Blacklisting vs. Whitelisting

Az eszköz vagy a hálózat védelme érdekében a potenciális fenyegetésektől a hozzáférést kell szabályozni. Ehhez szükség van egy jól körülhatárolt kerületre és a kerület védelmének módjaira. Azt is el kell döntenie, hogy mely entitásoknak kell engedélyezni a hozzáférést, és melyeket kell blokkolni.

Két elsődleges megközelítés létezik annak kezelésére, hogy mely entitások kapjanak hozzáférést a rendszeréhez – a feketelista és a fehérlista. Mindkét módszernek megvannak az előnyei és hátrányai, és nem mindenki ért egyet abban, hogy melyik a legjobb megközelítés. A helyes választás leginkább a szervezet igényeitől és céljaitól függ, és gyakran az ideális taktika a kettő kombinációja. Nézzük meg részletesen a feketelistázást és a fehérlistázást, és tárgyaljuk meg a két módszer közötti különbségeket.

Mi a feketelista?

A feketelista megközelítés magában foglalja annak meghatározását, hogy mely entitásokat kell blokkolni. A feketelista a gyanús vagy rosszindulatú entitások listája, amelyektől meg kell tagadni a hozzáférést vagy a működési jogokat egy hálózaton vagy rendszeren.

A fizikai világban például egy határellenőrző hatóság feketelistát vezethet az ismert vagy feltételezett terroristákról. Egy bolt tulajdonosának lehet feketelistája a bolti tolvajokról. A hálózatbiztonság világában a feketelista gyakran tartalmaz rosszindulatú szoftvereket, például vírusokat, kémprogramokat, trójaiakat, férgeket és egyéb rosszindulatú szoftvereket. Fekete listája lehet felhasználókról, IP-címekről, alkalmazásokról, e-mail címekről, tartományokról, folyamatokról vagy szervezetekről is. A feketelistát gyakorlatilag a hálózat bármely aspektusára alkalmazhatja.

A gyanús vagy rosszindulatú entitásokat digitális aláírásaik, heurisztikáik, viselkedésük vagy más eszközök alapján azonosíthatja. Az alkalmazások feketelistázásához a szervezetek létrehozhatják saját feketelistáikat, és használhatják a harmadik felek, például a hálózatbiztonsági szolgáltatók által létrehozott listákat is. A feketelista a hozzáférés-szabályozás hagyományos megközelítése, amelyet régóta használnak a vírusirtók, a spamszűrők, a behatolásjelző rendszerek és más biztonsági szoftverek.

A feketelista megközelítés veszélyközpontú, és alapértelmezés szerint engedélyezi a hozzáférést. Minden, a feketelistán nem szereplő entitásnak engedélyezik a hozzáférést, de minden olyan entitás, amelyről ismert vagy várható, hogy veszélyt jelent, blokkolva van.

Összefoglalva:

• A feketelista a gyanús vagy rosszindulatú entitások hozzáférésének blokkolását jelenti.
• A hozzáférés alapértelmezett engedélyezése.
• A feketelistázás veszélyközpontú.

Melyek a feketelistázás előnyei és hátrányai?

A feketelistázás megközelítés egyik legnagyobb előnye az egyszerűsége. Egyszerű elv alapján működik – csak azonosítani kell az ismert és feltételezett fenyegetéseket, megtagadni tőlük a hozzáférést, minden mást pedig hagyni kell.

A felhasználók számára ez egy viszonylag kevés karbantartást igénylő megközelítés. Sok esetben a biztonsági szoftver vagy a biztonsági szolgáltató gondoskodik a lista összeállításáról, és a felhasználónak alig van szüksége rá.

A feketelista azonban soha nem lehet átfogó, mivel folyamatosan új fenyegetések jelennek meg. Az informatikai biztonságot kutató AV-TEST Intézet naponta több mint 350 000 új rosszindulatú programot és potenciálisan nem kívánt alkalmazást regisztrál. Bár ezekkel a fenyegetésekkel lépést tartani kihívás, a fenyegetésekkel kapcsolatos információk megosztása segíthet a feketelisták hatékonyabbá tételében.

A biztonsági szoftverek szolgáltatói még az információk megosztása mellett is könnyen kihagyhatnak fenyegetéseket, egyszerűen azért, mert olyan sok van belőlük. Míg az ismert fenyegetések ellen hatékony a feketelista, az új, ismeretlen fenyegetések, például a nulladik napi támadások ellen használhatatlan. Ha az Ön szervezete olyan szerencsétlenül jár, hogy elsőként éri egy új típusú támadás, a feketelista nem fogja tudni megállítani.

