Anwendungs-Whitelisting ist ein Sicherheitsansatz, bei dem nur genehmigte Anwendungen auf einem System ausgeführt werden dürfen. In diesem Leitfaden werden die Grundsätze des Anwendungs-Whitelisting, seine Vorteile und die damit verbundenen Sicherheitsvorteile erläutert.
Erfahren Sie mehr über bewährte Verfahren für die Implementierung von Whitelisting und die Bedeutung regelmäßiger Updates und Überwachungen. Das Verständnis der Whitelisting-Anwendung ist für Unternehmen von entscheidender Bedeutung, um sich vor nicht autorisierter Software und Malware zu schützen.
Was ist eine Whitelist für Anwendungen?
Anwendungs-Whitelisting ist eine Form der Endpunktsicherheit, die dazu beiträgt, die Ausführung bösartiger Programme in einem Netzwerk zu verhindern. Es überwacht Betriebssysteme in Echtzeit, um die Ausführung nicht autorisierter Dateien zu verhindern.
Gemäß NIST SP 800-167 ist eine Anwendungs-Whitelist: "eine Liste von Anwendungen und Anwendungskomponenten (Bibliotheken, Konfigurationsdateien usw.), die gemäß einer genau definierten Baseline auf einem Host vorhanden oder aktiv sein dürfen". Mithilfe von Technologien zur Erstellung von Anwendungs-Allowlists können Unternehmen die Ausführung von Malware und anderer nicht autorisierter Software auf Endbenutzergeräten und im Netzwerk.
Die Anwendungs-Allowlist gibt Administratoren und Unternehmen die Kontrolle darüber, welche Programme ausgeführt werden dürfen. Jedes Programm, das nicht ausdrücklich auf der Zulassungsliste steht, wird automatisch auf die Sperrliste gesetzt.
Anwendungszulassungsliste vs. Anwendungs-Whitelisting
Obwohl "Anwendungszulassungsliste" und "Anwendungs-Whitelisting" beziehen sich auf dasselbe, wird für die Beschreibung dieser Sicherheitsfunktion bevorzugt der Begriff "Anwendungs-Allowlisting" verwendet.
Laut dem britischen National Cyber Security Centre ist es problematisch, "weiß" mit "gut, erlaubt und sicher" und "schwarz" mit "schlecht, gefährlich und verboten" gleichzusetzen, insbesondere wenn ein anderer, weniger mehrdeutiger Begriff zur Beschreibung derselben Aktivitäten verfügbar ist.
Blocklisting vs. Blacklisting
Das Gleiche gilt für "Blocklisting" (oder Denylisting) und "Blacklisting". Während früher der Begriff "Blacklisting" häufig verwendet wurde, um unerwünschte Eigenschaften in der Cybersicherheit zu beschreiben, wird heute der neutralere Begriff "Blocklisting" bevorzugt.
Wie funktioniert Application Allowlisting?
Beim Application Allowlisting wird ein Index der zulässigen oder genehmigten Softwareanwendungen auf Computersystemen festgelegt, um diese vor potenziell schädlichen Anwendungen zu schützen. Ein Drittanbieter kann diese Liste genehmigter Anwendungen bereitstellen oder sie in das Host-Betriebssystem integrieren.
Mithilfe von Application Allowlisting können Unternehmen die Installation und Ausführung von Anwendungen verhindern, die nicht ausdrücklich autorisiert sind. Allowlisting-Software vergleicht alle Anwendungen, die im Netzwerk ausgeführt werden sollen, mit der Liste der zugelassenen Anwendungen. Befindet sich die Anwendung auf der Zulassungsliste, wird sie zugelassen.
In der Regel entscheiden Netzwerkadministratoren, welche Anwendungen zugelassen werden, damit sie eine strenge Kontrolle über die Sicherheit ihres Systems behalten und die Anzahl der Personen minimieren können, die Zugang zum Entscheidungsprozess im Bereich Cybersicherheit haben.
Im Gegensatz zu Antivirensoftware, die Blocklisten verwendet, um bekannte "schädliche" Aktivitäten zu verhindern und alles andere zuzulassen, erlauben Allowlisting-Technologien bekannte "gute" Aktivitäten zuzulassen und alles andere zu blockieren. Letztendlich kann diese Vorgehensweise dazu beitragen, verschiedene Bedrohungen, darunter Malware und nicht autorisierte oder potenziell anfällige Software, zu mindern.
