La liste blanche d'applications est une approche de sécurité qui permet uniquement aux applications approuvées de s'exécuter sur un système. Ce guide explore les principes de la liste blanche d'applications, ses avantages et la manière dont elle renforce la sécurité.
Découvrez les meilleures pratiques pour mettre en œuvre la liste blanche et l'importance des mises à jour et de la surveillance régulières. Il est essentiel pour les organisations de comprendre la liste blanche des applications afin de se protéger contre les logiciels non autorisés et les logiciels malveillants.
Qu'est-ce que la liste blanche d'applications ?
La liste blanche d'applications est une forme de sécurité des terminaux qui aide à empêcher l'exécution de programmes malveillants sur un réseau. Elle surveille les systèmes d'exploitation en temps réel afin d'empêcher l'exécution de fichiers non autorisés.
Selon NIST SP 800-167, une liste blanche d'applications est : " une liste d'applications et de composants d'applications (bibliothèques, fichiers de configuration, etc.) qui sont autorisés à être présents ou actifs sur un hôte selon une base de référence bien définie. " Grâce aux technologies de liste blanche d'applications, les organisations peuvent empêcher l'exécution de malware et d'autres logiciels non autorisés sur les appareils des utilisateurs finaux et le réseau.
La liste blanche d'applications permet aux administrateurs et aux organisations de contrôler les programmes qui peuvent être exécutés. Tout programme qui ne figure pas spécifiquement sur la liste blanche est automatiquement bloqué.
Liste blanche d'applications vs liste blanche d'applications
Bien que les termes " liste blanche d'applications " et " liste blanche d'applications " désignent la même chose, le terme " liste blanche d'applications " est préféré pour décrire cette fonctionnalité de sécurité.
Selon leamp;#8217;s National Cyber Security Centre, assimiler " blanc " à " bon, autorisé et sûr " et noir à " mauvais, dangereux et interdit " est problématique, en particulier lorsqu'il existe un autre terme moins ambigu pour décrire les mêmes activités.
Liste de blocage vs liste noire
Il en va de même pour le " blocage " (ou liste noire) et la " liste noire ".” Alors qu'il était courant d'utiliser le terme " blacklisting " pour décrire les attributs indésirables en matière de cybersécurité, le terme neutre " blocklisting " est désormais privilégié.
Comment fonctionne l'application allowlisting ?
La liste blanche d'applications consiste à spécifier un index des applications logicielles autorisées ou approuvées sur les systèmes informatiques afin de les protéger contre les applications potentiellement dangereuses. Un fournisseur tiers peut fournir cette liste d'applications approuvées ou l'intégrer au système d'exploitation hôte.
Grâce à la liste blanche d'applications, les organisations peuvent empêcher l'installation et l'exécution d'applications qui ne sont pas explicitement autorisées. Le logiciel de liste blanche compare toutes les applications qui tentent de s'exécuter sur le réseau avec la liste des applications autorisées. Si l'application figure sur la liste blanche, elle est autorisée à s'exécuter.
Ce sont généralement les administrateurs réseau qui choisissent les applications à autoriser, afin de pouvoir exercer un contrôle strict sur la sécurité de leur système et de réduire au minimum le nombre de personnes ayant accès au processus décisionnel en matière de cybersécurité.
Contrairement aux logiciels antivirus, qui utilisent des listes de blocage pour empêcher les activités " malveillantes " connues et autoriser tout le reste, les technologies de liste blanche autorisent les activités " bienveillantes " connues et bloquent tout le reste. En fin de compte, cette pratique peut contribuer à atténuer diverses menaces, notamment les logiciels malveillants et les logiciels non autorisés ou potentiellement vulnérables.
Étant donné que bon nombre des menaces actuelles basées sur des logiciels malveillants sont personnalisées et ciblées, les listes d'autorisation d'applications peuvent aider à empêcher l'installation ou l'exécution de logiciels malveillants. Parfois, les technologies de listes d'autorisation d'applications peuvent être plus efficaces que les logiciels antivirus pour prévenir les logiciels malveillants inconnus.
En plus de bloquer les applications non autorisées, les logiciels de liste blanche surveillent le système d'exploitation en temps réel, empêchant ainsi l'exécution de fichiers non autorisés. Au-delà du simple blocage des applications indésirables, la liste blanche effectue une inspection granulaire des packages d'installation des applications afin de vérifier l'intégrité des fichiers.
