Articles

Blacklisting vs. Whitelisting

On September 20, 2021 by
August 12, 2019

Um ein Gerät oder Netzwerk vor potenziellen Bedrohungen zu schützen, müssen Sie den Zugriff kontrollieren. Dies erfordert eine klar definierte Umgrenzung und Möglichkeiten zur Verteidigung dieser Umgrenzung. Außerdem müssen Sie entscheiden, welche Entitäten Zugang erhalten und welche blockiert werden sollen.

Es gibt zwei Hauptansätze, um zu verwalten, welche Entitäten Zugang zu Ihrem System erhalten – Blacklisting und Whitelisting. Beide Methoden haben ihre Vor- und Nachteile, und nicht jeder ist sich darüber einig, welcher Ansatz der beste ist. Die richtige Wahl hängt in erster Linie von den Bedürfnissen und Zielen Ihres Unternehmens ab, und oft ist die ideale Taktik eine Kombination aus beiden. Schauen wir uns Blacklisting und Whitelisting im Detail an und diskutieren die Unterschiede zwischen den beiden Methoden.

Was ist Blacklisting?

Beim Blacklisting wird festgelegt, welche Entitäten blockiert werden sollen. Eine Blacklist ist eine Liste verdächtiger oder bösartiger Entitäten, denen der Zugang zu einem Netz oder System verweigert werden soll.

In der realen Welt könnte zum Beispiel eine Grenzkontrollbehörde eine Blacklist bekannter oder mutmaßlicher Terroristen führen. Ein Ladenbesitzer könnte eine schwarze Liste von Ladendieben führen. In der Welt der Netzsicherheit besteht eine schwarze Liste oft aus bösartiger Software wie Viren, Spyware, Trojanern, Würmern und anderen Arten von Schadprogrammen. Sie können auch eine schwarze Liste von Benutzern, IP-Adressen, Anwendungen, E-Mail-Adressen, Domänen, Prozessen oder Organisationen erstellen. Sie können Blacklists auf praktisch jeden Aspekt Ihres Netzwerks anwenden.

Sie können verdächtige oder bösartige Entitäten anhand ihrer digitalen Signaturen, Heuristiken, Verhaltensweisen oder auf andere Weise identifizieren. Um Anwendungen auf schwarze Listen zu setzen, können Unternehmen ihre eigenen schwarzen Listen erstellen und auch Listen verwenden, die von Dritten erstellt wurden, z. B. von Netzwerksicherheitsdienstleistern. Blacklisting ist der traditionelle Ansatz für die Zugriffskontrolle und wird seit langem von Antivirenprogrammen, Spamfiltern, Intrusion Detection Systemen und anderen Sicherheitsprogrammen verwendet.

Der Blacklist-Ansatz ist bedrohungszentriert, und standardmäßig wird der Zugriff erlaubt. Jedem Unternehmen, das nicht auf der schwarzen Liste steht, wird der Zugang gewährt, aber alles, von dem bekannt ist oder erwartet wird, dass es eine Bedrohung darstellt, wird blockiert.

Zusammenfassend:

  • Blacklisting bedeutet, dass der Zugang zu verdächtigen oder bösartigen Unternehmen blockiert wird.
  • Standardmäßig wird der Zugriff zugelassen.
  • Blacklisting ist bedrohungszentriert.

Was sind die Vor- und Nachteile von Blacklisting?

Einer der größten Vorteile des Blacklisting-Ansatzes ist seine Einfachheit. Es funktioniert nach einem einfachen Prinzip: Man identifiziert die bekannten und vermuteten Bedrohungen, verweigert ihnen den Zugang und lässt alles andere laufen.

Für die Benutzer ist es ein relativ wartungsarmer Ansatz. In vielen Fällen übernimmt Ihre Sicherheitssoftware oder Ihr Sicherheitsdienstleister die Zusammenstellung der Liste, ohne dass der Benutzer etwas dazu beitragen muss.

