Có nhiều phương pháp để bảo mật CNTT khác nhau,
chẳng hạn như bằng danh sách đen, danh sách trắng, các kỹ thuật dựa trên
hành vi, tuy nhiên bên cạnh đó cũng có rất nhiều tranh luận trong lĩnh
vực bảo mật CNTT về tính hiệu quả của mỗi một phương pháp đó.
Trong bài này chúng tôi sẽ xem xét một số phương pháp
bảo mật, cụ thể là về cách hoạt động của chúng như thế nào, điểm mạnh
và điểm yếu của mỗi phương pháp đó cùng với đó là một số thảo luận về
các cơ chế bảo mật ảo hóa.
Các phương pháp bảo mật
Nếu muốn tránh xa những người có nguy cơ nguy hiểm
trên máy bay hoặc tránh xa những đoạn mã độc xuất hiện trong mạng của
mình thì bạn có thể cần đến một trong các phương pháp để quyết định ai
hoặc những đoạn mã gì được ở trong hoặc không. Trong trường hợp kịch
bản đầu tiên đó là xem xét các phương pháp “chiếu tướng” hành khách:
Các trường hợp này áp dụng cho bảo mật mạng như thế nào?
Tất cả trong số các phương pháp này đều là các phương
pháp hợp lệ và tất cả chúng đều có điểm mạnh và điểm yếu riêng, chính
vì vậy chúng ta sẽ đi xem xét đến chúng trong các phần dưới đây.
Dự đoán dựa vào hành vi và dấu hiệu
Phương pháp bảo mật dựa trên hành vi rất hữu dụng cho
những trường hợp mà ở đó người, hoặc chương trình hoặc file không được
phân loại từ trước là “tốt” hay “xấu”. Đây là một phương pháp hiệu quả
(tuy nhiên không hoàn hảo) để phát hiện những mối đe dọa mới mà không
cần phải đợi cho đến khi chúng thực hiện những hành vi gây hại. Có một
câu châm ngôn rằng “nếu trông giống như vịt, đi cũng giống như vịt và kêu cũng giống như vịt thì rất có thể đó là vịt”. Ở mức đơn giản nhất, đó là những gì cơ bản nhất đói với phương pháp bảo mật dựa trên hành vi.
Các
lực lượng an ninh thường sử dụng nhiều phương pháp khác nhau để định
hình hành vi của chúng. Họ nghe ngóng ngôn ngữ của đối tượng, quan sát
nét mặt, những từ ngữ và hành động để cố gắng phát hiện ra những đối
tượng này có nguy hiểm hay không. Những chuyển động của mắt, cường độ
của giọng nói và các hệ số lý học khác có thể chỉ thị stress, điều này
có thể chỉ thị rằng một ai đó đang cố gắng che dấu thứ gì. Tương tự như
vậy, các thuật toán bảo mật dựa trên hành vi cũng sẽ tìm kiếm các dấu
hiệu của một file hoặc một phần của mã không phải là chương trình hợp
lệ.
Bộ lọc bảo mật dựa trên chữ ký hoạt động giống như
một nhân viên an ninh tìm kiếm các dấu hiệu tội phạm dựa trên cách làm
việc hoặc mốt hoạt động của họ. Các hành động cụ thể và các chuỗi mã
được so sánh với một cơ sở dữ liệu các dấu hiệu đã biết, hoặc các chuỗi
đã được định nghĩa từ trước trong mã để biểu thị đó là malware. Phương
pháp bảo mật dựa trên những hành vi dị thường kém rõ ràng; nó nhắm đến
các hành vi hoặc các lệnh/chỉ lệnh trong mã dị thường.
Thuật toán tìm thường được sử dụng để nhận ra các dấu
hiệu dị thường, bằng cách phân tích lưu lượng mạng đi qua, email,… và
so sánh nó với các mẫu hiện hành hoặc phân tích cấu trúc của bản thân
mã. Các cỗ máy tìm kiếm ngày nay thường là các cỗ máy có khả năng “học”
từ những kinh nghiệm trước đó và xây dựng các công thức mới theo đó. Hầu
hết các chương trình chống virus đều sử dụng cách thức tìm kiếm để nhận
diện malware và các biến thể trước khi các nâng cấp về dấu hiệu có sẵn.
