Lista negra vs. Lista blanca

Para proteger un dispositivo o una red de posibles amenazas, es necesario controlar el acceso. Esto requiere un perímetro bien definido y formas de defender ese perímetro. También requiere que usted decida a qué entidades se les debe permitir el acceso y cuáles deben ser bloqueadas.

Hay dos enfoques principales utilizados para gestionar qué entidades tienen acceso a su sistema – lista negra y lista blanca. Ambos métodos tienen sus pros y sus contras, y no todo el mundo está de acuerdo en cuál es el mejor enfoque a utilizar. La elección correcta depende sobre todo de las necesidades y objetivos de su organización y, a menudo, la táctica ideal es una combinación de ambas. Veamos las listas negras y las listas blancas en detalle y discutamos las diferencias entre los dos métodos.

¿Qué es la lista negra?

El enfoque de la lista negra implica definir qué entidades deben ser bloqueadas. Una lista negra es una lista de entidades sospechosas o maliciosas a las que se les debe negar el acceso o los derechos de ejecución en una red o sistema.

Como ejemplo en el mundo físico, una autoridad de control de fronteras podría mantener una lista negra de terroristas conocidos o sospechosos. El propietario de una tienda puede tener una lista negra de ladrones. En el mundo de la seguridad de la red, una lista negra suele incluir software malicioso como virus, spyware, troyanos, gusanos y otros tipos de malware. También puede tener una lista negra de usuarios, direcciones IP, aplicaciones, direcciones de correo electrónico, dominios, procesos u organizaciones. Puede aplicar las listas negras a prácticamente cualquier aspecto de su red.

Puede identificar entidades sospechosas o maliciosas por sus firmas digitales, heurística, comportamientos o por otros medios. Para crear listas negras de aplicaciones, las organizaciones pueden crear sus propias listas negras y también utilizar listas creadas por terceros, como los proveedores de servicios de seguridad de red. Las listas negras son el enfoque tradicional para el control de acceso y han sido utilizadas durante mucho tiempo por las herramientas antivirus, los filtros de spam, los sistemas de detección de intrusos y otros programas de software de seguridad.

El enfoque de las listas negras está centrado en las amenazas, y el valor predeterminado es permitir el acceso. Se permite el acceso a cualquier entidad que no esté en la lista negra, pero se bloquea todo lo que se sabe o se espera que sea una amenaza.

En resumen:

• La lista negra implica el bloqueo del acceso a entidades sospechosas o maliciosas.
• El valor por defecto es permitir el acceso.
• La lista negra se centra en las amenazas.

¿Cuáles son los pros y los contras de la lista negra?

Una de las mayores ventajas del enfoque de la lista negra es su simplicidad. Funciona basándose en un principio sencillo: sólo hay que identificar las amenazas conocidas y sospechosas, denegarles el acceso y dejar que todo lo demás siga su curso.

Para los usuarios, es un enfoque que requiere relativamente poco mantenimiento. En muchos casos, el software de seguridad o el proveedor de servicios de seguridad se encargará de compilar la lista sin necesidad de que el usuario intervenga.

No obstante, una lista negra nunca puede ser exhaustiva, ya que constantemente surgen nuevas amenazas. Cada día, el Instituto AV-TEST, que investiga la seguridad informática, registra más de 350.000 nuevos programas maliciosos y aplicaciones potencialmente no deseadas. Aunque mantenerse al día con estas amenazas es un reto, el intercambio de información sobre amenazas puede ayudar a que las listas negras sean más eficaces.

Incluso con el intercambio de información, es fácil que los proveedores de software de seguridad pasen por alto las amenazas simplemente porque hay muchas. Aunque las listas negras son eficaces contra las amenazas conocidas, son inútiles contra las nuevas y desconocidas, como los ataques de día cero. Si su organización tiene la mala suerte de ser la primera en sufrir un nuevo tipo de ataque, las listas negras no podrán detenerlo.

Los hackers también diseñan a veces programas maliciosos específicamente para evadir la detección de las herramientas que utilizan un sistema de listas negras. Pueden modificar el malware para que la herramienta de listas negras no lo reconozca como tal.

¿Qué son las listas blancas?

Las listas blancas abordan los mismos retos que las listas negras, pero utilizan el enfoque contrario. En lugar de crear una lista de amenazas, se crea una lista de entidades permitidas y se bloquea todo lo demás. Se basa en la confianza, y por defecto se rechaza todo lo nuevo a menos que se demuestre que es aceptable. El resultado es un enfoque mucho más estricto del control de acceso. Es análogo a negar a todo el mundo el acceso a su edificio de oficinas a menos que puedan pasar una verificación de antecedentes y tengan las credenciales para demostrar que lo hicieron.

Si un firewall sólo permite que determinadas direcciones IP accedan a una red, por ejemplo, está utilizando el enfoque de listas blancas. Otro ejemplo con el que la mayoría de la gente ha tratado es la tienda de aplicaciones de Apple. La compañía sólo permite a los usuarios ejecutar aplicaciones que Apple ha aprobado y permitido en la tienda de aplicaciones.

