Articles

Lista negra vs. Lista branca

On Setembro 20, 2021 by
Agosto 12, 2019

Para proteger um dispositivo ou rede contra potenciais ameaças, você precisa controlar o acesso. Isto requer um perímetro bem definido e formas de defender esse perímetro. Também requer que você decida quais entidades devem ter acesso e quais devem ser bloqueadas.

Existem duas abordagens primárias usadas para gerenciar quais entidades obtêm acesso ao seu sistema – lista negra e lista branca. Ambos os métodos têm seus prós e contras, e nem todos concordam sobre qual é a melhor abordagem a ser usada. A escolha certa depende principalmente das necessidades e objetivos de sua organização e, muitas vezes, a tática ideal é uma combinação de ambos. Vamos analisar a lista negra e a lista branca em detalhe e discutir as diferenças entre os dois métodos.

O que é a lista negra?

A abordagem da lista negra envolve a definição de quais entidades devem ser bloqueadas. Uma lista negra é uma lista de entidades suspeitas ou maliciosas às quais deve ser negado acesso ou direitos de execução em uma rede ou sistema.

Como um exemplo no mundo físico, uma autoridade de controle de fronteiras pode manter uma lista negra de terroristas conhecidos ou suspeitos. O dono de uma loja pode ter uma lista negra de ladrões de lojas. No mundo da segurança de rede, uma lista negra muitas vezes consiste em software malicioso como vírus, spyware, trojans, worms e outros tipos de malware. Você também pode ter uma lista negra de usuários, endereços IP, aplicativos, endereços de e-mail, domínios, processos ou organizações. Você pode aplicar uma lista negra a praticamente qualquer aspecto da sua rede.

Você pode identificar entidades suspeitas ou maliciosas pelas suas assinaturas digitais, heurísticas, comportamentos ou por outros meios. Para criar listas negras, as organizações podem criar suas próprias listas negras e também usar listas criadas por terceiros, tais como provedores de serviços de segurança de rede. Blacklist é a abordagem tradicional de controle de acesso e tem sido usada há muito tempo por ferramentas antivírus, filtros de spam, sistemas de detecção de intrusão e outros softwares de segurança.

A abordagem de blacklist é centrada em ameaças, e o padrão é permitir o acesso. A qualquer entidade que não esteja na lista negra é concedido acesso, mas tudo o que for conhecido ou esperado como uma ameaça é bloqueado.

Para resumir:

  • Lista negra envolve o bloqueio de acesso a entidades suspeitas ou maliciosas.
  • O padrão é permitir o acesso.
  • A lista negra é centrada em ameaças.

Quais são os prós e contras da lista negra?

Uma das maiores vantagens da abordagem da lista negra é a sua simplicidade. Funciona com base num princípio simples – basta identificar as ameaças conhecidas e suspeitas, negar-lhes acesso e deixar ir tudo o resto.

Para os utilizadores, é uma abordagem de manutenção relativamente baixa. Em muitos casos, seu software de segurança ou provedor de serviços de segurança irá lidar com a compilação da lista com pouca necessidade de entrada do usuário.

Uma lista negra nunca pode ser abrangente, no entanto, uma vez que novas ameaças surgem constantemente. Todos os dias, o AV-TEST Institute, que pesquisa segurança de TI, registra mais de 350.000 novos programas maliciosos e aplicativos potencialmente indesejáveis. Embora acompanhar essas ameaças seja um desafio, o compartilhamento de informações sobre ameaças pode ajudar a tornar as listas negras mais eficazes.

Com o compartilhamento de informações, é fácil para os provedores de software de segurança perder ameaças simplesmente porque são muitas. Embora as listas negras sejam eficazes contra ameaças conhecidas, elas são inúteis contra ameaças novas e desconhecidas, como ataques de dia zero. Se a sua organização tiver o azar de ser a primeira a ser atingida com um novo tipo de ataque, a colocação de uma lista negra não será capaz de pará-la.

Hackers às vezes também projetam malware especificamente para evitar a detecção por ferramentas que usam um sistema de lista negra. Eles podem ser capazes de modificar o malware para que a ferramenta da lista negra não o reconheça como um item da lista negra.

O que é a lista branca?

A lista branca enfrenta os mesmos desafios da lista negra, mas usa a abordagem oposta. Em vez de criar uma lista de ameaças, você cria uma lista de entidades permitidas e bloqueia todo o resto. É baseado na confiança, e o padrão é negar qualquer coisa nova, a menos que se prove que é aceitável. Isto resulta em uma abordagem muito mais rigorosa para o controle de acesso. É análogo a negar a todos o acesso ao prédio do seu escritório, a menos que eles possam passar uma verificação de fundo e ter as credenciais para provar que o fizeram.

Se um firewall só permite que endereços IP particulares acessem uma rede, por exemplo, ele está usando a abordagem de lista branca. Outro exemplo que a maioria das pessoas já lidou é a loja de aplicativos da Apple. A empresa só permite que os usuários executem aplicativos aprovados pela Apple e permitidos na loja de aplicativos.