Một điểm quan trọng được chỉ ra bởi John Douglas, một
chuyên gia có tiếng trong việc định hình tội phạm là, một trong nhiều
công cụ có thể hữu dụng trong việc điều tra tội phạm và trong thực tế,
việc định hình cần được sử dụng chỉ sau khi có nhiều phương pháp nghiên
cứu truyền thống đã được sử dụng. Hay nói theo cách khác, việc định hình
đơn lẻ không đủ chính xác để có thể được coi như một chỉ thị về tội
phạm. Bởi cùng dấu hiệu như vậy, phương pháp bảo mật dựa trên hành vi
đơn lẻ sẽ không bảo vệ tốt cho máy tính và mạng của bạn. Nó có thể để
lọt một số malware qua đó vì các malware này được viết giống như mã hợp
lệ và có lẽ quan trọng hơn nữa nó sẽ nhận nhầm một số các chương trình
hợp lệ của bạn là malware vì những dấu hiệu khả nghi đáng phải xem xét
của nó.
Danh sách đen
Danh sách đen là một khái niệm được biết đến nhiều và
nó nghe có vẻ xấu khi được sử dụng trong vấn đề chính trị, nổi tiếng
nhất trong Hollywood trong những năm 1940 và 1950 khi những người viết
kịch bản phim đã bị cấm làm việc trong lĩnh vực điện ảnh vì những mối
quan hệ chính trị của họ. Tuy nhiên trong bảo mật máy tính, danh sách
đen lại là một phương pháp hoàn toàn đơn giản trong việc ngăn chặn các
chương trình mã độc tiêm nhiễm hoặc ngăn chặn các thông báo đến từ các
kẻ spam nham hiểm và những người gửi không mong muốn khác vào được hòm
thư của người dùng. Cập nhật cho danh sách có thể được thực hiện một
cách nhanh chóng thông qua một máy chủ chuyên cập nhật. Hầu hết các
chương trình chống virus đều sử dụng một dạng danh sách đen đẻ khóa các
mối hiểm họa đã biết. Việc lọc spam sẽ phụ thuộc vào danh sách đen.
Danh sách đen làm việc tốt trong một số ứng dụng nào
đó. Ví dụ như việc đã xảy ra một vấn đề đối với danh sách đen ở Mỹ vào
năm 2004 khi một thượng nghị sỹ bị cấm bay bởi một tên giống với tên của
anh ta lại được dùng làm bí danh bởi một kẻ tình nghi là kẻ khủng bố và
như vậy tên anh ta nằm trong danh sách “cấm bay” của chính phủ.
Một vấn đề vẫn xảy ra với việc lọc spam dựa trên danh
sách đen là tình trạng bao vây của những người gửi hợp lệ, ví du như
người được báo cáo đến hoặc được bổ sung vào danh sách lại không phải là
spammer, cũng không phải là kẻ thù địch. Một số tổ chức và các cá nhân
riêng lẻ đã nhận thấy rất khó có thể lấy được các địa chỉ của đã bị
remove khi chúng đã nằm trong danh sách đen. Khi bạn sử dụng một danh
sách đen mang tính thương mại, bạn sẽ hưởng lợi rất nhiều về hiệu suất
lưu lượng mạng đối với hãng của nhóm thứ ba.
Tuy nhiên vẫn còn một vấn đề khác nữa đối với danh
sách đen đó là nó chỉ làm việc với những người, những chương trình và
người gửi không mong muốn. Nó không bảo vệ để chống lại những mối nguy
hiểm (những tấn công zero day). Việc quét lưu lượng incoming và so sánh
nó với các danh sách đen có thể sử dụng nhiều tài nguyên và làm chậm lưu
lượng mạng.
