Blacklisting vs. Whitelisting

Pentru a proteja un dispozitiv sau o rețea de potențiale amenințări, trebuie să controlați accesul. Acest lucru necesită un perimetru bine definit și modalități de a apăra acest perimetru. De asemenea, necesită să decideți care entități ar trebui să aibă acces permis și care ar trebui blocate.

Există două abordări principale utilizate pentru a gestiona ce entități au acces la sistemul dumneavoastră – lista neagră și lista albă. Ambele metode au avantajele și dezavantajele lor și nu toată lumea este de acord cu privire la care este cea mai bună abordare de utilizat. Alegerea corectă depinde în principal de nevoile și obiectivele organizației dvs. și, adesea, tactica ideală este o combinație a celor două. Să analizăm în detaliu lista neagră și lista albă și să discutăm diferențele dintre cele două metode.

Ce este lista neagră?

Abordarea listei negre implică definirea entităților care ar trebui să fie blocate. O listă neagră este o listă de entități suspecte sau rău intenționate cărora ar trebui să li se refuze accesul sau drepturile de funcționare într-o rețea sau într-un sistem.

Ca un exemplu din lumea fizică, o autoritate de control la frontieră ar putea menține o listă neagră a teroriștilor cunoscuți sau suspectați. Un proprietar de magazin ar putea avea o listă neagră a hoților din magazine. În lumea securității rețelelor, o listă neagră constă adesea în software rău intenționat, cum ar fi viruși, spyware, troieni, viermi și alte tipuri de malware. De asemenea, ați putea avea o listă neagră de utilizatori, adrese IP, aplicații, adrese de e-mail, domenii, procese sau organizații. Puteți aplica lista neagră practic oricărui aspect al rețelei dumneavoastră.

Ați putea identifica entitățile suspecte sau malițioase după semnăturile lor digitale, euristică, comportamente sau prin alte mijloace. Pentru a pune aplicații pe lista neagră, organizațiile își pot crea propriile liste negre și pot utiliza, de asemenea, liste create de terți, cum ar fi furnizorii de servicii de securitate a rețelei. Lista neagră este abordarea tradițională a controlului accesului și a fost folosită de mult timp de instrumentele antivirus, filtrele de spam, sistemele de detectare a intruziunilor și alte programe software de securitate.

Abordarea listei negre este centrată pe amenințări, iar opțiunea implicită este de a permite accesul. Orice entitate care nu se află pe lista neagră primește acces, dar tot ceea ce se știe sau se așteaptă să fie o amenințare este blocat.

În concluzie:

• Blacklisting implică blocarea accesului la entități suspecte sau rău intenționate.
• Defectul implicit este de a permite accesul.
• Blacklisting-ul este centrat pe amenințări.

Care sunt avantajele și dezavantajele blacklisting-ului?

Unul dintre cele mai mari avantaje ale abordării blacklisting-ului este simplitatea sa. Funcționează pe baza unui principiu simplu – trebuie doar să identificați amenințările cunoscute și suspectate, să le interziceți accesul și să lăsați restul să treacă.

Pentru utilizatori, este o abordare cu o întreținere relativ redusă. În multe cazuri, software-ul de securitate sau furnizorul de servicii de securitate se va ocupa de compilarea listei, fără a fi nevoie de prea multe contribuții din partea utilizatorului.

O listă neagră nu poate fi niciodată cuprinzătoare, totuși, deoarece apar constant noi amenințări. În fiecare zi, Institutul AV-TEST, care cercetează securitatea IT, înregistrează peste 350.000 de noi programe malițioase și aplicații potențial nedorite. Deși este dificil să ții pasul cu aceste amenințări, schimbul de informații despre amenințări poate contribui la eficientizarea listelor negre.

Chiar și cu schimbul de informații, este ușor pentru furnizorii de software de securitate să rateze amenințări, pur și simplu pentru că sunt atât de multe. În timp ce lista neagră este eficientă împotriva amenințărilor cunoscute, este inutilă împotriva amenințărilor noi, necunoscute, cum ar fi atacurile de tip zero-day. Dacă organizația dvs. este suficient de ghinionistă pentru a fi prima care este lovită de un nou tip de atac, lista neagră nu va putea să-l oprească.

