Blacklisting vs. Whitelisting

For at beskytte en enhed eller et netværk mod potentielle trusler er du nødt til at kontrollere adgangen. Dette kræver en veldefineret perimeter og metoder til at forsvare denne perimeter. Det kræver også, at du beslutter, hvilke enheder der skal have adgang, og hvilke der skal blokeres.

Der er to primære tilgange, der bruges til at styre, hvilke enheder der får adgang til dit system – blacklisting og whitelisting. Begge metoder har deres fordele og ulemper, og ikke alle er enige om, hvilken metode der er den bedste at bruge. Det rigtige valg afhænger mest af din organisations behov og mål, og ofte er den ideelle taktik en kombination af begge dele. Lad os se nærmere på blacklisting og whitelisting og diskutere forskellene mellem de to metoder.

Hvad er blacklisting?

Den blacklisting-tilgang indebærer, at man definerer, hvilke enheder der skal blokeres. En sortliste er en liste over mistænkelige eller ondsindede enheder, som bør nægtes adgang eller driftsrettigheder på et netværk eller system.

Som eksempel ude i den fysiske verden kan en grænsekontrolmyndighed f.eks. opretholde en sortliste over kendte eller mistænkte terrorister. En butiksejer kan f.eks. have en sortliste over butikstyve. I netsikkerhedsverdenen består en sortliste ofte af skadelig software som f.eks. virus, spyware, trojanere, orme og andre former for malware. Du kan også have en sortliste over brugere, IP-adresser, programmer, e-mailadresser, domæner, processer eller organisationer. Du kan anvende sortlistning på stort set alle aspekter af dit netværk.

Du kan identificere mistænkelige eller skadelige enheder ved hjælp af deres digitale signaturer, heuristik, adfærd eller på anden vis. For at sortliste programmer kan organisationer oprette deres egne sortlister og også bruge lister, der er oprettet af tredjeparter, f.eks. udbydere af netværkssikkerhedstjenester. Blacklisting er den traditionelle tilgang til adgangskontrol og har længe været anvendt af antivirusværktøjer, spamfiltre, indtrængningsdetektionssystemer og andre sikkerhedssoftwareprogrammer.

Den blacklistede tilgang er trusselscentreret, og standardindstillingen er at tillade adgang. Enhver enhed, der ikke er på sortlisten, får adgang, men alt, der vides eller forventes at være en trussel, blokeres.

For at opsummere:

• Blacklisting indebærer blokering af adgangen til mistænkelige eller ondsindede enheder.
• Det er standard at tillade adgang.
• Blacklisting er trusselscentreret.

Hvad er fordele og ulemper ved blacklisting?

En af de største fordele ved blacklisting-tilgangen er dens enkelthed. Den fungerer ud fra et simpelt princip – man skal blot identificere de kendte og mistænkte trusler, nægte dem adgang og lade alt andet gå.

For brugerne er det en tilgang, der kræver relativt lidt vedligeholdelse. I mange tilfælde vil dit sikkerhedsprogram eller din sikkerhedstjenesteudbyder klare udarbejdelsen af listen uden behov for input fra brugeren.

En sortliste kan dog aldrig være omfattende, da der hele tiden dukker nye trusler op. Hver dag registrerer AV-TEST Institute, som forsker i it-sikkerhed, mere end 350.000 nye skadelige programmer og potentielt uønskede programmer. Selv om det er en udfordring at holde styr på disse trusler, kan udveksling af oplysninger om trusler være med til at gøre sortlisterne mere effektive.

Selv med udveksling af oplysninger er det let for udbydere af sikkerhedssoftware at overse trusler, simpelthen fordi der er så mange. Mens sortlister er effektive over for kendte trusler, er de ubrugelige over for nye, ukendte trusler som f.eks. zero-day-angreb. Hvis din organisation er uheldig nok til at være den første, der bliver ramt af en ny type angreb, vil blacklisting ikke kunne stoppe det.