La liste blanche est une mesure simple mais efficace pour sécuriser les terminaux d'une organisation. Les administrateurs peuvent bloquer les programmes malveillants avant qu'ils ne causent des dommages irréparables en s'assurant que les utilisateurs finaux ne peuvent installer que des applications approuvées.
Lors de la mise en œuvre de la liste blanche des applications, il est essentiel de s'assurer que seules les applications fiables sont autorisées à s'exécuter sur votre système. Des solutions telles que Singularity XDR offrent une surveillance en temps réel et des capacités de détection étendues pour garantir que vos politiques de liste blanche sont appliquées efficacement sur tous les terminaux.
Une longueur d'avance en matière de sécurité des points d'accès
Découvrez pourquoi SentinelOne a été nommé leader quatre années de suite dans le Gartner® Magic Quadrant™ pour les plateformes de protection des points finaux.
Lire le rapport
Liste blanche d'applications vs liste noire
À l'aide d'une liste prédéfinie d'applications " malveillantes ", les logiciels de liste noire comparent généralement toutes les applications qui tentent de s'exécuter sur le réseau avec la liste des applications bloquées. Si l'application ne figure pas sur la liste de blocage, elle est autorisée à s'exécuter.
Par exemple, les logiciels antivirus classiques utilisent la liste de blocage pour empêcher l'exécution de logiciels malveillants connus sur un système informatique. Étant donné que la liste blanche des applications refuse les applications non répertoriées et que la liste noire des applications autorise les applications non répertoriées, la liste blanche des applications est sans doute plus sûre que la liste noire des applications.
Liste blanche d'applications vs contrôle des applications
“Liste blanche d'applications” et “contrôle des applications” sont souvent utilisés de manière interchangeable, mais ils ne signifient pas toujours la même chose. Bien que ces deux technologies permettent d'empêcher l'exécution d'applications non autorisées, la liste blanche d'applications est plus stricte que le contrôle des applications.
Le contrôle des applications est similaire à la liste blanche d'applications, car elle peut empêcher l'installation d'applications non autorisées sur les terminaux.
Cependant, cette technologie présente deux inconvénients majeurs. Tout d'abord, le contrôle des applications fonctionne au niveau du package d'installation, ce qui signifie qu'il ne peut pas empêcher un utilisateur final d'exécuter une application installée sur le système ou un fichier exécutable autonome.
Deuxièmement, les outils de contrôle des applications n'inspectent pas toujours les packages d'installation des applications à un niveau granulaire. Au lieu de cela, ils vérifient uniquement si l'application est autorisée. Un acteur malveillant pourrait installer un code non autorisé dans un package d'application par ailleurs légitime afin de contourner les outils de contrôle des applications.
Types de listes d'autorisation d'applications
Les différents types de listes d'autorisation d'applications offrent différents équilibres entre sécurité, facilité d'utilisation et maintenabilité. Ils comprennent les éléments suivants :
1. Chemin d'accès au fichier
Le chemin d'accès au fichier est l'attribut le plus général et autorise toutes les applications ayant un chemin d'accès particulier (c'est-à-dire un répertoire ou un dossier). Un chemin d'accès au fichier peut être un attribut faible, car il permet l'exécution de tout fichier malveillant dans le répertoire. Cependant, si des contrôles d'accès stricts permettent uniquement aux administrateurs d'ajouter ou de modifier des fichiers, le chemin d'accès au fichier peut devenir un attribut plus robuste.
Les chemins d'accès aux fichiers peuvent également être avantageux, car ils ne nécessitent pas que chaque fichier du chemin soit répertorié séparément, ce qui peut réduire la nécessité de mettre à jour la liste blanche pour chaque nouvelle application et chaque nouveau correctif.
2. Nom de fichier
Le nom de fichier est souvent un attribut trop général en soi. Par exemple, si un fichier était infecté ou remplacé, son nom ne changerait probablement pas et le fichier continuerait à s'exécuter dans la liste blanche.
De plus, un acteur malveillant pourrait placer un fichier malveillant sur un hôte en utilisant le même nom qu'un fichier standard inoffensif. En raison de ces faiblesses, les attributs de nom de fichier fonctionnent mieux avec d'autres attributs, tels que le chemin d'accès au fichier ou les attributs de signature numérique.
3. Taille du fichier
En surveillant la taille d'un fichier d'application, les administrateurs partent du principe qu'une version malveillante aura une taille différente de celle de la version originale.
Cependant, les auteurs de menaces créent souvent intentionnellement des fichiers malveillants ayant la même taille que leurs homologues bénins. D'autres attributs, notamment la signature numérique et le hachage cryptographique, peuvent mieux identifier les fichiers et doivent être utilisés à la place de la taille du fichier dans la mesure du possible.