De asemenea, uneori, hackerii proiectează malware special pentru a evita detectarea de către instrumentele care utilizează un sistem de liste negre. Aceștia pot fi capabili să modifice malware-ul astfel încât instrumentul de listă neagră să nu-l recunoască drept un element de pe lista neagră.

Ce este whitelisting?

Whitelisting-ul abordează aceleași provocări ca și blacklisting-ul, dar folosește o abordare opusă. În loc să creați o listă de amenințări, creați o listă de entități permise și blocați orice altceva. Se bazează pe încredere și, în mod implicit, se refuză orice lucru nou, cu excepția cazului în care se dovedește că este acceptabil. Acest lucru are ca rezultat o abordare mult mai strictă a controlului accesului. Este analog cu a refuza accesul tuturor persoanelor în clădirea dvs. de birouri, cu excepția cazului în care pot trece de o verificare a antecedentelor și au acreditările necesare pentru a dovedi că au făcut-o.

Dacă un firewall permite doar anumitor adrese IP să acceseze o rețea, de exemplu, acesta folosește abordarea de tip whitelisting. Un alt exemplu cu care majoritatea oamenilor au avut de-a face este magazinul de aplicații Apple. Compania permite utilizatorilor să ruleze numai aplicațiile pe care Apple le-a aprobat și le-a permis în magazinul de aplicații.

Cea mai simplă tehnică pe care o puteți folosi pentru a crea o listă albă a aplicațiilor este să le identificați după numele fișierului, dimensiunea și calea de acces la directoare. Problema cu această tehnică, însă, este că hackerii ar putea crea o aplicație cu același nume de fișier și aceeași dimensiune ca aplicația de pe lista albă, permițându-i acesteia să se strecoare în sistem. Pentru a combate această posibilitate, puteți folosi o abordare mai strictă, pe care o recomandă Institutul Național de Standarde și Tehnologie al SUA (NIST). Aceasta implică utilizarea tehnicilor de hash criptografic și a semnăturilor digitale ale producătorului sau dezvoltatorului fiecărei componente.

Pentru a crea o listă albă pentru nivelul rețelei, trebuie să luați în considerare toate sarcinile pe care utilizatorii trebuie să le îndeplinească și instrumentele de care vor avea nevoie pentru a le realiza. Această listă albă la nivel de rețea poate include infrastructura rețelei, site-urile, locațiile, aplicațiile, utilizatorii, contractorii, serviciile și porturile, precum și detalii mai fine, cum ar fi dependențele aplicațiilor, bibliotecile software, plugin-urile, extensiile și fișierele de configurare. La nivel de utilizator, o listă albă poate include adrese de e-mail, fișiere și programe. Utilizarea abordării de tip listă albă necesită luarea în considerare a activității utilizatorilor, precum și a privilegiilor acestora.

Organizațiile pot crea propriile liste albe sau pot lucra cu terți care, de obicei, creează liste albe bazate pe reputație și acordă calificative software-ului și altor elemente pe baza vechimii lor, a semnăturilor digitale și a altor factori.

În concluzie:

• Lista albă implică permiterea accesului doar pentru entitățile aprobate.
• În mod implicit se blochează accesul.
• Lista albă este centrată pe încredere.

Care sunt avantajele și dezavantajele whitelisting-ului?

Whitelisting-ul este o abordare mult mai strictă a controlului accesului decât blacklisting-ul, deoarece implicit este de a refuza elemente și de a permite accesul doar celor care sunt dovedite a fi sigure. Acest lucru înseamnă că riscurile ca cineva rău intenționat să obțină acces la sistemul dumneavoastră sunt mult mai mici atunci când se utilizează abordarea whitelisting.

În timp ce whitelisting-ul oferă o securitate mai puternică, poate fi, de asemenea, mai complex de implementat. Este dificil să delegați crearea unei liste albe unei terțe părți, deoarece aceasta are nevoie de informații despre aplicațiile pe care le utilizați. Deoarece necesită informații specifice fiecărei organizații, este nevoie de mai multe informații din partea utilizatorilor. Majoritatea organizațiilor schimbă în mod regulat instrumentele pe care le utilizează, ceea ce înseamnă că, de fiecare dată când instalează o nouă aplicație sau corectează una existentă, trebuie să își actualizeze lista albă. Din punct de vedere administrativ, lista albă poate fi mai complicată pentru utilizator, mai ales dacă acesta are sisteme mai mari și mai complexe.