Hackere designer også nogle gange malware specifikt for at undgå at blive opdaget af værktøjer, der bruger et blacklist-system. De kan være i stand til at ændre den skadelige software, så blacklisteværktøjet ikke genkender den som et blacklistet element.

Hvad er whitelisting?

Whitelisting tager fat på de samme udfordringer som blacklisting, men bruger den modsatte tilgang. I stedet for at oprette en liste over trusler opretter du en liste over tilladte enheder og blokerer alt andet. Det er baseret på tillid, og standarden er at afvise alt nyt, medmindre det er bevist, at det er acceptabelt. Dette resulterer i en meget strengere tilgang til adgangskontrol. Det svarer til at nægte alle adgang til din kontorbygning, medmindre de kan bestå et baggrundstjek og har legitimationsoplysningerne til at bevise det.

Hvis en firewall f.eks. kun tillader bestemte IP-adresser at få adgang til et netværk, bruger den whitelisting-tilgangen. Et andet eksempel, som de fleste mennesker har haft med at gøre, er Apples app-butik. Virksomheden lader kun brugerne køre de apps, som Apple har godkendt og tilladt i app-butikken.

Den enkleste teknik, du kan bruge til at whiteliste programmer, er at identificere dem ved hjælp af deres filnavn, størrelse og mappesti. Problemet med denne teknik er dog, at hackere kan oprette en app med samme filnavn og størrelse som den whitelistede app, så den kan slippe ind i systemet. For at bekæmpe denne mulighed kan du bruge en strengere tilgang, som det amerikanske National Institute of Standards and Technology (NIST) anbefaler. Den indebærer anvendelse af kryptografiske hash-teknikker og de digitale signaturer fra producenten eller udvikleren af hver enkelt komponent.

For at oprette en whitelist på netværksniveau skal du overveje alle de opgaver, som brugerne skal udføre, og de værktøjer, som de skal bruge for at udføre dem. Denne whitelist på netværksniveau kan omfatte netværksinfrastruktur, steder, lokationer, applikationer, brugere, entreprenører, tjenester og porte samt finere detaljer såsom applikationsafhængigheder, softwarebiblioteker, plugins, udvidelser og konfigurationsfiler. På brugerniveau kan en whitelist omfatte e-mail-adresser, filer og programmer. Ved at bruge whitelist-tilgangen skal man tage hensyn til brugeraktivitet samt brugerrettigheder.

Organisationer kan oprette deres egne whitelister eller samarbejde med tredjeparter, der typisk opretter omdømme-baserede whitelister og giver vurderinger til software og andre elementer på baggrund af deres alder, digitale signaturer og andre faktorer.

For at opsummere:

• Whitelisting indebærer, at man kun tillader adgang for godkendte enheder.
• Standard er at blokere adgang.
• Whitelisting er tillidsbaseret.

Hvad er fordele og ulemper ved whitelisting?

Whitelisting er en meget strengere tilgang til adgangskontrol end blacklisting, da standardværdien er at nægte elementer og kun lukke ind for dem, der er bevist sikre. Det betyder, at risikoen for, at en ondsindet person får adgang til dit system, er meget mindre, når du bruger whitelisting-tilgangen.

Mens whitelisting giver stærkere sikkerhed, kan det også være mere komplekst at implementere. Det er vanskeligt at uddelegere oprettelsen af en whitelist til en tredjepart, fordi de har brug for oplysninger om de programmer, du bruger. Fordi det kræver oplysninger, der er specifikke for hver organisation, kræver det mere input fra brugerne. De fleste organisationer ændrer jævnligt de værktøjer, de bruger, hvilket betyder, at hver gang de installerer et nyt program eller patcher et eksisterende program, skal de opdatere deres whitelist. Administrativt set kan whitelisting være mere kompliceret for brugeren, især hvis de har større og mere komplekse systemer.

