Liste noire vs liste blanche

Pour protéger un appareil ou un réseau des menaces potentielles, vous devez contrôler l’accès. Cela nécessite un périmètre bien défini et des moyens de défendre ce périmètre. Cela nécessite également que vous décidiez quelles entités doivent être autorisées à accéder et lesquelles doivent être bloquées.

Il existe deux approches principales utilisées pour gérer quelles entités obtiennent l’accès à votre système – la liste noire et la liste blanche. Les deux méthodes ont leurs avantages et leurs inconvénients, et tout le monde ne s’accorde pas sur la meilleure approche à utiliser. Le bon choix dépend principalement des besoins et des objectifs de votre organisation et, souvent, la tactique idéale est une combinaison des deux. Examinons en détail la liste noire et la liste blanche et discutons des différences entre les deux méthodes.

Qu’est-ce que la liste noire ?

L’approche de la liste noire consiste à définir quelles entités doivent être bloquées. Une liste noire est une liste d’entités suspectes ou malveillantes auxquelles il faut refuser l’accès ou les droits d’exécution sur un réseau ou un système.

A titre d’exemple dans le monde physique, une autorité de contrôle des frontières pourrait tenir une liste noire de terroristes connus ou présumés. Un propriétaire de magasin pourrait avoir une liste noire de voleurs à l’étalage. Dans le monde de la sécurité des réseaux, une liste noire comprend souvent des logiciels malveillants tels que des virus, des logiciels espions, des chevaux de Troie, des vers et d’autres types de logiciels malveillants. Vous pouvez également disposer d’une liste noire d’utilisateurs, d’adresses IP, d’applications, d’adresses électroniques, de domaines, de processus ou d’organisations. Vous pouvez appliquer la liste noire à pratiquement tous les aspects de votre réseau.

Vous pourriez identifier les entités suspectes ou malveillantes par leurs signatures numériques, leur heuristique, leurs comportements ou par d’autres moyens. Pour mettre des applications sur liste noire, les organisations peuvent créer leurs propres listes noires et également utiliser des listes créées par des tiers, tels que des fournisseurs de services de sécurité réseau. La mise sur liste noire est l’approche traditionnelle du contrôle d’accès et est utilisée depuis longtemps par les outils antivirus, les filtres anti-spam, les systèmes de détection d’intrusion et d’autres logiciels de sécurité.

L’approche de la liste noire est centrée sur la menace, et le défaut est d’autoriser l’accès. Toute entité ne figurant pas sur la liste noire se voit accorder l’accès, mais tout ce qui est connu ou attendu comme une menace est bloqué.

En résumé :

• La liste noire consiste à bloquer l’accès aux entités suspectes ou malveillantes.
• Le défaut est d’autoriser l’accès.
• Le blacklistage est centré sur la menace.

Quels sont les avantages et les inconvénients du blacklistage ?

L’un des plus grands avantages de l’approche du blacklistage est sa simplicité. Elle fonctionne selon un principe simple – il suffit d’identifier les menaces connues et suspectées, de leur refuser l’accès et de laisser faire tout le reste.

Pour les utilisateurs, il s’agit d’une approche à maintenance relativement faible. Dans de nombreux cas, votre logiciel de sécurité ou votre fournisseur de services de sécurité se chargera de compiler la liste avec peu de besoin de contribution de la part de l’utilisateur.

Une liste noire ne peut cependant jamais être complète, car de nouvelles menaces apparaissent constamment. Chaque jour, l’institut AV-TEST, qui fait des recherches sur la sécurité informatique, enregistre plus de 350 000 nouveaux programmes malveillants et applications potentiellement indésirables. Bien qu’il soit difficile de se tenir au courant de ces menaces, le partage des informations sur les menaces peut contribuer à rendre les listes noires plus efficaces.

Même avec le partage des informations, il est facile pour les fournisseurs de logiciels de sécurité de passer à côté des menaces, simplement parce qu’elles sont très nombreuses. Si les listes noires sont efficaces contre les menaces connues, elles sont inutiles contre les menaces nouvelles et inconnues comme les attaques de type « zero-day ». Si votre organisation a la malchance d’être la première à être frappée par un nouveau type d’attaque, la liste noire ne pourra pas l’arrêter.

