Articles

Blacklisting vs. Whitelisting

On 20 września, 2021 by
August 12, 2019

Aby chronić urządzenie lub sieć przed potencjalnymi zagrożeniami, należy kontrolować dostęp. Wymaga to dobrze zdefiniowanego perymetru i sposobów obrony tego perymetru. Wymaga również podjęcia decyzji, które podmioty powinny mieć dostęp, a które powinny być zablokowane.

Istnieją dwa podstawowe podejścia stosowane do zarządzania, które podmioty uzyskują dostęp do systemu – blacklisting i whitelisting. Obie metody mają swoje plusy i minusy, i nie wszyscy zgadzają się co do tego, która z nich jest najlepsza do zastosowania. Właściwy wybór zależy głównie od potrzeb i celów Twojej organizacji, a często idealną taktyką jest połączenie obu metod. Przyjrzyjmy się szczegółowo czarnej i białej liście oraz omówmy różnice między tymi dwiema metodami.

Co to jest czarna lista?

Podejście do czarnej listy polega na określeniu, które podmioty powinny być blokowane. Czarna lista jest listą podejrzanych lub złośliwych podmiotów, którym należy odmówić dostępu lub praw do działania w sieci lub systemie.

Jako przykład w świecie fizycznym, organ kontroli granicznej może prowadzić czarną listę znanych lub podejrzanych terrorystów. Właściciel sklepu może mieć czarną listę złodziei sklepowych. W świecie bezpieczeństwa sieciowego, czarna lista często składa się ze złośliwego oprogramowania, takiego jak wirusy, spyware, trojany, robaki i inne rodzaje złośliwego oprogramowania. Można również stworzyć czarną listę użytkowników, adresów IP, aplikacji, adresów e-mail, domen, procesów lub organizacji. Możesz zastosować czarną listę do praktycznie każdego aspektu sieci.

Możesz zidentyfikować podejrzane lub złośliwe jednostki na podstawie ich sygnatur cyfrowych, heurystyki, zachowań lub innych środków. Aby umieścić aplikacje na czarnych listach, organizacje mogą tworzyć własne czarne listy, a także korzystać z list tworzonych przez strony trzecie, takie jak dostawcy usług bezpieczeństwa sieciowego. Czarna lista jest tradycyjnym podejściem do kontroli dostępu i od dawna jest wykorzystywana przez narzędzia antywirusowe, filtry antyspamowe, systemy wykrywania włamań i inne programy zabezpieczające.

Podejście oparte na czarnej liście jest skoncentrowane na zagrożeniach, a domyślnie dopuszcza dostęp. Każdy podmiot, który nie znajduje się na czarnej liście, otrzymuje dostęp, ale wszystko, co jest znane lub spodziewane jako zagrożenie, jest blokowane.

Podsumowując:

  • Blacklisting polega na blokowaniu dostępu do podejrzanych lub złośliwych podmiotów.
  • Domyślnie dostęp jest dozwolony.
  • Blacklisting jest skoncentrowany na zagrożeniach.

What Are the Pros and Cons of Blacklisting?

Jedną z największych zalet podejścia blacklisting jest jego prostota. Działa ono w oparciu o prostą zasadę – wystarczy zidentyfikować znane i podejrzewane zagrożenia, odmówić im dostępu i pozwolić na wszystko inne.

Dla użytkowników jest to podejście stosunkowo mało wymagające. W wielu przypadkach, Twoje oprogramowanie zabezpieczające lub dostawca usług bezpieczeństwa poradzi sobie z tworzeniem listy z niewielką potrzebą wkładu ze strony użytkownika.

Czarna lista nigdy nie może być jednak kompletna, ponieważ ciągle pojawiają się nowe zagrożenia. Każdego dnia, Instytut AV-TEST, który bada bezpieczeństwo IT, rejestruje ponad 350 000 nowych złośliwych programów i potencjalnie niechcianych aplikacji. Chociaż nadążanie za tymi zagrożeniami stanowi wyzwanie, wymiana informacji o zagrożeniach może pomóc w zwiększeniu skuteczności czarnych list.

Nawet w przypadku wymiany informacji, dostawcom oprogramowania zabezpieczającego łatwo jest przeoczyć zagrożenia, ponieważ jest ich tak wiele. Podczas gdy czarne listy są skuteczne w przypadku znanych zagrożeń, są one bezużyteczne w przypadku nowych, nieznanych zagrożeń, takich jak ataki zero-day. Jeśli Twoja firma ma pecha i jako pierwsza zostanie dotknięta nowym rodzajem ataku, czarna lista nie będzie w stanie go powstrzymać.