Danh sách trắng
Ngược với danh sách đen làm việc theo nguyên lý cho
phép mọi thứ không bị ngăn cấm, danh sách trắng lại sử dụng phương pháp
ngược lại, từ chối mọi thứ không được phép. Kỹ thuật sử dụng trong danh
sách trắng làm việc từ một danh sách các thực thể “known good” (các
chương trình, địa chỉ email, các miền và các URL) và chỉ cho phép các
thực thể nằm trong danh sách. Danh sách trắng có nhiều ưu điểm đó là:
Danh sách trắng là một kỹ thuật đơn giản và cho các
quản trị viên và các công ty kiểm soát được những gì xảy ra với mạng
hoặc chạy trên chạy các máy tính. Ưu điểm là vậy, tuy nhiên danh sách
trắng cũng có những nhược điểm của nó.
Khi sử dụng độc lập, danh sách trắng rất hiệu quả
trong việc tránh malware và spam, tuy nhiên cũng có thể tổ chức cho các
mã hợp lệ có thể chạy và các thông tin hợp lệ đi qua. Với hầu hết người
dùng, giải pháp danh sách trắng không làm việc tốt đối với việc lọc
email vì chúng thường nhận email từ nhiều người mà chúng ta không hề hay
biết, chúng ta đang nói đó là mail hợp lệ và mong muốn. Giải pháp này
cũng không thực tế đối với những người bán hàng vì họ phải nhận nhiều
yêu cầu từ những người hoàn toàn lạ, hay những nhà viết văn nhận thư từ
các độc giả của họ, hay những người làm doanh nghiệp nhận mail từ các
khách hàng của mình. Trong trường hợp này nó có thể làm việc tốt trong
các tài khoản email cá nhân vì đây là những người chỉ muốn đáp trả lại
một nhóm các bạn và các thành viên gia đình họ.
Danh sách trắng phát triển phổ biến và thường được sử
dụng kết hợp với các phương pháp bảo mật khác. Cho ví dụ, nhiều máy
khách email có chứa các bộ lọc spam dùng để phân tích các thông báo và
đánh dấu các tiêu chí nào đó (từ khóa, định dạng, sự lặp lại) sẽ là
spam. Bên cạnh đó chúng cũng cho phép người dùng biên dịch danh sách
“người gửi an toàn” (danh sách trắng) để mail từ các địa chỉ đó sẽ không
bị đánh dấu là spam dù nó không có đủ các tiêu chuẩn cần thiết.
Trong thiết lập doanh nghiệp điển hình, danh sách
trắng rất hữu dụng trong việc điều khiển những thực thi nào có thể chạy
trên máy. Tuy nhiên điều này có thể gây ra vấn đề, chẳng hạn như một
điều khiển nào đó cần để hiển thị đúng website lại không nằm trong danh
sách trắng và người dùng cần truy cập vào site đó để thực hiện công việc
của anh ta. Nếu danh sách trắng này được cấu trúc đúng thì điều này sẽ
không gây ra vấn đề gì, tuy nhiên phương pháp này cũng tạo gánh nặng rất
nhiều lên vai các quản trị viên về những chương trình gì cần phải biết
để cho phép chúng có thể hoạt động trong mạng.
Kết luận
Mỗi một phương pháp bảo mật có những điểm mạnh và
điểm yếu riêng. Mỗi một phương pháp đều có thể cho các kết quả không
mong muốn hoặc mong muốn. Nhiều phương pháp khác nhau làm việc tốt trong
những tình huống khác nhau. Chính vì vậy khi nói đến việc lọc spam thì
sự kết hợp tất cả các phương pháp này sẽ là một lựa chọn tốt nhất. Cho
phép các bộ lọc tự tìm để phân tích mail với những tiêu chuẩn spam
chung, cho phép các danh sách đen để mail nào từ những người gửi nào
hoặc miền nào có thể bị khóa nếu không hội tụ đủ các tiêu chuẩn cần
thiết, cùng với đó là danh sách trắng, nhờ có đó mà mail từ những người
gửi hoặc miền nào đó sẽ được phép đi qua nếu nó hội tụ đủ các điều kiện
cần thiết. Đây chính là phương pháp được sử dụng bởi hầu hết các giải
pháp của phần mềm chống virus hiệu quả nhất đang sử dụng.
