La whitelist delle applicazioni è un approccio alla sicurezza che consente solo alle applicazioni approvate di essere eseguite su un sistema. Questa guida illustra i principi della whitelist delle applicazioni, i suoi vantaggi e come migliora la sicurezza.
Scopri le best practice per l'implementazione della whitelist e l'importanza di aggiornamenti e monitoraggi regolari. Comprendere la whitelist delle applicazioni è fondamentale per le organizzazioni che desiderano proteggersi da software non autorizzati e malware.
Che cos'è l'allowlisting delle applicazioni?
L'Application Allowlisting è una forma di sicurezza degli endpoint che aiuta a impedire l'esecuzione di programmi dannosi su una rete. Monitora i sistemi operativi in tempo reale per impedire l'esecuzione di file non autorizzati.
Secondo NIST SP 800-167, una whitelist delle applicazioni è: "un elenco di applicazioni e componenti applicativi (librerie, file di configurazione, ecc.) che sono autorizzati a essere presenti o attivi su un host secondo una linea di base ben definita". Utilizzando le tecnologie di allowlisting delle applicazioni, le organizzazioni possono impedire l'esecuzione di malware e di altri software non autorizzati sui dispositivi degli utenti finali e sulla rete.
L'allowlisting delle applicazioni offre agli amministratori e alle organizzazioni il controllo sui programmi che possono essere eseguiti. Qualsiasi programma non specificatamente inserito nell'allowlist viene automaticamente inserito nella blocklist.
Application Allowlisting vs Application Whitelisting
Sebbene i termini "elenco di applicazioni consentite" e "elenco di applicazioni autorizzate" si riferiscono alla stessa cosa, il termine "elenco di applicazioni consentite" è quello preferito per descrivere questa funzionalità di sicurezza.
Secondo il National Cyber Security Centre del Regno Unito, equiparare "bianco" a "buono, consentito e sicuro" e nero a "cattivo, pericoloso e proibito" è problematico, soprattutto quando è disponibile un altro termine meno ambiguo per descrivere le stesse attività.
Blocklisting vs Blacklisting
Lo stesso vale per "blocklisting" (o denylisting) e "blacklisting". Mentre in passato era comune utilizzare il termine "blacklisting" per descrivere gli attributi indesiderati nella sicurezza informatica, oggi si preferisce il termine neutro "blocklisting".
Come funziona l'application allowlisting?
L'application allowlisting consiste nello specificare un indice delle applicazioni software consentite o approvate sui sistemi informatici per proteggerli da applicazioni potenzialmente dannose. Un fornitore terzo può fornire questo elenco di applicazioni approvate o integrarlo nel sistema operativo host.
Utilizzando l'application allowlisting, le organizzazioni possono impedire l'installazione e l'esecuzione di applicazioni che non sono esplicitamente autorizzate. Il software di allowlisting confronta tutte le applicazioni che tentano di eseguire sulla rete con l'elenco delle applicazioni consentite. Se l'applicazione è presente nell'allowlist, è consentito procedere.
Gli amministratori di rete sono in genere coloro che scelgono quali applicazioni consentire, in modo da poter mantenere un controllo rigoroso sulla sicurezza del loro sistema e ridurre al minimo il numero di persone che hanno accesso al processo decisionale in materia di sicurezza informatica.
A differenza dei software antivirus, che utilizzano liste di blocco per impedire attività "dannose" note e consentono tutto il resto, le tecnologie di allowlisting consentono le attività "buone" note e bloccano tutto il resto. In definitiva, questa pratica può aiutare a mitigare varie minacce, tra cui malware e software non autorizzati o potenzialmente vulnerabili.
Poiché molte delle minacce basate su malware odierne sono personalizzate e mirate, l'allowlisting delle applicazioni può aiutare a impedire l'installazione o l'esecuzione di malware. A volte, le tecnologie di allowlisting delle applicazioni possono essere più efficaci dei software antivirus per prevenire malware sconosciuti.
Oltre a bloccare le applicazioni non autorizzate, il software di allowlisting delle applicazioni monitora un sistema operativo in tempo reale, impedendo l'esecuzione di file non autorizzati. Oltre a impedire semplicemente l'esecuzione di applicazioni indesiderate, l'allowlisting delle applicazioni esegue un'ispezione granulare dei pacchetti di installazione delle applicazioni per verificare l'integrità dei file.
L'allowlisting delle applicazioni è una misura semplice ma efficace per proteggere gli endpoint di un'organizzazione. Gli amministratori possono bloccare i programmi dannosi prima che causino danni irreparabili, assicurandosi che gli utenti finali possano installare solo applicazioni approvate.