La técnica más sencilla que se puede utilizar para poner en la lista blanca las aplicaciones es identificarlas por su nombre de archivo, tamaño y ruta de directorio. El problema con esta técnica, sin embargo, es que los hackers podrían crear una aplicación con el mismo nombre de archivo y tamaño que la aplicación de la lista blanca, lo que le permitiría colarse en el sistema. Para combatir esta posibilidad, se puede utilizar un enfoque más estricto, que el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) recomienda. Se trata de utilizar técnicas de hash criptográfico y las firmas digitales del fabricante o desarrollador de cada componente.

Para crear una lista blanca a nivel de red, hay que tener en cuenta todas las tareas que los usuarios deben realizar y las herramientas que necesitarán para completarlas. Esta lista blanca a nivel de red puede incluir la infraestructura de red, los sitios, las ubicaciones, las aplicaciones, los usuarios, los contratistas, los servicios y los puertos, así como detalles más finos como las dependencias de las aplicaciones, las bibliotecas de software, los plugins, las extensiones y los archivos de configuración. A nivel de usuario, una lista blanca puede incluir direcciones de correo electrónico, archivos y programas. El uso del enfoque de la lista blanca requiere que se tenga en cuenta la actividad del usuario, así como sus privilegios.

Las organizaciones pueden crear sus propias listas blancas o trabajar con terceros que suelen crear listas blancas basadas en la reputación y dan calificaciones al software y otros elementos en función de su antigüedad, firmas digitales y otros factores.

Resumiendo:

• Las listas blancas implican permitir el acceso sólo a las entidades aprobadas.
• El valor por defecto es bloquear el acceso.
• Las listas blancas están centradas en la confianza.

¿Cuáles son los pros y los contras de las listas blancas?

Las listas blancas son un enfoque mucho más estricto para el control de acceso que las listas negras, ya que el valor predeterminado es negar los elementos y sólo dejar entrar a los que se ha demostrado que son seguros. Esto significa que los riesgos de que alguien malintencionado acceda a su sistema son mucho menores cuando se utiliza el enfoque de las listas blancas.

Aunque las listas blancas ofrecen una mayor seguridad, también pueden ser más complejas de implementar. Es difícil delegar la creación de una lista blanca a un tercero porque necesita información sobre las aplicaciones que usted utiliza. Al requerir información específica de cada organización, exige una mayor aportación de los usuarios. La mayoría de las organizaciones cambian regularmente las herramientas que utilizan, lo que significa que cada vez que instalan una nueva aplicación o parchean una existente, necesitan actualizar su lista blanca. Desde el punto de vista administrativo, las listas blancas pueden ser más complicadas para el usuario, especialmente si tienen sistemas más grandes y complejos.

Las aplicaciones de las listas blancas también restringen lo que los usuarios pueden hacer con sus sistemas. No pueden instalar lo que quieran, lo que limita su creatividad y las tareas que pueden realizar. También existe la posibilidad de que las listas blancas provoquen el bloqueo del tráfico que se desea, lo que es más probable en algunas aplicaciones que en otras.

¿Qué son las listas grises?

Otra técnica relacionada con las listas negras y las listas blancas, pero de la que se habla con menos frecuencia, son las listas grises, también llamadas greylisting. Como su nombre indica, se encuentra entre las listas negras y las listas blancas. Normalmente se utiliza junto con al menos uno de estos dos métodos principales.

Una lista gris es una lista en la que se pueden poner elementos que aún no se han confirmado como benignos o maliciosos. Los elementos de la lista gris tienen prohibido temporalmente el acceso a su sistema. Después de que un elemento termina en una lista gris, usted lo examina más a fondo o reúne más información para determinar si debe ser permitido o no. Lo ideal es que los elementos no permanezcan en la lista gris durante mucho tiempo y que pasen rápidamente a la lista negra o a la lista blanca.

La forma de decidir qué hacer con un elemento de la lista gris depende del tipo de entidad que sea. Una herramienta de seguridad puede, por ejemplo, pedir al usuario o a un administrador de red que tome una decisión.

Un ejemplo del uso de las listas grises es en el correo electrónico. Si un filtro de spam no está seguro de aceptar un mensaje, puede bloquearlo temporalmente. Si el remitente intenta volver a enviar el mensaje en un plazo determinado, lo entregará. En caso contrario, rechazará el mensaje. La idea que subyace es que la mayor parte del spam procede de aplicaciones diseñadas para enviar spam, no de usuarios reales, por lo que éstos no intentarán volver a enviar un correo electrónico si reciben un mensaje diciendo que está temporalmente bloqueado. Un usuario real, en cambio, volvería a enviar el correo electrónico.

¿Qué enfoque debe utilizar?

Entonces, ¿qué enfoque es el adecuado para usted? Veamos cuándo usar cada uno de ellos y cómo usar ambos juntos.

Cuándo usar la lista negra

La lista negra es la opción correcta si quiere facilitar a los usuarios el acceso a sus sistemas y quiere minimizar el esfuerzo administrativo. Si valora esas cosas más que tener el control de acceso más estricto posible, elija las listas negras.