Trong môi trường doanh nghiệp, danh sách trắng sạch thuần khuyết là một
giải pháp an toàn nhất với những gì cần thực hiện trong việc triển khai
mã trên các máy tính.
chẳng hạn như bằng danh sách đen, danh sách trắng, các kỹ thuật dựa trên
hành vi, tuy nhiên bên cạnh đó cũng có rất nhiều tranh luận trong lĩnh
vực bảo mật CNTT về tính hiệu quả của mỗi một phương pháp đó.
Trong bài này chúng tôi sẽ xem xét một số phương pháp
bảo mật, cụ thể là về cách hoạt động của chúng như thế nào, điểm mạnh
và điểm yếu của mỗi phương pháp đó cùng với đó là một số thảo luận về
các cơ chế bảo mật ảo hóa.
Các phương pháp bảo mật
Nếu muốn tránh xa những người có nguy cơ nguy hiểm
trên máy bay hoặc tránh xa những đoạn mã độc xuất hiện trong mạng của
mình thì bạn có thể cần đến một trong các phương pháp để quyết định ai
hoặc những đoạn mã gì được ở trong hoặc không. Trong trường hợp kịch
bản đầu tiên đó là xem xét các phương pháp “chiếu tướng” hành khách:
Bạn có thể biện dịch một danh sách các tên khủng bố hoặc các tên
tội phạm đã có tung tích và kiểm tra nhận dạng cá nhân tại cổng vào, xem
tên có hơp với danh sách của bạn hay không và không cho phép những
thành phần này lên máy bay. Đây là một ví dụ về phương pháp bảo mật dựa
trên danh sách đen và nó được sử dụng bởi các hãng hàng không và
Transportation Security Administration (TSA) các lực lượng an ninh tại
hầu hết các sân bay.
Có thể biên dịch một danh sách những cá nhân có lý lịch tốt –
những người đã được các tổ chức có pháp lý xác nhận một cách trung thực,
cung cấp cho họ các thẻ nhận dạng cá nhân và cho phép họ lên máy bay mà
không cần phải thực hiện những hành vi kiểm tra tỉ mỉ. Đây là dạng bảo
mật dựa trên danh sách trắng và nó chính là những vấn đề cơ bản đối với
chương trình “người du hành thân thiện” được đưa ra bởi TSA (hiện được
biết đến với tư cách là chương trình Registered Traveler).
Bạn có thể đóng vai trò một nhân viên an ninh,
người đã được đào tạo trong một số tình huống tra hỏi và quan sát những
người có mang theo vé máy bay và những người hành động một cách khả nghi
sẽ bị ngăn chặn hoặc cấm không cho qua cửa.
Các trường hợp này áp dụng cho bảo mật mạng như thế nào?
Danh sách đen có thể được sử dụng để lọc spam, nhờ có danh sách
đen đó mà bạn sẽ có một danh sách các địa chỉ email hoặc các miền là các
kẻ spam đã hay biết, khi phần mềm phát hiện thấy một thông báo nào đó
có nguồn gốc từ một trong số các nguồn đó, nó sẽ để các thư này vào thư
mục Junk Mail. Danh sách đen cũng có thể được sử dụng để bảo vệ các hệ
thống chống lại các mã độc. Khi bạn có một danh sách các file hoặc các
chương trình được biết là malware, các chương trình và các file này sẽ
bị khóa để không thể mở và cũng không thể chạy.
Danh sách trắng cũng có thể được sử dụng để lọc spam, nhờ có nó
là bạn có được một danh sách các người gửi và miền được coi là “an
toàn”. Mail từ các nguồn này được cho phép luôn chuyển; còn lại các mail
từ các nguồn khác sẽ bị khóa. Danh sách trắng cũng có thể được sử dụng
để bảo vệ hệ thống trong việc tránh mã độc. Khi bạn có một danh sách các
chương trình mong muốn trong tay thì các thực thi không nằm trong danh
sách này của bạn sẽ không được phép chạy.
