Blacklisting vs. Whitelisting

För att skydda en enhet eller ett nätverk från potentiella hot måste du kontrollera åtkomsten. Detta kräver en väldefinierad omkrets och sätt att försvara denna omkrets. Det kräver också att du bestämmer vilka enheter som ska få tillgång och vilka som ska blockeras.

Det finns två primära tillvägagångssätt som används för att hantera vilka enheter som får tillgång till ditt system – svartlistning och vitlistning. Båda metoderna har sina för- och nackdelar, och alla är inte överens om vilken metod som är bäst att använda. Det rätta valet beror främst på din organisations behov och mål, och ofta är den idealiska taktiken en kombination av båda. Låt oss titta på svartlistning och vitlistning i detalj och diskutera skillnaderna mellan de två metoderna.

Vad är svartlistning?

Svartlistningsmetoden innebär att man definierar vilka enheter som ska blockeras. En svartlista är en lista över misstänkta eller illasinnade enheter som bör nekas åtkomst eller körrättigheter i ett nätverk eller system.

Som exempel ute i den fysiska världen kan en gränskontrollmyndighet upprätthålla en svartlista över kända eller misstänkta terrorister. En butiksägare kan ha en svart lista över snattare. I nätverkssäkerhetsvärlden består en svart lista ofta av skadlig programvara som virus, spionprogram, trojaner, maskar och andra typer av skadlig kod. Du kan också ha en svart lista över användare, IP-adresser, program, e-postadresser, domäner, processer eller organisationer. Du kan tillämpa svartlistning på praktiskt taget alla aspekter av ditt nätverk.

Du kan identifiera misstänkta eller skadliga enheter genom deras digitala signaturer, heuristik, beteenden eller på annat sätt. För att svartlista applikationer kan organisationer skapa egna svartlistor och även använda listor som skapats av tredje part, t.ex. leverantörer av nätverkssäkerhetstjänster. Svartlistning är det traditionella tillvägagångssättet för åtkomstkontroll och har länge använts av antivirusverktyg, skräppostfilter, intrångsdetekteringssystem och andra säkerhetsprogram.

Svartlistningsmetoden är hotcentrerad och standardinställningen är att tillåta åtkomst. Alla enheter som inte finns med på den svarta listan får tillgång, men allt som är känt eller förväntas vara ett hot blockeras.

För att sammanfatta:

• Blacklisting innebär att man blockerar tillgången till misstänkta eller skadliga enheter.
• Den vanligaste inställningen är att tillåta åtkomst.
• Blacklisting är hotcentrerad.

Vad är fördelarna och nackdelarna med blacklisting?

En av de största fördelarna med blacklisting är dess enkelhet. Den fungerar enligt en enkel princip – identifiera bara de kända och misstänkta hoten, neka dem åtkomst och låt allt annat vara.

För användarna är det ett tillvägagångssätt som kräver relativt lite underhåll. I många fall sköter din säkerhetsprogramvara eller säkerhetstjänstleverantör sammanställningen av listan utan att användaren behöver göra några insatser.

En svart lista kan dock aldrig vara heltäckande, eftersom nya hot dyker upp hela tiden. Varje dag registrerar AV-TEST-institutet, som forskar om IT-säkerhet, mer än 350 000 nya skadliga program och potentiellt oönskade program. Även om det är en utmaning att hålla reda på dessa hot, kan utbyte av information om hot bidra till att göra de svarta listorna mer effektiva.

Även med informationsutbyte är det lätt för leverantörer av säkerhetsprogram att missa hot, helt enkelt för att det finns så många. Svarta listor är effektiva mot kända hot, men de är värdelösa mot nya, okända hot som zero-day-attacker. Om din organisation har oturen att vara den första som drabbas av en ny typ av attack kommer svartlistning inte att kunna stoppa den.

Hackerare utformar också ibland skadlig kod speciellt för att undgå att upptäckas av verktyg som använder ett svartlistningssystem. De kanske kan modifiera skadlig kod så att svartlistningsverktyget inte känner igen den som ett svartlistat objekt.

Vad är vitlistning?

Vitlistning tar itu med samma utmaningar som svartlistning, men använder sig av det motsatta tillvägagångssättet. Istället för att skapa en lista över hot skapar du en lista över tillåtna enheter och blockerar allt annat. Det bygger på förtroende, och standardinställningen är att förneka allt nytt om det inte har visat sig vara acceptabelt. Detta resulterar i en mycket strängare strategi för åtkomstkontroll. Det kan jämföras med att neka alla tillträde till din kontorsbyggnad om de inte kan passera en bakgrundskontroll och har referenser som bevisar att de gjort det.

Om en brandvägg bara tillåter vissa IP-adresser att komma åt ett nätverk, till exempel, använder den sig av whitelisting-metoden. Ett annat exempel som de flesta har haft att göra med är Apples appbutik. Företaget låter bara användare köra appar som Apple har godkänt och tillåtit i app-butiken.

