Articles

Blacklisting vs. Whitelisting

On 20 září, 2021 by
12. srpna 2019

Chráníte-li zařízení nebo síť před potenciálními hrozbami, musíte řídit přístup. To vyžaduje dobře definovaný perimetr a způsoby, jak tento perimetr bránit. Vyžaduje to také, abyste rozhodli, kterým subjektům by měl být přístup povolen a kterým by měl být zablokován.

K řízení toho, které subjekty získají přístup do systému, se používají dva základní přístupy – blacklisting a whitelisting. Obě metody mají svá pro a proti a ne všichni se shodují na tom, který přístup je nejlepší použít. Správná volba závisí především na potřebách a cílech vaší organizace a často je ideální taktikou kombinace obou. Podívejme se na blacklisting a whitelisting podrobněji a proberme rozdíly mezi oběma metodami.

Co je blacklisting?

Přístup blacklistingu zahrnuje definování entit, které by měly být blokovány. Černá listina je seznam podezřelých nebo škodlivých entit, kterým by měl být odepřen přístup nebo práva ke spuštění v síti nebo systému.

Příklad ve fyzickém světě může orgán hraniční kontroly vést černou listinu známých nebo podezřelých teroristů. Majitel obchodu může mít černou listinu zlodějů. Ve světě síťové bezpečnosti se černá listina často skládá ze škodlivého softwaru, jako jsou viry, spyware, trojské koně, červi a další druhy malwaru. Můžete mít také černou listinu uživatelů, IP adres, aplikací, e-mailových adres, domén, procesů nebo organizací. Černou listinu můžete použít prakticky na jakýkoli aspekt sítě.

Podezřelé nebo škodlivé entity můžete identifikovat podle jejich digitálních podpisů, heuristiky, chování nebo jinými způsoby. K vytvoření černé listiny aplikací mohou organizace vytvářet vlastní černé listiny a také používat seznamy vytvořené třetími stranami, například poskytovateli služeb zabezpečení sítě. Vytváření černých listin je tradičním přístupem k řízení přístupu a již dlouho se používá v antivirových nástrojích, spamových filtrech, systémech detekce narušení a dalších bezpečnostních softwarových programech.

Přístup založený na vytváření černých listin je zaměřen na hrozby a ve výchozím nastavení je přístup povolen. Každé entitě, která není na černé listině, je povolen přístup, ale vše, o čem je známo nebo se předpokládá, že představuje hrozbu, je zablokováno.

Shrnuto:

  • Blacklisting zahrnuje blokování přístupu podezřelým nebo škodlivým entitám.
  • Výchozí nastavení je povolit přístup.
  • Blacklisting je zaměřen na hrozby.

Jaké jsou výhody a nevýhody blacklistingu?

Jednou z největších výhod přístupu blacklistingu je jeho jednoduchost. Funguje na jednoduchém principu – stačí identifikovat známé a podezřelé hrozby, zakázat jim přístup a vše ostatní nechat být.

Pro uživatele je to přístup s relativně nízkými nároky na údržbu. V mnoha případech se o sestavení seznamu postará váš bezpečnostní software nebo poskytovatel bezpečnostních služeb bez nutnosti většího přispění uživatele.

Černá listina však nikdy nemůže být úplná, protože se neustále objevují nové hrozby. Institut AV-TEST, který se zabývá výzkumem bezpečnosti IT, registruje každý den více než 350 000 nových škodlivých programů a potenciálně nechtěných aplikací. Udržet krok s těmito hrozbami je sice náročné, ale sdílení informací o hrozbách může pomoci zvýšit účinnost černých listin.

I při sdílení informací je pro poskytovatele bezpečnostního softwaru snadné přehlédnout hrozby jednoduše proto, že jich je tolik. Zatímco proti známým hrozbám jsou černé listiny účinné, proti novým, neznámým hrozbám, jako jsou útoky nultého dne, jsou k ničemu. Pokud má vaše organizace tu smůlu, že je jako první zasažena novým druhem útoku, blacklisting ho nedokáže zastavit.

