Blacklisting vs. Whitelisting
On 20 syyskuun, 2021 by adminVoidaksesi suojata laitteen tai verkon mahdollisilta uhkilta, sinun on valvottava pääsyä. Tämä edellyttää hyvin määriteltyä kehää ja tapoja puolustaa tätä kehää. Se edellyttää myös sitä, että päätät, mitkä tahot pääsevät järjestelmään ja mitkä estetään.
Sen hallintaan, mitkä tahot pääsevät järjestelmään, käytetään kahta ensisijaista lähestymistapaa – mustaa listaa ja valkoista listaa. Molemmilla menetelmillä on hyvät ja huonot puolensa, eivätkä kaikki ole samaa mieltä siitä, kumpi on paras lähestymistapa. Oikea valinta riippuu lähinnä organisaatiosi tarpeista ja tavoitteista, ja usein ihanteellinen taktiikka on molempien yhdistelmä. Tarkastellaan mustalle ja valkoiselle listalle asettamista yksityiskohtaisesti ja keskustellaan näiden kahden menetelmän eroista.
Mitä on mustalle listalle asettaminen?
Mustalle listalle asettamista koskevassa lähestymistavassa määritellään, mitkä entiteetit on estettävä. Musta lista on luettelo epäilyttävistä tai pahantahtoisista yksiköistä, joilta tulisi evätä pääsy tai käyttöoikeudet verkkoon tai järjestelmään.
Fyysisestä maailmasta esimerkkinä rajavalvontaviranomainen saattaa ylläpitää mustaa listaa tunnetuista tai epäillyistä terroristeista. Kaupan omistajalla saattaa olla musta lista myymälävarkaista. Verkkoturvallisuuden maailmassa musta lista koostuu usein haittaohjelmista, kuten viruksista, vakoiluohjelmista, troijalaisista, matoista ja muista haittaohjelmista. Mustalla listalla voi olla myös käyttäjiä, IP-osoitteita, sovelluksia, sähköpostiosoitteita, verkkotunnuksia, prosesseja tai organisaatioita. Voit soveltaa mustaa listaa käytännöllisesti katsoen mihin tahansa verkkosi osa-alueeseen.
Voit tunnistaa epäilyttävät tai haitalliset kokonaisuudet niiden digitaalisten allekirjoitusten, heuristiikan, käyttäytymisen tai muiden keinojen perusteella. Sovellusten mustalle listalle laittamiseksi organisaatiot voivat luoda omia mustia listojaan ja käyttää myös kolmansien osapuolten, kuten verkkoturvapalvelujen tarjoajien, luomia listoja. Mustalle listalle asettaminen on perinteinen lähestymistapa pääsynvalvontaan, ja sitä on jo pitkään käytetty virustorjuntatyökaluissa, roskapostisuodattimissa, tunkeutumisen havaitsemisjärjestelmissä ja muissa tietoturvaohjelmistoissa.
Mustalle listalle asettaminen on uhkakeskeinen lähestymistapa, ja oletusarvoisesti pääsy sallitaan. Kaikille yksiköille, jotka eivät ole mustalla listalla, myönnetään pääsy, mutta kaikki, joiden tiedetään tai odotetaan olevan uhka, estetään.
Yhteenvetona:
- Mustalla listalla estetään pääsy epäilyttäville tai haitallisille yksiköille.
- Oletusarvoisesti pääsy sallitaan.
- Blacklisting on uhkakeskeistä.
Mitkä ovat blacklistingin hyvät ja huonot puolet?
Yksi blacklisting-lähestymistavan suurimmista hyvistä puolista on sen yksinkertaisuus. Se toimii yksinkertaisella periaatteella – tunnistetaan vain tunnetut ja epäillyt uhat, estetään niiden pääsy ja annetaan kaiken muun mennä.
Käyttäjien kannalta se on suhteellisen vähän huoltoa vaativa lähestymistapa. Monissa tapauksissa tietoturvaohjelmisto tai tietoturvapalveluntarjoaja huolehtii luettelon laatimisesta ilman, että käyttäjän tarvitsee juurikaan osallistua siihen.
