허용 목록이란 무엇입니까?

허용 목록은 모든 종류의 유해한 보안 공격을 줄이기 위해 애플리케이션에 배포된 보안 조치입니다. 신뢰할 수 있는 파일, 응용 프로그램 및 프로세스만 실행되도록 합니다.

이것을 조금 더 깊이 살펴보자. 조직은 애플리케이션 허용 목록을 사용하여 조직에서 사용하는 애플리케이션에 피해를 줄 수 있는 모든 종류의 무단 활동을 제한합니다. 이러한 엔터프라이즈 애플리케이션을 보호하는 일종의 경계 바리케이드입니다.

허용 목록은 파일, 애플리케이션 또는 알려진 프로세스를 식별하고 해당 프로세스만 실행하는 것입니다. 반면에 이러한 파일이나 활동은 차단되거나 제한되어 조직의 시스템에 확산되지 않아 모든 종류의 공격이 발생합니다.

파일이 차단되면 일부 조직에서는 이러한 파일을 수동으로 검토하여 승인할 수 있는 파일을 확인하거나 손상된 파일을 삭제/수정할 수 있습니다. 그러나 잘 정의된 소프트웨어 제어 및 보안 정책을 통해 허용 목록 프로세스를 자동으로 실행하는 엔드포인트 보안 솔루션이 있습니다.

이러한 조치는 승인되지 않은 활동을 완전히 차단하고 모든 기업 자산, 영업 비밀, 지적 재산 데이터 및 많은 기밀 데이터를 보호할 수 있습니다. 이러한 솔루션은 승인 프로세스를 자동화하여 모든 종류의 허용 목록 관리를 제거함으로써 가동 중지 시간을 크게 줄입니다.

허용 목록의 효율성

조직은 데이터, 문서 및 프로세스의 보안을 위한 필수 항목으로 허용 목록을 고려하고 있습니다. 비교 연구를 수행하면 포괄적이고 종단 간 종단 보안을 제공하는 도구 중 하나일 뿐입니다.

방법론과 기술은 다른 보안 프로토콜과 기계 학습 및 행동 분석과 같은 고급 기술과 결합될 때 엄청난 영향을 미칩니다. 이러한 방식으로 허용 목록은 모든 종류의 악의적인 공격을 차단하고 방지하는 데 크게 기여합니다.

그러나 허용 목록의 효율성과 관련된 중요한 요소를 이해해야 합니다. 이 법안은 만들어진 정책만큼 효과적입니다. 정의된 정책이 광범위한 수준에 있으면 상당한 수의 응용 프로그램을 실행할 수 있습니다. 따라서 제어가 매우 낮거나 최소화됩니다. 따라서 허용 목록을 다른 방법론과 결합해야 합니다. 그 이유는 공격자가 허용 목록에 있는 다른 신뢰할 수 있는 응용 프로그램에 악성 코드나 악성 코드를 숨김으로써 가장 엄격한 조건도 우회할 수 있기 때문입니다.

애플리케이션이 취약하고 패치되지 않은 경우 허용 목록이 효과적이지 않을 가능성이 있습니다.

( 또한 읽기 : 네트워크 보안이란 무엇입니까? )

허용 목록의 성공을 측정하는 방법은 무엇입니까?

모든 애플리케이션 허용 목록 제어에는 측정할 수 있는 매우 명확하게 정의된 성공 기준이 있습니다. 그러나 그 차이는 공식화 된 정책과 이후에 따라야 할 운영 프로세스에 있습니다.

조직에서 허용 목록의 성공 여부를 측정하기 위해 따라야 할 몇 가지 방법은 다음과 같습니다.

• 네트워크에 연결된 모든 클라이언트와 서버에 예방적 파일 실행 정책을 시행합니다.

• 사용자가 작업의 일부로 해당 파일이 필요하기 때문에 알려진 파일을 실행할 수 있는 선택적 권한입니다.

• 올바른 정책이 올바른 사용자 집합에 적용되도록 명확하게 정의된 액세스 제어를 시행합니다.