Aplicațiile de tip whitelisting restricționează, de asemenea, ceea ce pot face utilizatorii cu sistemele lor. Ei nu pot instala orice le place, ceea ce le limitează creativitatea și sarcinile pe care le pot îndeplini. Există, de asemenea, șansa ca whitelisting-ul să aibă ca rezultat blocarea traficului pe care îl doriți, ceea ce este o probabilitate mai mare în unele aplicații decât în altele.

Ce este Graylisting?

O altă tehnică care este legată de blacklisting și whitelisting, dar mai puțin frecvent discutată este graylisting, ortografiată și greylisting. După cum sugerează și numele său, se află undeva între blacklisting și whitelisting. De obicei, este folosită în tandem cu cel puțin una dintre aceste două metode principale.

O listă gri este o listă în care puteți pune elemente pe care nu ați confirmat încă dacă sunt benigne sau malițioase. Elementele de pe lista gri sunt interzise temporar să acceseze sistemul dumneavoastră. După ce un element ajunge pe o listă gri, îl examinați mai atent sau adunați mai multe informații pentru a determina dacă ar trebui să fie permis sau nu. În mod ideal, lucrurile nu rămân mult timp într-o listă gri și trec rapid fie pe o listă neagră, fie pe o listă albă.

Cum decideți ce să faceți cu un element de pe lista gri depinde de tipul de entitate care este. Un instrument de securitate ar putea, de exemplu, să solicite utilizatorului sau unui administrator de rețea să ia o decizie.

Un exemplu de utilizare a listei gri este în e-mail. Dacă un filtru de spam nu este sigur dacă să accepte sau nu un mesaj, îl poate bloca temporar. Dacă expeditorul încearcă să trimită din nou mesajul într-o perioadă specificată, atunci acesta va fi livrat. În caz contrar, acesta va respinge mesajul. Ideea care stă la baza acestui lucru este că majoritatea spam-ului provine de la aplicații concepute pentru a trimite spam, nu de la utilizatori reali, astfel încât aceștia nu vor încerca să retrimită un e-mail dacă primesc un mesaj care anunță că este blocat temporar. Un utilizator real, pe de altă parte, ar trimite din nou e-mailul.

Ce abordare ar trebui să folosiți?

Atunci, ce abordare este potrivită pentru dumneavoastră? Să analizăm când să folosim fiecare dintre ele și cum să le folosim pe amândouă împreună.

Când să folosiți lista neagră

Lista neagră este alegerea potrivită dacă doriți să facilitați accesul utilizatorilor la sistemele dvs. și doriți să minimizați efortul administrativ. Dacă prețuiți aceste lucruri mai mult decât să aveți cel mai strict control al accesului posibil, alegeți blacklisting.

Blacklisting-ul este în mod tradițional cea mai comună abordare pe care o folosesc echipele de securitate, în mare parte pentru că atunci când oamenii proiectează sisteme, deseori doresc ca un număr cât mai mare de persoane să le poată accesa. Un magazin de comerț electronic, de exemplu, cel mai probabil ar prefera mai degrabă să riște o tranzacție frauduloasă ocazională decât să blocheze un client legitim să facă o achiziție. Dacă un magazin de comerț electronic ar bloca fiecare client pe care nu îl cunoaște deja, nu ar rezista prea mult timp.

Dacă doriți să oferiți ceva publicului și să maximizați numărul de persoane care îl pot utiliza, lista neagră este de obicei cea mai bună abordare.

Pe scurt, utilizați lista neagră atunci când:

• Vreți ca publicul să poată utiliza un sistem, cum ar fi un magazin de comerț electronic.
• Vreți un mediu mai puțin restrictiv.
• Vreți să minimizați efortul administrativ.

Când să folosiți whitelisting

Dacă, pe de altă parte, doriți să maximizați securitatea și nu vă deranjează efortul administrativ suplimentar sau accesibilitatea limitată, whitelisting-ul este cea mai bună alegere. Whitelisting-ul este ideal atunci când controlul strict al accesului și securitatea sunt cruciale.

Whitelisting-ul funcționează bine pentru sistemele care nu sunt publice. Dacă aveți o aplicație la care trebuie să aibă acces doar angajații selectați ai companiei dumneavoastră, de exemplu, ați putea pune pe lista albă adresele IP ale computerelor lor și să blocați toate celelalte adrese IP de la accesarea aplicației.