4. Hachage cryptographique
Les hachages cryptographiques peuvent fournir une valeur fiable et unique pour un fichier d'application, à condition que la cryptographie utilisée soit solide et que le hachage est déjà associé à un fichier " valide ". Un hachage cryptographique est généralement précis, quel que soit l'emplacement du fichier, son nom ou la manière dont il est signé.
Cependant, les hachages cryptographiques sont moins utiles lorsque les fichiers sont mis à jour. Par exemple, la version corrigée aura un hachage différent lors de la correction d'une application. Dans ces cas, le correctif peut sembler légitime grâce à sa signature numérique et au hachage cryptographique ajouté à la liste blanche.
5. Signature numérique et éditeur
Aujourd'hui, de nombreux éditeurs signent numériquement les fichiers d'application. Les signatures numériques fournissent une valeur fiable et unique pour la vérification des fichiers d'application par le destinataire et permettent aux équipes de s'assurer que le fichier est légitime et n'a pas été modifié.
Cependant, certains éditeurs ne signent pas les fichiers d'application, il est donc souvent impossible d'utiliser uniquement les signatures numériques fournies par l'éditeur. Certaines listes d'autorisation d'applications peuvent être basées sur l'identité de l'éditeur plutôt que sur la vérification des signatures numériques individuelles. Néanmoins, cette méthode suppose que les organisations peuvent faire confiance à toutes les applications provenant d'éditeurs fiables.
Avantages et limites des listes d'autorisation d'applications
Les listes d'autorisation d'applications présentent plusieurs avantages et limites.
Avantages
Le principal avantage de la liste blanche d'applications est qu'elle peut aider à empêcher les logiciels malveillants et les ransomwares de pénétrer et de s'exécuter au sein des réseaux. La liste blanche d'applications étant plus restrictive que la liste noire, les utilisateurs finaux devront obtenir l'autorisation des administrateurs avant de pouvoir installer des programmes qui ne figurent pas sur la liste blanche de l'organisation. Le fait d'exiger une autorisation pour les applications non autorisées peut contribuer à empêcher l'installation de programmes malveillants sur les terminaux.
Les principaux avantages de la liste blanche d'applications sont les suivants :
- Prévention des logiciels malveillants et des menaces inconnues
- Création d'un inventaire des logiciels
- Réponse aux incidents support
- Surveillance des fichiers
Inconvénients
L'une des limites majeures des listes d'autorisation d'applications est qu'elles peuvent créer une charge de travail supplémentaire pour les équipes de sécurité. Par exemple, la compilation de la liste d'autorisation initiale nécessite d'obtenir des informations détaillées sur les tâches des utilisateurs finaux et les applications nécessaires pour les accomplir.
De même, la maintenance des listes d'autorisation peut prendre du temps en raison de la complexité croissante des applications et des piles technologiques des entreprises.
Voici quelques-uns des principaux inconvénients associés aux listes d'autorisation d'applications :
- Difficile à mettre en œuvre
- Impact sur les utilisateurs finaux
- Limitations de portée
- Nécessite beaucoup de travail
Découvrez une protection inégalée des points finaux
Découvrez comment la sécurité des points finaux alimentée par l'IA de SentinelOne peut vous aider à prévenir, détecter et répondre aux cybermenaces en temps réel.
Obtenir une démonstrationMeilleures pratiques en matière de liste blanche d'applications
-
Auditer le réseau
Un système propre peut bénéficier d'une analyse approfondie avec des périphériques de stockage externes afin de détecter les applications et les procédures essentielles à un fonctionnement optimal.
L'analyse des composants du réseau peut aider les administrateurs réseau à établir une base de référence solide pour déterminer les programmes qui doivent être acceptés. Un audit du réseau peut également aider à éliminer les applications inutiles ou malveillantes déjà en cours d'exécution sur le réseau. -
Liste blanche des applications fiables et des outils d'administration spécifiques
Créez une liste des applications autorisées ou approuvées et des outils d'administration spécifiques, puis classez-les en deux catégories : essentielles et non essentielles. La hiérarchisation des applications en fonction de leur importance permet de déterminer celles qui sont essentielles aux fonctions de l'entreprise et celles qui sont simplement utiles.
-
Documenter une politique d'accès
Ensuite, élaborez une politique d'accès qui définit un ensemble de règles, afin que seuls les utilisateurs répondant à des critères spécifiques puissent utiliser les applications dont ils ont besoin. La mise en place de différents niveaux d'accès pour les membres de l'équipe sur une liste blanche peut contribuer à rationaliser l'accès au réseau et faciliter la gestion de la liste blanche des applications.
