Blacklisting vs. Whitelisting

Om een apparaat of netwerk te beschermen tegen potentiële bedreigingen, moet u de toegang controleren. Dit vereist een goed gedefinieerde perimeter en manieren om die perimeter te verdedigen. Ook moet u bepalen welke entiteiten toegang krijgen en welke moeten worden geblokkeerd.

Er zijn twee primaire methoden om te bepalen welke entiteiten toegang krijgen tot uw systeem – blacklisting en whitelisting. Beide methoden hebben hun voor- en nadelen, en niet iedereen is het eens over welke aanpak het beste is om te gebruiken. De juiste keuze hangt vooral af van de behoeften en doelstellingen van uw organisatie, en vaak is de ideale tactiek een combinatie van beide. Laten we blacklisting en whitelisting eens in detail bekijken en de verschillen tussen de twee methoden bespreken.

Wat is blacklisting?

Bij blacklisting wordt bepaald welke entiteiten moeten worden geblokkeerd. Een zwarte lijst is een lijst van verdachte of kwaadwillende entiteiten waaraan de toegang tot of de rechten op een netwerk of systeem moeten worden ontzegd.

In de fysieke wereld kan een grenscontrole-instantie bijvoorbeeld een zwarte lijst bijhouden van bekende of vermoedelijke terroristen. Een winkeleigenaar zou een zwarte lijst van winkeldieven kunnen hebben. In de wereld van netwerkbeveiliging bestaat een zwarte lijst vaak uit kwaadaardige software zoals virussen, spyware, Trojaanse paarden, wormen en andere soorten malware. U kunt ook een blacklist hebben van gebruikers, IP-adressen, toepassingen, e-mailadressen, domeinen, processen of organisaties. U kunt blacklisting toepassen op vrijwel elk aspect van uw netwerk.

U kunt verdachte of kwaadaardige entiteiten identificeren aan de hand van hun digitale handtekeningen, heuristieken, gedragingen of op andere manieren. Om toepassingen op een zwarte lijst te plaatsen, kunnen organisaties hun eigen zwarte lijsten maken en ook lijsten gebruiken die door derden zijn gemaakt, zoals leveranciers van netwerkbeveiligingsdiensten. Blacklisting is de traditionele benadering van toegangscontrole en wordt al lang gebruikt door antivirusprogramma’s, spamfilters, inbraakdetectiesystemen en andere beveiligingssoftwareprogramma’s.

De blacklistbenadering is dreigingsgericht, en de standaard is om toegang toe te staan. Elke entiteit die niet op de zwarte lijst staat, krijgt toegang, maar alles waarvan bekend is of verwacht wordt dat het een bedreiging vormt, wordt geblokkeerd.

Samengevat:

• Blacklisting houdt in dat de toegang tot verdachte of kwaadaardige entiteiten wordt geblokkeerd.
• De standaardinstelling is om toegang toe te staan.
• Blacklisting is dreigingsgericht.

Wat zijn de voor- en nadelen van Blacklisting?

Eén van de grootste voordelen van de blacklisting-benadering is de eenvoud ervan. Het werkt op basis van een eenvoudig principe – identificeer gewoon de bekende en verdachte bedreigingen, ontzeg ze de toegang en laat al het andere gaan.

Voor gebruikers is het een relatief onderhoudsarme aanpak. In veel gevallen zal uw beveiligingssoftware of beveiligingsserviceprovider de lijst samenstellen met weinig behoefte aan input van de gebruiker.

Een zwarte lijst kan echter nooit volledig zijn, omdat er voortdurend nieuwe bedreigingen opduiken. Elke dag registreert het AV-TEST Institute, dat onderzoek doet naar IT-beveiliging, meer dan 350.000 nieuwe schadelijke programma’s en potentieel ongewenste toepassingen. Hoewel het bijhouden van deze bedreigingen een uitdaging is, kan het delen van informatie over bedreigingen helpen zwarte lijsten effectiever te maken.

Zelfs met het delen van informatie is het gemakkelijk voor leveranciers van beveiligingssoftware om bedreigingen te missen, simpelweg omdat er zo veel zijn. Hoewel blacklisting effectief is tegen bekende bedreigingen, is het nutteloos tegen nieuwe, onbekende bedreigingen zoals zero-day-aanvallen. Als uw organisatie de pech heeft als eerste te worden getroffen door een nieuw soort aanval, zal blacklisting deze niet kunnen tegenhouden.

