撰 / Ben Kliger, Senior Product Manager, Azure Security Center
儘管過去幾年威脅情況發生了遽變,但惡意軟體檢測依然是最大的問題之一。有一場無盡的競賽等著我們 - 攻擊者開發新的惡意軟體,所以安全廠商創建新的簽名來檢測它,然後攻擊者又創建新的惡意軟體變種以避免檢測…循環繼續。惡意軟體並不是唯一一種可能使服務器面臨風險的應用程式。未經授權的軟體可能會引入攻擊者利用的漏洞。大多數組織缺乏必要的應用程式跟踪和控制,使他們無視這些風險。
應用程式控制(例如白名單)可以限制易受攻擊的應用程式對惡意軟體的暴露。應用程式白名單不會與快速發展的惡意軟體和新漏洞保持同步,而是會阻止所有除了已知的良好應用程式以外的東西。對於通常運行一組固定應用程式的專用服務器,白名單可以提供顯著的附加保護。您可以使用應用程式控制來:
- 阻止新型和未知的惡意軟體。
- 遵守組織的安全策略,僅指定使用授權軟體。
- 避免舊的和不受支持的應用程式。
- 防止組織不允許的特定軟體工具。
雖然應用程式白名單的概念已經存在一段時間了,但它並沒有被廣泛使用。這是由於每個服務器或一組服務器創建和應用準確的白名單策略的複雜性,以及在大型環境中大規模管理這些策略所致。
Azure 安全中心最近發布了自適應應用程式控制,該應用程式控制採用創新方法應用白名單,使您能夠在不產生管理開銷的情況下實現安全優勢。機器學習用於分析 Azure VM 的行為,創建應用程式基線,將 VM 分組並確定它們是否適合應用程式白名單,並建議並自動應用適當的白名單規則。另外,安全中心還提供了可以利用這些應用程式繞過應用程式白名單解決方案的應用程式,並提供全面的管理和監控功能,通過這些功能,您可以更改現有的白名單(例如刪除/添加應用程式)並留意白名單上的違反項目。
自適應應用程式控件目前可用於在 Azure 中運行的 Windows 計算機(所有版本,經典或Azure資源管理器)。要開始使用,請打開安全中心並選擇應用程式白名單磁貼,如下所示。
選擇資源組以查看並應用推薦的應用程序白名單規則。
新規則通常被設置為審核模式,會向違反規則的應用程式發出警告,但您也可以編輯想更改的政策,以便使用強制模式阻止這些應用程序。 您也可以隨時編輯這些規則的詳細信息。
Azure Security Center Standard 的用戶可以使用自適應應用程序控製作為有限的公開預覽。( Please send an email with your subscription IDs to ASC_appcontrol@microsoft.com to join the preview!)
欲詳細了解安全管理員的功能和不同選項,請訪問我們的文檔頁面。