În plus, whitelisting-ul poate fi util atunci când doriți să definiți ce acțiuni poate efectua o aplicație sau un serviciu și să îi restricționați accesul la orice altceva. Puteți realiza acest lucru prin includerea în lista albă a anumitor tipuri de comportament. De exemplu, puteți avea un computer pe care îl utilizați doar pentru a efectua o sarcină specifică. În holul unui hotel, de exemplu, ați putea avea un computer pe care oaspeții îl pot folosi pentru a se autentifica. Ați putea să puneți pe lista albă site-ul web al hotelului, astfel încât acesta să fie singurul site pe care oaspeții îl pot accesa de pe acest dispozitiv. Ca un alt exemplu, ați putea crea o politică care să permită unui microserviciu să consume o anumită cantitate de resurse sau să ruleze pe o anumită gazdă, dar să îl oprească dacă încearcă să utilizeze mai multe resurse sau să se mute pe o nouă gazdă.

Nu ar fi practic să faceți acest lucru folosind lista neagră, deoarece numărul de comportamente posibile pe care nu doriți ca aplicația dvs. să le efectueze este prea mare. Nu puteți prezice tot ceea ce ar putea face aplicația, dar puteți defini ceea ce doriți să facă dacă doriți ca aceasta să facă doar lucruri foarte specifice.

Utilizați whitelisting atunci când:

• Doar un grup select de utilizatori trebuie să utilizeze un sistem.
• Vreți un mediu mai controlat.
• Nu vă deranjează să investiți mai mult efort administrativ.

Utilizarea împreună a listei negre și a listei albe

De multe ori, utilizarea împreună a listei negre și a listei albe este opțiunea ideală. Puteți utiliza abordări diferite la diferite niveluri ale infrastructurii dumneavoastră și chiar le puteți utiliza pe amândouă în cadrul aceluiași nivel.

Puteți adopta o abordare de tip listă neagră, de exemplu, pentru detectarea programelor malware și a instrucțiunilor prin utilizarea unui software de securitate, dar utilizați o abordare de tip listă albă pentru a controla accesul la rețea în ansamblu. Ați putea, de asemenea, să introduceți o listă neagră a gazdelor pe baza adreselor lor IP, în timp ce introduceți o listă albă a comportamentului dorit al aplicației.

Ați putea, de asemenea, să introduceți o listă albă a accesului la un serviciu pe baza regiunii geografice, permițând doar utilizatorilor din regiunile în care știți că se află utilizatorii reali. În același timp, însă, ați putea avea o listă neagră a utilizatorilor rău intenționați localizați în acele regiuni. Acesta este un exemplu de utilizare atât a listei albe, cât și a listei negre în cadrul aceluiași nivel.

Multe organizații utilizează atât lista neagră, cât și lista albă pentru diferite părți ale strategiilor lor de securitate. De exemplu, controlul accesului la un computer sau la un cont prin intermediul unei parole reprezintă whitelisting. Numai celor care au parola li se permite accesul, iar toți ceilalți nu pot intra. Multe dintre aceleași organizații rulează, de asemenea, programe anti-malware care utilizează o listă neagră a programelor malware cunoscute pentru a bloca programele dăunătoare.

Îmbunătățiți-vă securitatea rețelei cu Consolidated Technologies, Inc.

Controlul accesului se află în centrul securității rețelei. Lista neagră și lista albă sunt ambele abordări legitime pentru a controla accesul la rețelele dvs. și pentru a vă păstra datele în siguranță. Cea mai potrivită pentru dumneavoastră depinde de nevoile și obiectivele organizației dumneavoastră.

Experții de la Consolodated Technologies, Inc. vă pot ajuta să vă dați seama care sunt cele mai bune strategii de securitate cibernetică pentru organizația dumneavoastră și vă pot oferi o gamă de soluții care să vă ajute să vă atingeți obiectivele de securitate. Oferim soluții de firewall, evaluări ale vulnerabilității rețelei, asistență pentru conformitate și chiar soluții complete de securitate gestionată. Pentru a discuta cu unul dintre experții noștri despre care sunt strategiile și soluțiile de securitate cibernetică potrivite pentru dumneavoastră, contactați-ne astăzi.

.