Da viele der heutigen Malware-basierten Bedrohungen individuell angepasst und gezielt eingesetzt werden, kann die Anwendung von Allowlisting dazu beitragen, die Installation oder Ausführung von Malware zu verhindern. Manchmal können Technologien zur Erstellung von Anwendungs-Whitelists bei der Abwehr unbekannter Malware wirksamer sein als Antivirensoftware.
Neben der Blockierung nicht autorisierter Anwendungen überwacht Software zur Erstellung von Anwendungs-Whitelists ein Betriebssystem in Echtzeit und verhindert die Ausführung nicht autorisierter Dateien. Die Erstellung von Anwendungs-Whitelists verhindert nicht nur die Ausführung unerwünschter Anwendungen, sondern führt auch eine detaillierte Überprüfung der Anwendungsinstallationspakete durch, um die Integrität der Dateien zu überprüfen.
Die Anwendung von Whitelisting ist eine einfache, aber wirksame Maßnahme zur Sicherung der Endpunkte eines Unternehmens. Administratoren können bösartige Programme stoppen, bevor sie irreparablen Schaden anrichten, indem sie sicherstellen, dass Endbenutzer nur genehmigte Anwendungen installieren können.
Bei der Implementierung von Application Allowlisting ist es wichtig, sicherzustellen, dass nur vertrauenswürdige Anwendungen auf Ihrem System ausgeführt werden dürfen. Lösungen wie Singularity XDR bieten Echtzeitüberwachung und erweiterte Erkennungsfunktionen, um sicherzustellen, dass Ihre Whitelist-Richtlinien auf allen Endgeräten effektiv durchgesetzt werden.
Führend bei der Endpunktsicherheit
Erfahren Sie, warum SentinelOne vier Jahre in Folge im Gartner® Magic Quadrant™ für Endpoint Protection-Plattformen als Leader ausgezeichnet wurde.
Bericht lesen
Anwendungs-Whitelisting vs. Blocklisting
Anhand einer vordefinierten Liste "schädlicher" Anwendungen vergleicht Blocklisting-Software in der Regel alle Anwendungen, die im Netzwerk ausgeführt werden sollen, mit der Liste der blockierten Anwendungen. Befindet sich die Anwendung nicht auf der Blockliste, wird sie zugelassen.
Beispielsweise verwenden herkömmliche Antivirenprogramme Blocklisten, um zu verhindern, dass bekannte Malware auf einem Computersystem ausgeführt wird. Da die Anwendungs-Allowlisting nicht aufgeführte Anwendungen ablehnt und die Anwendungs-Blockliste nicht aufgeführte Anwendungen zulässt, ist die Anwendungs-Allowlisting wohl sicherer als die Anwendungs-Blockliste.
Anwendungs-Zulassungsliste vs. Anwendungskontrolle
“Anwendungs-Allowlisting” und “Anwendungssteuerung” werden oft synonym verwendet, bedeuten jedoch nicht immer dasselbe. Obwohl beide Technologien unbefugte Anwendungen verhindern können, ist Anwendungs-Allowlisting strenger als Anwendungssteuerung.&
Die Anwendungskontrolle ähnelt der Anwendungszulassungsliste, da sie die Installation nicht autorisierter Anwendungen auf Endgeräten verhindern kann.
Die Technologie selbst weist jedoch zwei wesentliche Einschränkungen auf. Erstens funktioniert die Anwendungskontrolle auf der Ebene der Installationspakete, was bedeutet, dass sie einen Endbenutzer nicht daran hindern kann, eine auf dem System installierte Anwendung oder eine eigenständige ausführbare Datei auszuführen.
Zweitens überprüfen Anwendungskontrolltools die Installationspakete von Anwendungen nicht immer auf granularer Ebene. Stattdessen überprüfen sie nur, ob die Anwendung zulässig ist. Ein Angreifer könnte unbefugten Code in ein ansonsten legitimes Anwendungspaket installieren, um Anwendungssteuerungstools zu umgehen.
Arten von Anwendungs-Whitelists
Verschiedene Arten von Anwendungs-Whitelists bieten unterschiedliche Kompromisse zwischen Sicherheit, Benutzerfreundlichkeit und Wartbarkeit. Dazu gehören die folgenden:
1. Dateipfad
Der Dateipfad ist das allgemeinste Attribut und erlaubt alle Anwendungen mit einem bestimmten Pfad (d. h. Verzeichnis oder Ordner). Ein Dateipfad kann ein schwaches Attribut sein, da er die Ausführung beliebiger schädlicher Dateien innerhalb des Verzeichnisses erlaubt. Wenn jedoch strenge Zugriffskontrollen nur Administratoren das Hinzufügen oder Ändern von Dateien erlauben, kann der Dateipfad zu einem robusteren Attribut werden.