Quando si implementa l'allowlisting delle applicazioni, è essenziale garantire che solo le applicazioni affidabili possano essere eseguite sul sistema. Soluzioni come Singularity XDR forniscono monitoraggio in tempo reale e funzionalità di rilevamento estese per garantire che le politiche di allowlisting siano applicate in modo efficace su tutti gli endpoint.
Leader nella sicurezza degli endpoint
Scoprite perché SentinelOne è stato nominato Leader per quattro anni di fila nel Magic Quadrant™ di Gartner® per le piattaforme di protezione degli endpoint.
Leggi il rapporto
Elenco delle applicazioni consentite vs elenco delle applicazioni bloccate
Utilizzando un elenco predefinito di applicazioni "dannose", il software di blocco delle applicazioni confronta tipicamente tutte le applicazioni che tentano di eseguirsi sulla rete con l'elenco delle applicazioni bloccate. Se l'applicazione non è presente nell'elenco dei blocchi, le viene consentito di procedere.
Ad esempio, i software antivirus convenzionali utilizzano il blocco per impedire l'esecuzione di malware noti su un sistema informatico. Poiché l'allowlisting delle applicazioni nega l'accesso alle applicazioni non presenti nell'elenco e il blocklisting delle applicazioni consente l'accesso alle applicazioni non presenti nell'elenco, l'allowlisting delle applicazioni è senza dubbio più sicuro del blocklisting delle applicazioni.
Application Allowlisting vs Application Control
“Elenco di applicazioni consentite” e “controllo delle applicazioni” sono spesso usati in modo intercambiabile, ma non sempre hanno lo stesso significato. Sebbene entrambe le tecnologie possano impedire l'esecuzione di applicazioni non autorizzate, l'Application Allowlisting è più rigoroso dell'Application Control.
Il controllo delle applicazioni è simile all'elenco di applicazioni consentite, poiché può impedire l'installazione di applicazioni non autorizzate sugli endpoint.
Tuttavia, la tecnologia stessa presenta due importanti limitazioni. Innanzitutto, il controllo delle applicazioni funziona a livello di pacchetto di installazione, il che significa che non può impedire a un utente finale di eseguire un'applicazione installata sul sistema o un file eseguibile autonomo.
In secondo luogo, gli strumenti di controllo delle applicazioni non sempre ispezionano i pacchetti di installazione delle applicazioni a livello granulare. Verificano invece solo se l'applicazione è consentita. Un autore di minacce potrebbe installare codice non autorizzato in un pacchetto applicativo altrimenti legittimo per aggirare gli strumenti di controllo delle applicazioni.
Tipi di elenchi di applicazioni consentite
I diversi tipi di allowlisting delle applicazioni offrono diversi livelli di equilibrio tra sicurezza, usabilità e manutenibilità. Essi includono quanto segue:
1. Percorso file
Il percorso file è l'attributo più generico e consente tutte le applicazioni con un determinato percorso (ad esempio, directory o cartella). Un percorso file può essere un attributo debole poiché consente l'esecuzione di qualsiasi file dannoso all'interno della directory. Tuttavia, se controlli di accesso rigorosi consentono solo agli amministratori di aggiungere o modificare file, il percorso file può diventare un attributo più robusto.
I percorsi file possono anche essere vantaggiosi in quanto non richiedono che ogni file all'interno del percorso sia elencato separatamente, il che può ridurre la necessità di aggiornare l'elenco di autorizzazioni per ogni nuova applicazione e patch.
2. Nome file
Il nome del file è spesso un attributo troppo generico di per sé. Ad esempio, se un file fosse infetto o sostituito, è improbabile che il suo nome cambi e il file continuerebbe a essere eseguito nell'elenco di autorizzazioni.
Inoltre, un autore di minacce potrebbe inserire un file dannoso su un host utilizzando lo stesso nome di un file standard benigno. A causa di queste debolezze, gli attributi del nome del file funzionano meglio con altri attributi, come il percorso del file o gli attributi della firma digitale.
3. Dimensione del file
Monitorando la dimensione dei file di un'applicazione, gli amministratori presumono che una versione dannosa abbia una dimensione diversa da quella originale.
Tuttavia, gli autori delle minacce spesso creano intenzionalmente file dannosi con le stesse dimensioni delle loro controparti innocue. Altri attributi, tra cui la firma digitale e l'hash crittografico, possono identificare meglio i file e dovrebbero essere utilizzati al posto della dimensione dei file, ove possibile.