Den enklaste tekniken du kan använda för att sätta program på en vitlista är att identifiera dem med hjälp av deras filnamn, storlek och katalogsökväg. Problemet med den här tekniken är dock att hackare kan skapa en app med samma filnamn och storlek som den vitlistade appen, så att den kan smita in i systemet. För att motverka denna möjlighet kan du använda en strängare metod, som rekommenderas av det amerikanska National Institute of Standards and Technology (NIST). Det innebär att man använder kryptografiska hashtekniker och digitala signaturer från tillverkaren eller utvecklaren av varje komponent.

För att skapa en vitlista för nätverksnivån måste du ta hänsyn till alla uppgifter som användarna måste utföra och de verktyg som de behöver för att utföra dem. Denna vita lista på nätverksnivå kan omfatta nätverksinfrastruktur, platser, platser, program, användare, entreprenörer, tjänster och portar samt finare detaljer som programberoenden, programvarubibliotek, plugins, tillägg och konfigurationsfiler. På användarnivå kan en vitlista omfatta e-postadresser, filer och program. Om man använder sig av vitlista-metoden måste man ta hänsyn till användaraktivitet samt användarrättigheter.

Organisationer kan skapa egna vitlistor eller samarbeta med tredje part som vanligtvis skapar ryktesbaserade vitlistor och ger programvaror och andra objekt betyg baserat på deras ålder, digitala signaturer och andra faktorer.

För att sammanfatta:

• Whitelisting innebär att man endast tillåter åtkomst för godkända enheter.
• Standardinställningen är att blockera åtkomst.
• Whitelisting är förtroendecentrerat.

Vad är för- och nackdelarna med vitlistning?

Vitlistning är ett mycket strängare tillvägagångssätt för åtkomstkontroll än svartlistning, eftersom standardinställningen är att neka objekt och endast släppa in dem som bevisligen är säkra. Detta innebär att riskerna för att någon skadlig person ska få tillgång till ditt system är mycket lägre när du använder whitelisting.

Vidare whitelisting ger starkare säkerhet, men det kan också vara mer komplicerat att implementera. Det är svårt att delegera skapandet av en vitlista till en tredje part eftersom de behöver information om de program du använder. Eftersom det krävs information som är specifik för varje organisation krävs det mer input från användarna. De flesta organisationer ändrar regelbundet de verktyg de använder, vilket innebär att varje gång de installerar en ny applikation eller patchar en befintlig applikation måste de uppdatera sin whitelist. Administrativt kan vitlistning vara mer komplicerat för användaren, särskilt om de har större och mer komplexa system.

Vitlistade applikationer begränsar också vad användarna kan göra med sina system. De kan inte installera vad de vill, vilket begränsar deras kreativitet och de uppgifter de kan utföra. Det finns också en chans att whitelisting resulterar i att man blockerar trafik som man vill ha, vilket är mer sannolikt i vissa program än i andra.

Vad är graylisting?

En annan teknik som är besläktad med blacklisting och whitelisting men som diskuteras mer sällan är graylisting, som också stavas greylisting. Som namnet antyder ligger den någonstans mellan svartlistning och vitlistning. Den används vanligtvis tillsammans med minst en av dessa två huvudmetoder.

En graylist är en lista där du kan lägga in objekt som du ännu inte har bekräftat som antingen godartade eller skadliga. Föremål på en grå lista förbjuds tillfälligt från att komma åt ditt system. När ett objekt hamnar på en grålista granskar du det ytterligare eller samlar in mer information för att avgöra om det ska tillåtas eller inte. I idealfallet stannar saker inte länge på en grålista utan flyttas snabbt till antingen en svartlista eller en vitlista.

Hur du bestämmer vad du ska göra med ett grålistat objekt beror på vilken typ av enhet det rör sig om. Ett säkerhetsverktyg kan till exempel uppmana användaren eller en nätverksadministratör att fatta ett beslut.

Ett exempel på användning av grålistning är i e-post. Om ett skräppostfilter är osäkert på om det ska acceptera ett meddelande kan det tillfälligt blockera det. Om avsändaren försöker skicka meddelandet igen inom en viss tidsperiod kommer det att levereras. Om inte, kommer det att avvisa meddelandet. Tanken bakom detta är att de flesta skräppostmeddelanden kommer från program som är utformade för att skicka skräppost, inte från verkliga användare, så de kommer inte att försöka skicka ett e-postmeddelande på nytt om de får ett meddelande om att det är tillfälligt blockerat. En riktig användare skulle däremot skicka e-postmeddelandet igen.

Vilket tillvägagångssätt bör du använda?

Så, vilket tillvägagångssätt är rätt för dig? Låt oss titta på när du ska använda var och en av dem och hur du kan använda båda tillsammans.

När du ska använda svartlistning

Svartlistning är rätt val om du vill göra det enkelt för användare att komma åt dina system och om du vill minimera det administrativa arbetet. Om du värderar dessa saker högre än att ha en så strikt åtkomstkontroll som möjligt, välj blacklisting.

