La lista blanca de aplicaciones es un enfoque de seguridad que permite que solo las aplicaciones aprobadas se ejecuten en un sistema. Esta guía explora los principios de la lista blanca de aplicaciones, sus ventajas y cómo mejora la seguridad.
Conozca las prácticas recomendadas para implementar la lista blanca y la importancia de las actualizaciones y la supervisión periódicas. Comprender la lista blanca de aplicaciones es fundamental para que las organizaciones se protejan contra el software no autorizado y el malware.
¿Qué es la lista blanca de aplicaciones?
La lista blanca de aplicaciones es una forma de seguridad para puntos finales que ayuda a evitar que se ejecuten programas maliciosos en una red. Supervisa los sistemas operativos en tiempo real para impedir que se ejecuten archivos no autorizados.
Según NIST SP 800-167, una lista blanca de aplicaciones es: "una lista de aplicaciones y componentes de aplicaciones (bibliotecas, archivos de configuración, etc.) que están autorizados a estar presentes o activos en un host de acuerdo con una base de referencia bien definida.” Mediante el uso de tecnologías de listas de aplicaciones permitidas, las organizaciones pueden impedir la ejecución de malware y otro software no autorizado en los dispositivos de los usuarios finales y en la red.
Las listas de aplicaciones permitidas proporcionan a los administradores y a las organizaciones control sobre los programas que se pueden ejecutar. Cualquier programa que no esté específicamente incluido en la lista de permitidos se bloquea automáticamente.
Listas de aplicaciones permitidas frente a listas blancas de aplicaciones
Aunque "lista de aplicaciones permitidas" y "lista blanca de aplicaciones" se refieren a lo mismo, la lista de aplicaciones permitidas es el término preferido para describir esta función de seguridad.
Según el Centro Nacional de Ciberseguridad del Reino Unido, equiparar "blanco" con "bueno, permitido y seguro" y negro con "malo, peligroso y prohibido" es problemático, especialmente cuando existe otro término menos ambiguo para describir las mismas actividades. Lo mismo ocurre con la "lista de bloqueados" (o lista de denegados) y la "lista negra". Aunque era habitual utilizar el término "lista negra" para describir los atributos indeseables en ciberseguridad, ahora se prefiere el término neutro "lista de bloqueo". La lista blanca de aplicaciones consiste en especificar un índice de aplicaciones de software permitidas o aprobadas en los sistemas informáticos para protegerlos de aplicaciones potencialmente dañinas. Un proveedor externo puede proporcionar esta lista de aplicaciones aprobadas o incorporarla al sistema operativo del host. Mediante la lista de aplicaciones permitidas, las organizaciones pueden impedir la instalación y ejecución de aplicaciones que no estén explícitamente autorizadas. El software de lista de permitidos compara cualquier aplicación que intente ejecutarse en la red con la lista de aplicaciones permitidas. Si la aplicación está en la lista de permitidas, se le permite continuar. Los administradores de red suelen ser los que eligen qué aplicaciones permitir, de modo que pueden mantener un control estricto sobre la seguridad de su sistema y minimizar el número de personas que tienen acceso al proceso de toma de decisiones sobre ciberseguridad. A diferencia del software antivirus, que utiliza listas de bloqueo para impedir actividades "maliciosas" conocidas y permitir todo lo demás, las tecnologías de listas de permitidos permiten las actividades "buenas" conocidas y bloquean todo lo demás. En última instancia, esta práctica puede ayudar a mitigar diversas amenazas, como el malware y el software no autorizado o potencialmente vulnerable. Dado que muchas de las amenazas actuales basadas en malware están personalizadas y dirigidas, las listas de aplicaciones permitidas pueden ayudar a impedir que se instale o ejecute malware. En ocasiones, las tecnologías de listas de aplicaciones permitidas pueden ser más eficaces que el software antivirus para prevenir el malware desconocido. Además de bloquear las aplicaciones no autorizadas, el software de listas de aplicaciones permitidas supervisa el sistema operativo en tiempo real, impidiendo la ejecución de archivos no autorizados. Más allá de simplemente impedir que se ejecuten aplicaciones no deseadas, las listas blancas de aplicaciones realizan una inspección granular de los paquetes de instalación de las aplicaciones para verificar la integridad de los archivos. Las listas blancas