實(shí)不然。通過(guò)漏洞研究人員對(duì)以往防病毒程序的分析，發(fā)現(xiàn)此類(lèi)攻擊非常有可能發(fā)生，而且很可能已經(jīng)發(fā)生過(guò)了。數(shù)年來(lái)，已經(jīng)有一些研究人員試圖警告人們終端防病毒產(chǎn)品中的關(guān)鍵漏洞是有多么容易被找到并利用。

　　近半年以來(lái)，研究人員已經(jīng)發(fā)現(xiàn)并報(bào)告了數(shù)十個(gè)防病毒產(chǎn)品中的嚴(yán)重漏洞，涉及的廠商包括卡巴斯基實(shí)驗(yàn)室、ESET、Avast、AVG Technologies、英特爾安全(前邁克菲)和Malwarebytes。這些漏洞中的大多數(shù)都能讓黑客遠(yuǎn)程執(zhí)行惡意代碼、濫用防病毒產(chǎn)品自身的功能、獲取被攻破系統(tǒng)的更高權(quán)限，甚至讓第三方應(yīng)用的反漏洞利用防御俯首稱(chēng)臣。

　　其中某些漏洞甚至不需要用戶(hù)互動(dòng)就能被利用，還允許產(chǎn)生計(jì)算機(jī)蠕蟲(chóng)病毒(能自我復(fù)制傳播的惡意程序)。很多情況下，攻擊者只需要給潛在受害者發(fā)送精心編造的電子郵件，在他們經(jīng)常訪問(wèn)的合法網(wǎng)站中注入惡意代碼，或者將帶有被感染文件的U盤(pán)插入他們的電腦即可。

　　即將到來(lái)的攻擊

　　證據(jù)顯示，針對(duì)防病毒產(chǎn)品的攻擊，尤其是在企業(yè)環(huán)境下，是可行且很有可能的。一些研究人員認(rèn)為此類(lèi)攻擊早已發(fā)生，雖然防病毒廠商可能由于受害者數(shù)量少而沒(méi)有發(fā)覺(jué)。

　　各國(guó)政府的情報(bào)部門(mén)一直對(duì)防病毒產(chǎn)品漏洞很感興趣。新聞網(wǎng)站“The Intercept ”6月報(bào)道稱(chēng)，英國(guó)政府通信總部(GCHQ)在2008年提交申請(qǐng)更新一份授權(quán)以便可以對(duì)卡巴斯基實(shí)驗(yàn)室的防病毒產(chǎn)品進(jìn)行逆向以找尋弱點(diǎn)。該網(wǎng)站還報(bào)道稱(chēng)，根據(jù)前NSA承包商斯諾登的泄密，美國(guó)國(guó)家安全局(NSA)也大肆研究防病毒產(chǎn)品以規(guī)避它們的檢測(cè)。

　　一個(gè)名為“面具”(The Mask)或Careto(西班牙語(yǔ)的mask)的網(wǎng)絡(luò)間諜組織(可能是受?chē)?guó)家支持的)，也曾嘗試?yán)每ò退够绨姹镜姆啦《井a(chǎn)品中的漏洞來(lái)規(guī)避檢測(cè)。在2014年2月該組織的行動(dòng)被曝光前，超過(guò)30個(gè)國(guó)家的數(shù)百個(gè)政府和私營(yíng)企業(yè)的電腦被該組織滲透。

　　除了上述利用防病毒產(chǎn)品漏洞規(guī)避檢測(cè)的主要例子，還有對(duì)影響防病毒產(chǎn)品的遠(yuǎn)程代碼執(zhí)行漏洞利用的需求，這些漏洞利用代碼經(jīng)由專(zhuān)門(mén)的代理人在基本上不受監(jiān)管的漏洞利用市場(chǎng)上銷(xiāo)售。

　　意大利監(jiān)視公司Hacking Team去年被泄露的郵件中，有一份文檔記錄了一家名為“漏洞經(jīng)紀(jì)國(guó)際”( Vulnerabilities Brokerage International)的機(jī)構(gòu)售賣(mài)的多種漏洞利用工具。該文檔列出了多款防病毒產(chǎn)品各種不同的提權(quán)、信息披露和檢測(cè)規(guī)避漏洞利用，還有一個(gè)被標(biāo)記為“已售出”的ESET NOD32防病毒產(chǎn)品的遠(yuǎn)程代碼執(zhí)行漏洞利用。