Phương pháp hành vi cố gắng truy cập rủi ro
rằng mã đó là mã độc dựa trên các đặc tính và các mẫu. Các cơ chế bảo
mật dựa trên chữ ký và điểm dị thường thực hiện kiểu bảo mật dựa trên
hành vi. Các file và các chương trình có khả năng chứa mối nguy hiểm,
dựa trên các mẫu hành vi của chúng, và từ đó sẽ khóa chúng.
Tất cả trong số các phương pháp này đều là các phương
pháp hợp lệ và tất cả chúng đều có điểm mạnh và điểm yếu riêng, chính
vì vậy chúng ta sẽ đi xem xét đến chúng trong các phần dưới đây.
Dự đoán dựa vào hành vi và dấu hiệu
Phương pháp bảo mật dựa trên hành vi rất hữu dụng cho
những trường hợp mà ở đó người, hoặc chương trình hoặc file không được
phân loại từ trước là “tốt” hay “xấu”. Đây là một phương pháp hiệu quả
(tuy nhiên không hoàn hảo) để phát hiện những mối đe dọa mới mà không
cần phải đợi cho đến khi chúng thực hiện những hành vi gây hại. Có một
câu châm ngôn rằng “nếu trông giống như vịt, đi cũng giống như vịt và kêu cũng giống như vịt thì rất có thể đó là vịt”. Ở mức đơn giản nhất, đó là những gì cơ bản nhất đói với phương pháp bảo mật dựa trên hành vi.
Các
lực lượng an ninh thường sử dụng nhiều phương pháp khác nhau để định
hình hành vi của chúng. Họ nghe ngóng ngôn ngữ của đối tượng, quan sát
nét mặt, những từ ngữ và hành động để cố gắng phát hiện ra những đối
tượng này có nguy hiểm hay không. Những chuyển động của mắt, cường độ
của giọng nói và các hệ số lý học khác có thể chỉ thị stress, điều này
có thể chỉ thị rằng một ai đó đang cố gắng che dấu thứ gì. Tương tự như
vậy, các thuật toán bảo mật dựa trên hành vi cũng sẽ tìm kiếm các dấu
hiệu của một file hoặc một phần của mã không phải là chương trình hợp
lệ.
Bộ lọc bảo mật dựa trên chữ ký hoạt động giống như
một nhân viên an ninh tìm kiếm các dấu hiệu tội phạm dựa trên cách làm
việc hoặc mốt hoạt động của họ. Các hành động cụ thể và các chuỗi mã
được so sánh với một cơ sở dữ liệu các dấu hiệu đã biết, hoặc các chuỗi
đã được định nghĩa từ trước trong mã để biểu thị đó là malware. Phương
pháp bảo mật dựa trên những hành vi dị thường kém rõ ràng; nó nhắm đến
các hành vi hoặc các lệnh/chỉ lệnh trong mã dị thường.
Thuật toán tìm thường được sử dụng để nhận ra các dấu
hiệu dị thường, bằng cách phân tích lưu lượng mạng đi qua, email,… và
so sánh nó với các mẫu hiện hành hoặc phân tích cấu trúc của bản thân
mã. Các cỗ máy tìm kiếm ngày nay thường là các cỗ máy có khả năng “học”
từ những kinh nghiệm trước đó và xây dựng các công thức mới theo đó. Hầu
hết các chương trình chống virus đều sử dụng cách thức tìm kiếm để nhận
diện malware và các biến thể trước khi các nâng cấp về dấu hiệu có sẵn.
Một điểm quan trọng được chỉ ra bởi John Douglas, một
chuyên gia có tiếng trong việc định hình tội phạm là, một trong nhiều
công cụ có thể hữu dụng trong việc điều tra tội phạm và trong thực tế,
việc định hình cần được sử dụng chỉ sau khi có nhiều phương pháp nghiên
cứu truyền thống đã được sử dụng. Hay nói theo cách khác, việc định hình
đơn lẻ không đủ chính xác để có thể được coi như một chỉ thị về tội
phạm. Bởi cùng dấu hiệu như vậy, phương pháp bảo mật dựa trên hành vi
đơn lẻ sẽ không bảo vệ tốt cho máy tính và mạng của bạn. Nó có thể để
lọt một số malware qua đó vì các malware này được viết giống như mã hợp
lệ và có lẽ quan trọng hơn nữa nó sẽ nhận nhầm một số các chương trình
hợp lệ của bạn là malware vì những dấu hiệu khả nghi đáng phải xem xét
của nó.