A hackerek néha kifejezetten úgy terveznek rosszindulatú programokat, hogy elkerüljék a feketelistás rendszereket használó eszközök észlelését. Képesek lehetnek úgy módosítani a kártevőt, hogy a feketelistás eszköz ne ismerje fel feketelistás elemként.

Mi a fehérlista?

A fehérlista ugyanazokat a kihívásokat kezeli, mint a feketelista, de ellentétes megközelítést alkalmaz. Ahelyett, hogy létrehozná a fenyegetések listáját, létrehozza a megengedett entitások listáját, és minden mást blokkol. Ez a bizalmon alapul, és az alapértelmezés szerint minden újat megtagad, kivéve, ha az bizonyítottan elfogadható. Ez a hozzáférés-szabályozás sokkal szigorúbb megközelítését eredményezi. Ez analóg azzal, mintha mindenkitől megtagadnánk a belépést az irodaházba, kivéve, ha átmennek egy háttérellenőrzésen, és rendelkeznek az ezt igazoló hitelesítő adatokkal.

Ha egy tűzfal például csak bizonyos IP-címeknek engedi meg, hogy hozzáférjenek a hálózathoz, akkor a fehérlistás megközelítést alkalmazza. Egy másik példa, amellyel a legtöbb embernek már volt dolga, az Apple alkalmazásboltja. A vállalat csak olyan alkalmazásokat enged a felhasználóknak futtatni, amelyeket az Apple jóváhagyott és beengedett az alkalmazásboltba.

A legegyszerűbb technika az alkalmazások fehérlistázására az, hogy a fájlnév, a méret és a könyvtár elérési útvonala alapján azonosítja őket. Ezzel a technikával azonban az a probléma, hogy a hackerek létrehozhatnak egy olyan alkalmazást, amelynek fájlneve és mérete megegyezik a fehérlistás alkalmazáséval, így az becsúszhat a rendszerbe. Ennek a lehetőségnek a leküzdésére szigorúbb megközelítést alkalmazhat, amelyet az amerikai Nemzeti Szabványügyi és Technológiai Intézet (NIST) ajánl. Ez magában foglalja a kriptográfiai hash-technikák és az egyes komponensek gyártójának vagy fejlesztőjének digitális aláírását.

A hálózati szintű fehérlista létrehozásához figyelembe kell vennie az összes olyan feladatot, amelyet a felhasználóknak el kell végezniük, és az eszközöket, amelyekre szükségük lesz ezek elvégzéséhez. Ez a hálózati szintű fehérlista tartalmazhat hálózati infrastruktúrát, helyszíneket, helyeket, alkalmazásokat, felhasználókat, vállalkozókat, szolgáltatásokat és portokat, valamint finomabb részleteket, például alkalmazásfüggőségeket, szoftverkönyvtárakat, bővítményeket, kiterjesztéseket és konfigurációs fájlokat. Felhasználói szinten a fehér lista tartalmazhat e-mail címeket, fájlokat és programokat. A fehérlistás megközelítés használata megköveteli a felhasználói tevékenység és a felhasználói jogosultságok figyelembevételét.

A szervezetek létrehozhatják saját fehérlistáikat, vagy együttműködhetnek harmadik felekkel, amelyek jellemzően hírnév alapú fehérlistákat készítenek, és a szoftvereket és egyéb elemeket koruk, digitális aláírásuk és egyéb tényezők alapján minősítik.

Összefoglalva:

• A fehérlista csak a jóváhagyott entitások számára engedélyezi a hozzáférést.
• A hozzáférés alapértelmezett tiltása.
• A fehérlista bizalomközpontú.

Melyek a fehérlista előnyei és hátrányai?

A fehérlista a hozzáférés-szabályozás sokkal szigorúbb megközelítése, mint a feketelista, mivel az alapértelmezett az elemek megtagadása, és csak azokat engedi be, amelyek bizonyítottan biztonságosak. Ez azt jelenti, hogy a fehérlistás megközelítés használata esetén sokkal kisebb a kockázata annak, hogy egy rosszindulatú személy hozzáférjen a rendszerhez.

Míg a fehérlista erősebb biztonságot nyújt, a megvalósítása bonyolultabb is lehet. A fehér lista létrehozását nehéz egy harmadik félre delegálni, mivel nekik információkra van szükségük az Ön által használt alkalmazásokról. Mivel az egyes szervezetekre jellemző információkra van szükség, a felhasználóktól is több hozzájárulást igényel. A legtöbb szervezet rendszeresen változtatja az általa használt eszközöket, ami azt jelenti, hogy minden alkalommal, amikor új alkalmazást telepítenek vagy egy meglévőt javítanak, frissíteniük kell a fehérlistát. Adminisztratív szempontból a fehérlistázás bonyolultabb lehet a felhasználó számára, különösen, ha nagyobb, összetettebb rendszerekkel rendelkeznek.