　　安全研究公司IOActive前首席技術(shù)官，入侵檢測(cè)廠商Vectra現(xiàn)任首席安全官岡特·奧爾曼稱(chēng)，針對(duì)防病毒產(chǎn)品的漏洞利用活動(dòng)已經(jīng)持續(xù)了十幾年。有公司專(zhuān)門(mén)針對(duì)其客戶(hù)感興趣的防病毒產(chǎn)品進(jìn)行逆向工程，這些公司還逆向現(xiàn)有惡意軟件以劫持已經(jīng)被感染的系統(tǒng)。

　　奧爾曼指出，中國(guó)某防病毒產(chǎn)品的遠(yuǎn)程可利用漏洞在美國(guó)和歐洲情報(bào)機(jī)構(gòu)眼里價(jià)值好幾萬(wàn)美元。

　　從國(guó)家行為者的角度，被檢測(cè)到從事此類(lèi)活動(dòng)并不明智，所以目標(biāo)一般都比較小，且控制嚴(yán)密。

　　如果美國(guó)和歐洲的情報(bào)機(jī)構(gòu)對(duì)此類(lèi)漏洞利用大感興趣，沒(méi)理由認(rèn)為俄羅斯、中國(guó)和其他國(guó)家會(huì)對(duì)此缺少興趣。事實(shí)上，一些國(guó)家的網(wǎng)絡(luò)間諜組織已多次證明了他們?cè)谡覍ち餍袘?yīng)用程序已知漏洞并開(kāi)發(fā)利用上的能力，將這些技能應(yīng)用到防病毒產(chǎn)品上應(yīng)該不成問(wèn)題。甚至一些防病毒廠商也承認(rèn)，盡管他們至今還沒(méi)發(fā)現(xiàn)任何一起實(shí)例，但對(duì)防病毒產(chǎn)品的針對(duì)性攻擊是有可能的。

　　卡巴斯基實(shí)驗(yàn)室在對(duì)2016年的預(yù)測(cè)中特別提到，對(duì)安全研究人員和安全廠商的攻擊可能是信息安全界的未來(lái)趨勢(shì)，但大范圍攻擊的可能性不大。防病毒廠商 Bitdefender則聲稱(chēng)，針對(duì)終端安全程序的攻擊“是絕對(duì)可能的”，但可能會(huì)是針對(duì)企業(yè)環(huán)境而非消費(fèi)者。

　　滲透測(cè)試人員長(zhǎng)期以來(lái)都對(duì)防病毒產(chǎn)品被利用的可能性保持警惕。一名在大型科技公司工作的安全研究人員表示，他的團(tuán)隊(duì)經(jīng)常在滲透測(cè)試中嘗試?yán)梅啦《竟芾矸?wù)器中的漏洞，因?yàn)檫@些服務(wù)器擁有對(duì)終端系統(tǒng)的控制權(quán)限，能用于在公司內(nèi)部網(wǎng)絡(luò)中通行無(wú)阻。這位研究人員希望保持匿名，因?yàn)樗墓静辉试S他對(duì)此作出任何評(píng)論。

　　企業(yè)防病毒管理服務(wù)器的漏洞利用不僅在 Hacking Team 泄露事件中的漏洞交易貨品清單中榜上有名，還能在公共漏洞利用數(shù)據(jù)庫(kù)中找到。

　　防病毒廠商似乎對(duì)他們產(chǎn)品受到大范圍攻擊的可能性不以為然。他們的研究人員大多認(rèn)為此類(lèi)攻擊目前不太可能，因?yàn)榈湫偷木W(wǎng)絡(luò)犯罪團(tuán)伙有著其它更容易的攻擊目標(biāo)，比如Flash播放器、Java、Silverlight、IE瀏覽器或者Adobe、微軟Office軟件等。

　　然而，這些普遍使用的應(yīng)用軟件在最近幾年紛紛加固安全措施，而且隨著越來(lái)越多的人升級(jí)到更新、防護(hù)更好的版本，攻擊者們將被迫找尋新的目標(biāo)。因此，未來(lái)針對(duì)數(shù)千萬(wàn)甚至上億消費(fèi)者使用的防病毒產(chǎn)品的攻擊不能冒然排除在外，尤其是網(wǎng)絡(luò)犯罪分子可能會(huì)像之前做過(guò)的那樣，有時(shí)會(huì)借助于零日漏洞。