Eine schwarze Liste kann jedoch nie vollständig sein, da ständig neue Bedrohungen auftauchen. Täglich registriert das AV-TEST-Institut, das sich mit IT-Sicherheit beschäftigt, mehr als 350.000 neue Schadprogramme und potenziell unerwünschte Anwendungen. Auch wenn es schwierig ist, mit diesen Bedrohungen Schritt zu halten, kann der Austausch von Informationen über Bedrohungen dazu beitragen, dass schwarze Listen effektiver werden.

Auch wenn Informationen ausgetauscht werden, ist es für Anbieter von Sicherheitssoftware leicht, Bedrohungen zu übersehen, einfach weil es so viele gibt. Schwarze Listen sind zwar gegen bekannte Bedrohungen wirksam, aber gegen neue, unbekannte Bedrohungen wie Zero-Day-Angriffe sind sie nutzlos. Wenn Ihr Unternehmen das Pech hat, als erstes von einer neuen Art von Angriffen betroffen zu sein, kann eine schwarze Liste sie nicht aufhalten.

Hacker entwickeln manchmal auch Malware, um die Erkennung durch Tools zu umgehen, die ein schwarzes Listensystem verwenden. Sie können die Malware so modifizieren, dass das Tool sie nicht als auf der schwarzen Liste stehend erkennt.

Was ist Whitelisting?

Whitelisting geht die gleichen Probleme an wie Blacklisting, verwendet aber den entgegengesetzten Ansatz. Anstatt eine Liste von Bedrohungen zu erstellen, erstellen Sie eine Liste von erlaubten Entitäten und blockieren alles andere. Es basiert auf Vertrauen, und standardmäßig wird alles Neue abgelehnt, solange es sich nicht als zulässig erwiesen hat. Dies führt zu einem viel strengeren Ansatz bei der Zugriffskontrolle. Es ist vergleichbar damit, jedem den Zugang zu Ihrem Bürogebäude zu verweigern, der nicht eine Überprüfung seines Hintergrunds bestanden hat und die entsprechenden Nachweise vorlegen kann.

Wenn eine Firewall beispielsweise nur bestimmten IP-Adressen den Zugang zu einem Netzwerk erlaubt, verwendet sie den Ansatz des Whitelisting. Ein weiteres Beispiel, mit dem die meisten Menschen zu tun haben, ist der Apple App Store. Das Unternehmen lässt nur Anwendungen zu, die von Apple genehmigt und in den App Store aufgenommen wurden.

Die einfachste Technik, um Anwendungen auf die Whitelist zu setzen, besteht darin, sie anhand ihres Dateinamens, ihrer Größe und ihres Verzeichnispfads zu identifizieren. Das Problem bei dieser Technik ist jedoch, dass Hacker eine Anwendung mit demselben Dateinamen und derselben Größe wie die auf der Whitelist stehende Anwendung erstellen könnten, so dass diese in das System eingeschleust werden kann. Um dieser Möglichkeit entgegenzuwirken, können Sie einen strengeren Ansatz verwenden, den das U.S. National Institute of Standards and Technology (NIST) empfiehlt. Dazu gehören kryptografische Hash-Verfahren und die digitalen Signaturen des Herstellers oder Entwicklers jeder Komponente.

Um eine Whitelist für die Netzwerkebene zu erstellen, müssen Sie alle Aufgaben berücksichtigen, die die Benutzer ausführen müssen, sowie die Tools, die sie dafür benötigen. Diese Whitelist auf Netzwerkebene kann Netzwerkinfrastruktur, Standorte, Anwendungen, Benutzer, Auftragnehmer, Dienste und Ports sowie feinere Details wie Anwendungsabhängigkeiten, Softwarebibliotheken, Plugins, Erweiterungen und Konfigurationsdateien umfassen. Auf der Benutzerebene kann eine Whitelist E-Mail-Adressen, Dateien und Programme enthalten. Bei der Verwendung des Whitelist-Ansatzes müssen sowohl die Benutzeraktivitäten als auch die Benutzerrechte berücksichtigt werden.