A fehérlistás alkalmazások azt is korlátozzák, hogy a felhasználók mit tehetnek a rendszereikkel. Nem telepíthetnek bármit, ami korlátozza a kreativitásukat és az általuk elvégezhető feladatokat. Annak is megvan az esélye, hogy a fehérlista a kívánt forgalom blokkolását eredményezi, aminek egyes alkalmazásoknál nagyobb a valószínűsége, mint másoknál.

Mi a szürkelista?

Egy másik, a feketelistázáshoz és a fehérlistázáshoz kapcsolódó, de ritkábban tárgyalt technika a szürkelista, más néven greylisting. Ahogy a neve is mutatja, valahol a feketelista és a fehérlista között helyezkedik el. Általában e két fő módszer közül legalább eggyel együtt használják.

A szürkelista egy olyan lista, ahová olyan elemek kerülhetnek, amelyekről még nem erősítette meg, hogy jó- vagy rosszindulatúak. A szürkelistán szereplő elemek ideiglenesen nem férhetnek hozzá a rendszeréhez. Miután egy elem a szürkelistára került, tovább vizsgálja azt, vagy további információkat gyűjt, hogy eldöntse, engedélyezni kell-e vagy sem. Ideális esetben a dolgok nem maradnak sokáig a szürkelistán, és gyorsan átkerülnek a feketelistára vagy a fehérlistára.

Az, hogy hogyan dönt arról, hogy mit tegyen egy szürkelistán szereplő elemmel, attól függ, hogy milyen típusú entitásról van szó. Egy biztonsági eszköz például kérheti a felhasználót vagy a hálózati rendszergazdát, hogy hozzon döntést.

A szürkelista használatának egyik példája az e-mail. Ha egy spamszűrő bizonytalan abban, hogy elfogadjon-e egy üzenetet, akkor ideiglenesen blokkolhatja azt. Ha a feladó egy meghatározott időn belül újra megpróbálja elküldeni az üzenetet, akkor az kézbesítésre kerül. Ha nem, akkor elutasítja az üzenetet. Ennek lényege, hogy a legtöbb levélszemét nem a valódi felhasználóktól, hanem a levélszemét küldésére tervezett alkalmazásoktól származik, így azok nem próbálnak meg újra elküldeni egy e-mailt, ha kapnak egy üzenetet, amely szerint az ideiglenesen blokkolva van. Egy valódi felhasználó viszont újra elküldené az e-mailt.

Melyik megközelítést érdemes használni?

Hát melyik megközelítés a megfelelő az Ön számára? Nézzük meg, hogy mikor érdemes használni mindkettőt, és hogyan lehet a kettőt együtt használni.

Mikor érdemes a feketelistázást használni

A feketelista a megfelelő választás, ha meg akarja könnyíteni a felhasználók hozzáférését a rendszeréhez, és minimalizálni szeretné az adminisztrációs erőfeszítéseket. Ha ezeket a dolgokat többre értékeli, mint a lehető legszigorúbb hozzáférés-szabályozást, válassza a feketelistázást.

A feketelista hagyományosan a biztonsági csapatok által leggyakrabban alkalmazott megközelítés, főként azért, mert a rendszerek tervezésekor gyakran azt szeretnék, hogy a lehető legtöbb ember hozzáférhessen a rendszerekhez. Egy e-kereskedelmi áruház például valószínűleg inkább megkockáztatja az alkalmi csalárd tranzakciókat, minthogy megakadályozza a jogos vásárlót a vásárlásban. Ha egy webáruház minden olyan vásárlót letiltana, akit még nem ismer, nem tartana sokáig.

Ha valamit a nyilvánosság számára szeretnénk biztosítani, és maximalizálni szeretnénk, hogy minél többen használhassák, akkor általában a feketelistázás a legjobb megközelítés.

Röviden, akkor használjuk a feketelistázást, ha:

• Azt akarjuk, hogy a nyilvánosság használhasson egy rendszert, például egy webáruházat.
• Egy kevésbé korlátozó környezetet szeretne.
• Az adminisztrációs erőfeszítéseket szeretné minimalizálni.

Mikor használja a fehérlistázást

Ha viszont maximalizálni szeretné a biztonságot, és nem zavarja az extra adminisztrációs erőfeszítés vagy a korlátozott elérhetőség, akkor a fehérlista a legjobb választás. A fehérlista akkor ideális, ha a szigorú hozzáférés-szabályozás és a biztonság alapvető fontosságú.