-
Vérifier l'éditeur
Il existe plusieurs applications sans licence et non sécurisées, dont beaucoup peuvent infecter les applications web et les réseaux. Vérifier l'authenticité de l'éditeur avant de l'installer sur un ordinateur peut contribuer à réduire les risques qu'un acteur malveillant exploite une vulnérabilité inconnue.
-
Liste blanche des applications cloud et sur site
L'examen des applications sur site et dans le cloud peut aider à garantir qu'une liste blanche couvre tous les aspects. Un inventaire complet des logiciels doit fournir une visibilité totale sur toutes les applications et tous les processus de chaque terminal et serveur.
Grâce à ces informations, les équipes de sécurité peuvent être mieux à même d'identifier les applications non autorisées ou les logiciels obsolètes. -
Mettre à jour la liste blanche
Il est essentiel de mettre à jour en permanence une liste blanche afin d'éviter toute perturbation du flux de travail. Les développeurs publiant souvent des versions mises à jour des applications en raison de vulnérabilités dans les anciennes versions, la mise à jour d'une liste blanche permet de s'assurer qu'elle est conforme aux dernières versions du logiciel.
Le fait de ne pas mettre à jour régulièrement la liste blanche peut entraîner des dommages ou des perturbations, car les applications peuvent ne pas fonctionner efficacement. -
Utiliser des mesures de cybersécurité supplémentaires
Aujourd'hui, il est nécessaire de déployer plusieurs méthodes de cybersécurité pour défendre les systèmes et les réseaux contre des acteurs malveillants dynamiques. La mise en œuvre de diverses techniques de sécurité est le meilleur moyen d'assurer une défense solide.
Plutôt que de vous fier uniquement à la liste blanche des applications, ajoutez d'autres méthodes de cybersécurité telles que le filtrage DNS, la sécurité des e-mails, la gestion des correctifs, l'antivirus, et la détection et la réponse étendues pour couvrir toutes les lacunes potentielles.
Heureusement, les listes blanches d'applications s'intègrent généralement bien aux autres mesures de cybersécurité, ce qui permet aux organisations de combiner différents outils pour répondre aux besoins spécifiques de leurs réseaux et systèmes.
Exemples et cas d'utilisation de la liste blanche d'applications
La liste blanche d'applications est une méthode proactive pour assurer la sécurité des réseaux. Son objectif principal est de contrôler l'accès aux applications. Cependant, les entreprises peuvent également utiliser les outils de liste blanche d'applications à d'autres fins, notamment :
- Création d'un inventaire logiciel : La plupart des technologies de liste blanche d'applications aident les organisations à conserver une liste des applications et des versions d'applications sur les terminaux et les serveurs. Un inventaire logiciel peut aider les organisations à identifier rapidement les applications non autorisées (c'est-à-dire les applications sans licence, interdites, obsolètes, inconnues ou modifiées). La visibilité sur les applications basées sur le cloud et sur site peut également faciliter les enquêtes judiciaires.
- Surveillance de l'intégrité des fichiers : De nombreux outils de liste blanche d'applications peuvent surveiller en permanence les tentatives de modification des fichiers d'application. Certaines technologies de liste blanche d'applications peuvent empêcher la modification des fichiers, tandis que d'autres outils peuvent signaler immédiatement toute modification.
- Réponse aux incidents : Les listes blanches d'applications peuvent également aider les organisations à répondre aux incidents de sécurité. Par exemple, si l'organisation peut capturer les caractéristiques d'un fichier malveillant, elle peut également utiliser un outil de liste blanche d'applications pour comparer d'autres hôtes à la recherche des mêmes noms de fichiers, indiquant s'ils ont été compromis.
Outils de liste blanche d'applications & logiciels
Les organisations qui envisagent d'utiliser un outil de liste blanche d'applications doivent commencer par analyser les environnements dans lesquels les hôtes fonctionneront.
Les solutions de liste blanche d'applications sont généralement mieux adaptées aux hôtes dans des environnements SSLF (Specialized Security-Limited Functionality) qui sont très restrictifs et sécurisés en raison du risque élevé d'attaque ou d'exposition des données. Il est également important de garder à l'esprit que les listes blanches d'applications nécessitent du personnel dédié pour gérer et maintenir la solution.