Organisationen können ihre eigenen Whitelists erstellen oder mit Drittanbietern zusammenarbeiten, die in der Regel reputationsbasierte Whitelists erstellen und Software und andere Elemente auf der Grundlage ihres Alters, digitaler Signaturen und anderer Faktoren bewerten.

Zusammenfassend:

  • Whitelisting bedeutet, dass der Zugriff nur für zugelassene Einrichtungen erlaubt wird.
  • Standardmäßig wird der Zugriff blockiert.
  • Whitelisting ist vertrauensbasiert.

Was sind die Vor- und Nachteile von Whitelisting?

Whitelisting ist ein viel strengerer Ansatz für die Zugriffskontrolle als Blacklisting, da standardmäßig der Zugriff auf Objekte verweigert wird und nur solche zugelassen werden, die nachweislich sicher sind. Das bedeutet, dass das Risiko, dass eine böswillige Person Zugang zu Ihrem System erhält, bei der Whitelisting-Methode viel geringer ist.

Whitelisting bietet zwar mehr Sicherheit, ist aber auch komplexer zu implementieren. Es ist schwierig, die Erstellung einer Whitelist an einen Dritten zu delegieren, da dieser Informationen über die von Ihnen verwendeten Anwendungen benötigt. Da die Erstellung einer Whitelist unternehmensspezifische Informationen erfordert, sind auch mehr Eingaben der Benutzer erforderlich. Die meisten Unternehmen ändern regelmäßig die von ihnen verwendeten Tools, was bedeutet, dass sie ihre Whitelist jedes Mal aktualisieren müssen, wenn sie eine neue Anwendung installieren oder ein Patch für eine bestehende Anwendung installieren. Administrativ kann die Whitelist für den Benutzer komplizierter sein, vor allem, wenn es sich um größere, komplexere Systeme handelt.

Whitelist-Anwendungen schränken auch ein, was Benutzer mit ihren Systemen tun können. Sie können nicht installieren, was sie wollen, was ihre Kreativität und die Aufgaben, die sie ausführen können, einschränkt. Es besteht auch die Möglichkeit, dass Whitelisting dazu führt, dass der von Ihnen gewünschte Datenverkehr blockiert wird, was bei einigen Anwendungen wahrscheinlicher ist als bei anderen.

Was ist Graylisting?

Eine andere Technik, die mit Blacklisting und Whitelisting verwandt ist, aber weniger häufig diskutiert wird, ist Graylisting, auch Greylisting genannt. Wie der Name schon sagt, liegt sie zwischen Blacklisting und Whitelisting. Sie wird in der Regel zusammen mit mindestens einer der beiden Hauptmethoden verwendet.

Eine Grayliste ist eine Liste, in die Sie Objekte aufnehmen können, die Sie noch nicht als gutartig oder bösartig eingestuft haben. Graylist-Elemente werden vorübergehend vom Zugriff auf Ihr System ausgeschlossen. Nachdem ein Objekt in einer grauen Liste gelandet ist, können Sie es weiter untersuchen oder weitere Informationen sammeln, um zu entscheiden, ob es zugelassen werden soll oder nicht. Idealerweise bleiben Dinge nicht lange in einer grauen Liste und werden schnell in eine schwarze oder weiße Liste verschoben.

Wie Sie entscheiden, was mit einem grauen Element zu tun ist, hängt von der Art des Objekts ab. Ein Sicherheitstool könnte zum Beispiel den Benutzer oder einen Netzwerkadministrator auffordern, eine Entscheidung zu treffen.