Les pirates conçoivent aussi parfois des logiciels malveillants spécifiquement pour échapper à la détection par les outils qui utilisent un système de liste noire. Ils peuvent être en mesure de modifier le logiciel malveillant pour que l’outil de liste noire ne le reconnaisse pas comme un élément de la liste noire.

Qu’est-ce que la liste blanche ?

La liste blanche s’attaque aux mêmes défis que la liste noire mais utilise l’approche opposée. Au lieu de créer une liste de menaces, vous créez une liste d’entités autorisées et bloquez tout le reste. L’approche est basée sur la confiance, et le défaut est de refuser toute nouvelle entité à moins qu’il ne soit prouvé qu’elle est acceptable. Il en résulte une approche beaucoup plus stricte du contrôle d’accès. C’est analogue au fait de refuser à toute personne l’accès à votre immeuble de bureaux à moins qu’elle ne puisse passer une vérification des antécédents et qu’elle ait les références pour prouver qu’elle l’a fait.

Si un pare-feu n’autorise que des adresses IP particulières à accéder à un réseau, par exemple, il utilise l’approche de la liste blanche. Un autre exemple auquel la plupart des gens ont eu affaire est le magasin d’applications d’Apple. La société ne laisse les utilisateurs exécuter que les applications qu’Apple a approuvées et autorisées dans l’app store.

La technique la plus simple que vous pouvez utiliser pour établir une liste blanche des applications est de les identifier par leur nom de fichier, leur taille et le chemin du répertoire. Le problème avec cette technique, cependant, est que les pirates pourraient créer une application avec le même nom de fichier et la même taille que l’application sur la liste blanche, lui permettant de se glisser dans le système. Pour lutter contre cette possibilité, vous pouvez utiliser une approche plus stricte, recommandée par le National Institute of Standards and Technology (NIST) des États-Unis. Elle consiste à utiliser des techniques de hachage cryptographique et les signatures numériques du fabricant ou du développeur de chaque composant.

Pour créer une liste blanche au niveau du réseau, vous devez prendre en compte toutes les tâches que les utilisateurs doivent effectuer et les outils dont ils auront besoin pour les réaliser. Cette liste blanche au niveau du réseau peut inclure l’infrastructure du réseau, les sites, les emplacements, les applications, les utilisateurs, les contractants, les services et les ports, ainsi que des détails plus fins tels que les dépendances des applications, les bibliothèques logicielles, les plugins, les extensions et les fichiers de configuration. Au niveau de l’utilisateur, une liste blanche peut inclure des adresses électroniques, des fichiers et des programmes. L’utilisation de l’approche de la liste blanche vous oblige à prendre en compte l’activité de l’utilisateur ainsi que ses privilèges.

Les organisations peuvent créer leurs propres listes blanches ou travailler avec des tiers qui créent généralement des listes blanches basées sur la réputation et donnent des notes aux logiciels et autres éléments en fonction de leur âge, des signatures numériques et d’autres facteurs.

En résumé :

• La liste blanche implique de n’autoriser l’accès qu’aux entités approuvées.
• Le défaut est de bloquer l’accès.
• La liste blanche est centrée sur la confiance.

Quels sont les avantages et les inconvénients de la liste blanche ?

La liste blanche est une approche beaucoup plus stricte du contrôle d’accès que la liste noire, car le défaut est de refuser les éléments et de ne laisser entrer que ceux qui sont prouvés sûrs. Cela signifie que les risques qu’une personne malveillante accède à votre système sont beaucoup plus faibles lorsque vous utilisez l’approche de la liste blanche.

Bien que la liste blanche offre une sécurité plus forte, elle peut également être plus complexe à mettre en œuvre. Il est difficile de déléguer la création d’une liste blanche à un tiers, car il a besoin d’informations sur les applications que vous utilisez. Comme elle nécessite des informations propres à chaque organisation, elle requiert davantage de contribution de la part des utilisateurs. La plupart des organisations changent régulièrement les outils qu’elles utilisent, ce qui signifie que chaque fois qu’elles installent une nouvelle application ou qu’elles corrigent une application existante, elles doivent mettre à jour leur liste blanche. Sur le plan administratif, la liste blanche peut être plus compliquée pour l’utilisateur, surtout s’il possède des systèmes plus grands et plus complexes.