Hakerzy czasami projektują złośliwe oprogramowanie specjalnie w celu uniknięcia wykrycia przez narzędzia wykorzystujące system czarnych list. Mogą być w stanie zmodyfikować złośliwe oprogramowanie tak, aby narzędzie nie rozpoznało go jako elementu czarnej listy.

Co to jest Whitelisting?

Whitelisting stawia czoła tym samym wyzwaniom co blacklisting, ale używa przeciwnego podejścia. Zamiast tworzyć listę zagrożeń, tworzysz listę dozwolonych podmiotów i blokujesz wszystko inne. Jest to oparte na zaufaniu, a domyślnie odmawia się wszystkiego nowego, chyba że zostanie udowodnione, że jest to dopuszczalne. Skutkuje to znacznie bardziej rygorystycznym podejściem do kontroli dostępu. Jest to analogiczne do odmawiania każdemu dostępu do budynku biurowego, chyba że może on przejść przez sprawdzanie przeszłości i ma poświadczenia, aby udowodnić, że to zrobił.

Jeśli firewall tylko pozwala określonym adresom IP na dostęp do sieci, na przykład, to używa podejścia whitelisting. Innym przykładem, z którym większość ludzi miała do czynienia, jest sklep z aplikacjami Apple. Firma pozwala użytkownikom uruchamiać tylko aplikacje, które Apple zatwierdziło i dopuściło do sklepu z aplikacjami.

Najprostszą techniką, której można użyć do białej listy aplikacji jest identyfikacja ich na podstawie nazwy pliku, rozmiaru i ścieżki katalogu. Problem z tej techniki, choć, jest to, że hakerzy mogą stworzyć aplikację o tej samej nazwie pliku i wielkości, jak aplikacja z białej listy, pozwalając mu wślizgnąć się do systemu. Aby zwalczyć tę możliwość, można użyć bardziej rygorystycznego podejścia, które zaleca amerykański Narodowy Instytut Standardów i Technologii (NIST). Polega ono na użyciu technik kryptograficznych haszowania i podpisów cyfrowych producenta lub twórcy każdego komponentu.

Aby stworzyć białą listę na poziomie sieci, należy rozważyć wszystkie zadania, które użytkownicy muszą wykonać i narzędzia, których będą potrzebować do ich wykonania. Taka lista może obejmować infrastrukturę sieciową, miejsca, lokalizacje, aplikacje, użytkowników, wykonawców, usługi i porty, a także drobniejsze szczegóły, takie jak zależności aplikacji, biblioteki oprogramowania, wtyczki, rozszerzenia i pliki konfiguracyjne. Na poziomie użytkownika, biała lista może zawierać adresy e-mail, pliki i programy. Korzystanie z podejścia białej listy wymaga rozważenia aktywności użytkownika, a także jego uprawnień.

Organizacje mogą tworzyć własne białe listy lub współpracować z firmami trzecimi, które zazwyczaj tworzą białe listy oparte na reputacji i przyznają oceny oprogramowaniu i innym elementom na podstawie ich wieku, podpisów cyfrowych i innych czynników.

Podsumowując:

  • Whitelisting obejmuje tylko zezwalanie na dostęp dla zatwierdzonych podmiotów.
  • Domyślnie dostęp jest blokowany.
  • Whitelisting jest trust-centric.

What Are the Pros and Cons of Whitelisting?

Whitelisting jest znacznie bardziej rygorystycznym podejściem do kontroli dostępu niż czarna lista, ponieważ domyślnie odmawia się dostępu do elementów i wpuszcza tylko te, które są sprawdzone jako bezpieczne. Oznacza to, że ryzyko, że ktoś złośliwy uzyska dostęp do systemu jest znacznie niższe, gdy używa się podejścia whitelisting.

While whitelisting oferuje silniejsze bezpieczeństwo, może być również bardziej skomplikowane do wdrożenia. Trudno jest delegować tworzenie białej listy do strony trzeciej, ponieważ potrzebują oni informacji na temat aplikacji, których używasz. Ponieważ wymaga to informacji specyficznych dla każdej organizacji, wymaga to większego wkładu ze strony użytkowników. Większość organizacji regularnie zmienia narzędzia, z których korzysta, co oznacza, że za każdym razem, gdy instalują nową aplikację lub łatają istniejącą, muszą zaktualizować swoją białą listę. Administracyjnie, whitelisting może być bardziej skomplikowany dla użytkownika, zwłaszcza jeśli mają większe, bardziej złożone systemy.