Blacklisting är traditionellt sett det vanligaste tillvägagångssättet som säkerhetsteam använder sig av. Detta beror till stor del på att när människor utformar system vill de ofta att så många människor som möjligt ska kunna komma åt dem. En e-handelsbutik, till exempel, skulle troligen hellre riskera en enstaka bedräglig transaktion än att blockera en legitim kund från att göra ett köp. Om en e-handelsbutik blockerade alla kunder som den inte redan kände skulle den inte klara sig särskilt länge.

Om du vill tillhandahålla något till allmänheten och maximera antalet personer som kan använda det, är svartlistning vanligtvis det bästa tillvägagångssättet.

Samt sett kan du använda svartlistning när:

• Du vill att allmänheten ska kunna använda ett system, till exempel en e-handelsbutik.
• Du vill ha en mindre restriktiv miljö.
• Du vill minimera det administrativa arbetet.

När du ska använda vitlistning

Om du å andra sidan vill maximera säkerheten och inte har något emot det extra administrativa arbetet eller den begränsade tillgängligheten är vitlistning det bästa valet. Vitlistning är idealisk när sträng åtkomstkontroll och säkerhet är avgörande.

Vitlistning fungerar bra för system som inte är offentliga. Om du till exempel har ett program som endast utvalda anställda på ditt företag behöver ha tillgång till, kan du sätta IP-adresserna till deras datorer på en vitlista och blockera alla andra IP-adresser från att komma åt programmet.

Vitlista kan dessutom vara användbart när du vill definiera vilka åtgärder som ett program eller en tjänst kan utföra och begränsa dem från att göra något annat. Du kan åstadkomma detta genom att vitlista vissa typer av beteenden. Som exempel kan du ha en dator som du bara använder för att utföra en specifik uppgift. I en hotellobby kan du till exempel ha en dator som gästerna kan använda för att logga in. Du skulle kunna vitlista hotellets webbplats så att det är den enda webbplats som gästerna kan komma åt på enheten. Som ett annat exempel kan du skapa en policy som tillåter en mikrotjänst att förbruka en viss mängd resurser eller köra på en viss värd, men som stänger av den om den försöker använda mer resurser eller flytta till en ny värd.

Det skulle inte vara praktiskt att göra det här med hjälp av svartlistning eftersom antalet möjliga beteenden som du inte vill att programmet ska utföra är för stort. Du kan inte förutsäga allt programmet kan göra, men du kan definiera vad du vill att det ska göra om du bara vill att det ska göra mycket specifika saker.

Använd vitlistning när:

• Endast en utvald grupp användare behöver använda ett system.
• Du vill ha en mer kontrollerad miljö.
• Du har inget emot att investera mer administrativt arbete.

Användning av svartlistning och vitlistning tillsammans

Ofta är det idealiska alternativet att använda svartlistning och vitlistning tillsammans. Du kan använda olika tillvägagångssätt på olika nivåer i din infrastruktur och till och med använda båda inom samma nivå.

Du kan till exempel använda en svartlistad metod för att upptäcka skadlig kod och instruktioner med hjälp av säkerhetsprogram, men använda en vitlistad metod för att kontrollera åtkomsten till nätverket som helhet. Du kan också svartlista värdar baserat på deras IP-adresser samtidigt som du sätter det önskade programbeteendet på en vitlista.

Du kan också sätta åtkomst till en tjänst på en vitlista baserat på geografisk region genom att endast tillåta användare från regioner där du vet att det finns riktiga användare. Samtidigt kan du dock ha en svart lista över skadliga användare som befinner sig i dessa regioner. Detta är ett exempel på att använda både whitelisting och blacklisting inom samma nivå.

Många organisationer använder både blacklisting och whitelisting för olika delar av sina säkerhetsstrategier. Att kontrollera åtkomsten till en dator eller ett konto med hjälp av ett lösenord är till exempel whitelisting. Endast de som har lösenordet får tillgång och alla andra kan inte komma in. Många av samma organisationer kör också program mot skadlig kod som använder en svart lista över känd skadlig kod för att blockera skadliga program.

Förbättra din nätverkssäkerhet med Consolidated Technologies, Inc.

Kontroll av åtkomst står i centrum för nätverkssäkerheten. Svartlistning och vitlistning är båda legitima tillvägagångssätt för att kontrollera åtkomsten till dina nätverk och hålla dina data säkra. Vilken som är rätt för dig beror på din organisations behov och mål.

Experterna på Consolodated Technologies, Inc. kan hjälpa dig att ta reda på vilka cybersäkerhetsstrategier som är bäst för din organisation och förse dig med en rad olika lösningar som hjälper dig att uppnå dina säkerhetsmål. Vi erbjuder brandväggslösningar, sårbarhetsbedömningar av nätverk, hjälp med efterlevnad och till och med omfattande hanterade säkerhetslösningar. Om du vill prata med en av våra experter om vilka cybersäkerhetsstrategier och lösningar som är rätt för dig kan du kontakta oss redan idag.