Hackers ontwerpen soms ook malware speciaal om detectie door tools die gebruikmaken van een blacklist-systeem te omzeilen. Ze kunnen de malware zo aanpassen dat de tool op de zwarte lijst deze niet herkent.

Wat is whitelisting?

Whitelisting pakt dezelfde problemen aan als blacklisting, maar gebruikt de tegenovergestelde benadering. In plaats van een lijst met bedreigingen op te stellen, maakt u een lijst met toegestane entiteiten en blokkeert u al het andere. Het is gebaseerd op vertrouwen, en de standaard is om alles wat nieuw is te weigeren tenzij bewezen is dat het acceptabel is. Dit resulteert in een veel strengere aanpak van toegangscontrole. Het is vergelijkbaar met iedereen de toegang tot je kantoorgebouw ontzeggen, tenzij ze een antecedentenonderzoek kunnen doorstaan en de referenties hebben om te bewijzen dat ze dat hebben gedaan.

Als een firewall bijvoorbeeld alleen bepaalde IP-adressen toegang geeft tot een netwerk, gebruikt hij de whitelisting benadering. Een ander voorbeeld waar de meeste mensen wel eens mee te maken hebben gehad, is de app store van Apple. Het bedrijf laat gebruikers alleen apps uitvoeren die Apple heeft goedgekeurd en toegelaten tot de app store.

De eenvoudigste techniek die je kunt gebruiken om applicaties te whitelisten is om ze te identificeren aan de hand van hun bestandsnaam, grootte en mappad. Het probleem met deze techniek is echter dat hackers een app kunnen maken met dezelfde bestandsnaam en -grootte als de app die op de witte lijst staat, zodat deze het systeem kan binnensluipen. Om deze mogelijkheid tegen te gaan, kunt u een strengere aanpak gebruiken, die het Amerikaanse National Institute of Standards and Technology (NIST) aanbeveelt. Het gaat om het gebruik van cryptografische hash-technieken en de digitale handtekeningen van de fabrikant of ontwikkelaar van elk onderdeel.

Om een whitelist voor het netwerkniveau te maken, moet je alle taken die gebruikers moeten uitvoeren en de tools die ze nodig hebben om ze uit te voeren, in overweging nemen. Deze whitelist op netwerkniveau kan netwerkinfrastructuur, sites, locaties, applicaties, gebruikers, contractanten, services en poorten bevatten, maar ook fijnere details zoals afhankelijkheden van applicaties, softwarebibliotheken, plugins, extensies en configuratiebestanden. Op gebruikersniveau kan een witte lijst e-mailadressen, bestanden en programma’s bevatten. Het gebruik van de whitelist benadering vereist dat u zowel gebruikersactiviteit als gebruikersrechten in overweging neemt.

Organisaties kunnen hun eigen whitelists maken of werken met derde partijen die typisch reputatie-gebaseerde whitelists maken en ratings geven aan software en andere items op basis van hun leeftijd, digitale handtekeningen en andere factoren.

Om samen te vatten:

• Whitelisting houdt in dat alleen goedgekeurde entiteiten toegang krijgen.
• De standaard is om toegang te blokkeren.
• Whitelisting is trust-centric.

Wat zijn de voor- en nadelen van whitelisting?

Whitelisting is een veel strengere aanpak van toegangscontrole dan blacklisting, omdat de standaard is om items te weigeren en alleen die items toe te laten waarvan bewezen is dat ze veilig zijn. Dit betekent dat het risico dat een kwaadwillende toegang krijgt tot het systeem veel kleiner is bij whitelisting.

Hoewel whitelisting een betere beveiliging biedt, kan het ook complexer zijn om te implementeren. Het is moeilijk om het maken van een whitelist te delegeren aan een derde partij, omdat zij informatie nodig hebben over de applicaties die u gebruikt. Omdat het informatie vereist die specifiek is voor elke organisatie, vereist het meer input van gebruikers. De meeste organisaties veranderen regelmatig de tools die ze gebruiken, wat betekent dat ze elke keer dat ze een nieuwe applicatie installeren of een bestaande patchen, hun whitelist moeten bijwerken. Administratief kan whitelisting ingewikkelder zijn voor de gebruiker, vooral als ze grotere, complexere systemen hebben.