Whitelisting aplikacji również ogranicza to, co użytkownicy mogą zrobić ze swoimi systemami. Nie mogą instalować wszystkiego, co im się podoba, co ogranicza ich kreatywność i zadania, które mogą wykonywać. Istnieje również szansa, że biała lista spowoduje zablokowanie ruchu, który chcesz, co jest bardziej prawdopodobne w niektórych aplikacjach niż w innych.

Co to jest graylisting?

Inną techniką, która jest powiązana z czarną i białą listą, ale rzadziej omawiana, jest graylisting, pisana również jako greylisting. Jak sama nazwa wskazuje, jest ona gdzieś pomiędzy blacklistingiem a whitelistingiem. Zazwyczaj jest używany w połączeniu z co najmniej jedną z tych dwóch głównych metod.

Szara lista to lista, na której można umieścić elementy, które nie zostały jeszcze potwierdzone jako łagodne lub złośliwe. Elementy znajdujące się na szarej liście są tymczasowo pozbawione dostępu do systemu. Po tym, jak element znajdzie się na szarej liście, sprawdzasz go dalej lub zbierasz więcej informacji, aby określić, czy powinien być dozwolony, czy nie. Idealnie, rzeczy nie pozostają na szarej liście długo i szybko przechodzą na czarną lub białą listę.

Jak zdecydować, co zrobić z szarą listą, zależy od rodzaju podmiotu, którym jest. Narzędzie bezpieczeństwa może, na przykład, skłonić użytkownika lub administratora sieci do podjęcia decyzji.

Jednym z przykładów użycia szarej listy jest poczta elektroniczna. Jeśli filtr antyspamowy nie jest pewien, czy zaakceptować daną wiadomość, może ją tymczasowo zablokować. Jeśli nadawca spróbuje wysłać wiadomość ponownie w określonym czasie, wtedy zostanie ona dostarczona. Jeśli nie, wiadomość zostanie odrzucona. Myślenie za tym jest takie, że większość spamu pochodzi z aplikacji zaprojektowanych do wysyłania spamu, a nie od rzeczywistych użytkowników, więc nie będą oni próbować ponownie wysłać wiadomości e-mail, jeśli otrzymają wiadomość, że jest ona tymczasowo zablokowana. Prawdziwy użytkownik, z drugiej strony, wysłałby wiadomość ponownie.

Which Approach Should You Use?

Więc, które podejście jest odpowiednie dla Ciebie? Przyjrzyjmy się, kiedy używać każdego z nich i jak używać obu razem.

Kiedy używać czarnej listy

Blacklisting jest właściwym wyborem, jeśli chcesz ułatwić użytkownikom dostęp do swoich systemów i chcesz zminimalizować wysiłek administracyjny. Jeśli cenisz te rzeczy bardziej niż posiadanie najbardziej rygorystycznej kontroli dostępu, wybierz czarną listę.

Blacklisting jest tradycyjnie najczęstszym podejściem stosowanym przez zespoły bezpieczeństwa, głównie dlatego, że kiedy ludzie projektują systemy, często chcą, aby jak najwięcej osób mogło mieć do nich dostęp. Sklep ecommerce, na przykład, najprawdopodobniej wolałby zaryzykować sporadyczną oszukańczą transakcję niż zablokować legalnemu klientowi możliwość dokonania zakupu. Gdyby sklep ecommerce blokował każdego klienta, którego jeszcze nie znał, nie przetrwałby zbyt długo.

Jeśli chcesz udostępnić coś społeczeństwu i zmaksymalizować liczbę osób, które mogą z tego korzystać, czarna lista jest zazwyczaj najlepszym podejściem.

W skrócie, używaj czarnej listy, gdy:

  • Chcesz, aby społeczeństwo mogło korzystać z systemu, takiego jak sklep ecommerce.
  • Chcesz mniej restrykcyjnego środowiska.
  • Chcesz zminimalizować wysiłek administracyjny.

Kiedy używać białej listy

Jeśli z drugiej strony chcesz zmaksymalizować bezpieczeństwo i nie masz nic przeciwko dodatkowemu wysiłkowi administracyjnemu lub ograniczonej dostępności, biała lista jest najlepszym wyborem. Whitelisting jest idealny, gdy ścisła kontrola dostępu i bezpieczeństwo są kluczowe.

