Zero Trust Application White List Solution

技術簡介 

工研院所研發的應用程式白名單技術，利用作業系統機制與hypervisor功能，攔截應用程式執行，並在應用程式執行時檢查程式完整性，可保護網通產品、物聯網裝置、ATM、自駕車系統或高安全層級系統，限制在系統上可執行的應用程式，阻斷未知的惡意程式，提供更完整、更安全的保護。

圖1 應用軟體白名單痛點及防護情境

技術特色

傳統資安攻擊手法可歸納為三步驟，駭客利用軟體漏洞入侵裝置，員工在不覺之下將被入侵的BYOD裝置帶到企業環境內使用，導致惡意程式攻擊在企業內部橫向擴散。換言之，只要中止這個過程中的步驟，就能降低攻擊造成的損害。資安攻擊過程大多是，駭客利用漏洞將shellcode植入系統，進而讓系統下載安裝惡意程式，可能造成任何的損害，例如破壞系統的正常運行或是竊取資料等等。

2016年Mirai殭屍網路攻擊肆虐物聯網設備造成重大災情，隨著網路攝影機、智能裝置的淪陷，擁有龐大未來市場以及配備高運算資源的無人車或無人機必然是攻擊者的下一個目標，攻擊者可能透過安全漏洞駭入無人機，進而操控並利用受害載具影響其他無人機飛航安全。本技術提供一可運行於各式平台上的安全防禦系統，將基於應用程式白名單技術的實現防堵未知程序的執行，在技術部份可透過記憶體或檔案為基礎的白名單技術進行嚴格的程序管控，僅允許載具製造商預存之程序執行，並針對每個記憶體頁面 （memory page） 進行查核，驗證該記憶體頁面是否存在於白名單當中，避免保護名單外的可疑程序假冒正常程序規避驗證。

圖2 應用軟體白名單防護技術圖

技術規格

要對特定功能的伺服器建立白名單，得先知道這臺伺服器提供哪些功能，先設妥哪些應用程式必需執行或可允許，將其列入白名單中。工研院開發的Windows-based AWL是，針對可執行的二元碼（Binary Code）、共享函式、核心模組、驅動程式，甚至是Script程式進行檢查，建立應用程式白名單機制。

圖3 應用軟體白名單堆疊圖

應用範圍

透過此技術，能保護各式嵌入式系統與封閉環境系統，縱深防堵惡意攻擊。可阻擋網絡下載程式、郵件附件程式、其他網絡途徑下載程式及其他系統漏洞寫入之惡意程式的入侵，可應用的產業為供應鏈廠商、醫療院所及國防等。

聯絡窗口 

聯絡人：徐福裕 / 雲端運算技術與應用推廣部
電話：03-5914566
Email：ben.hsu@itri.org.tw
https://www.itri.org.tw/
工研院資訊與通訊研究所