　　從目前來(lái)看，企業(yè)或機(jī)構(gòu)還是比普通消費(fèi)者面臨著更大的防病毒產(chǎn)品漏洞風(fēng)險(xiǎn)，尤其是那些身處時(shí)常被網(wǎng)絡(luò)間諜組織盯上的產(chǎn)業(yè)中的公司。

　　利用防病毒產(chǎn)品太容易

　　防病毒產(chǎn)品是人編寫(xiě)的，而只要是人就不可能不犯錯(cuò)。雖然期待此類(lèi)程序完全沒(méi)有漏洞是不可能的，但我們可以期望它們比其他類(lèi)型的程序漏洞更少，更難以被利用。

　　一般情況下人們普遍認(rèn)為，信息安全相關(guān)產(chǎn)業(yè)的公司會(huì)遵從安全編程指南，在他們的產(chǎn)品中具有反漏洞利用防御措施，并經(jīng)常性地進(jìn)行代碼審計(jì)和漏洞測(cè)試。然而不幸的是，上述安全事項(xiàng)在防病毒的世界里似乎是罕見(jiàn)的。

　　防病毒程序要能夠檢查來(lái)自一系列源頭的大量數(shù)據(jù)和文件類(lèi)型：Web、電子郵件、本地文件系統(tǒng)、網(wǎng)絡(luò)共享、USB接入的存儲(chǔ)設(shè)備等等。它們還要有大量的組件實(shí)現(xiàn)分層防護(hù)：攔截網(wǎng)絡(luò)流量的驅(qū)動(dòng)，集成進(jìn)瀏覽器和電子郵件客戶(hù)端的插件，圖形用戶(hù)界面，執(zhí)行基于簽名、基于行為和基于云掃描的子系統(tǒng)防病毒引擎……

　　這就是安全研究人員所謂的超大攻擊界面，意味著有大量潛在的漏洞代碼供攻擊者以各種方式進(jìn)行研究。另外，當(dāng)涉及到防病毒產(chǎn)品，其大部分代碼都是以最高可能權(quán)限執(zhí)行的，可這是安全研究人員應(yīng)該盡可能避免的。

　　谷歌安全研究員塔維斯·奧曼迪在其9月發(fā)表的一篇漏洞分析中表示，“防病毒產(chǎn)品極大增加了對(duì)針對(duì)性攻擊的暴露面，提供了一個(gè)很容易得手的攻擊界面。因此，安全產(chǎn)品廠商有責(zé)任保持盡可能高的安全開(kāi)發(fā)標(biāo)準(zhǔn)以最小化因他們的產(chǎn)品而引發(fā)的可能損害。”

　　近半年來(lái)，奧曼迪就發(fā)現(xiàn)并報(bào)告了超過(guò)25個(gè)防病毒產(chǎn)品漏洞，涵蓋了ESET、卡巴斯基實(shí)驗(yàn)室、AVG和Avast。之前他還在守護(hù)使和微軟產(chǎn)品中發(fā)現(xiàn)過(guò)漏洞。奧曼迪發(fā)現(xiàn)的很多漏洞都源于文件和數(shù)據(jù)解析操作，這種操作一直以來(lái)都是所有應(yīng)用程序的漏洞來(lái)源。

　　“在未來(lái)，我們有可能看到防病毒脫殼器、模擬器和解析器都在沙盒中運(yùn)行，不以系統(tǒng)權(quán)限執(zhí)行。谷歌瀏覽器沙盒是開(kāi)源的，且被多種主流產(chǎn)品使用。別再等著被網(wǎng)絡(luò)蠕蟲(chóng)盯上你的產(chǎn)品了，也別再等著你的用戶(hù)被人進(jìn)行針對(duì)性攻擊了，今天就在你的開(kāi)發(fā)路線圖中加上沙盒技術(shù)吧。”

　　知法犯法

　　防病毒產(chǎn)品中缺乏類(lèi)似沙盒這種安全緩解技術(shù)，以及它們太多的組件都在系統(tǒng)權(quán)限下運(yùn)行的事實(shí)，早在奧爾曼指出之前就已經(jīng)有人提出警告。