Les applications de liste blanche limitent également ce que les utilisateurs peuvent faire avec leurs systèmes. Ils ne peuvent pas installer ce qu’ils veulent, ce qui limite leur créativité et les tâches qu’ils peuvent effectuer. Il y a aussi la possibilité que la mise en liste blanche entraîne le blocage du trafic que vous voulez, ce qui est une probabilité plus élevée dans certaines applications que dans d’autres.

Qu’est-ce que la mise en liste grise ?

Une autre technique liée à la liste noire et à la liste blanche mais moins fréquemment abordée est la mise en liste grise, également orthographiée greylisting. Comme son nom l’indique, elle se situe quelque part entre le blacklistage et le whitelisting. Elle est généralement utilisée en tandem avec au moins une de ces deux méthodes principales.

Une liste grise est une liste où vous pouvez mettre des éléments dont vous n’avez pas encore confirmé le caractère bénin ou malveillant. Les éléments de la liste grise sont temporairement interdits d’accès à votre système. Lorsqu’un élément se retrouve sur une liste grise, vous l’examinez de plus près ou recueillez davantage d’informations pour déterminer s’il doit être autorisé ou non. Idéalement, les choses ne restent pas longtemps dans une liste grise et passent rapidement sur une liste noire ou une liste blanche.

La façon dont vous décidez quoi faire avec un élément sur liste grise dépend du type d’entité dont il s’agit. Un outil de sécurité pourrait, par exemple, inviter l’utilisateur ou un administrateur réseau à prendre une décision.

Un exemple d’utilisation de la liste grise est le courrier électronique. Si un filtre anti-spam ne sait pas s’il doit accepter un message, il peut le bloquer temporairement. Si l’expéditeur tente à nouveau d’envoyer le message dans un délai déterminé, il le délivrera. Dans le cas contraire, le message est rejeté. L’idée sous-jacente est que la plupart des spams proviennent d’applications conçues pour en envoyer, et non d’utilisateurs réels, qui n’essaieront donc pas de renvoyer un courriel s’ils reçoivent un message indiquant qu’il est temporairement bloqué. Un véritable utilisateur, en revanche, renverrait le courriel.

Quelle approche devriez-vous utiliser?

Alors, quelle approche vous convient le mieux ? Voyons quand utiliser chacune d’elles et comment utiliser les deux ensemble.

Quand utiliser la liste noire

La liste noire est le bon choix si vous voulez faciliter l’accès des utilisateurs à vos systèmes et si vous voulez minimiser les efforts administratifs. Si vous accordez plus d’importance à ces choses qu’au fait d’avoir le contrôle d’accès le plus rigoureux possible, choisissez la liste noire.

La liste noire est traditionnellement l’approche la plus courante que les équipes de sécurité utilisent en grande partie parce que lorsque les gens conçoivent des systèmes, ils veulent souvent que le plus grand nombre de personnes possible puisse y accéder. Une boutique de commerce électronique, par exemple, préférerait probablement risquer une transaction frauduleuse occasionnelle plutôt que d’empêcher un client légitime de faire un achat. Si un magasin de commerce électronique bloquait tous les clients qu’il ne connaît pas déjà, il ne durerait pas très longtemps.

Si vous voulez fournir quelque chose au public et maximiser le nombre de personnes qui peuvent l’utiliser, le blacklistage est généralement la meilleure approche.

En bref, utilisez le blacklistage lorsque :

• Vous voulez que le public puisse utiliser un système, comme un magasin de commerce électronique.
• Vous voulez un environnement moins restrictif.
• Vous voulez minimiser l’effort administratif.

Quand utiliser la liste blanche

Si, d’autre part, vous voulez maximiser la sécurité et ne vous souciez pas de l’effort administratif supplémentaire ou de l’accessibilité limitée, la liste blanche est le meilleur choix. La liste blanche est idéale lorsque le contrôle d’accès rigoureux et la sécurité sont cruciaux.