Hackeři také někdy navrhují malware speciálně tak, aby se vyhnul detekci nástroji, které používají systém blacklistů. Mohou být schopni upravit malware tak, aby jej nástroj blacklistu nerozpoznal jako položku na černé listině.

Co je whitelisting?

Whitelisting řeší stejné problémy jako blacklisting, ale používá opačný přístup. Místo vytvoření seznamu hrozeb vytvoříte seznam povolených entit a vše ostatní zablokujete. Je založen na důvěře a ve výchozím nastavení je odmítnuto vše nové, pokud se neprokáže, že je to přijatelné. Výsledkem je mnohem přísnější přístup k řízení přístupu. Je to obdoba toho, jako kdybyste každému zakázali přístup do kancelářské budovy, pokud neprojde prověrkou a nemá pověření, které to prokáže.

Pokud brána firewall povolí přístup do sítě například pouze určitým adresám IP, používá přístup whitelisting. Dalším příkladem, se kterým se většina lidí setkala, je obchod s aplikacemi Apple. Ten umožňuje uživatelům spouštět pouze aplikace, které společnost Apple schválila a povolila do obchodu s aplikacemi.

Nejjednodušší technikou, kterou můžete použít k vytvoření bílé listiny aplikací, je jejich identifikace podle názvu souboru, velikosti a cesty k adresáři. Problém této techniky však spočívá v tom, že hackeři mohou vytvořit aplikaci se stejným názvem a velikostí souboru jako aplikace zařazená na bílou listinu a umožnit jí proklouznout do systému. Proti této možnosti lze bojovat přísnějším přístupem, který doporučuje americký Národní institut pro standardy a technologie (NIST). Zahrnuje použití kryptografických technik hash a digitálních podpisů výrobce nebo vývojáře každé komponenty.

Chcete-li vytvořit bílou listinu pro síťovou úroveň, musíte zvážit všechny úlohy, které uživatelé potřebují provést, a nástroje, které budou k jejich provedení potřebovat. Tento bílý seznam na úrovni sítě může zahrnovat síťovou infrastrukturu, lokality, umístění, aplikace, uživatele, dodavatele, služby a porty a také jemnější detaily, jako jsou závislosti aplikací, softwarové knihovny, zásuvné moduly, rozšíření a konfigurační soubory. Na úrovni uživatelů může whitelist zahrnovat e-mailové adresy, soubory a programy. Použití přístupu založeného na bílých seznamech vyžaduje, abyste zvážili aktivitu uživatelů i jejich oprávnění.

Organizace mohou vytvářet vlastní bílé seznamy nebo spolupracovat s třetími stranami, které obvykle vytvářejí bílé seznamy založené na reputaci a přidělují hodnocení softwaru a dalším položkám na základě jejich stáří, digitálních podpisů a dalších faktorů.

Shrnuto:

  • Bílá listina zahrnuje povolení přístupu pouze schváleným subjektům.
  • Výchozí nastavení je blokování přístupu.
  • Bílá listina je zaměřena na důvěryhodnost.

Jaké jsou výhody a nevýhody whitelistingu?

Whitelisting je mnohem přísnější přístup ke kontrole přístupu než blacklisting, protože výchozím nastavením je odmítnutí položek a vpuštění pouze těch, které jsou prokazatelně bezpečné. To znamená, že riziko, že někdo škodlivý získá přístup do systému, je při použití přístupu whitelisting mnohem nižší.

Ačkoli whitelisting nabízí silnější zabezpečení, jeho implementace může být také složitější. Je obtížné pověřit vytvořením bílé listiny třetí stranu, protože ta potřebuje informace o používaných aplikacích. Protože vyžaduje informace specifické pro každou organizaci, vyžaduje více vstupů od uživatelů. Většina organizací pravidelně mění používané nástroje, což znamená, že při každé instalaci nové aplikace nebo opravě stávající aplikace musí aktualizovat whitelist. Z administrativního hlediska může být whitelisting pro uživatele složitější, zejména pokud mají větší a složitější systémy.