　　2014年，一位名為喬斯因·柯羅特的安全研究員在14款防病毒產(chǎn)品及它們的引擎中發(fā)現(xiàn)了遠(yuǎn)程和本地可利用漏洞。據(jù)柯羅特所言，防病毒產(chǎn)業(yè)至少應(yīng)該采用類(lèi)似權(quán)限分離和沙盒之類(lèi)的技術(shù)，但想要真正令防病毒產(chǎn)品安全，還需要采取更多的安全措施。

　　很多防病毒產(chǎn)品都對(duì)中間人攻擊束手無(wú)策，因?yàn)樗鼈儧](méi)有采用e SSL/TLS通信，且它們下載的組件通常都沒(méi)有經(jīng)過(guò)簽名。它們沒(méi)有應(yīng)用當(dāng)代瀏覽器都有的反漏洞利用措施，也沒(méi)有用仿真模擬來(lái)掃描可執(zhí)行文件或使用內(nèi)存安全的編程語(yǔ)言。

　　更糟的是，有證據(jù)顯示，很多防病毒產(chǎn)品甚至沒(méi)有對(duì)安全缺陷進(jìn)行適當(dāng)?shù)膶徲?jì)。比如奧曼迪發(fā)現(xiàn)的那些漏洞就明顯從未經(jīng)過(guò)審計(jì)，因?yàn)檫@種漏洞只要審計(jì)的話，在第一輪評(píng)估中就很可能在一周之內(nèi)被審計(jì)人員發(fā)現(xiàn)。

　　漏洞情報(bào)公司Risk Based Security(RBS)首席研究官卡斯滕·艾拉姆認(rèn)為，防病毒廠商應(yīng)該盡可能地以最小權(quán)限運(yùn)行他們的產(chǎn)品，使用沙盒執(zhí)行敏感功能，并盡力保證一個(gè)整體穩(wěn)固安全的代碼成熟度。

　　RBS的數(shù)據(jù)顯示，自2010年1月1日起，大約有1773個(gè)安全軟件和設(shè)備漏洞被提交，僅2015年就有372個(gè)，其中絕大多數(shù)可通過(guò)篡改輸入進(jìn)行利用。

　　按理來(lái)說(shuō)，安全廠商應(yīng)該遵守更高的安全編碼標(biāo)準(zhǔn)，但現(xiàn)實(shí)情況卻恰恰相反?；镜哪：郎y(cè)試(Fuzzing)就能在解析功能里發(fā)現(xiàn)一連串的漏洞，而解析功能一直都是極易造成漏洞的元兇，更甚者解析功能竟然是在系統(tǒng)權(quán)限下運(yùn)行。

　　沙盒的問(wèn)題

　　防病毒廠商覺(jué)得沙盒技術(shù)在防病毒產(chǎn)品中不適用，大多是因?yàn)樗赡軙?huì)影響性能。有些廠商宣稱(chēng)他們采取了其他步驟，比如降低權(quán)限，進(jìn)行定期安全評(píng)估，開(kāi)發(fā)與沙盒技術(shù)同樣效果的其他技術(shù)等。

　　賽門(mén)鐵克正試圖減小其產(chǎn)品和服務(wù)的攻擊界面。該公司稱(chēng)，其所采用的方法是將其安全組件以盡可能低的權(quán)限執(zhí)行以減小成功攻擊的可能性。

　　卡巴斯基實(shí)驗(yàn)室則稱(chēng)，有效解決漏洞問(wèn)題遠(yuǎn)非只采用一種技術(shù)那么簡(jiǎn)單。該公司采用了多種它認(rèn)為可以提供最佳客戶(hù)防護(hù)的技術(shù)。比如說(shuō)，采用機(jī)器學(xué)習(xí)算法有效利用起它所采集到的大量安全情報(bào)和知識(shí)。

　　‘沙盒’方法除了眾所周知的簡(jiǎn)單性，還有很多嚴(yán)重不足，影響到程序性能、效率和兼容性。

　　英特爾安全即邁克菲則表示，一旦該得知潛在的問(wèn)題，將立即對(duì)其有效性、屬性和嚴(yán)重性進(jìn)行調(diào)查，并著手開(kāi)發(fā)相應(yīng)的修復(fù)程序。

　　沒(méi)人認(rèn)為防病毒廠商在發(fā)現(xiàn)漏洞時(shí)修復(fù)不夠快。事實(shí)上，其中一些廠商擁有令人驚訝的響應(yīng)時(shí)間，他們的產(chǎn)品也被默認(rèn)配置為自動(dòng)更新。但問(wèn)題在于此類(lèi)產(chǎn)品中一開(kāi)始就存在的漏洞數(shù)量和類(lèi)型。