Ensuite, les organisations peuvent réfléchir aux outils de liste blanche d'applications les mieux adaptés à leur environnement. Pour les hôtes gérés de manière centralisée (par exemple, les ordinateurs de bureau, les ordinateurs portables et les serveurs), une technologie de liste blanche d'applications déjà intégrée au système d'exploitation peut s'avérer la plus pratique en raison de la relative facilité et du coût minimal de gestion de ces solutions.
Si les fonctionnalités de liste blanche intégrées ne sont pas adaptées ou disponibles, une solution tierce dotée de solides capacités de gestion centralisée constitue la meilleure option.
Protégez votre point d'accès
Découvrez comment la sécurité des points finaux alimentée par l'IA de SentinelOne peut vous aider à prévenir, détecter et répondre aux cybermenaces en temps réel.
Obtenir une démonstrationFAQ sur la liste blanche des applications
La liste blanche d'applications est une pratique de sécurité qui consiste à créer une liste des logiciels approuvés autorisés à s'exécuter sur vos systèmes. Seules les applications figurant sur cette liste préapprouvée peuvent s'exécuter, toutes les autres étant bloquées par défaut. Cette approche renverse les méthodes de sécurité traditionnelles en n'autorisant que les programmes connus pour être sûrs au lieu d'essayer de bloquer tous ceux qui sont dangereux. Vous pouvez mettre en œuvre la liste blanche grâce aux fonctionnalités intégrées du système d'exploitation ou à des outils de sécurité tiers.
La liste blanche et la liste autorisée font référence au même concept de sécurité : elles créent toutes deux des listes d'entités approuvées qui sont autorisées à accéder. La principale différence réside dans la terminologie. Le terme " liste d'autorisation " est désormais préféré, car il évite toute association linguistique potentiellement problématique. Les deux termes décrivent la pratique consistant à autoriser explicitement des applications, des adresses IP ou des utilisateurs de confiance tout en bloquant tout le reste.
La liste blanche d'applications fonctionne en comparant chaque programme qui tente de s'exécuter à votre liste approuvée. Si l'application figure sur la liste blanche, elle s'exécute normalement. Si elle n'y figure pas, le système la bloque automatiquement. Le processus utilise des attributs de fichiers tels que les signatures numériques, les chemins d'accès aux fichiers et les hachages cryptographiques pour vérifier l'identité du programme. Lorsque vous installez un nouveau logiciel, les administrateurs doivent l'approuver avant que les utilisateurs puissent l'exécuter.
La liste blanche des applications protège contre les menaces inconnues que les antivirus traditionnels pourraient ne pas détecter. Elle empêche l'exécution de logiciels malveillants, même s'ils n'ont jamais été vus auparavant. Vous bénéficiez d'un meilleur contrôle sur l'utilisation des logiciels et pouvez empêcher vos employés d'installer des programmes non autorisés. Cette approche facilite également le respect des exigences de conformité et réduit la surface d'attaque de vos systèmes. Les organisations traitant des données sensibles tirent particulièrement profit de cette approche proactive en matière de sécurité.
Non, la liste blanche d'applications et l'antivirus fonctionnent différemment. Les logiciels antivirus identifient et bloquent les programmes malveillants connus à l'aide de bases de données de signatures. Ils autorisent l'exécution de tous les programmes, sauf ceux spécifiquement signalés comme malveillants. La liste blanche fonctionne à l'inverse : elle bloque tous les programmes, sauf ceux spécifiquement approuvés. Les antivirus sont réactifs, tandis que les listes blanches sont proactives. Vous pouvez utiliser les deux ensemble pour bénéficier d'une protection de sécurité multicouche.
La liste blanche n'autorise que les programmes approuvés, tandis que la liste noire bloque uniquement les programmes connus pour être malveillants. La liste noire autorise tout par défaut, sauf ce qui figure sur la liste des programmes bloqués. La liste blanche refuse tout par défaut, sauf ce qui est approuvé. La liste noire nécessite des mises à jour constantes à mesure que de nouvelles menaces apparaissent. La liste blanche offre une sécurité renforcée, mais nécessite davantage de travail de configuration initiale. Le choix dépend de vos besoins en matière de sécurité et de vos exigences opérationnelles.
Les organisations ayant des exigences de sécurité élevées devraient utiliser la liste blanche des applications. Les agences gouvernementales, les institutions financières et les prestataires de soins de santé la mettent généralement en œuvre. Les entreprises qui traitent des données sensibles ou qui sont soumises à des exigences de conformité strictes en tirent le plus grand bénéfice. Les systèmes de contrôle industriel et les opérateurs d'infrastructures critiques utilisent également la liste blanche.