Whitelisting applicaties beperken ook wat gebruikers kunnen doen met hun systemen. Ze kunnen niet alles installeren wat ze willen, wat hun creativiteit en de taken die ze kunnen uitvoeren beperkt. Ook bestaat de kans dat whitelisting leidt tot het blokkeren van verkeer dat je wel wilt, wat bij sommige toepassingen waarschijnlijker is dan bij andere.

Wat is Graylisting?

Een andere techniek die verwant is aan blacklisting en whitelisting, maar minder vaak wordt besproken, is graylisting, ook wel gespeld als greylisting. Zoals de naam al zegt, ligt deze techniek ergens tussen blacklisting en whitelisting in. Het wordt meestal gebruikt in combinatie met ten minste een van deze twee hoofdmethoden.

Een graylist is een lijst waarop je items kunt zetten waarvan je nog niet hebt bevestigd dat ze goedaardig of kwaadaardig zijn. Graylist items worden tijdelijk de toegang tot uw systeem ontzegd. Nadat een item op een graylist terechtkomt, onderzoekt u het verder of verzamelt u meer informatie om te bepalen of het moet worden toegelaten of niet. Idealiter blijven dingen niet lang op een graylist staan en gaan ze snel naar een blacklist of whitelist.

Hoe je beslist wat je doet met een graylist item hangt af van het soort entiteit dat het is. Een beveiligingstool zou bijvoorbeeld de gebruiker of een netwerkbeheerder kunnen vragen om een beslissing te nemen.

Een voorbeeld van het gebruik van graylisting is in e-mail. Als een spamfilter niet zeker weet of hij een bericht moet accepteren, kan hij het tijdelijk blokkeren. Als de afzender het bericht binnen een bepaalde periode opnieuw probeert te verzenden, wordt het afgeleverd. Zo niet, dan wordt het bericht geweigerd. De gedachte hierachter is dat de meeste spam afkomstig is van toepassingen die zijn ontworpen om spam te verzenden, niet van echte gebruikers, dus die zullen niet proberen een e-mail opnieuw te verzenden als ze een bericht krijgen dat het tijdelijk is geblokkeerd. Een echte gebruiker daarentegen zou de e-mail wel opnieuw versturen.

Welke aanpak moet u gebruiken?

Dus, welke aanpak is geschikt voor u? Laten we eens kijken wanneer u elk van beide methoden moet gebruiken en hoe u beide kunt combineren.

Wanneer zwarte lijsten gebruiken

Zwarte lijsten zijn de juiste keuze als u het gebruikers gemakkelijk wilt maken om toegang te krijgen tot uw systemen en u de administratieve inspanningen tot een minimum wilt beperken. Als u meer waarde hecht aan deze zaken dan aan een zo streng mogelijke toegangscontrole, kies dan voor blacklisting.

Blacklisting is van oudsher de meest gebruikelijke benadering die beveiligingsteams gebruiken, grotendeels omdat mensen bij het ontwerpen van systemen vaak willen dat zo veel mogelijk mensen er toegang toe kunnen krijgen. Een webwinkel, bijvoorbeeld, riskeert waarschijnlijk liever af en toe een frauduleuze transactie dan dat een legitieme klant wordt geblokkeerd om een aankoop te doen. Als een e-commercewinkel elke klant zou blokkeren die hij nog niet kende, zou hij het niet lang volhouden.

Als u iets aan het publiek wilt aanbieden en het aantal mensen dat het kan gebruiken wilt maximaliseren, is blacklisting meestal de beste aanpak.

In het kort, gebruik blacklisting wanneer:

• U wilt dat het publiek in staat is om een systeem te gebruiken, zoals een e-commercewinkel.
• U een minder beperkende omgeving wilt.
• U de administratieve inspanning wilt minimaliseren.

Wanneer Whitelisting gebruiken

Als u aan de andere kant de veiligheid wilt maximaliseren en de extra administratieve inspanning of beperkte toegankelijkheid niet erg vindt, is whitelisting de beste keuze. Whitelisting is ideaal wanneer stringente toegangscontrole en beveiliging van cruciaal belang zijn.