Dateipfade können auch von Vorteil sein, da nicht jede Datei innerhalb des Pfads separat aufgelistet werden muss, wodurch sich die Notwendigkeit verringert, die Zulassungsliste für jede neue Anwendung und jeden neuen Patch zu aktualisieren.
2. Dateiname
Der Dateiname allein ist oft ein zu allgemeines Attribut. Wenn beispielsweise eine Datei infiziert oder ersetzt würde, würde sich ihr Name wahrscheinlich nicht ändern, und die Datei würde weiterhin unter der Zulassungsliste ausgeführt werden.
Außerdem könnte ein Angreifer eine schädliche Datei mit dem gleichen Namen wie eine normale, harmlose Datei auf einem Host ablegen. Aufgrund dieser Schwächen funktionieren Dateinamenattribute am besten in Kombination mit anderen Attributen, wie z. B. Dateipfad- oder digitale Signaturattributen.
3. Dateigröße
Durch die Überwachung der Dateigröße einer Anwendung gehen Administratoren davon aus, dass eine bösartige Version eine andere Dateigröße als die Originalversion hat.
Allerdings erstellen Angreifer bösartige Dateien oft absichtlich so, dass sie dieselbe Größe wie ihre harmlosen Gegenstücke haben. Andere Attribute, darunter digitale Signaturen und kryptografische Hash-Werte, können Dateien besser identifizieren und sollten nach Möglichkeit anstelle der Dateigröße verwendet werden.
4. Kryptografischer Hash
Kryptografische Hashes können einen zuverlässigen und eindeutigen Wert für eine Anwendungsdatei liefern, solange die verwendete Kryptografie stark ist und der Hash bereits mit einer "guten" Datei verknüpft ist. Ein kryptografischer Hash ist in der Regel genau, unabhängig davon, wo sich die Datei befindet, wie sie benannt ist oder wie sie signiert ist.
Kryptografische Hashes sind jedoch weniger hilfreich, wenn Dateien aktualisiert werden. Beispielsweise hat die gepatchte Version einen anderen Hash, wenn eine Anwendung gepatcht wird. In diesen Fällen kann der Patch aufgrund seiner digitalen Signatur und des zur Zulassungsliste hinzugefügten kryptografischen Hashs als legitim erscheinen.
5. Digitale Signatur und Herausgeber
Heutzutage signieren viele Herausgeber Anwendungsdateien digital. Digitale Signaturen bieten einen zuverlässigen und eindeutigen Wert für die Überprüfung von Anwendungsdateien durch den Empfänger und ermöglichen es Teams, sicherzustellen, dass die Datei legitim und unverändert ist.
Einige Herausgeber signieren Anwendungsdateien jedoch nicht, sodass es oft unmöglich ist, ausschließlich die vom Herausgeber bereitgestellten digitalen Signaturen zu verwenden. Einige Anwendungs-Whitelists basieren möglicherweise auf der Identität des Herausgebers, anstatt einzelne digitale Signaturen zu überprüfen. Diese Methode setzt jedoch voraus, dass Unternehmen allen Anwendungen von vertrauenswürdigen Herausgebern vertrauen können.
Vorteile und Einschränkungen von Anwendungs-Whitelists
Anwendungs-Whitelists haben mehrere Vorteile und Einschränkungen.
Vorteile
Der Hauptvorteil von Anwendungs-Whitelisting besteht darin, dass es dazu beitragen kann, Malware und Ransomware daran zu hindern, in Netzwerke einzudringen und dort ausgeführt zu werden. Da die Anwendung von Whitelists restriktiver ist als die Verwendung von Blacklists, benötigen Endbenutzer die Genehmigung von Administratoren, bevor sie Programme installieren können, die nicht auf der Whitelist des Unternehmens stehen. Die Genehmigungspflicht für nicht autorisierte Anwendungen kann dazu beitragen, die Installation bösartiger Programme auf Endgeräten zu verhindern.