Whitelisting działa dobrze dla systemów, które nie są publiczne. Jeśli masz aplikację, do której dostęp muszą mieć tylko wybrani pracownicy Twojej firmy, możesz na przykład wpisać na białą listę adresy IP ich komputerów i zablokować wszystkie inne adresy IP przed dostępem do aplikacji.

Dodatkowo, whitelisting może być przydatny, gdy chcesz określić, jakie działania może wykonywać aplikacja lub usługa i ograniczyć ją od robienia czegokolwiek innego. Można to osiągnąć poprzez białą listę pewnych typów zachowań. Jako przykład, możesz mieć komputer, który używasz tylko do wykonywania jednego konkretnego zadania. Na przykład w hotelowym lobby może znajdować się komputer, którego goście mogą używać do logowania się. Możesz umieścić na białej liście witrynę hotelu, aby była to jedyna witryna, do której goście mogą się dostać z tego urządzenia. Innym przykładem może być polityka, która pozwala mikroserwisowi zużywać pewną ilość zasobów lub działać na określonym hoście, ale wyłącza go, jeśli spróbuje zużyć więcej zasobów lub przenieść się na nowego hosta.

Nie byłoby to praktyczne przy użyciu czarnej listy, ponieważ liczba możliwych zachowań, których nie chcesz, aby aplikacja wykonywała, jest zbyt duża. Nie możesz przewidzieć wszystkiego, co aplikacja może zrobić, ale możesz zdefiniować, co chcesz, aby zrobiła, jeśli chcesz, aby robiła tylko bardzo konkretne rzeczy.

Używaj białej listy, gdy:

  • Tylko wybrana grupa użytkowników musi korzystać z systemu.
  • Chcesz bardziej kontrolowanego środowiska.
  • Nie masz nic przeciwko inwestowaniu większego wysiłku administracyjnego.

Używanie czarnej listy i białej listy razem

Często używanie czarnej listy i białej listy razem jest idealną opcją. Możesz użyć różnych podejść na różnych poziomach infrastruktury, a nawet użyć obu w ramach tego samego poziomu.

Możesz przyjąć podejście czarnej listy, na przykład, do wykrywania złośliwego oprogramowania i instrukcji za pomocą oprogramowania zabezpieczającego, ale użyj podejścia białej listy do kontrolowania dostępu do sieci jako całości. Można również umieścić na czarnej liście hosty na podstawie ich adresów IP, podczas gdy whitelisting pożądane zachowanie aplikacji.

Możesz również whitelist dostęp do usługi w oparciu o region geograficzny, pozwalając tylko użytkownikom z regionów, gdzie wiesz, prawdziwych użytkowników są zlokalizowane. W tym samym czasie możesz mieć czarną listę złośliwych użytkowników znajdujących się w tych regionach. Jest to przykład użycia zarówno białej jak i czarnej listy w ramach tego samego poziomu.

Wiele organizacji używa zarówno czarnej jak i białej listy dla różnych części swoich strategii bezpieczeństwa. Na przykład, kontrolowanie dostępu do komputera lub konta za pomocą hasła to whitelisting. Tylko osoby posiadające hasło mają dostęp, a wszystkie inne nie mogą się dostać. Wiele z tych samych organizacji uruchamia również programy antywirusowe, które wykorzystują czarną listę znanego złośliwego oprogramowania do blokowania szkodliwych programów.

Popraw swoje bezpieczeństwo sieciowe dzięki Consolidated Technologies, Inc.

Kontrola dostępu znajduje się w centrum bezpieczeństwa sieciowego. Zarówno czarna lista, jak i biała lista są uzasadnionymi metodami kontrolowania dostępu do sieci i zabezpieczania danych. Wybór odpowiedniego dla Ciebie zależy od potrzeb i celów Twojej organizacji.

Eksperci z Consolodated Technologies, Inc. mogą pomóc Ci ustalić, które strategie cyberbezpieczeństwa są najlepsze dla Twojej organizacji i zapewnić Ci szereg rozwiązań, które pomogą Ci osiągnąć Twoje cele w zakresie bezpieczeństwa. Oferujemy rozwiązania typu firewall, ocenę podatności sieci na ataki, pomoc w zachowaniu zgodności z przepisami, a nawet kompleksowe zarządzane rozwiązania bezpieczeństwa. Aby porozmawiać z jednym z naszych ekspertów o tym, które strategie i rozwiązania w zakresie bezpieczeństwa cybernetycznego są dla Ciebie odpowiednie, skontaktuj się z nami już dziś.

.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.