A fehérlista jól működik a nem nyilvános rendszerek esetében. Ha például van egy olyan alkalmazása, amelyhez csak a vállalat kiválasztott alkalmazottainak kell hozzáférniük, akkor fehérlistázhatja az ő számítógépeik IP-címét, és blokkolhatja az összes többi IP-cím hozzáférését az alkalmazáshoz.

A fehérlista akkor is hasznos lehet, ha meg szeretné határozni, hogy egy alkalmazás vagy szolgáltatás milyen műveleteket hajthat végre, és korlátozni szeretné, hogy semmi mást ne tegyen. Ezt bizonyos típusú viselkedések fehérlistázásával érheti el. Példaként említhetjük, hogy van egy olyan számítógépe, amelyet csak egy adott feladat elvégzésére használ. Egy szálloda előcsarnokában például lehet egy olyan számítógép, amelyet a vendégek bejelentkezésre használhatnak. Fehér listára teheti a szálloda weboldalát, hogy a vendégek csak ezt az oldalt érhessék el az eszközön. Másik példaként létrehozhat egy olyan házirendet, amely lehetővé teszi, hogy egy mikroszolgáltatás bizonyos mennyiségű erőforrást használjon, vagy egy adott állomáson fusson, de leállítja, ha több erőforrást próbál használni, vagy új állomáshoz akar költözni.

A feketelista használatával nem lenne célszerű ezt megvalósítani, mert túl sok az olyan lehetséges viselkedés, amelyet nem szeretnénk, ha az alkalmazás végrehajtana. Nem tud mindent megjósolni, amit az alkalmazás csinálhat, de meg tudja határozni, hogy mit akar, ha csak nagyon specifikus dolgokat akar, hogy csináljon.

A fehérlistázást akkor használja, ha:

• A rendszert csak a felhasználók egy kiválasztott csoportjának kell használnia.
• Kontrolláltabb környezetet szeretne.
• Nem bánja, ha több adminisztrációs erőfeszítést kell befektetnie.

Feketelista és fehérlista együttes használata

Gyakran a feketelista és a fehérlista együttes használata az ideális megoldás. Használhat különböző megközelítéseket az infrastruktúra különböző szintjein, sőt, akár ugyanazon a szinten belül is alkalmazhatja mindkettőt.

Elképzelhető, hogy például a rosszindulatú programok és utasítások felismerésére a biztonsági szoftverek segítségével feketelistás megközelítést alkalmaz, de a hálózat egészéhez való hozzáférés ellenőrzésére fehérlistás megközelítést használ. Az IP-címek alapján feketelistázhat hostokat is, miközben fehérlistázhatja a kívánt alkalmazási viselkedést.

A szolgáltatáshoz való hozzáférést földrajzi régió alapján is fehérlistázhatja úgy, hogy csak olyan régiókból engedi be a felhasználókat, amelyekről tudja, hogy valódi felhasználók tartózkodnak ott. Ezzel egyidejűleg azonban feketelistát is vezethet az adott régiókban található rosszindulatú felhasználókról. Ez egy példa a fehér és a feketelista használatára ugyanazon a szinten belül.

Sok szervezet használ feketelistát és fehérlistát is a biztonsági stratégiája különböző részeiben. Például egy számítógéphez vagy fiókhoz való hozzáférés jelszóval történő ellenőrzése fehérlistázást jelent. Csak a jelszóval rendelkezők férhetnek hozzá, mindenki más nem juthat be. Ugyanezen szervezetek közül sokan olyan rosszindulatú programok elleni programokat is futtatnak, amelyek az ismert rosszindulatú programok feketelistáját használják a káros programok blokkolására.

Improve Your Network Security With Consolidated Technologies, Inc.

A hozzáférés ellenőrzése a hálózati biztonság középpontjában áll. A feketelista és a fehérlista egyaránt legitim megközelítés a hálózathoz való hozzáférés ellenőrzésére és az adatok biztonságának megőrzésére. Hogy melyik a megfelelő az Ön számára, az az Ön szervezetének igényeitől és céljaitól függ.

A Consolodated Technologies, Inc. szakértői segíthetnek kitalálni, hogy melyik kiberbiztonsági stratégia a legjobb az Ön szervezetének, és számos megoldást kínálnak Önnek a biztonsági célok eléréséhez. Tűzfalmegoldásokat, hálózati sebezhetőségi felméréseket, megfelelőségi támogatást, sőt átfogó menedzselt biztonsági megoldásokat is kínálunk. Ha szakértőnkkel szeretne beszélni arról, hogy mely kiberbiztonsági stratégiák és megoldások a megfelelőek az Ön számára, lépjen kapcsolatba velünk még ma.