Zu den wichtigsten Vorteilen der Anwendungs-Allowlisting gehören:
- Verhindern von Malware und unbekannten Bedrohungen
- Erstellung eines Software-Inventars
- Unterstützung bei der Reaktion auf Vorfälle
- Überwachung von Dateien
Nachteile
Eine entscheidende Einschränkung von Anwendungs-Allowlists besteht darin, dass sie zusätzlichen Arbeitsaufwand für Sicherheitsteams verursachen können. So müssen beispielsweise für die Erstellung der ersten Allowlist detaillierte Informationen über die Aufgaben der Endbenutzer und den zur Ausführung dieser Aufgaben erforderlichen Anwendungen eingeholt werden müssen.
Ebenso kann die Pflege von Zulassungslisten aufgrund der zunehmenden Komplexität von Anwendungen und Unternehmenstechnologie-Stacks zeitaufwändig sein.
Zu den wichtigsten Nachteilen von Anwendungs-Allowlists gehören die folgenden:
- Schwierige Implementierung
- Auswirkungen auf Endbenutzer
- Einschränkungen hinsichtlich des Anwendungsbereichs
- Arbeitsintensiv
Entdecken Sie unvergleichlichen Endpunktschutz
Erfahren Sie, wie die KI-gestützte Endpunktsicherheit von SentinelOne Ihnen helfen kann, Cyber-Bedrohungen in Echtzeit zu verhindern, zu erkennen und darauf zu reagieren.
Demo anfordernBewährte Verfahren für die Zulassungsliste von Anwendungen
-
Überprüfen Sie das Netzwerk
Ein sauberes System kann von einer gründlichen Überprüfung mit externen Speichergeräten profitieren, um festzustellen, welche Anwendungen und Verfahren für einen optimalen Betrieb unerlässlich sind.
Das Scannen von Netzwerkkomponenten kann Netzwerkadministratoren dabei helfen, eine solide Grundlage dafür zu schaffen, welche Programme akzeptiert werden müssen. Eine Netzwerküberprüfung kann auch dazu beitragen, unnötige oder bösartige Anwendungen zu eliminieren, die bereits im Netzwerk ausgeführt werden. -
Vertrauenswürdige Anwendungen und bestimmte Verwaltungstools auf die Whitelist setzen
Erstellen Sie eine Liste der zulässigen oder genehmigten Anwendungen und bestimmten Verwaltungstools und kategorisieren Sie diese als unverzichtbar und nicht unverzichtbar. Die Priorisierung von Anwendungen nach ihrer Wichtigkeit hilft dabei, zu bestimmen, welche Anwendungen für die Geschäftsfunktionen kritisch sind und welche lediglich eine nette Ergänzung darstellen.
-
Dokumentieren Sie eine Zugriffsrichtlinie
Erstellen Sie als Nächstes eine Zugriffsrichtlinie, die eine Reihe von Regeln festlegt, sodass nur Benutzer, die bestimmte Kriterien erfüllen, die von ihnen benötigten Anwendungen nutzen können. Die Einrichtung verschiedener Zugriffsebenen für Teammitglieder auf einer Zulassungsliste kann dazu beitragen, den Netzwerkzugriff zu optimieren und die Verwaltung der Zulassungsliste für Anwendungen zu vereinfachen.
-
Überprüfen Sie den Herausgeber
Es gibt zahlreiche nicht lizenzierte und unsichere Anwendungen, von denen viele Webanwendungen und Netzwerke infizieren können. Die Überprüfung der Authentizität des Herausgebers vor der Installation auf einem Computer kann dazu beitragen, das Risiko zu verringern, dass ein Angreifer eine unbekannte Schwachstelle ausnutzt.
-
Sowohl Cloud- als auch lokale Anwendungen auf die Zulassungsliste setzen
Die Überprüfung sowohl lokaler als auch cloudbasierter Anwendungen kann dazu beitragen, dass eine Whitelist alle Bereiche abdeckt. Eine gründliche Softwareinventarisierung sollte einen vollständigen Überblick über alle Anwendungen und Prozesse auf jedem Endpunkt und Server bieten.
Mit diesen Informationen sind Sicherheitsteams möglicherweise besser in der Lage, nicht autorisierte Anwendungen oder veraltete Software zu identifizieren. -
Aktualisieren Sie die Zulassungsliste
Die kontinuierliche Aktualisierung einer Zulassungsliste ist entscheidend, um Unterbrechungen des Arbeitsablaufs zu vermeiden. Da Entwickler aufgrund von Schwachstellen in älteren Versionen häufig aktualisierte Versionen von Anwendungen veröffentlichen, kann die Aktualisierung einer Zulassungsliste dazu beitragen, dass sie mit den neuesten Versionen der Software übereinstimmt.