Danh sách đen
Danh sách đen là một khái niệm được biết đến nhiều và
nó nghe có vẻ xấu khi được sử dụng trong vấn đề chính trị, nổi tiếng
nhất trong Hollywood trong những năm 1940 và 1950 khi những người viết
kịch bản phim đã bị cấm làm việc trong lĩnh vực điện ảnh vì những mối
quan hệ chính trị của họ. Tuy nhiên trong bảo mật máy tính, danh sách
đen lại là một phương pháp hoàn toàn đơn giản trong việc ngăn chặn các
chương trình mã độc tiêm nhiễm hoặc ngăn chặn các thông báo đến từ các
kẻ spam nham hiểm và những người gửi không mong muốn khác vào được hòm
thư của người dùng. Cập nhật cho danh sách có thể được thực hiện một
cách nhanh chóng thông qua một máy chủ chuyên cập nhật. Hầu hết các
chương trình chống virus đều sử dụng một dạng danh sách đen đẻ khóa các
mối hiểm họa đã biết. Việc lọc spam sẽ phụ thuộc vào danh sách đen.
Danh sách đen làm việc tốt trong một số ứng dụng nào
đó. Ví dụ như việc đã xảy ra một vấn đề đối với danh sách đen ở Mỹ vào
năm 2004 khi một thượng nghị sỹ bị cấm bay bởi một tên giống với tên của
anh ta lại được dùng làm bí danh bởi một kẻ tình nghi là kẻ khủng bố và
như vậy tên anh ta nằm trong danh sách “cấm bay” của chính phủ.
Một vấn đề vẫn xảy ra với việc lọc spam dựa trên danh
sách đen là tình trạng bao vây của những người gửi hợp lệ, ví du như
người được báo cáo đến hoặc được bổ sung vào danh sách lại không phải là
spammer, cũng không phải là kẻ thù địch. Một số tổ chức và các cá nhân
riêng lẻ đã nhận thấy rất khó có thể lấy được các địa chỉ của đã bị
remove khi chúng đã nằm trong danh sách đen. Khi bạn sử dụng một danh
sách đen mang tính thương mại, bạn sẽ hưởng lợi rất nhiều về hiệu suất
lưu lượng mạng đối với hãng của nhóm thứ ba.
Tuy nhiên vẫn còn một vấn đề khác nữa đối với danh
sách đen đó là nó chỉ làm việc với những người, những chương trình và
người gửi không mong muốn. Nó không bảo vệ để chống lại những mối nguy
hiểm (những tấn công zero day). Việc quét lưu lượng incoming và so sánh
nó với các danh sách đen có thể sử dụng nhiều tài nguyên và làm chậm lưu
lượng mạng.
Danh sách trắng
Ngược với danh sách đen làm việc theo nguyên lý cho
phép mọi thứ không bị ngăn cấm, danh sách trắng lại sử dụng phương pháp
ngược lại, từ chối mọi thứ không được phép. Kỹ thuật sử dụng trong danh
sách trắng làm việc từ một danh sách các thực thể “known good” (các
chương trình, địa chỉ email, các miền và các URL) và chỉ cho phép các
thực thể nằm trong danh sách. Danh sách trắng có nhiều ưu điểm đó là:
Không cần phải chạy phần mềm chống virus được cập nhật thường
xuyên. Mọi thứ không có trong danh sách sẽ không được phép để chạy.
Các hệ thống được bảo vệ tránh được các tấn công zero day.
Người dùng không thể chạy các chương trình
không thẩm định mà không nằm trong danh sách, chính vì vậy bạn không
phải lo lắng về chúng hay bị cài đặt các thực thi xấu.