de aplicaciones son una medida sencilla pero eficaz para proteger los puntos finales de una organización. Los administradores pueden detener los programas maliciosos antes de que causen daños irreparables, garantizando que los usuarios finales solo puedan instalar aplicaciones aprobadas. Al implementar listas blancas de aplicaciones, es esencial garantizar que solo se permita la ejecución de aplicaciones de confianza en el sistema. Soluciones como Singularity XDR proporcionan supervisión en tiempo real y capacidades de detección ampliadas para garantizar que sus políticas de listas blancas se apliquen de forma eficaz en todos los puntos finales. Mediante una lista predefinida de aplicaciones "maliciosas", el software de bloqueo suele comparar cualquier aplicación que intente ejecutarse en la red con la lista de aplicaciones bloqueadas. Si la aplicación no está en la lista de bloqueo, se le permite continuar. Por ejemplo, el software antivirus convencional utiliza la lista de bloqueo para evitar que el malware conocido se ejecute en un sistema informático. Dado que la lista de aplicaciones permitidas rechaza las aplicaciones que no figuran en ella y la lista de aplicaciones bloqueadas permite las aplicaciones que no figuran en ella, podría decirse que la lista de aplicaciones permitidas es más segura que la lista de aplicaciones bloqueadas. “Las "listas de aplicaciones permitidas" y el "control de aplicaciones" se utilizan a menudo de forma intercambiable, pero no siempre significan lo mismo. Aunque ambas tecnologías pueden impedir el uso de aplicaciones no autorizadas, las listas de aplicaciones permitidas son más estrictas que el control de aplicaciones. El control de aplicaciones es similar a la lista blanca de aplicaciones, ya que puede impedir la instalación de aplicaciones no autorizadas en terminales. Sin embargo, la tecnología en sí misma tiene dos inconvenientes importantes. En primer lugar, el control de aplicaciones funciona a nivel del paquete de instalación, lo que significa que no puede impedir que un usuario final ejecute una aplicación instalada en el sistema o un archivo ejecutable independiente. En segundo lugar, las herramientas de control de aplicaciones no siempre inspeccionan los paquetes de instalación de aplicaciones a un nivel granular. En su lugar, solo verifican si la aplicación está permitida. Un agente malicioso podría instalar código no autorizado en un paquete de aplicaciones que, por lo demás, sería legítimo, para eludir las herramientas de control de aplicaciones. Los diferentes tipos de listas de aplicaciones permitidas ofrecen distintos equilibrios entre seguridad, usabilidad y facilidad de mantenimiento. Entre ellos se incluyen los siguientes: La ruta de archivo es el atributo más general y permite todas las aplicaciones con una ruta concreta (es decir, un directorio o carpeta). Una ruta de archivo puede ser un atributo débil, ya que permite la ejecución de cualquier archivo malicioso dentro del directorio. Sin embargo, si los controles de acceso estrictos permiten que solo los administradores añadan o modifiquen archivos, la ruta de archivo puede convertirse en un atributo más robusto. Las rutas de archivo también pueden ser beneficiosas, ya que no es necesario enumerar por separado cada archivo dentro de la ruta, lo que puede reducir la necesidad de actualizar la lista de permitidos para cada nueva aplicación y parche. El nombre de archivo suele ser un atributo demasiado general por sí solo. Por ejemplo, si un archivo se infectara o se sustituyera, es poco probable que su nombre cambiara, y el archivo seguiría ejecutándose bajo la lista de permitidos. Además, un agente malicioso podría colocar un archivo malicioso en un host utilizando el mismo nombre que un archivo benigno estándar. Debido a estas debilidades, los atributos del nombre de archivo funcionan mejor con otros atributos, como la ruta del archivo o los atributos de firma digital. Al supervisar el tamaño del archivo de una aplicación, los administradores asumen que una versión maliciosa tendría un tamaño diferente al de la versión original. Sin embargo, los autores de amenazas suelen crear intencionadamente archivos maliciosos que tienen el mismo tamaño que sus homólogos benignos. Otros atributos, como la firma digital y el hash criptográfico, pueden identificar mejor los archivos y deben utilizarse en lugar del tamaño del archivo siempre que sea posible. Los hash criptográficos pueden proporcionar un valor fiable y único para un archivo de aplicación, siempre