Whitelisting werkt goed voor systemen die niet openbaar zijn. Als u bijvoorbeeld een toepassing hebt waartoe alleen bepaalde werknemers van uw bedrijf toegang moeten hebben, kunt u de IP-adressen van hun computers whitelisten en alle andere IP-adressen blokkeren voor toegang tot de toepassing.

Daarnaast kan whitelisting nuttig zijn wanneer u wilt definiëren welke acties een toepassing of service kan uitvoeren en deze wilt beperken om iets anders te doen. Je kunt dit bereiken door bepaalde soorten gedrag te whitelisten. Als voorbeeld, je zou een computer kunnen hebben die je alleen gebruikt om één specifieke taak uit te voeren. In een hotellobby zou je bijvoorbeeld een computer kunnen hebben die gasten kunnen gebruiken om in te loggen. U kunt de website van het hotel whitelisten, zodat dit de enige site is die gasten kunnen openen op het apparaat. Een ander voorbeeld is een beleid dat een microservice toestaat een bepaalde hoeveelheid bronnen te gebruiken of op een bepaalde host te draaien, maar het afsluit als het probeert meer bronnen te gebruiken of naar een nieuwe host te verhuizen.

Het zou niet praktisch zijn om dit met blacklisting te doen, omdat het aantal mogelijke gedragingen die je niet wilt dat je applicatie uitvoert, te groot is. Je kunt niet alles voorspellen wat de applicatie zou kunnen doen, maar je kunt wel definiëren wat je wilt dat het doet als je alleen wilt dat het zeer specifieke dingen doet.

Gebruik whitelisting wanneer:

• Alleen een selecte groep gebruikers hoeft een systeem te gebruiken.
• U een meer gecontroleerde omgeving wilt.
• U het niet erg vindt om meer administratieve inspanning te leveren.

Het gebruik van Blacklisting en Whitelisting samen

Vaak is het gebruik van blacklisting en whitelisting samen de ideale optie. U kunt verschillende benaderingen gebruiken op verschillende niveaus van uw infrastructuur en zelfs beide gebruiken binnen hetzelfde niveau.

U zou bijvoorbeeld een blacklistbenadering kunnen kiezen voor malware- en instructiedetectie door beveiligingssoftware te gebruiken, maar een whitelistbenadering kunnen gebruiken voor het controleren van de toegang tot het netwerk als geheel. Je zou ook hosts kunnen blacklisten op basis van hun IP-adressen, terwijl je het gewenste applicatiegedrag whitelist.

Je zou ook toegang tot een dienst kunnen whitelisten op basis van geografische regio door alleen gebruikers toe te staan uit regio’s waarvan je weet dat echte gebruikers zich daar bevinden. Tegelijkertijd zou je echter een zwarte lijst kunnen hebben van kwaadwillende gebruikers die zich in die regio’s bevinden. Dit is een voorbeeld van het gebruik van zowel whitelisting als blacklisting binnen hetzelfde niveau.

Vele organisaties gebruiken zowel blacklisting als whitelisting voor verschillende onderdelen van hun beveiligingsstrategieën. Bijvoorbeeld, het controleren van de toegang tot een computer of een account met behulp van een wachtwoord is whitelisting. Alleen degenen met het wachtwoord krijgen toegang, en alle anderen kunnen er niet in. Veel van deze organisaties gebruiken ook anti-malware programma’s die gebruik maken van een zwarte lijst van bekende malware om schadelijke programma’s te blokkeren.

Verbeter uw netwerkbeveiliging met Consolidated Technologies, Inc.

Toegangscontrole is de kern van netwerkbeveiliging. Blacklisting en whitelisting zijn beide legitieme benaderingen om de toegang tot uw netwerken te controleren en uw gegevens veilig te houden. Welke aanpak voor u de juiste is, hangt af van de behoeften en doelstellingen van uw organisatie.

De experts van Consolodated Technologies, Inc. kunnen u helpen uitzoeken welke cyberbeveiligingsstrategieën het beste zijn voor uw organisatie en u voorzien van een scala aan oplossingen om u te helpen uw beveiligingsdoelen te bereiken. Wij bieden firewall-oplossingen, netwerkkwetsbaarheidsbeoordelingen, hulp bij compliance en zelfs uitgebreide beheerde beveiligingsoplossingen. Neem vandaag nog contact met ons op als u met een van onze deskundigen wilt bespreken welke cyberbeveiligingsstrategieën en -oplossingen voor u geschikt zijn.