• 최종 사용자가 이러한 정책을 우회하도록 제한하는 최소 권한 원칙을 배포합니다.

• 알려진 모든 우회 기술을 추적하고 이것이 조직의 취약성 관리 프로세스에 통합되었는지 확인합니다.

• 이러한 시도에 대한 모든 로그와 기록을 중앙 위치에 저장합니다.

핵심 내용은 무엇입니까?

다음은 허용 목록에 대한 몇 가지 중요한 사항입니다.

• 이 보안 프로토콜을 구현하는 데는 상당한 시간이 소요되며 조직에서 변경 사항에 대비해야 합니다. 회사는 또한 시간, 사람, 돈의 형태로 자원이 있어야 합니다. 사용자는 실제로 사용해서는 안 되는 일부 응용 프로그램을 이미 사용하고 있을 수 있지만 효과적인 의사 소통을 통해 조직은 사용자를 편안하게 하고 기내에 가져와야 합니다. 전체 네트워크에서 작업하기 전에 구현 및 롤아웃 전략을 테스트하는 것이 좋습니다.

• 사용할 응용 프로그램을 선택하는 데 선호하는 방법이 있는 기술 인력이 있을 수 있습니다. 이 방법을 중지하고 일관성을 유지하는 허용 목록 정책을 시행하는 것이 좋습니다. 허용 목록이 무엇이며 조직에 어떻게 도움이 되는지에 대한 적절한 설명을 제공합니다.

• 보유하고 있는 운영 체제의 기본 기능으로 제공되는 애플리케이션 허용 목록의 기능을 사용하십시오. 중앙 위치에서 이러한 정책을 쉽게 구성하고 제어할 수 있습니다. 이렇게 하면 허용 목록에 외부 소프트웨어를 조달할 필요가 없을 수 있으므로 비용을 크게 줄일 수 있습니다.

• 외부 소프트웨어를 구입할 계획이더라도 사용 가능한 옵션을 제대로 조사하고 있는지 확인하십시오. 구현하려는 정책과 일치하는 해당 소프트웨어를 선택하십시오.

• 파일 기반 또는 폴더 기반 정책을 시행하는 것은 어려울 것입니다. 이는 사용자가 일반적으로 폴더에 대한 쓰기 및 실행에 액세스하기 때문입니다. 따라서 승인되지 않은 파일을 수정하는 데 사용할 수 있습니다.

요약하면 허용 목록(1)이라고도 하는 허용 목록은 모든 조직의 데이터 보안에 대한 합리적인 접근 방식으로 간주되었습니다. 사실 블랙리스트를 작성하는 것보다 선호하는 방법입니다. 차이점은 블랙리스트는 일반적으로 맬웨어, 트로이 목마 등과 같이 알려진 요소에서 발생한다는 것입니다.

관리자는 조직에 허용 목록을 배포한 결과로 정의된 사용자 활동 및 사용자 권한을 계속 확인해야 합니다. 결국 허용 목록은 모든 종류의 위협을 탐지하고 강력한 엔드포인트 보안을 보장하기 위한 입증된 방법론 중 하나입니다.

드라이브 바이 다운로드 또는 웹 사이트에서 파일 다운로드 및 신뢰할 수 없는 이메일 첨부 파일 열기는 맬웨어 사고가 발생하는 가장 일반적인 원인 중 일부입니다.

그러나 잘 정의되고 잘 개발된 허용 목록 정책을 구현하면 고의로든 무의식적으로든 침투할 수 있는 그러한 맬웨어 공격과 관련된 위험을 줄일 수 있습니다. 이러한 시스템의 무결성을 유지하는 것이 중요합니다. 시스템에 배포된 응용 프로그램, 특히 임베디드 응용 프로그램을 아는 것이 중요합니다. 우리 모두는 엔드포인트 보안에 절대적인 면역이 없다는 것을 알고 있습니다.

기타 유용한 리소스:

데이터 보안: 알아야 할 모든 것

Security Analytics – 종합 가이드

엔드포인트 보안: 알아야 할 모든 것