Whitelisting-programmer begrænser også, hvad brugerne kan gøre med deres systemer. De kan ikke installere alt det, de har lyst til, hvilket begrænser deres kreativitet og de opgaver, de kan udføre. Der er også en chance for, at whitelisting vil resultere i, at trafik, som du ønsker, blokeres, hvilket er en større sandsynlighed i nogle programmer end i andre.

Hvad er graylisting?

En anden teknik, der er relateret til blacklisting og whitelisting, men som ikke så ofte diskuteres, er graylisting, også stavet greylisting. Som navnet antyder, ligger den et sted mellem blacklisting og whitelisting. Den bruges typisk sammen med mindst en af disse to hovedmetoder.

En graylist er en liste, hvor du kan sætte emner på, som du endnu ikke har bekræftet som værende enten godartede eller skadelige. Elementer på graylisten er midlertidigt forbudt adgang til dit system. Når et element ender på en grayliste, undersøger du det yderligere eller indsamler flere oplysninger for at afgøre, om det skal tillades eller ej. Ideelt set forbliver tingene ikke længe på en grayliste og flyttes hurtigt til enten en sortliste eller en whiteliste.

Hvordan du beslutter, hvad du skal gøre med et element på en grayliste, afhænger af, hvilken type enhed det er. Et sikkerhedsværktøj kan f.eks. bede brugeren eller en netværksadministrator om at træffe en beslutning.

Et eksempel på brugen af graylister er i e-mail. Hvis et spamfilter er usikkert på, om det skal acceptere en meddelelse, kan det midlertidigt blokere den. Hvis afsenderen forsøger at sende meddelelsen igen inden for en bestemt periode, vil den blive leveret. Hvis ikke, vil det afvise meddelelsen. Tanken bag dette er, at det meste spam kommer fra programmer, der er designet til at sende spam, og ikke fra egentlige brugere, så de vil ikke forsøge at sende en e-mail igen, hvis de får en meddelelse om, at den er midlertidigt blokeret. En rigtig bruger ville derimod sende e-mailen igen.

Hvilken fremgangsmåde skal du bruge?

Så, hvilken fremgangsmåde er den rigtige for dig? Lad os se på, hvornår du skal bruge hver af dem, og hvordan du kan bruge dem begge sammen.

Når du skal bruge Blacklisting

Blacklisting er det rigtige valg, hvis du ønsker at gøre det nemt for brugerne at få adgang til dine systemer, og du ønsker at minimere den administrative indsats. Hvis du lægger mere vægt på disse ting end på at have den strengest mulige adgangskontrol, skal du vælge blacklisting.

Blacklisting er traditionelt set den mest almindelige tilgang, som sikkerhedsteams bruger, hovedsagelig fordi folk, når de designer systemer, ofte ønsker, at så mange mennesker som muligt skal kunne få adgang til dem. En e-handelsbutik vil f.eks. sandsynligvis hellere risikere en lejlighedsvis svigagtig transaktion end at blokere en legitim kunde fra at foretage et køb. Hvis en e-handelsbutik blokerede alle kunder, som den ikke allerede kendte, ville den ikke holde særlig længe.

Hvis du ønsker at stille noget til rådighed for offentligheden og maksimere antallet af personer, der kan bruge det, er blacklisting typisk den bedste fremgangsmåde.

Kort sagt skal du bruge blacklisting, når:

• Du ønsker, at offentligheden skal kunne bruge et system, f.eks. en e-handelsbutik.
• Du ønsker et mindre restriktivt miljø.
• Du ønsker at minimere den administrative indsats.

Når du skal bruge whitelisting

Hvis du på den anden side ønsker at maksimere sikkerheden og ikke har noget imod den ekstra administrative indsats eller den begrænsede tilgængelighed, er whitelisting det bedste valg. Whitelisting er ideel, når streng adgangskontrol og sikkerhed er afgørende.