Aplikace na whitelistu také omezují, co mohou uživatelé se svými systémy dělat. Nemohou si instalovat, co se jim zlíbí, což omezuje jejich kreativitu a úlohy, které mohou provádět. Existuje také možnost, že whitelisting povede k zablokování požadovaného provozu, což je u některých aplikací pravděpodobnější než u jiných.

Co je greylisting?

Další technikou, která souvisí s blacklistingem a whitelistingem, ale méně často se o ní mluví, je graylisting, psaný také jako greylisting. Jak název napovídá, je to něco mezi blacklistingem a whitelistingem. Obvykle se používá společně s alespoň jednou z těchto dvou hlavních metod.

Greylist je seznam, do kterého můžete zařadit položky, u nichž jste zatím nepotvrdili, zda jsou neškodné, nebo škodlivé. Položkám na šedé listině je dočasně zakázán přístup do systému. Poté, co se položka ocitne na šedé listině, ji dále prověřujete nebo shromažďujete další informace, abyste určili, zda má být povolena, nebo ne. V ideálním případě nezůstávají věci na šedé listině dlouho a rychle se přesunou buď na černou, nebo bílou listinu.

Jak se rozhodnete, co s položkou na šedé listině udělat, závisí na druhu entity, o kterou se jedná. Bezpečnostní nástroj může například vyzvat k rozhodnutí uživatele nebo správce sítě.

Jedním z příkladů použití šedé listiny je e-mail. Pokud si spamový filtr není jistý, zda má zprávu přijmout, může ji dočasně zablokovat. Pokud se odesílatel pokusí zprávu ve stanoveném období odeslat znovu, bude doručena. V opačném případě zprávu odmítne. V pozadí tohoto postupu je myšlenka, že většina spamu pochází z aplikací určených k rozesílání spamu, nikoli od skutečných uživatelů, takže se nebudou pokoušet e-mail znovu odeslat, pokud dostanou zprávu, že je dočasně zablokován. Skutečný uživatel by naopak e-mail odeslal znovu.

Který přístup byste měli použít?

Takže, který přístup je pro vás ten správný? Podívejme se, kdy použít každý z nich a jak použít oba dohromady.

Kdy použít blacklisting

Blacklisting je správnou volbou, pokud chcete uživatelům usnadnit přístup do vašich systémů a chcete minimalizovat nároky na správu. Pokud si těchto věcí ceníte více než co nejpřísnějšího řízení přístupu, zvolte blacklisting.

Blacklisting je tradičně nejčastějším přístupem, který bezpečnostní týmy používají především proto, že když lidé navrhují systémy, často chtějí, aby k nim mělo přístup co nejvíce lidí. Například e-shop bude s největší pravděpodobností raději riskovat příležitostnou podvodnou transakci, než aby legitimnímu zákazníkovi zablokoval možnost nákupu. Kdyby e-shop blokoval každého zákazníka, kterého ještě nezná, dlouho by nevydržel.

Pokud chcete něco poskytnout veřejnosti a maximalizovat počet lidí, kteří to mohou používat, je blacklisting obvykle nejlepším přístupem.

Zkrátka blacklisting použijte, když:

  • Chcete, aby veřejnost mohla používat systém, například e-shop.
  • Chcete méně omezující prostředí.
  • Chcete minimalizovat nároky na správu.

Kdy použít whitelisting

Pokud naopak chcete maximalizovat zabezpečení a nevadí vám dodatečné nároky na správu nebo omezená přístupnost, je whitelisting nejlepší volbou. Whitelisting je ideální v případech, kdy je rozhodující přísná kontrola přístupu a zabezpečení.