Las listas negras son tradicionalmente el enfoque más común que utilizan los equipos de seguridad, en gran medida porque cuando la gente diseña sistemas, a menudo quieren que el mayor número posible de personas pueda acceder a ellos. Una tienda de comercio electrónico, por ejemplo, probablemente preferiría arriesgarse a una transacción fraudulenta ocasional que bloquear a un cliente legítimo para que no pueda realizar una compra. Si una tienda de comercio electrónico bloqueara a todos los clientes que no conoce, no duraría mucho tiempo.

Si quiere proporcionar algo al público y maximizar el número de personas que pueden utilizarlo, las listas negras suelen ser el mejor enfoque.

En resumen, utilice las listas negras cuando:

• Desea que el público pueda utilizar un sistema, como una tienda de comercio electrónico.
• Desea un entorno menos restrictivo.
• Desea minimizar el esfuerzo administrativo.

Cuándo utilizar las listas blancas

Si, por el contrario, desea maximizar la seguridad y no le importa el esfuerzo administrativo adicional o la accesibilidad limitada, las listas blancas son la mejor opción. Las listas blancas son ideales cuando el control de acceso estricto y la seguridad son cruciales.

Las listas blancas funcionan bien para los sistemas que no son públicos. Si tiene una aplicación a la que sólo algunos empleados de su empresa necesitan acceder, por ejemplo, podría poner en la lista blanca las direcciones IP de sus ordenadores y bloquear todas las demás direcciones IP para que no accedan a la aplicación.

Además, las listas blancas pueden ser útiles cuando se quiere definir qué acciones puede realizar una aplicación o servicio y restringirlo para que no haga nada más. Usted puede lograr esto mediante la creación de listas blancas de ciertos tipos de comportamiento. Por ejemplo, puede tener un ordenador que sólo utiliza para realizar una tarea específica. En el vestíbulo de un hotel, por ejemplo, puede tener un ordenador que los huéspedes pueden utilizar para iniciar sesión. Podrías poner en la lista blanca el sitio web del hotel para que sea el único sitio al que los huéspedes puedan acceder en el dispositivo. Como otro ejemplo, podría crear una política que permita a un microservicio consumir una determinada cantidad de recursos o ejecutarse en un host concreto, pero que lo cierre si intenta utilizar más recursos o trasladarse a un nuevo host.

No sería práctico hacer esto utilizando listas negras porque el número de posibles comportamientos que no quieres que realice tu aplicación es demasiado alto. No puedes predecir todo lo que la aplicación puede hacer, pero puedes definir lo que quieres que haga si sólo quieres que haga cosas muy específicas.

Usa las listas blancas cuando:

• Sólo un grupo selecto de usuarios necesita usar un sistema.
• Desea un entorno más controlado.
• No le importa invertir más esfuerzo administrativo.

Utilizar conjuntamente listas negras y listas blancas

A menudo, utilizar conjuntamente listas negras y listas blancas es la opción ideal. Puede utilizar diferentes enfoques en diferentes niveles de su infraestructura e incluso utilizar ambos dentro del mismo nivel.

Podría adoptar un enfoque de lista negra, por ejemplo, para la detección de malware e instrucciones mediante el uso de software de seguridad, pero utilizar un enfoque de lista blanca para controlar el acceso a la red en su conjunto. También podría hacer una lista negra de hosts basada en sus direcciones IP mientras hace una lista blanca del comportamiento de la aplicación deseada.

También podría hacer una lista blanca de acceso a un servicio basada en la región geográfica permitiendo sólo a los usuarios de las regiones donde sabe que se encuentran los usuarios reales. Al mismo tiempo, sin embargo, usted podría tener una lista negra de usuarios maliciosos ubicados dentro de esas regiones. Este es un ejemplo del uso de listas blancas y listas negras dentro del mismo nivel.

Muchas organizaciones utilizan tanto listas negras como listas blancas para diferentes partes de sus estrategias de seguridad. Por ejemplo, controlar el acceso a un ordenador o a una cuenta mediante una contraseña es una lista blanca. Sólo se permite el acceso a quienes tienen la contraseña, y todos los demás no pueden entrar. Muchas de esas mismas organizaciones también ejecutan programas antimalware que utilizan una lista negra de malware conocido para bloquear programas dañinos.

Mejore la seguridad de su red con Consolidated Technologies, Inc.

El control del acceso es el centro de la seguridad de la red. Las listas negras y las listas blancas son enfoques legítimos para controlar el acceso a sus redes y mantener sus datos seguros. El más adecuado para usted depende de las necesidades y los objetivos de su organización.

Los expertos de Consolodated Technologies, Inc. pueden ayudarle a determinar qué estrategias de ciberseguridad son las mejores para su organización y proporcionarle una gama de soluciones que le ayuden a alcanzar sus objetivos de seguridad. Ofrecemos soluciones de cortafuegos, evaluaciones de la vulnerabilidad de la red, asistencia para el cumplimiento de la normativa e incluso soluciones integrales de seguridad gestionada. Para hablar con uno de nuestros expertos sobre qué estrategias y soluciones de ciberseguridad son adecuadas para usted, póngase en contacto con nosotros hoy mismo.