　　賽門(mén)鐵克和英特爾安全都拒絕回答關(guān)于沙盒技術(shù)、針對(duì)防病毒產(chǎn)品攻擊的可能性、此類(lèi)產(chǎn)品檢測(cè)針對(duì)性攻擊的有效性、或其他安全研究人員提出批評(píng)等具體問(wèn)題。

　　防病毒廠商Bitdefender稱(chēng)，類(lèi)似谷歌提供的沙盒并不是安全產(chǎn)品中可行的工程解決方案。因?yàn)榉磹阂廛浖鉀Q方案必須能夠每秒攔截過(guò)濾上千個(gè)系統(tǒng)事件，沙盒機(jī)制將給系統(tǒng)帶來(lái)很?chē)?yán)重的性能影響，或許會(huì)比操作系統(tǒng)廠商所能忍受的影響更大。

　　該公司宣稱(chēng)其大部分產(chǎn)品組件，比如反惡意軟件引擎和主動(dòng)威脅控制子系統(tǒng)，都已經(jīng)只在登錄用戶(hù)的權(quán)限下運(yùn)行，并正使用交換過(guò)程限制以系統(tǒng)權(quán)限運(yùn)行的組件數(shù)量，甚至在針對(duì)個(gè)人消費(fèi)的產(chǎn)品中也是這么做的。

　　Bitdefender開(kāi)發(fā)了名為重力區(qū)域(Gravity Zone)的解決方案，允許管理員在網(wǎng)絡(luò)中另一臺(tái)主機(jī)上而不是在終端本身上運(yùn)行掃描服務(wù)。最近他們還引入了基于虛擬機(jī)管理程序的內(nèi)存反思(HVMI)技術(shù)，通過(guò)在操作系統(tǒng)外部的1型虛擬機(jī)管理程序中部署來(lái)完全隔離反惡意軟件解決方案。

　　這種隔離將反惡意軟件引擎與在用戶(hù)環(huán)境下運(yùn)行的rootkit或漏洞利用完全分離開(kāi)來(lái)。

　　風(fēng)險(xiǎn)vs回報(bào)

　　防病毒產(chǎn)品帶來(lái)的巨大而簡(jiǎn)單的攻擊界面以及針對(duì)性攻擊的可能性，引發(fā)了對(duì)于是否值得在某些企業(yè)環(huán)境中安裝此類(lèi)程序的疑問(wèn)。

　　當(dāng)面對(duì)復(fù)雜而精心設(shè)計(jì)的惡意軟件程序，比如網(wǎng)絡(luò)間諜組織的APT攻擊，終端防病毒產(chǎn)品是否有效是值得懷疑的。一些安全研究人員認(rèn)為，與面對(duì)的風(fēng)險(xiǎn)相比，回報(bào)幾乎可忽略不計(jì)，尤其是對(duì)那些容易被APT攻擊者盯上的公司而言。因此，也許防病毒產(chǎn)品只適合于非常小的公司和家庭用戶(hù)。

　　無(wú)論防病毒程序如何標(biāo)榜自己的功能強(qiáng)大和酷炫，它也不能檢測(cè)出未知威脅，而規(guī)避防病毒檢測(cè)對(duì)大多數(shù)惡意軟件開(kāi)發(fā)者而言都是小菜一碟，他們通常都會(huì)在發(fā)布惡意代碼前進(jìn)行多種防病毒軟件的檢測(cè)。終端防病毒產(chǎn)品的批評(píng)者則認(rèn)為，越來(lái)越內(nèi)置于操作系統(tǒng)的安全防護(hù)措施最終將使防病毒產(chǎn)品過(guò)時(shí)淘汰。

　　事實(shí)上，一些防病毒廠商不得不暗中破壞操作系統(tǒng)內(nèi)置的安全機(jī)制以使他們的產(chǎn)品能夠順利運(yùn)行。比如最近剛曝光的一起事件，就是一個(gè)活生生的例子。