Whitelisting fungerer godt for systemer, der ikke er offentlige. Hvis du f.eks. har et program, som kun udvalgte medarbejdere i din virksomhed skal have adgang til, kan du f.eks. whiteliste IP-adresserne på deres computere og blokere alle andre IP-adresser for adgang til programmet.

Dertil kommer, at whitelisting kan være nyttigt, når du ønsker at definere, hvilke handlinger et program eller en tjeneste kan udføre, og begrænse dem fra at gøre noget andet. Du kan opnå dette ved at whiteliste visse typer adfærd. Som eksempel kan du have en computer, som du kun bruger til at udføre en bestemt opgave. I en hotellobby kan du f.eks. have en computer, som gæsterne kan bruge til at logge ind på. Du kan whiteliste hotellets websted, så det er det eneste websted, som gæsterne kan få adgang til på enheden. Som et andet eksempel kan du oprette en politik, der tillader en mikroservice at bruge en bestemt mængde ressourcer eller køre på en bestemt vært, men som lukker den ned, hvis den forsøger at bruge flere ressourcer eller flytte til en ny vært.

Det ville ikke være praktisk at gøre dette ved hjælp af sortlistning, fordi antallet af mulige adfærdsmønstre, som du ikke ønsker, at dit program skal udføre, er for højt. Du kan ikke forudsige alt, hvad programmet kan gøre, men du kan definere, hvad du ønsker, at det skal gøre, hvis du kun ønsker, at det skal gøre meget specifikke ting.

Brug whitelisting, når:

• Kun en udvalgt gruppe af brugere skal bruge et system.
• Du ønsker et mere kontrolleret miljø.
• Du har ikke noget imod at investere mere administrativ indsats.

Brug af blacklisting og whitelisting sammen

Ofte er det den ideelle løsning at bruge blacklisting og whitelisting sammen. Du kan bruge forskellige tilgange på forskellige niveauer i din infrastruktur og endda bruge begge inden for det samme niveau.

Du kan f.eks. anvende en blacklist-tilgang til registrering af malware og instruktioner ved hjælp af sikkerhedssoftware, men bruge en whitelist-tilgang til at kontrollere adgangen til netværket som helhed. Du kan også sortliste værter baseret på deres IP-adresser, mens du whitelister den ønskede programadfærd.

Du kan også whiteliste adgangen til en tjeneste baseret på geografisk område ved kun at tillade brugere fra regioner, hvor du ved, at der er rigtige brugere. Samtidig kan du dog også have en sortliste over ondsindede brugere, der befinder sig i disse regioner. Dette er et eksempel på at bruge både whitelisting og blacklisting inden for samme niveau.

Mange organisationer bruger både blacklisting og whitelisting til forskellige dele af deres sikkerhedsstrategier. For eksempel er whitelisting kontrol af adgangen til en computer eller en konto ved hjælp af en adgangskode. Kun de personer, der har adgangskoden, får adgang, og alle andre kan ikke komme ind. Mange af de samme organisationer kører også anti-malware-programmer, der bruger en sortliste over kendt malware til at blokere skadelige programmer.

Forbedre din netværkssikkerhed med Consolidated Technologies, Inc.

Kontrol af adgang er i centrum for netværkssikkerhed. Blacklisting og whitelisting er begge legitime metoder til at kontrollere adgangen til dine netværk og holde dine data sikre. Hvilken strategi der er den rigtige for dig, afhænger af din organisations behov og mål.

Eksperterne hos Consolodated Technologies, Inc. kan hjælpe dig med at finde ud af, hvilke cybersikkerhedsstrategier der er bedst for din organisation, og give dig en række løsninger, der kan hjælpe dig med at opfylde dine sikkerhedsmål. Vi tilbyder firewall-løsninger, sårbarhedsvurderinger af netværk, hjælp til overholdelse af reglerne og endda omfattende administrerede sikkerhedsløsninger. Hvis du vil tale med en af vores eksperter om, hvilke cybersikkerhedsstrategier og -løsninger der er de rigtige for dig, kan du kontakte os i dag.