A técnica mais simples que você pode usar para fazer listas brancas de aplicativos é identificá-los pelo nome do arquivo, tamanho e caminho do diretório. O problema com esta técnica, no entanto, é que os hackers podem criar um aplicativo com o mesmo nome e tamanho de arquivo que o aplicativo da lista branca, permitindo que ele entre no sistema. Para combater esta possibilidade, você pode usar uma abordagem mais rigorosa, que o Instituto Nacional de Padrões e Tecnologia dos Estados Unidos (NIST) recomenda. Ela envolve o uso de técnicas de hash criptográfico e as assinaturas digitais do fabricante ou desenvolvedor de cada componente.

Para criar uma lista branca para o nível de rede, você precisa considerar todas as tarefas que os usuários precisam executar e as ferramentas que eles precisarão para completá-las. Esta lista branca de nível de rede pode incluir infraestrutura de rede, sites, locais, aplicativos, usuários, contratantes, serviços e portas, bem como detalhes mais finos, como dependências de aplicativos, bibliotecas de software, plugins, extensões e arquivos de configuração. No nível do usuário, uma lista branca pode incluir endereços de e-mail, arquivos e programas. O uso da abordagem de lista branca requer que você considere a atividade do usuário, bem como os privilégios do usuário.

As organizações podem criar suas próprias listas brancas ou trabalhar com terceiros que normalmente criam listas brancas baseadas na reputação e dão classificações ao software e outros itens com base em sua idade, assinaturas digitais e outros fatores.

Para resumir:

  • A lista branca envolve apenas permitir o acesso a entidades aprovadas.
  • O padrão é bloquear o acesso.
  • A lista branca é centrada na confiança.

Quais são os prós e os contras da Whitelisting?

Whitelisting é uma abordagem muito mais estrita ao controle de acesso do que a blacklisting, já que o padrão é negar itens e apenas deixar entrar aqueles que comprovadamente são seguros. Isto significa que os riscos de alguém malicioso obter acesso ao seu sistema são muito menores quando se usa a abordagem de whitelisting.

Embora a whitelisting ofereça uma segurança mais forte, também pode ser mais complexa de implementar. É difícil delegar a criação de uma lista branca a terceiros porque eles precisam de informações sobre as aplicações que você usa. Porque requer informações específicas para cada organização, requer mais informações dos usuários. A maioria das organizações muda regularmente as ferramentas que utilizam, o que significa que cada vez que instalam uma nova aplicação ou corrigem uma já existente, precisam atualizar sua whitelist. Administrativamente, a whitelisting pode ser mais complicada para o usuário, especialmente se ele tiver sistemas maiores e mais complexos.

As aplicações de whitelisting também restringem o que os usuários podem fazer com seus sistemas. Eles não podem instalar o que quiserem, o que limita sua criatividade e as tarefas que eles podem realizar. Há também a chance de que a lista branca resulte no bloqueio do tráfego que você quer, o que é mais provável em algumas aplicações do que em outras.

O que é a lista cinza?

Outra técnica que está relacionada à lista negra e à lista branca, mas menos frequentemente discutida é a lista cinza, também soletrada greylisting. Como o seu nome sugere, está algures entre a lista negra e a lista branca. É tipicamente usado em conjunto com pelo menos um destes dois métodos principais.

A graylist é uma lista onde você pode colocar itens que você ainda não tenha confirmado como benignos ou maliciosos. Os itens da lista cinza são temporariamente proibidos de acessar o seu sistema. Depois que um item acaba em uma lista cinza, você o examina mais profundamente ou coleta mais informações para determinar se ele deve ou não ser permitido. O ideal é que as coisas não fiquem numa lista cinzenta por muito tempo e rapidamente passem para uma lista negra ou lista branca.

Como você decide o que fazer com um item na lista cinzenta depende do tipo de entidade que ele é. Uma ferramenta de segurança pode, por exemplo, pedir ao usuário ou a um administrador de rede para tomar uma decisão.

Um exemplo do uso da lista cinzenta está no e-mail. Se um filtro de spam não estiver seguro de aceitar uma mensagem, ele pode bloqueá-la temporariamente. Se o remetente tentar enviar a mensagem novamente dentro de um período especificado, então ela será entregue. Caso contrário, ele rejeitará a mensagem. O pensamento por trás disso é que a maioria do spam vem de aplicativos projetados para enviar spam, não de usuários reais, então eles não tentarão reenviar um e-mail se receberem uma mensagem dizendo que está temporariamente bloqueada. Um usuário real, por outro lado, enviaria o e-mail novamente.

Qual a abordagem que você deve usar?

Então, qual é a abordagem certa para você? Vamos ver quando usar cada uma delas e como usar ambas juntas.

Quando usar a Blacklisting

Blacklisting é a escolha certa se você quiser facilitar o acesso dos usuários aos seus sistemas, e se você quiser minimizar o esforço administrativo. Se você valoriza mais essas coisas do que ter o controle de acesso mais rigoroso possível, escolha a lista negra.