que la criptografía utilizada sea sólida y el hash ya esté asociado a un archivo "bueno". Un hash criptográfico suele ser preciso independientemente de dónde se encuentre el archivo, cómo se llame o cómo esté firmado. Sin embargo, los hash criptográficos son menos útiles cuando se actualizan los archivos. Por ejemplo, la versión parcheada tendrá un hash diferente al parchear una aplicación. En estos casos, el parche puede parecer legítimo gracias a su firma digital y al hash criptográfico añadido a la lista de permitidos. Hoy en día, muchos editores firman digitalmente los archivos de las aplicaciones. Las firmas digitales proporcionan un valor fiable y único para la verificación de los archivos de aplicación por parte del destinatario y permiten a los equipos garantizar que el archivo es legítimo y no ha sido alterado.lt;/p> Sin embargo, algunos editores no firman los archivos de aplicaciones, por lo que a menudo es imposible utilizar únicamente las firmas digitales proporcionadas por los editores. Algunas listas de aplicaciones permitidas pueden basarse en la identidad del editor en lugar de verificar las firmas digitales individuales. Aun así, este método supone que las organizaciones pueden confiar en todas las aplicaciones de editores de confianza. Las listas de aplicaciones permitidas tienen varias ventajas y limitaciones. La principal ventaja de la lista blanca de aplicaciones es que puede ayudar a impedir que el malware y el ransomware entren y se ejecuten dentro de las redes. Dado que las listas de aplicaciones permitidas son más restrictivas que las listas de bloqueo, los usuarios finales necesitarán el permiso de los administradores antes de poder instalar programas que no estén en la lista de permitidos de la organización. Exigir la aprobación de las aplicaciones no autorizadas puede ayudar a evitar que se instalen programas maliciosos en los terminales. Las principales ventajas de las listas de aplicaciones permitidas son las siguientes: Una limitación crucial de las listas de aplicaciones permitidas es que pueden generar trabajo adicional para los equipos de seguridad. Por ejemplo, para compilar la lista inicial de aplicaciones permitidas es necesario obtener información detallada sobre las tareas de los usuarios finales y las aplicaciones necesarias para realizarlas. Del mismo modo, el mantenimiento de las listas de aplicaciones permitidas puede llevar mucho tiempo debido a la creciente complejidad de las aplicaciones y las pilas tecnológicas empresariales. Algunas de las principales desventajas asociadas a las listas de aplicaciones permitidas son las siguientes: Un sistema limpio puede beneficiarse de un análisis exhaustivo con dispositivos de almacenamiento externos para detectar qué aplicaciones y procedimientos son esenciales para un funcionamiento óptimo. Cree una lista de aplicaciones permitidas o aprobadas y herramientas administrativas específicas, y clasifíquelas como esenciales y no esenciales. Priorizar las aplicaciones en función de su importancia ayuda a determinar cuáles son críticas para las funciones empresariales y cuáles son simplemente convenientes. A continuación, elabore una política de acceso que describa un conjunto de reglas, de modo que solo los usuarios que cumplan criterios específicos puedan utilizar las aplicaciones que necesitan. Establecer varios niveles de acceso para los miembros del equipo en una lista de permitidos puede ayudar a optimizar el acceso a la red y facilitar la gestión de la lista de aplicaciones permitidas. Existen varias aplicaciones sin licencia e inseguras, muchas de las cuales pueden infectar aplicaciones web y redes. Verificar la autenticidad del editor antes de instalarlo en un ordenador puede ayudar a reducir las posibilidades de que un agente malicioso aproveche una vulnerabilidad desconocida. Revisar tanto las aplicaciones locales como las basadas en la nube puede ayudar a garantizar que la lista de aplicaciones permitidas cubra todas las bases. Un inventario exhaustivo del software debe proporcionar una visibilidad completa de todas las aplicaciones y procesos en cada terminal y servidor. Actualizar continuamente una lista de permitidos es fundamental para evitar interrupciones en el flujo de trabajo. Dado que los desarrolladores suelen lanzar versiones actualizadas de las aplicaciones debido a las vulnerabilidades de las versiones anteriores, actualizar una lista de permitidos puede ayudar a garantizar que esté en consonancia con las últimas versiones del software. Hoy en