Whitelisting funguje dobře pro systémy, které nejsou veřejné. Máte-li například aplikaci, ke které potřebují mít přístup pouze vybraní zaměstnanci vaší společnosti, můžete na whitelist zařadit IP adresy jejich počítačů a zablokovat přístup k aplikaci všem ostatním IP adresám.

Dále může být whitelist užitečný, pokud chcete definovat, jaké akce může aplikace nebo služba provádět, a omezit jí provádění čehokoli jiného. Toho můžete dosáhnout vytvořením bílé listiny určitých typů chování. Příkladem může být počítač, který používáte pouze k provádění jedné konkrétní úlohy. Například v hotelové hale můžete mít počítač, který mohou hosté používat k přihlášení. Můžete vytvořit bílou listinu webových stránek hotelu, aby to byly jediné stránky, ke kterým mohou hosté na tomto zařízení přistupovat. Jako další příklad můžete vytvořit zásadu, která povolí mikroslužbě spotřebovat určité množství prostředků nebo běžet na určitém hostiteli, ale vypne ji, pokud se pokusí využít více prostředků nebo se přesunout na jiného hostitele.

To by nebylo praktické provést pomocí blacklistu, protože počet možných chování, která nechcete, aby aplikace prováděla, je příliš vysoký. Nemůžete předvídat, co všechno by aplikace mohla dělat, ale můžete definovat, co chcete, aby dělala, pokud chcete, aby dělala jen velmi specifické věci.

Bílou listinu použijte, když:

  • Systém musí používat jen vybraná skupina uživatelů.
  • Chcete více kontrolované prostředí.
  • Nevadí vám investovat více úsilí do správy.

Použití blacklistu a whitelistu společně

Často je ideální volbou použití blacklistu a whitelistu společně. Můžete použít různé přístupy na různých úrovních infrastruktury a dokonce použít oba přístupy v rámci jedné úrovně.

Můžete například použít blacklistový přístup k detekci malwaru a instrukcí pomocí bezpečnostního softwaru, ale ke kontrole přístupu do sítě jako celku použít whitelistový přístup. Můžete také vytvořit černou listinu hostitelů na základě jejich IP adres a zároveň bílou listinu požadovaného chování aplikací.

Můžete také vytvořit bílou listinu přístupu ke službě na základě geografické oblasti tím, že povolíte přístup pouze uživatelům z oblastí, o kterých víte, že se v nich nacházejí skuteční uživatelé. Zároveň byste však mohli mít černou listinu škodlivých uživatelů, kteří se v těchto regionech nacházejí. To je příklad použití whitelistingu i blacklistingu v rámci jedné úrovně.

Mnoho organizací používá blacklisting i whitelisting pro různé části svých bezpečnostních strategií. Například řízení přístupu k počítači nebo účtu pomocí hesla je whitelisting. Přístup je povolen pouze těm, kteří mají dané heslo, a všichni ostatní se tam nedostanou. Mnoho stejných organizací také provozuje programy proti malwaru, které k blokování škodlivých programů používají černou listinu známého škodlivého softwaru.

Zlepšete zabezpečení své sítě s Consolidated Technologies, Inc.

Kontrola přístupu je středobodem zabezpečení sítě. Blacklisting i whitelisting jsou legitimní přístupy ke kontrole přístupu k sítím a k zajištění bezpečnosti dat. Ten správný pro vás závisí na potřebách a cílech vaší organizace.

Experti ze společnosti Consolodated Technologies, Inc. vám pomohou zjistit, které strategie kybernetické bezpečnosti jsou pro vaši organizaci nejlepší, a poskytnou vám řadu řešení, která vám pomohou splnit vaše bezpečnostní cíle. Nabízíme řešení firewallů, posouzení zranitelnosti sítě, pomoc s dodržováním předpisů a dokonce i komplexní spravovaná bezpečnostní řešení. Chcete-li si promluvit s některým z našich odborníků o tom, které strategie a řešení kybernetické bezpečnosti jsou pro vás vhodné, kontaktujte nás ještě dnes.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.