4. Hash crittografico
Gli hash crittografici possono fornire un valore affidabile e univoco per un file di applicazione, a condizione che la crittografia utilizzata sia forte e che l'hash sia già associato a un file "buono". Un hash crittografico è solitamente accurato indipendentemente dalla posizione del file, dal suo nome o dalla modalità di firma.
Tuttavia, gli hash crittografici sono meno utili quando i file vengono aggiornati. Ad esempio, la versione patchata avrà un hash diverso quando si applica una patch a un'applicazione. In questi casi, la patch può sembrare legittima grazie alla sua firma digitale e all'hash crittografico aggiunto alla lista di autorizzazioni.
5. Firma digitale ed editore
Oggi molti editori firmano digitalmente i file delle applicazioni. Le firme digitali forniscono un valore affidabile e unico per la verifica dei file delle applicazioni da parte del destinatario e consentono ai team di garantire che il file sia legittimo e non alterato.
Tuttavia, alcuni editori non firmano i file delle applicazioni, quindi spesso è impossibile utilizzare solo le firme digitali fornite dall'editore. Alcune liste di autorizzazione delle applicazioni possono basarsi sull'identità dell'editore piuttosto che sulla verifica delle singole firme digitali. Tuttavia, questo metodo presuppone che le organizzazioni possano fidarsi di tutte le applicazioni provenienti da editori affidabili.
Vantaggi e limiti dell'elenco di applicazioni consentite
L'elenco di applicazioni consentite presenta diversi vantaggi e limiti.
Vantaggi
Il vantaggio principale dell'allowlisting delle applicazioni è che può aiutare a impedire a malware e ransomware di entrare ed essere eseguiti all'interno delle reti. Poiché l'allowlisting delle applicazioni è più restrittivo del blocklisting, gli utenti finali dovranno ottenere l'autorizzazione dagli amministratori prima di poter installare programmi che non sono presenti nell'allowlist dell'organizzazione. Richiedere l'approvazione per le applicazioni non autorizzate può aiutare a impedire l'installazione di programmi dannosi sugli endpoint.
I principali vantaggi dell'allowlisting delle applicazioni includono:
- Prevenzione di malware e minacce sconosciute
- Creazione di un inventario software
- Risposta agli incidenti supporto
- Monitoraggio dei file
Svantaggi
Un limite fondamentale delle liste di autorizzazione delle applicazioni è che possono creare ulteriore lavoro per i team di sicurezza. Ad esempio, la compilazione della lista di autorizzazione iniziale richiede l'ottenimento di informazioni dettagliate sulle attività degli utenti finali e sulle applicazioni necessarie per eseguire tali attività.
Allo stesso modo, la manutenzione delle liste di autorizzazione può richiedere tempo a causa della crescente complessità delle applicazioni e degli stack tecnologici aziendali.
Alcuni dei principali svantaggi associati alle liste di applicazioni consentite includono:
- Difficoltà di implementazione
- Impatto sugli utenti finali
- Limitazioni dell'ambito
- Richiede molto lavoro
Scoprite una protezione degli endpoint senza precedenti
Scoprite come la sicurezza degli endpoint con AI di SentinelOne può aiutarvi a prevenire, rilevare e rispondere alle minacce informatiche in tempo reale.
Richiedi una demoMigliori pratiche per l'inserimento nell'elenco delle applicazioni consentite
-
Controllo della rete
Un sistema pulito può trarre vantaggio da una scansione approfondita con dispositivi di archiviazione esterni per rilevare quali applicazioni e procedure sono essenziali per un funzionamento ottimale.
La scansione dei componenti di rete può aiutare gli amministratori di rete a stabilire una solida base di riferimento per i programmi che devono essere accettati. Una verifica della rete può anche aiutare a eliminare le applicazioni inutili o dannose già in esecuzione sulla rete. -
Inserire nell'elenco delle applicazioni consentite le applicazioni affidabili e gli strumenti di amministrazione specifici
Creare un elenco di applicazioni consentite o approvate e strumenti amministrativi specifici e classificarli come essenziali e non essenziali. Assegnare priorità alle applicazioni in base alla loro importanza aiuta a determinare quali applicazioni sono fondamentali per le funzioni aziendali e quali sono semplicemente utili.
-
Documentare una politica di accesso
Successivamente, elaborare una politica di accesso che delinei una serie di regole, in modo che solo gli utenti che soddisfano criteri specifici possano utilizzare le applicazioni di cui hanno bisogno. L'impostazione di vari livelli di accesso per i membri del team in un elenco di autorizzazioni può aiutare a semplificare l'accesso alla rete e facilitare la gestione dell'elenco delle autorizzazioni delle applicazioni.