Pimeä lista ei kuitenkaan voi koskaan olla kattava, sillä uusia uhkia ilmaantuu jatkuvasti. Tietoturvaa tutkiva AV-TEST-instituutti rekisteröi päivittäin yli 350 000 uutta haittaohjelmaa ja mahdollisesti ei-toivottua sovellusta. Vaikka näiden uhkien seuraaminen on haastavaa, uhkatietojen jakaminen voi auttaa tekemään mustista listoista tehokkaampia.
Tietojen jakamisesta huolimatta tietoturvaohjelmistojen tarjoajien on helppo jättää uhkia huomaamatta, koska niitä on niin paljon. Vaikka mustat listat ovat tehokkaita tunnettuja uhkia vastaan, ne ovat hyödyttömiä uusia, tuntemattomia uhkia, kuten nollapäivähyökkäyksiä, vastaan. Jos organisaatiollesi käy niin huono tuuri, että se joutuu ensimmäisenä uudenlaisen hyökkäyksen kohteeksi, mustalle listalle asettaminen ei pysty pysäyttämään sitä.
Hakkerit myös suunnittelevat joskus haittaohjelmia nimenomaan välttääkseen mustan listan järjestelmää käyttävien työkalujen havaitsemisen. He saattavat pystyä muokkaamaan haittaohjelmaa niin, että mustan listan työkalu ei tunnista sitä mustan listan kohteeksi.
Mitä on valkoisen listan laatiminen?
Valkean listan laatimisella puututaan samoihin haasteisiin kuin mustan listan laatimisella, mutta siinä käytetään päinvastaista lähestymistapaa. Uhkaluettelon luomisen sijaan luodaan luettelo sallituista kohteista ja estetään kaikki muu. Se perustuu luottamukseen, ja oletusarvoisesti kaikki uusi kielletään, ellei sitä ole todistettu hyväksyttäväksi. Tämä johtaa paljon tiukempaan lähestymistapaan pääsynvalvontaan. Se on verrattavissa siihen, että kieltäisit kaikilta pääsyn toimistorakennukseesi, elleivät he läpäise taustatarkastusta ja ellei heillä ole todisteita siitä, että he ovat läpäisseet taustatarkastuksen.
Jos palomuuri sallii esimerkiksi vain tiettyjen IP-osoitteiden pääsyn verkkoon, se käyttää valkoisen listan lähestymistapaa. Toinen esimerkki, jonka kanssa useimmat ovat olleet tekemisissä, on Applen sovelluskauppa. Yhtiö antaa käyttäjien käyttää vain sellaisia sovelluksia, jotka Apple on hyväksynyt ja päästänyt sovelluskauppaan.
Yksinkertaisin tekniikka, jota voit käyttää sovellusten valkoluetteloimiseen, on tunnistaa sovellukset niiden tiedostonimen, koon ja hakemistopolun perusteella. Tämän tekniikan ongelmana on kuitenkin se, että hakkerit voivat luoda sovelluksen, jolla on sama tiedostonimi ja koko kuin valkoisen listan sovelluksella, jolloin se voi livahtaa järjestelmään. Tämän mahdollisuuden torjumiseksi voit käyttää tiukempaa lähestymistapaa, jota Yhdysvaltain kansallinen standardointi- ja teknologiainstituutti (NIST) suosittelee. Siinä käytetään kryptografisia hash-tekniikoita ja kunkin komponentin valmistajan tai kehittäjän digitaalisia allekirjoituksia.