Danh sách trắng là một kỹ thuật đơn giản và cho các
quản trị viên và các công ty kiểm soát được những gì xảy ra với mạng
hoặc chạy trên chạy các máy tính. Ưu điểm là vậy, tuy nhiên danh sách
trắng cũng có những nhược điểm của nó.
Khi sử dụng độc lập, danh sách trắng rất hiệu quả
trong việc tránh malware và spam, tuy nhiên cũng có thể tổ chức cho các
mã hợp lệ có thể chạy và các thông tin hợp lệ đi qua. Với hầu hết người
dùng, giải pháp danh sách trắng không làm việc tốt đối với việc lọc
email vì chúng thường nhận email từ nhiều người mà chúng ta không hề hay
biết, chúng ta đang nói đó là mail hợp lệ và mong muốn. Giải pháp này
cũng không thực tế đối với những người bán hàng vì họ phải nhận nhiều
yêu cầu từ những người hoàn toàn lạ, hay những nhà viết văn nhận thư từ
các độc giả của họ, hay những người làm doanh nghiệp nhận mail từ các
khách hàng của mình. Trong trường hợp này nó có thể làm việc tốt trong
các tài khoản email cá nhân vì đây là những người chỉ muốn đáp trả lại
một nhóm các bạn và các thành viên gia đình họ.
Danh sách trắng phát triển phổ biến và thường được sử
dụng kết hợp với các phương pháp bảo mật khác. Cho ví dụ, nhiều máy
khách email có chứa các bộ lọc spam dùng để phân tích các thông báo và
đánh dấu các tiêu chí nào đó (từ khóa, định dạng, sự lặp lại) sẽ là
spam. Bên cạnh đó chúng cũng cho phép người dùng biên dịch danh sách
“người gửi an toàn” (danh sách trắng) để mail từ các địa chỉ đó sẽ không
bị đánh dấu là spam dù nó không có đủ các tiêu chuẩn cần thiết.
Trong thiết lập doanh nghiệp điển hình, danh sách
trắng rất hữu dụng trong việc điều khiển những thực thi nào có thể chạy
trên máy. Tuy nhiên điều này có thể gây ra vấn đề, chẳng hạn như một
điều khiển nào đó cần để hiển thị đúng website lại không nằm trong danh
sách trắng và người dùng cần truy cập vào site đó để thực hiện công việc
của anh ta. Nếu danh sách trắng này được cấu trúc đúng thì điều này sẽ
không gây ra vấn đề gì, tuy nhiên phương pháp này cũng tạo gánh nặng rất
nhiều lên vai các quản trị viên về những chương trình gì cần phải biết
để cho phép chúng có thể hoạt động trong mạng.
Kết luận
Mỗi một phương pháp bảo mật có những điểm mạnh và
điểm yếu riêng. Mỗi một phương pháp đều có thể cho các kết quả không
mong muốn hoặc mong muốn. Nhiều phương pháp khác nhau làm việc tốt trong
những tình huống khác nhau. Chính vì vậy khi nói đến việc lọc spam thì
sự kết hợp tất cả các phương pháp này sẽ là một lựa chọn tốt nhất. Cho
phép các bộ lọc tự tìm để phân tích mail với những tiêu chuẩn spam
chung, cho phép các danh sách đen để mail nào từ những người gửi nào
hoặc miền nào có thể bị khóa nếu không hội tụ đủ các tiêu chuẩn cần
thiết, cùng với đó là danh sách trắng, nhờ có đó mà mail từ những người
gửi hoặc miền nào đó sẽ được phép đi qua nếu nó hội tụ đủ các điều kiện
cần thiết. Đây chính là phương pháp được sử dụng bởi hầu hết các giải
pháp của phần mềm chống virus hiệu quả nhất đang sử dụng.
Trong môi trường doanh nghiệp, danh sách trắng sạch thuần khuyết là một
giải pháp an toàn nhất với những gì cần thực hiện trong việc triển khai
mã trên các máy tính.