-
Controllare l'editore
Esistono diverse applicazioni senza licenza e non sicure, molte delle quali possono infettare le applicazioni web e le reti. Verificare l'autenticità dell'editore prima di installarla su un computer può aiutare a ridurre le possibilità che un autore di minacce sfrutti una vulnerabilità sconosciuta.
-
Inserire nell'elenco delle applicazioni consentite sia quelle cloud che quelle on-premise
Esaminare sia le applicazioni on-premise che quelle basate su cloud può aiutare a garantire che l'elenco delle applicazioni consentite copra tutte le basi. Un inventario completo del software dovrebbe fornire una visibilità completa di tutte le applicazioni e i processi su ogni endpoint e server.
Con queste informazioni, i team di sicurezza potrebbero essere in una posizione migliore per identificare applicazioni non autorizzate o software obsoleto. -
Aggiornare la lista bianca
L'aggiornamento continuo di una lista bianca è fondamentale per evitare interruzioni del flusso di lavoro. Poiché gli sviluppatori spesso rilasciano versioni aggiornate delle applicazioni a causa delle vulnerabilità presenti nelle versioni precedenti, l'aggiornamento di una lista bianca può aiutare a garantire che sia in linea con le ultime versioni del software.
La mancata aggiornamento regolare dell'elenco delle autorizzazioni potrebbe causare danni o interruzioni, poiché le applicazioni potrebbero non essere in grado di funzionare in modo efficace. -
Utilizzare misure di sicurezza informatica aggiuntive
Oggi è necessario implementare più di un metodo di sicurezza informatica per difendere i sistemi e le reti da minacce dinamiche. L'implementazione di varie tecniche di sicurezza è il modo migliore per garantire difese solide.
Anziché affidarsi esclusivamente all'elenco di applicazioni consentite, aggiungere altri metodi di sicurezza informatica come il filtraggio DNS, la sicurezza della posta elettronica, gestione delle patch, antivirus, e rilevamento e risposta estesi per coprire eventuali lacune.
Fortunatamente, l'application allowlisting si integra bene con altre misure di sicurezza informatica, quindi le organizzazioni possono combinare diversi strumenti per soddisfare le esigenze specifiche delle loro reti e dei loro sistemi.
Esempi e casi d'uso dell'application allowlisting
L'application allowlisting è un metodo proattivo per mantenere la sicurezza delle reti e il suo scopo principale è quello di fornire il controllo dell'accesso alle applicazioni. Tuttavia, le organizzazioni possono anche utilizzare gli strumenti di application allowlisting per altri scopi, tra cui:
- Creazione di un inventario del software: La maggior parte delle tecnologie di allowlisting delle applicazioni aiuta le organizzazioni a mantenere un elenco delle applicazioni e delle versioni delle applicazioni presenti sugli endpoint e sui server. Un inventario del software può aiutare le organizzazioni a identificare rapidamente le applicazioni non autorizzate (ad esempio, applicazioni senza licenza, proibite, obsolete, sconosciute o modificate). La visibilità sia delle applicazioni basate su cloud che di quelle on-premise può anche supportare le indagini forensi.
- Monitoraggio dell'integrità dei file: Molti strumenti di allowlisting delle applicazioni sono in grado di monitorare continuamente i tentativi di modifica dei file delle applicazioni. Alcune tecnologie di allowlisting delle applicazioni possono impedire l'alterazione dei file, mentre altri strumenti possono segnalare immediatamente quando si verificano delle modifiche.
- Risposta agli incidenti: Le liste di autorizzazione delle applicazioni possono anche aiutare le organizzazioni a rispondere agli incidenti di sicurezza. Ad esempio, se l'organizzazione è in grado di acquisire le caratteristiche di un file dannoso, potrebbe anche utilizzare uno strumento di autorizzazione delle applicazioni per confrontare altri host con gli stessi nomi di file, indicando se sono stati compromessi.
Strumenti e software per gli elenchi di applicazioni consentite
Le organizzazioni che prendono in considerazione uno strumento per gli elenchi di applicazioni consentite dovrebbero iniziare analizzando gli ambienti in cui verranno eseguiti gli host.
Le soluzioni per gli elenchi di applicazioni consentite sono in genere più adatte per host in ambienti SSLF (Specialized Security-Limited Functionality (SSLF) altamente restrittivi e sicuri a causa dell'elevato rischio di attacchi o esposizione dei dati. È inoltre importante ricordare che gli elenchi di applicazioni consentite richiedono personale dedicato per la gestione e la manutenzione della soluzione.