Verkkotason valkoisen listan luomiseksi on otettava huomioon kaikki tehtävät, joita käyttäjien on suoritettava, ja työkalut, joita he tarvitsevat niiden suorittamiseen. Tämä verkkotason whitelist voi sisältää verkkoinfrastruktuurin, sivustot, sijainnit, sovellukset, käyttäjät, alihankkijat, palvelut ja portit sekä hienojakoisemmat yksityiskohdat, kuten sovellusriippuvuudet, ohjelmistokirjastot, liitännäiset, laajennukset ja konfiguraatiotiedostot. Käyttäjätasolla valkoinen lista voi sisältää sähköpostiosoitteita, tiedostoja ja ohjelmia. Whitelist-lähestymistavan käyttäminen edellyttää käyttäjän toiminnan sekä käyttäjän oikeuksien huomioon ottamista.
Organisaatiot voivat luoda omia whitelistojaan tai tehdä yhteistyötä kolmansien osapuolten kanssa, jotka tyypillisesti luovat maineeseen perustuvia whitelistoja ja antavat ohjelmistoille ja muille kohteille luokituksia niiden iän, digitaalisten allekirjoitusten ja muiden tekijöiden perusteella.
Yhteenvetona:
- Whitelistassa sallitaan pääsy vain hyväksytyille tahoille.
- Vakiossa pääsy estetään.
- Whitelistassa on kyse luottamuskeskeisyydestä.
Mitkä ovat valkoisen listan hyvät ja huonot puolet?
Valkoinen lista on paljon tiukempi lähestymistapa pääsynvalvontaan kuin mustalle listalle asettaminen, sillä oletusarvoisesti kohteet kielletään ja vain turvallisiksi todistetut kohteet päästetään sisään. Tämä tarkoittaa, että valkoista luetteloa käytettäessä riski siitä, että joku pahantahtoinen pääsee järjestelmään, on paljon pienempi.
Vaikka valkoinen luettelo tarjoaa vahvemman turvallisuuden, se voi olla myös monimutkaisempi toteuttaa. Valkoisen luettelon luomista on vaikea delegoida kolmannelle osapuolelle, koska se tarvitsee tietoja käyttämistäsi sovelluksista. Koska se edellyttää organisaatiokohtaisia tietoja, se vaatii käyttäjiltä enemmän panosta. Useimmat organisaatiot vaihtavat säännöllisesti käyttämiään työkaluja, mikä tarkoittaa, että aina kun ne asentavat uuden sovelluksen tai korjaavat olemassa olevan sovelluksen, niiden on päivitettävä whitelistinsä. Hallinnollisesti valkoluettelo voi olla käyttäjälle monimutkaisempi, varsinkin jos heillä on suurempia ja monimutkaisempia järjestelmiä.
Valkoluettelosovellukset rajoittavat myös sitä, mitä käyttäjät voivat tehdä järjestelmillään. He eivät voi asentaa mitä tahansa, mikä rajoittaa heidän luovuuttaan ja tehtäviä, joita he voivat suorittaa. On myös mahdollista, että valkoluettelointi johtaa halutun liikenteen estämiseen, mikä on todennäköisempää joissakin sovelluksissa kuin toisissa.
Mitä on harmaaluettelointi?
Toinen tekniikka, joka liittyy mustalle ja valkoiselle listalle asettamiseen, mutta josta puhutaan harvemmin, on harmaaluettelointi, joka kirjoitetaan myös harmaaluetteloinniksi. Nimensä mukaisesti se on jossain mustan ja valkoisen listan välissä. Sitä käytetään yleensä yhdessä ainakin toisen näistä kahdesta päämenetelmästä kanssa.
Harmaalista on luettelo, johon voi lisätä kohteita, joiden hyvän- tai haitallisuutta ei ole vielä vahvistettu. Harmaan listan kohteilta kielletään väliaikaisesti pääsy järjestelmääsi. Kun kohde päätyy harmaalle listalle, tutkit sitä tarkemmin tai keräät lisätietoja sen määrittämiseksi, pitäisikö se sallia vai ei. Ihannetapauksessa asiat eivät pysy harmaalla listalla pitkään, vaan ne siirtyvät nopeasti joko mustalle tai valkoiselle listalle.
Miten päätät, mitä harmaalle listalle lisätylle kohteelle tehdään, riippuu siitä, millaisesta kohteesta on kyse. Tietoturvatyökalu voi esimerkiksi kehottaa käyttäjää tai verkon ylläpitäjää tekemään päätöksen.