día, es necesario implementar más de un método de ciberseguridad para defender los sistemas y las redes de los actores de amenazas dinámicos. La implementación de diversas técnicas de seguridad es la mejor manera de garantizar una defensa sólida. Afortunadamente, las listas de aplicaciones permitidas suelen integrarse bien con otras medidas de ciberseguridad, por lo que las organizaciones pueden combinar diferentes herramientas para adaptarse a sus redes y sistemas únicos. Las listas blancas de aplicaciones son un método proactivo para mantener la seguridad de las redes y su objetivo principal es proporcionar control de acceso a las aplicaciones. Sin embargo, las organizaciones también pueden utilizar las herramientas de listas blancas de aplicaciones para otros fines, entre los que se incluyen: Las organizaciones que estén considerando utilizar una herramienta de listas blancas de aplicaciones deben comenzar por analizar los entornos en los que se ejecutarán los hosts. Las soluciones de listas blancas de aplicaciones suelen ser más adecuadas para hosts en entornos de funcionalidad limitada y seguridad especializada (SSLF), que son muy restrictivos y seguros debido al alto riesgo de ataque o exposición de datos. También es importante recordar que las listas de aplicaciones permitidas requieren personal dedicado para gestionar y mantener la solución. A continuación, las organizaciones pueden considerar qué herramientas de listas de aplicaciones permitidas se adaptan mejor a su entorno. Para los hosts gestionados de forma centralizada (por ejemplo, ordenadores de sobremesa, portátiles y servidores), una tecnología de listas de aplicaciones permitidas ya integrada en el sistema operativo puede ser la más práctica debido a la relativa facilidad y al coste mínimo de la gestión de estas soluciones. Si las capacidades de listas de permitidos integradas no son adecuadas o no están disponibles, la siguiente mejor opción es una solución de terceros con sólidas capacidades de gestión centralizada.Lista de bloqueados frente a lista negra
¿Cómo funciona la lista de aplicaciones permitidas?
Lista de aplicaciones permitidas frente a lista de aplicaciones bloqueadas
Lista de aplicaciones permitidas frente a control de aplicaciones
Tipos de listas blancas de aplicaciones
1. Ruta de archivo
2. Nombre de archivo
3. Tamaño del archivo
4. Hash criptográfico
5. Firma digital y editor
Ventajas y limitaciones de las listas de aplicaciones permitidas
Ventajas
Desventajas
Prácticas recomendadas para la lista de aplicaciones permitidas
Auditar la red
El análisis de los componentes de la red puede ayudar a los administradores de red a establecer una base sólida para determinar qué programas deben aceptarse. Una auditoría de red también puede ayudar a eliminar aplicaciones innecesarias o maliciosas que ya se estén ejecutando en la red.Lista de aplicaciones de confianza y herramientas administrativas específicas
Documente una política de acceso
Compruebe el editor
Lista de aplicaciones permitidas tanto en la nube como locales
Con esta información, los equipos de seguridad pueden estar en mejores condiciones para identificar aplicaciones no autorizadas o software obsoleto.Actualizar la lista de permitidos
Si no se actualiza la lista de permitidos con regularidad, se podrían producir daños o interrupciones, ya que es posible que las aplicaciones no funcionen con eficacia.Utilice medidas de ciberseguridad adicionales
En lugar de confiar únicamente en las listas de aplicaciones permitidas, añada otros métodos de ciberseguridad, como el filtrado de DNS, la seguridad del correo electrónico, la gestión de parches, antivirus, y detección y respuesta ampliadas para cubrir cualquier posible brecha.Ejemplos y casos de uso de listas de aplicaciones permitidas
Herramientas y software de listas blancas de aplicaciones
Preguntas frecuentes sobre la lista de aplicaciones permitidas
La lista blanca de aplicaciones es una práctica de seguridad que consiste en crear una lista de programas de software aprobados que se pueden ejecutar en sus sistemas. Solo las aplicaciones que figuran en esta lista preaprobada se pueden ejecutar, mientras que todas las demás se bloquean de forma predeterminada. Este enfoque da un giro a los métodos de seguridad tradicionales, ya que solo permite los programas conocidos como buenos en lugar de intentar bloquear todos los malos. Puede implementar la lista de permitidos a través de las funciones integradas del sistema operativo o de herramientas de seguridad de terceros.