Successivamente, le organizzazioni possono valutare quali strumenti di allowlisting delle applicazioni sono più adatti al loro ambiente. Per gli host gestiti centralmente (ad esempio desktop, laptop e server), una tecnologia di allowlisting delle applicazioni già integrata nel sistema operativo può essere la soluzione più pratica, data la relativa facilità e il costo minimo di gestione di queste soluzioni.
Se le funzionalità di allowlisting integrate non sono adatte o non sono disponibili, la soluzione migliore è una soluzione di terze parti con solide funzionalità di gestione centralizzata.
Proteggete il vostro endpoint
Scoprite come la sicurezza degli endpoint con AI di SentinelOne può aiutarvi a prevenire, rilevare e rispondere alle minacce informatiche in tempo reale.
Richiedi una demoDomande frequenti sull'elenco delle applicazioni consentite
L'allowlisting delle applicazioni è una pratica di sicurezza che consiste nel creare un elenco di programmi software approvati che possono essere eseguiti sui sistemi. Solo le applicazioni presenti in questo elenco preapprovato possono essere eseguite, mentre tutte le altre vengono bloccate per impostazione predefinita. Questo approccio ribalta i metodi di sicurezza tradizionali, consentendo solo i programmi noti come sicuri invece di cercare di bloccare tutti quelli dannosi. È possibile implementare l'allowlisting tramite funzionalità integrate nel sistema operativo o strumenti di sicurezza di terze parti.
L'allowlisting e la whitelisting si riferiscono allo stesso concetto di sicurezza: entrambi creano elenchi di entità approvate a cui è consentito l'accesso. La differenza principale è terminologica. "Allowlisting" è ora il termine preferito perché evita associazioni linguistiche potenzialmente problematiche. Entrambi i termini descrivono la pratica di consentire esplicitamente applicazioni, indirizzi IP o utenti affidabili, bloccando tutto il resto.
La whitelist delle applicazioni funziona confrontando ogni programma che tenta di eseguire con l'elenco approvato. Se l'applicazione è presente nella whitelist, viene eseguita normalmente. Se non è presente nell'elenco, il sistema la blocca automaticamente. Il processo utilizza attributi di file quali firme digitali, percorsi di file e hash crittografici per verificare l'identità del programma. Quando si installa un nuovo software, gli amministratori devono approvarlo prima che gli utenti possano eseguirlo.
La whitelist delle applicazioni protegge da minacce sconosciute che gli antivirus tradizionali potrebbero non rilevare. Impedisce l'esecuzione di malware anche se non è mai stato visto prima. Consente un migliore controllo sull'utilizzo del software e impedisce ai dipendenti di installare programmi non autorizzati. Questo approccio aiuta anche a soddisfare i requisiti di conformità e riduce la superficie di attacco sui sistemi. Le organizzazioni che trattano dati sensibili traggono particolare vantaggio da questo approccio proattivo alla sicurezza.
No, il whitelisting delle applicazioni e l'antivirus funzionano in modo diverso. Il software antivirus identifica e blocca i programmi dannosi noti utilizzando database di firme. Consente l'esecuzione di tutto ciò che non è specificatamente contrassegnato come dannoso. La whitelist fa l'opposto: blocca tutto ciò che non è specificatamente approvato. L'antivirus è reattivo, mentre la whitelist è proattiva. È possibile utilizzare entrambi insieme per una protezione di sicurezza a più livelli.
La whitelist consente solo i programmi approvati, mentre la blacklist blocca solo i programmi dannosi noti. La blacklist consente tutto per impostazione predefinita, tranne ciò che è presente nell'elenco dei programmi bloccati. La whitelist nega tutto per impostazione predefinita, tranne ciò che è approvato. La blacklist richiede aggiornamenti costanti man mano che emergono nuove minacce. La whitelist offre una sicurezza maggiore, ma richiede un lavoro di configurazione iniziale più complesso. La scelta dipende dalle vostre esigenze di sicurezza e dai requisiti operativi.
Le organizzazioni con elevati requisiti di sicurezza dovrebbero utilizzare la whitelist delle applicazioni. Le agenzie governative, gli istituti finanziari e gli operatori sanitari la implementano comunemente. Le aziende che gestiscono dati sensibili o che devono soddisfare severi requisiti di conformità ne traggono il massimo vantaggio. Anche i sistemi di controllo industriale e gli operatori di infrastrutture critiche utilizzano la whitelist.