Yksi esimerkki harmaan listan käytöstä on sähköpostissa. Jos roskapostisuodatin on epävarma siitä, pitäisikö viesti hyväksyä, se voi estää sen väliaikaisesti. Jos lähettäjä yrittää lähettää viestin uudelleen tietyn ajan kuluessa, se toimitetaan. Jos näin ei tapahdu, se hylkää viestin. Tämän taustalla on ajatus siitä, että suurin osa roskapostista tulee roskapostin lähettämiseen suunnitelluista sovelluksista, ei varsinaisilta käyttäjiltä, joten he eivät yritä lähettää sähköpostia uudelleen, jos he saavat viestin, jonka mukaan se on tilapäisesti estetty. Oikea käyttäjä sen sijaan lähettäisi sähköpostin uudelleen.
Mitä lähestymistapaa sinun pitäisi käyttää?
Kumpi lähestymistapa sopii sinulle? Katsotaanpa, milloin kumpaakin kannattaa käyttää ja miten molempia voi käyttää yhdessä.
Milloin kannattaa käyttää mustaa listaa
Blacklisting on oikea valinta, jos haluat helpottaa käyttäjien pääsyä järjestelmiisi ja jos haluat minimoida hallinnollisen työn. Jos arvostat näitä asioita enemmän kuin mahdollisimman tiukkaa pääsynvalvontaa, valitse blacklisting.
Blacklisting on perinteisesti yleisin lähestymistapa, jota tietoturvaryhmät käyttävät pitkälti siksi, että järjestelmiä suunniteltaessa halutaan usein, että mahdollisimman moni voi käyttää niitä. Esimerkiksi verkkokauppa ottaa todennäköisesti mieluummin riskin satunnaisesta vilpillisestä tapahtumasta kuin estää laillista asiakasta tekemästä ostosta. Jos verkkokauppa estäisi jokaisen asiakkaan, jota se ei jo tuntisi, se ei kestäisi kovin kauan.
Jos haluat tarjota jotakin yleisölle ja maksimoida niiden ihmisten määrän, jotka voivat käyttää sitä, mustalle listalle asettaminen on yleensä paras lähestymistapa.
Lyhyesti sanottuna, käytä mustalle listalle asettamista silloin, kun:
- Haluat, että yleisö voi käyttää järjestelmää, kuten verkkokauppaa.
- Haluat vähemmän rajoitetun ympäristön.
- Haluat minimoida hallinnollisen työn.
Milloin kannattaa käyttää valkoista luettelointia
Jos taas haluat maksimoida tietoturvan etkä välitä ylimääräisestä hallinnollisesta työstä tai rajallisesta käyttömahdollisuudesta, valkoinen luettelointi (whitelisting) on paras valinta. Valkoinen luettelo on ihanteellinen silloin, kun tiukka pääsynvalvonta ja turvallisuus ovat ratkaisevia.
Valkoinen luettelo toimii hyvin järjestelmissä, jotka eivät ole julkisia. Jos sinulla on esimerkiksi sovellus, johon vain valituilla yrityksesi työntekijöillä on pääsy, voit merkitä valkoiseen luetteloon heidän tietokoneidensa IP-osoitteet ja estää kaikkia muita IP-osoitteita käyttämästä sovellusta.
Lisäksi valkoisesta luetteloinnista voi olla hyötyä, kun haluat määritellä, mitä toimintoja sovellus tai palvelu voi suorittaa, ja rajoittaa sen tekemästä mitään muuta. Voit toteuttaa tämän asettamalla valkoisen listan tietyntyyppiseen käyttäytymiseen. Sinulla voi esimerkiksi olla tietokone, jota käytät vain yhden tietyn tehtävän suorittamiseen. Esimerkiksi hotellin aulassa voi olla tietokone, jota vieraat voivat käyttää kirjautumiseen. Voit lisätä hotellin verkkosivuston valittuun luetteloon niin, että se on ainoa sivusto, jota vieraat voivat käyttää laitteella. Toisena esimerkkinä voit luoda käytännön, joka sallii mikropalvelun kuluttaa tietyn määrän resursseja tai toimia tietyllä isäntäkoneella, mutta sulkee sen, jos se yrittää käyttää enemmän resursseja tai siirtyä uudelle isäntäkoneelle.