Ein Beispiel für die Verwendung von Graylisten ist die E-Mail. Wenn ein Spam-Filter nicht sicher ist, ob er eine Nachricht akzeptieren soll, kann er sie vorübergehend blockieren. Versucht der Absender, die Nachricht innerhalb eines bestimmten Zeitraums erneut zu senden, wird sie zugestellt. Wenn nicht, wird die Nachricht zurückgewiesen. Dahinter steht die Überlegung, dass die meisten Spam-Nachrichten von Anwendungen stammen, die zum Versenden von Spam entwickelt wurden, und nicht von tatsächlichen Nutzern, so dass diese nicht versuchen werden, eine E-Mail erneut zu senden, wenn sie eine Nachricht erhalten, dass sie vorübergehend blockiert wurde. Ein echter Benutzer hingegen würde die E-Mail erneut senden.

Welchen Ansatz sollten Sie verfolgen?

Welcher Ansatz ist also der richtige für Sie? Schauen wir uns an, wann Sie beide Ansätze verwenden sollten und wie Sie beide zusammen einsetzen können.

Wann sollten Sie Blacklisting verwenden

Blacklisting ist die richtige Wahl, wenn Sie den Benutzern den Zugang zu Ihren Systemen erleichtern und den Verwaltungsaufwand minimieren möchten. Wenn Ihnen diese Dinge wichtiger sind als eine möglichst strenge Zugriffskontrolle, sollten Sie sich für Blacklisting entscheiden.

Blacklisting ist traditionell der häufigste Ansatz, den Sicherheitsteams verwenden, vor allem, weil sie bei der Entwicklung von Systemen oft wollen, dass so viele Personen wie möglich darauf zugreifen können. Ein E-Commerce-Geschäft würde zum Beispiel eher das Risiko einer gelegentlichen betrügerischen Transaktion eingehen, als einen rechtmäßigen Kunden vom Kauf abzuhalten. Wenn ein E-Commerce-Laden jeden Kunden sperren würde, den er noch nicht kennt, würde er nicht lange überleben.

Wenn Sie der Öffentlichkeit etwas zur Verfügung stellen und die Anzahl der Personen, die es nutzen können, maximieren wollen, ist Blacklisting in der Regel der beste Ansatz.

Kurz gesagt, verwenden Sie Blacklisting, wenn:

  • Sie wollen, dass die Öffentlichkeit ein System, wie z. B. einen E-Commerce-Laden, nutzen kann.
  • Sie wollen eine weniger restriktive Umgebung.
  • Sie wollen den Verwaltungsaufwand minimieren.

Wann sollten Sie Whitelisting verwenden

Wenn Sie andererseits die Sicherheit maximieren wollen und Ihnen der zusätzliche Verwaltungsaufwand oder die eingeschränkte Zugänglichkeit nichts ausmachen, ist Whitelisting die beste Wahl. Whitelisting ist ideal, wenn strenge Zugriffskontrolle und Sicherheit entscheidend sind.

Whitelisting funktioniert gut für Systeme, die nicht öffentlich sind. Wenn Sie beispielsweise eine Anwendung haben, auf die nur ausgewählte Mitarbeiter Ihres Unternehmens zugreifen müssen, können Sie die IP-Adressen ihrer Computer auf die Whitelist setzen und allen anderen IP-Adressen den Zugriff auf die Anwendung verwehren.

Darüber hinaus kann die Whitelist nützlich sein, wenn Sie festlegen möchten, welche Aktionen eine Anwendung oder ein Dienst ausführen kann, und ihm alles andere verwehren. Sie können dies erreichen, indem Sie bestimmte Verhaltenstypen auf die Whitelist setzen. Ein Beispiel: Sie haben einen Computer, den Sie nur für eine bestimmte Aufgabe verwenden. In einer Hotellobby könnten Sie zum Beispiel einen Computer haben, mit dem sich die Gäste anmelden können. Sie könnten die Website des Hotels auf die Whitelist setzen, so dass die Gäste mit dem Gerät nur auf diese Website zugreifen können. Ein anderes Beispiel: Sie könnten eine Richtlinie erstellen, die es einem Microservice erlaubt, eine bestimmte Menge an Ressourcen zu verbrauchen oder auf einem bestimmten Host zu laufen, ihn aber herunterfährt, wenn er versucht, mehr Ressourcen zu verbrauchen oder auf einen anderen Host zu wechseln.