　　以色列數(shù)據(jù)防泄漏公司enSilo報(bào)告了一個(gè)在英特爾安全、卡巴斯基實(shí)驗(yàn)室和AVG產(chǎn)品中發(fā)現(xiàn)的漏洞，此漏洞可關(guān)閉為其他應(yīng)用程序設(shè)計(jì)的基于操作系統(tǒng)的反漏洞利用保護(hù)措施。

　　enSilo研究人員在技術(shù)文檔中描述，這些防病毒產(chǎn)品為屬于Adobe閱讀器和網(wǎng)頁(yè)瀏覽器等應(yīng)用程序的用戶(hù)進(jìn)程分配了一個(gè)具有可讀可寫(xiě)可執(zhí)行權(quán)限的內(nèi)存頁(yè)面，這一行為可幫助攻擊者擊潰為第三方應(yīng)用程序而設(shè)的Windows漏洞利用緩解機(jī)制，比如地址空間布局隨機(jī)化(ASLR)和數(shù)據(jù)執(zhí)行保護(hù)(DEP)，讓攻擊者更加容易地利用在這些程序中發(fā)現(xiàn)的漏洞。

　　如何選擇防病毒產(chǎn)品

　　終端防病毒程序可以在很大的程度上減少已知威脅，但其安全性也同時(shí)取決于這些威脅發(fā)生的可能性和防病毒產(chǎn)品本身的整體安全性。

　　人們應(yīng)該慎重考慮什么安全軟件適合他們的環(huán)境，尤其是什么功能才是他們真正需要啟用的。企業(yè)購(gòu)買(mǎi)防病毒產(chǎn)品的時(shí)候，應(yīng)該核查候選廠商的安全記錄，查看他們處理影響自身產(chǎn)品漏洞的反應(yīng)速度，以及這些漏洞的類(lèi)型和嚴(yán)重性。不能因?yàn)橛X(jué)得這是安全軟件就放松警惕，“安全軟件不安全”并非危言聳聽(tīng)。

　　對(duì)惡意軟件的復(fù)雜性永遠(yuǎn)不能低估，但同時(shí)也不是說(shuō)防病毒產(chǎn)品就是無(wú)效的。在開(kāi)發(fā)出全面檢測(cè)高級(jí)威脅和瞄準(zhǔn)企業(yè)的針對(duì)性攻擊的綜合性策略之前，可以過(guò)濾和封鎖普通惡意軟件的傳統(tǒng)殺毒軟件也不可或缺。減少企業(yè)和個(gè)人數(shù)據(jù)被竊風(fēng)險(xiǎn)的唯一方法，就是綜合了傳統(tǒng)防病毒軟件和下一代防護(hù)工具、情報(bào)共享、安全服務(wù)、IT專(zhuān)業(yè)人員培訓(xùn)和對(duì)硬軟件的定期安全評(píng)估的多層策略。

　　不可否認(rèn)，確實(shí)有防病毒產(chǎn)品漏報(bào)惡意軟件樣本的案例，但與每時(shí)每刻都在大量涌現(xiàn)的惡意程序相比，漏報(bào)只是小概率事件。防病毒軟件還是擔(dān)當(dāng)著過(guò)濾大部分惡意軟件的責(zé)任，也就是基于已知漏洞或已知惡意軟件樣本的過(guò)濾，然后再用安全意識(shí)程序之類(lèi)的反惡意軟件解決方案來(lái)補(bǔ)足。

　　一種在高風(fēng)險(xiǎn)環(huán)境中可以替代防病毒程序的技術(shù)是應(yīng)用程序白名單，這種技術(shù)只允許預(yù)先批準(zhǔn)的應(yīng)用程序在電腦上運(yùn)行。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)最近提倡使用這種在某些操作系統(tǒng)里默認(rèn)可用的防護(hù)機(jī)制，甚至發(fā)布了一份帶推薦操作實(shí)踐的指南。

　　網(wǎng)絡(luò)邊界防護(hù)在保護(hù)企業(yè)環(huán)境免受內(nèi)部和外部威脅方面也十分重要，比如說(shuō)可以阻止數(shù)據(jù)滲漏嘗試。然而，用戶(hù)不應(yīng)該假設(shè)網(wǎng)絡(luò)級(jí)安全設(shè)備就沒(méi)有漏洞。事實(shí)上，安全研究人員這些年里也在此類(lèi)產(chǎn)品中發(fā)現(xiàn)了大量缺陷，在無(wú)監(jiān)管的漏洞利用市場(chǎng)上也有此類(lèi)漏洞的利用代碼在售。