5.3.2.2 应用白名单策略

文档摘要

5.3.2.2 应用白名单策略 5.3.2.2 应用白名单策略：当突然失效——一次由系统调用绕过引发的白名单失守实录凌晨两点十七分，监控告警弹窗在终端右下角无声炸开：这不是演习。这是某金融核心交易网关主机上，应用白名单策略上线第47小时的真实告警。而就在三小时前，该主机刚通过等保三级“主机层加固”专项审计——审计报告里赫然写着：“应用白名单策略已全覆盖关键路径， , , 三目录执行行为100%受控”。可现实没有“100%”。它只有一条被悄悄撬开的缝隙，藏在Linux内核3.19之后悄然引入、却长期被安全策略忽视的系统调用里：。一、你以为的“白名单”，可能只是在给守门我们习惯性地将“应用白名单”等同于“只允许特定路径下的二进制文件被执行”。