Es wäre nicht praktikabel, dies mit Blacklisting zu tun, da die Anzahl der möglichen Verhaltensweisen, die Ihre Anwendung nicht ausführen soll, zu hoch ist. Sie können nicht alles vorhersagen, was die Anwendung tun könnte, aber Sie können festlegen, was sie tun soll, wenn sie nur ganz bestimmte Dinge tun soll.

Verwenden Sie Whitelisting, wenn:

  • Nur eine ausgewählte Gruppe von Benutzern ein System verwenden muss.
  • Sie wollen eine kontrolliertere Umgebung.
  • Sie haben nichts dagegen, mehr Verwaltungsaufwand zu investieren.

Blacklisting und Whitelisting zusammen verwenden

Oft ist es ideal, Blacklisting und Whitelisting zusammen zu verwenden. Sie können verschiedene Ansätze auf verschiedenen Ebenen Ihrer Infrastruktur verwenden und sogar beide auf derselben Ebene einsetzen.

Sie könnten zum Beispiel einen Blacklist-Ansatz für die Erkennung von Malware und Anweisungen durch Sicherheitssoftware wählen, aber einen Whitelist-Ansatz für die Kontrolle des Zugangs zum Netzwerk als Ganzes verwenden. Sie könnten auch Hosts auf der Grundlage ihrer IP-Adressen auf eine schwarze Liste setzen und gleichzeitig das gewünschte Anwendungsverhalten auf eine weiße Liste setzen.

Sie könnten auch den Zugang zu einem Dienst auf der Grundlage einer geografischen Region auf eine weiße Liste setzen, indem Sie nur Benutzer aus Regionen zulassen, von denen Sie wissen, dass sich dort echte Benutzer befinden. Gleichzeitig können Sie aber auch eine schwarze Liste mit böswilligen Benutzern in diesen Regionen erstellen. Dies ist ein Beispiel für die Verwendung von Whitelisting und Blacklisting auf derselben Ebene.

Viele Unternehmen verwenden sowohl Blacklisting als auch Whitelisting für verschiedene Teile ihrer Sicherheitsstrategien. Die Kontrolle des Zugriffs auf einen Computer oder ein Konto mit Hilfe eines Kennworts ist zum Beispiel eine Whitelist. Nur diejenigen, die das Kennwort kennen, dürfen darauf zugreifen, und alle anderen haben keinen Zugang. Viele dieser Unternehmen setzen auch Anti-Malware-Programme ein, die eine schwarze Liste mit bekannter Malware verwenden, um schädliche Programme zu blockieren.

Verbessern Sie Ihre Netzwerksicherheit mit Consolidated Technologies, Inc.

Die Zugangskontrolle ist das Herzstück der Netzwerksicherheit. Blacklisting und Whitelisting sind beides legitime Ansätze, um den Zugang zu Ihren Netzwerken zu kontrollieren und Ihre Daten sicher zu halten. Welche für Sie die richtige ist, hängt von den Bedürfnissen und Zielen Ihres Unternehmens ab.

Die Experten von Consolodated Technologies, Inc. können Ihnen dabei helfen, herauszufinden, welche Cybersicherheitsstrategien für Ihr Unternehmen am besten geeignet sind, und Ihnen eine Reihe von Lösungen anbieten, mit denen Sie Ihre Sicherheitsziele erreichen können. Wir bieten Firewall-Lösungen, Bewertungen von Netzwerkschwachstellen, Unterstützung bei der Einhaltung von Vorschriften und sogar umfassende verwaltete Sicherheitslösungen. Wenn Sie mit einem unserer Experten darüber sprechen möchten, welche Cybersicherheitsstrategien und -lösungen für Sie geeignet sind, nehmen Sie noch heute Kontakt mit uns auf.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.