La lista de permitidos y la lista blanca se refieren al mismo concepto de seguridad: ambas crean listas de entidades aprobadas a las que se les permite el acceso. La principal diferencia es la terminología. "Lista de permitidos" es ahora el término preferido porque evita asociaciones lingüísticas potencialmente problemáticas. Ambos términos describen la práctica de permitir explícitamente aplicaciones, direcciones IP o usuarios de confianza, mientras se bloquea todo lo demás.
La lista blanca de aplicaciones funciona comparando cada programa que intenta ejecutarse con su lista aprobada. Si la aplicación aparece en la lista blanca, se ejecuta normalmente. Si no aparece en la lista, el sistema la bloquea automáticamente. El proceso utiliza atributos de archivo como firmas digitales, rutas de archivo y hash criptográficos para verificar la identidad del programa. Cuando se instala un nuevo software, los administradores deben aprobarlo antes de que los usuarios puedan ejecutarlo.
La lista blanca de aplicaciones protege contra amenazas desconocidas que los antivirus tradicionales podrían pasar por alto. Impide que el malware se ejecute, incluso si nunca se ha visto antes. Obtienes un mejor control sobre el uso del software y puedes impedir que los empleados instalen programas no autorizados. Este enfoque también ayuda a cumplir los requisitos de conformidad y reduce la superficie de ataque de tus sistemas. Las organizaciones con datos confidenciales se benefician especialmente de este enfoque de seguridad proactivo.
No, la lista blanca de aplicaciones y el antivirus funcionan de manera diferente. El software antivirus identifica y bloquea los programas maliciosos conocidos utilizando bases de datos de firmas. Permite que todo se ejecute a menos que se marque específicamente como malicioso. La lista blanca hace lo contrario: bloquea todo a menos que se apruebe específicamente. El antivirus es reactivo, mientras que la lista blanca es proactiva. Se pueden utilizar ambos juntos para obtener una protección de seguridad por capas.
La lista blanca solo permite los programas aprobados, mientras que la lista negra solo bloquea los programas maliciosos conocidos. La lista negra permite todo por defecto, excepto lo que está en la lista de bloqueados. La lista blanca deniega todo por defecto, excepto lo que está aprobado. La lista negra requiere actualizaciones constantes a medida que surgen nuevas amenazas. La lista blanca proporciona una seguridad más sólida, pero requiere más trabajo de configuración inicial. La elección depende de sus necesidades de seguridad y requisitos operativos.
Las organizaciones con altos requisitos de seguridad deben utilizar la lista blanca de aplicaciones. Las agencias gubernamentales, las instituciones financieras y los proveedores de atención médica suelen implementarla. Las empresas que manejan datos confidenciales o que se enfrentan a estrictos requisitos de cumplimiento son las que más se benefician. Los sistemas de control industrial y los operadores de infraestructuras críticas también utilizan la lista blanca.