Blacklisting é tradicionalmente a abordagem mais comum que as equipes de segurança usam em grande parte porque quando as pessoas projetam sistemas, muitas vezes querem que o maior número possível de pessoas seja capaz de acessá-los. Uma loja de comércio eletrônico, por exemplo, muito provavelmente preferiria arriscar a transação fraudulenta ocasional do que bloquear um cliente legítimo de fazer uma compra. Se uma loja de comércio electrónico bloqueasse todos os clientes que ainda não conhecia, não duraria muito tempo.

Se quiser fornecer algo ao público e maximizar o número de pessoas que o podem utilizar, a colocação de uma lista negra é normalmente a melhor abordagem.

Em suma, utilize a lista negra quando:

  • Quer que o público seja capaz de utilizar um sistema, como uma loja de comércio electrónico.
  • Você quer um ambiente menos restritivo.
  • Você quer minimizar o esforço administrativo.

Quando usar Whitelisting

Se, por outro lado, você quer maximizar a segurança e não se importa com o esforço administrativo extra ou acessibilidade limitada, whitelisting é a melhor escolha. Whitelisting é ideal quando o controle de acesso rigoroso e segurança são cruciais.

Whitelisting funciona bem para sistemas que não são públicos. Se você tiver uma aplicação que só selecione funcionários de sua empresa que precisam de acesso, por exemplo, você pode fazer uma lista branca dos endereços IP de seus computadores e bloquear todos os outros endereços IP de acessar o aplicativo.

Adicionalmente, a lista branca pode ser útil quando você quiser definir quais ações um aplicativo ou serviço pode realizar e restringir a realização de qualquer outra coisa. Você pode conseguir isso através da lista branca de certos tipos de comportamento. Como exemplo, você pode ter um computador que você usa apenas para executar uma tarefa específica. Em um lobby de hotel, por exemplo, você pode ter um computador que os hóspedes podem usar para fazer o login. Você pode fazer uma lista branca do site do hotel para que ele seja o único site que os hóspedes podem acessar no dispositivo. Como outro exemplo, você pode criar uma política que permita a um microserviço consumir uma certa quantidade de recursos ou rodar em um host em particular, mas desligá-lo se ele tentar usar mais recursos ou mudar-se para um novo host.

Não seria prático fazer isso usando a lista negra porque o número de comportamentos possíveis que você não quer que seu aplicativo execute é muito alto. Você não pode prever tudo o que a aplicação pode fazer, mas você pode definir o que você quer que ela faça se você só quer que ela faça coisas muito específicas.

Utilizar whitelisting quando:

  • Apenas um grupo seleto de usuários precisa usar um sistema.
  • Você quer um ambiente mais controlado.
  • Você não se importa de investir mais esforço administrativo.

Utilizar a lista negra e a lista branca juntas.

Amagrecer, usar a lista negra e a lista branca juntas é a opção ideal. Você pode usar diferentes abordagens em diferentes níveis da sua infra-estrutura e até mesmo usar ambos dentro do mesmo nível.

Você pode usar uma abordagem de lista negra, por exemplo, para detecção de malware e instruções usando software de segurança, mas use uma abordagem de lista branca para controlar o acesso à rede como um todo. Você também pode fazer uma lista negra baseada em seus endereços IP enquanto faz uma lista branca do comportamento desejado do aplicativo.

Você também pode fazer uma lista branca de acesso a um serviço baseado na região geográfica, permitindo apenas que usuários de regiões onde você sabe que usuários reais estão localizados. Ao mesmo tempo, porém, você poderia ter uma lista negra de usuários maliciosos localizados dentro dessas regiões. Este é um exemplo de utilização tanto da lista branca como da lista negra dentro do mesmo nível.

Muitas organizações utilizam tanto a lista negra como a lista branca para diferentes partes das suas estratégias de segurança. Por exemplo, controlar o acesso a um computador ou a uma conta usando uma senha é uma lista branca. Somente aqueles com a senha têm acesso permitido, e todos os outros não podem entrar. Muitas dessas mesmas organizações também executam programas anti-malware que usam uma lista negra de malware conhecido para bloquear programas nocivos.

Improve Your Network Security With Consolidated Technologies, Inc.

Controlar o acesso está no centro da segurança da rede. Blacklisting e whitelisting são ambas abordagens legítimas para controlar o acesso às suas redes e manter os seus dados seguros. A correta para você depende das necessidades e objetivos de sua organização.

Os especialistas da Consolodated Technologies, Inc. podem ajudá-lo a descobrir quais estratégias de cibersegurança são melhores para sua organização e fornecer uma gama de soluções para ajudá-lo a atingir seus objetivos de segurança. Nós oferecemos soluções de firewall, avaliações de vulnerabilidade de rede, assistência de conformidade e até mesmo soluções de segurança gerenciada abrangentes. Para falar com um de nossos especialistas sobre quais estratégias e soluções de segurança cibernética são adequadas para você, entre em contato conosco hoje.

Deixe uma resposta

O seu endereço de email não será publicado.