Wenn die Zulassungsliste nicht regelmäßig aktualisiert wird, kann dies zu Schäden oder Störungen führen, da Anwendungen möglicherweise nicht mehr effektiv funktionieren. -
Zusätzliche Cybersicherheitsmaßnahmen einsetzen
Heutzutage ist der Einsatz von mehr als einer Cybersicherheitsmethode erforderlich, um Systeme und Netzwerke vor dynamischen Bedrohungen zu schützen. Die Implementierung verschiedener Sicherheitstechniken ist der beste Weg, um einen starken Schutz zu gewährleisten.
Anstatt sich ausschließlich auf die Zulassungsliste für Anwendungen zu verlassen, sollten Sie weitere Cybersicherheitsmethoden wie DNS-Filterung, E-Mail-Sicherheit, Patch-Management, Antivirus, und erweiterte Erkennung und Reaktion Plattformen, um mögliche Lücken zu schließen.
Glücklicherweise lässt sich die Anwendung von Whitelists in der Regel gut mit anderen Cybersicherheitsmaßnahmen kombinieren, sodass Unternehmen verschiedene Tools kombinieren können, um ihren individuellen Netzwerken und Systemen gerecht zu werden.
Beispiele und Anwendungsfälle für Application Allowlisting
Application Allowlisting ist eine proaktive Methode zur Gewährleistung der Netzwerksicherheit und dient in erster Linie der Zugriffskontrolle für Anwendungen. Unternehmen können Application-Allowlisting-Tools jedoch auch für andere Zwecke einsetzen, darunter:
- Erstellung einer Software-Bestandsliste: Die meisten Technologien für die Anwendungssperrliste helfen Unternehmen dabei, eine Liste der Anwendungen und Anwendungsversionen auf Endgeräten und Servern zu führen. Eine Software-Bestandsliste kann Unternehmen dabei helfen, nicht autorisierte Anwendungen (d. h. nicht lizenzierte, verbotene, veraltete, unbekannte oder modifizierte Anwendungen) schnell zu identifizieren. Die Transparenz sowohl bei cloudbasierten als auch bei lokalen Anwendungen kann auch forensische Untersuchungen unterstützen.
- Überwachung der Dateiintegrität: Viele Tools für die Anwendung von Allowlists können Versuche, Anwendungsdateien zu ändern, kontinuierlich überwachen. Einige Technologien für die Anwendung von Allowlists können verhindern, dass Dateien verändert werden, während andere Tools sofort melden, wenn Änderungen auftreten.
- Reaktion auf Vorfälle: Anwendungs-Allowlists können Unternehmen auch dabei helfen, auf Sicherheitsvorfälle zu reagieren. Wenn das Unternehmen beispielsweise die Merkmale einer schädlichen Datei erfassen kann, könnte es auch ein Tool zur Erstellung von Anwendungs-Allowlists verwenden, um andere Hosts auf dieselben Dateinamen zu überprüfen und so festzustellen, ob sie kompromittiert wurden.
Tools und Software für Anwendungs-Whitelists
Unternehmen, die ein Tool für Anwendungs-Whitelists in Betracht ziehen, sollten zunächst die Umgebungen analysieren, in denen die Hosts ausgeführt werden.
Lösungen für die Zulassungsliste von Anwendungen eignen sich in der Regel am besten für Hosts in SSLF-Umgebungen (Specialized Security-Limited Functionality), die aufgrund des hohen Risikos von Angriffen oder Datenlecks sehr restriktiv und sicher sind. Es ist auch wichtig zu bedenken, dass Zulassungslisten für Anwendungen spezielles Personal für die Verwaltung und Wartung der Lösung erfordern.
Als Nächstes können Unternehmen überlegen, welche Tools für die Erstellung von Anwendungs-Whitelists für ihre Umgebung am besten geeignet sind. Für zentral verwaltete Hosts (z. B. Desktops, Laptops und Server) ist eine bereits im Betriebssystem integrierte Technologie für die Erstellung von Anwendungs-Whitelists möglicherweise am praktischsten, da die Verwaltung dieser Lösungen relativ einfach und mit minimalen Kosten verbunden ist.
Wenn integrierte Allowlisting-Funktionen ungeeignet oder nicht verfügbar sind, ist eine Drittanbieterlösung mit robusten zentralen Verwaltungsfunktionen die nächstbeste Option.