Tätä ei olisi käytännöllistä tehdä mustan listan avulla, koska niiden mahdollisten käyttäytymismuotojen määrä, joita et halua sovelluksesi suorittavan, on liian suuri. Et voi ennustaa kaikkea, mitä sovellus voi tehdä, mutta voit määritellä, mitä haluat sen tekevän, jos haluat sen tekevän vain hyvin tiettyjä asioita.
Käytä valkoista listaa, kun:
- Vain valitun käyttäjäryhmän on käytettävä järjestelmää.
- Tahdot kontrolloidumman ympäristön.
- Ei sinua haittaa, jos käytät enemmän hallinnollista vaivaa.
Käytät mustaa listaa ja valkoista listaa yhdessä
Usein mustan listan ja valkoisen listan käyttö yhdessä on ihanteellinen vaihtoehto. Voit käyttää eri lähestymistapoja infrastruktuurin eri tasoilla ja jopa käyttää molempia saman tason sisällä.
Voit käyttää mustan listan lähestymistapaa esimerkiksi haittaohjelmien ja ohjeiden havaitsemiseen tietoturvaohjelmistojen avulla, mutta käyttää valkoisen listan lähestymistapaa koko verkon pääsyn valvontaan. Voit myös laatia mustan listan isännistä niiden IP-osoitteiden perusteella ja samalla valkoisen listan halutusta sovelluskäyttäytymisestä.
Voit myös laatia valkoisen listan pääsystä palveluun maantieteellisen alueen perusteella sallimalla käyttäjiä vain sellaisilta alueilta, joilla tiedät todellisten käyttäjien sijaitsevan. Samalla sinulla voisi kuitenkin olla musta lista kyseisillä alueilla sijaitsevista haitallisista käyttäjistä. Tämä on esimerkki sekä valkoisen että mustan listan käyttämisestä samalla tasolla.
Monet organisaatiot käyttävät sekä mustaa että valkoista listaa turvallisuusstrategioidensa eri osissa. Esimerkiksi tietokoneeseen tai tiliin pääsyn valvominen salasanan avulla on valkoista luettelointia. Vain niille, joilla on salasana, sallitaan pääsy, eivätkä kaikki muut pääse sisään. Monet näistä samoista organisaatioista käyttävät myös haittaohjelmien torjuntaohjelmia, jotka käyttävät tunnettujen haittaohjelmien mustaa listaa haitallisten ohjelmien estämiseksi.
Improve Your Network Security With Consolidated Technologies, Inc.
Käyttövaltuuksien hallinta on verkkoturvallisuuden ydin. Mustalle listalle asettaminen ja valkoiselle listalle asettaminen ovat molemmat laillisia lähestymistapoja verkkoihin pääsyn valvomiseksi ja tietojen suojaamiseksi. Oikea lähestymistapa riippuu organisaatiosi tarpeista ja tavoitteista.
Consolodated Technologies, Inc:n asiantuntijat voivat auttaa sinua selvittämään, mitkä kyberturvallisuusstrategiat sopivat parhaiten organisaatiollesi, ja tarjota sinulle erilaisia ratkaisuja, joiden avulla voit saavuttaa turvallisuustavoitteesi. Tarjoamme palomuuriratkaisuja, verkon haavoittuvuusarviointeja, compliance-apua ja jopa kattavia hallinnoituja tietoturvaratkaisuja. Jos haluat keskustella asiantuntijamme kanssa siitä, mitkä kyberturvallisuusstrategiat ja -ratkaisut sopivat sinulle, ota yhteyttä jo tänään.
Vastaa