La liste blanche fonctionne bien pour les systèmes qui ne sont pas publics. Si vous avez une application à laquelle seuls certains employés de votre entreprise ont besoin d’accéder, par exemple, vous pouvez mettre sur liste blanche les adresses IP de leurs ordinateurs et bloquer toutes les autres adresses IP pour qu’elles puissent accéder à l’application.

De plus, la liste blanche peut être utile lorsque vous voulez définir les actions qu’une application ou un service peut effectuer et l’empêcher de faire autre chose. Vous pouvez accomplir cela en mettant en liste blanche certains types de comportement. Par exemple, vous pouvez avoir un ordinateur que vous utilisez uniquement pour effectuer une tâche spécifique. Dans le hall d’un hôtel, par exemple, vous pouvez avoir un ordinateur que les clients peuvent utiliser pour se connecter. Vous pourriez mettre sur une liste blanche le site Web de l’hôtel afin que les clients ne puissent accéder qu’à ce site sur l’appareil. Autre exemple, vous pourriez créer une politique qui permet à un microservice de consommer une certaine quantité de ressources ou de s’exécuter sur un hôte particulier, mais qui le ferme s’il essaie d’utiliser plus de ressources ou de passer à un nouvel hôte.

Il ne serait pas pratique de faire cela en utilisant la liste noire car le nombre de comportements possibles que vous ne voulez pas que votre application exécute est trop élevé. Vous ne pouvez pas prédire tout ce que l’application pourrait faire, mais vous pouvez définir ce que vous voulez qu’elle fasse si vous voulez seulement qu’elle fasse des choses très spécifiques.

Utilisez la liste blanche lorsque :

• Seul un groupe sélectionné d’utilisateurs doit utiliser un système.
• Vous voulez un environnement plus contrôlé.
• Cela ne vous dérange pas d’investir plus d’efforts administratifs.

Utiliser la liste noire et la liste blanche ensemble

Souvent, utiliser la liste noire et la liste blanche ensemble est l’option idéale. Vous pouvez utiliser différentes approches à différents niveaux de votre infrastructure et même utiliser les deux au sein d’un même niveau.

Vous pourriez adopter une approche de liste noire, par exemple, pour la détection des logiciels malveillants et des instructions en utilisant un logiciel de sécurité, mais utiliser une approche de liste blanche pour contrôler l’accès au réseau dans son ensemble. Vous pourriez également mettre sur liste noire des hôtes en fonction de leurs adresses IP tout en mettant sur liste blanche le comportement d’application souhaité.

Vous pourriez également mettre sur liste blanche l’accès à un service en fonction de la région géographique en autorisant uniquement les utilisateurs des régions où vous savez que des utilisateurs réels sont situés. En même temps, cependant, vous pourriez avoir une liste noire des utilisateurs malveillants situés dans ces régions. C’est un exemple d’utilisation de la liste blanche et de la liste noire au même niveau.

De nombreuses organisations utilisent à la fois la liste noire et la liste blanche pour différentes parties de leurs stratégies de sécurité. Par exemple, le contrôle de l’accès à un ordinateur ou à un compte à l’aide d’un mot de passe relève de la liste blanche. Seules les personnes possédant le mot de passe sont autorisées à y accéder, et toutes les autres ne peuvent pas y accéder. Beaucoup de ces mêmes organisations exécutent également des programmes anti-malware qui utilisent une liste noire de logiciels malveillants connus pour bloquer les programmes nuisibles.

Améliorez votre sécurité réseau avec Consolidated Technologies, Inc.

Le contrôle de l’accès est au centre de la sécurité réseau. La liste noire et la liste blanche sont toutes deux des approches légitimes pour contrôler l’accès à vos réseaux et assurer la sécurité de vos données. La bonne pour vous dépend des besoins et des objectifs de votre organisation.

Les experts de Consolodated Technologies, Inc. peuvent vous aider à déterminer quelles stratégies de cybersécurité sont les meilleures pour votre organisation et vous fournir une gamme de solutions pour vous aider à atteindre vos objectifs de sécurité. Nous proposons des solutions de pare-feu, des évaluations de la vulnérabilité des réseaux, une assistance en matière de conformité et même des solutions de sécurité gérées complètes. Pour discuter avec l’un de nos experts des stratégies et des solutions de cybersécurité qui vous conviennent, contactez-nous dès aujourd’hui.