Schützen Sie Ihren Endpunkt
Erfahren Sie, wie die KI-gestützte Endpunktsicherheit von SentinelOne Ihnen helfen kann, Cyber-Bedrohungen in Echtzeit zu verhindern, zu erkennen und darauf zu reagieren.
Demo anfordernHäufig gestellte Fragen zur Anwendungs-Whitelist
Die Anwendung von Whitelists ist eine Sicherheitsmaßnahme, bei der eine Liste mit zugelassenen Softwareprogrammen erstellt wird, die auf Ihren Systemen ausgeführt werden dürfen. Nur Anwendungen auf dieser vorab genehmigten Liste können ausgeführt werden, während alle anderen standardmäßig blockiert werden. Dieser Ansatz kehrt herkömmliche Sicherheitsmethoden um, indem nur bekannte gute Programme zugelassen werden, anstatt zu versuchen, alle schlechten zu blockieren. Sie können die Zulassungsliste über integrierte Betriebssystemfunktionen oder Sicherheits-Tools von Drittanbietern implementieren.
Allowlisting und Whitelisting beziehen sich auf dasselbe Sicherheitskonzept – beide erstellen Listen mit zugelassenen Entitäten, denen der Zugriff gestattet ist. Der Hauptunterschied liegt in der Terminologie. "Allowlisting" wird heute bevorzugt verwendet, da dieser Begriff potenziell problematische Assoziationen vermeidet. Beide Begriffe beschreiben die Praxis, vertrauenswürdige Anwendungen, IP-Adressen oder Benutzer ausdrücklich zuzulassen und alles andere zu blockieren.
Die Whitelist für Anwendungen funktioniert, indem jedes Programm, das ausgeführt werden soll, mit Ihrer genehmigten Liste verglichen wird. Wenn die Anwendung auf der Whitelist steht, wird sie normal ausgeführt. Ist sie nicht aufgeführt, wird sie vom System automatisch blockiert. Der Prozess verwendet Dateiattribute wie digitale Signaturen, Dateipfade und kryptografische Hashes, um die Identität des Programms zu überprüfen. Wenn Sie neue Software installieren, muss diese von Administratoren genehmigt werden, bevor Benutzer sie ausführen können.
Die Whitelist für Anwendungen schützt vor unbekannten Bedrohungen, die herkömmliche Antivirenprogramme möglicherweise übersehen. Sie verhindert die Ausführung von Malware, selbst wenn diese noch nie zuvor gesehen wurde. Sie erhalten eine bessere Kontrolle über die Softwarenutzung und können Mitarbeiter daran hindern, nicht autorisierte Programme zu installieren. Dieser Ansatz hilft auch bei der Einhaltung von Compliance-Anforderungen und reduziert die Angriffsfläche Ihrer Systeme. Insbesondere Unternehmen mit sensiblen Daten profitieren von diesem proaktiven Sicherheitsansatz.
Nein, Anwendungs-Whitelisting und Antivirus funktionieren unterschiedlich. Antivirus-Software identifiziert und blockiert bekannte Schadprogramme anhand von Signaturdatenbanken. Sie lässt alles laufen, was nicht ausdrücklich als schädlich gekennzeichnet ist. Whitelisting funktioniert umgekehrt – es blockiert alles, was nicht ausdrücklich genehmigt ist. Antivirus ist reaktiv, während Whitelisting proaktiv ist. Sie können beide zusammen für einen mehrschichtigen Sicherheitsschutz einsetzen.
Die Whitelist lässt nur genehmigte Programme zu, während die Blacklist nur bekannte schädliche Programme blockiert. Die Blacklist lässt standardmäßig alles zu, außer den Einträgen auf der Sperrliste. Die Whitelist lehnt standardmäßig alles ab, außer den genehmigten Einträgen. Eine Blacklist muss ständig aktualisiert werden, da ständig neue Bedrohungen auftauchen. Eine Whitelist bietet mehr Sicherheit, erfordert jedoch einen höheren initialen Einrichtungsaufwand. Die Wahl hängt von Ihren Sicherheitsanforderungen und betrieblichen Anforderungen ab.
Organisationen mit hohen Sicherheitsanforderungen sollten eine Whitelist für Anwendungen verwenden. Behörden, Finanzinstitute und Gesundheitsdienstleister setzen sie häufig ein. Unternehmen, die mit sensiblen Daten umgehen oder strengen Compliance-Anforderungen unterliegen, profitieren am meisten davon. Auch industrielle Steuerungssysteme und Betreiber kritischer Infrastrukturen verwenden Whitelists.
