Wat is een applicatie-allowlist?

Een whitelist voor applicaties is een beveiligingsmethode waarbij alleen goedgekeurde applicaties op een systeem mogen worden uitgevoerd. In deze handleiding worden de principes van een whitelist voor applicaties, de voordelen ervan en hoe deze de beveiliging verbetert, besproken.

Lees meer over best practices voor het implementeren van een whitelist en het belang van regelmatige updates en monitoring. Inzicht in applicatie-whitelisting is cruciaal voor organisaties om zich te beschermen tegen ongeautoriseerde software en malware.

Wat is een applicatie-whitelist?

Een applicatie-whitelist is een vorm van endpointbeveiliging die helpt voorkomen dat kwaadaardige programma's op een netwerk worden uitgevoerd. Het controleert besturingssystemen in realtime om te voorkomen dat ongeautoriseerde bestanden worden uitgevoerd.

Volgens NIST SP 800-167 is een applicatie-allowlist: “een lijst met applicaties en applicatiecomponenten (bibliotheken, configuratiebestanden, enz.) die volgens een duidelijk gedefinieerde baseline op een host aanwezig of actief mogen zijn.” Met behulp van technologieën voor het toestaan van applicaties kunnen organisaties voorkomen dat malware en andere ongeautoriseerde software op apparaten van eindgebruikers en het netwerk wordt uitgevoerd.

Met applicatie-allowlisting hebben beheerders en organisaties controle over welke programma's kunnen worden uitgevoerd. Elk programma dat niet specifiek op de allowlist staat, wordt automatisch op de blocklist geplaatst.

Applicatie-allowlisting versus applicatie-whitelisting

Hoewel 'toepassingsallowlisting' en 'toepassingswhitelisting' naar hetzelfde verwijzen, wordt de voorkeur gegeven aan de term 'toepassingsallowlisting' om deze beveiligingsfunctie te beschrijven.

Volgens het Britse National Cyber Security Centre is het problematisch om 'white' gelijk te stellen aan 'goed, toegestaan en veilig' en 'black' aan 'slecht, gevaarlijk en verboden', vooral wanneer er een andere, minder dubbelzinnige term beschikbaar is om dezelfde activiteiten te beschrijven.

Blocklisting versus blacklisting

Hetzelfde geldt voor "blocklisting" (of denylisting) en "blacklisting". Terwijl het gebruik van de term "blacklisting" om ongewenste eigenschappen in cyberbeveiliging te beschrijven, wordt nu de voorkeur gegeven aan de neutrale term "blocklisting".

Hoe werkt application allowlisting?

Toepassingsallowlisting houdt in dat er een index wordt opgemaakt van toegestane of goedgekeurde softwaretoepassingen op computersystemen om deze te beschermen tegen potentieel schadelijke toepassingen. Een externe leverancier kan deze lijst met goedgekeurde toepassingen leveren of deze in het hostbesturingssysteem inbouwen.

Met behulp van toepassingsallowlisting kunnen organisaties de installatie en uitvoering van toepassingen die niet expliciet zijn geautoriseerd, voorkomen. Toegestane-lijstsoftware vergelijkt alle applicaties die op het netwerk worden uitgevoerd met de lijst van toegestane applicaties. Als de applicatie op de allowlist staat, mag deze worden uitgevoerd.

Netwerkbeheerders zijn doorgaans degenen die bepalen welke applicaties worden toegestaan, zodat ze strikte controle kunnen houden over de veiligheid van hun systeem en het aantal mensen dat toegang heeft tot het besluitvormingsproces op het gebied van cyberbeveiliging tot een minimum kunnen beperken.

In tegenstelling tot antivirussoftware, die blokkeerlijsten gebruikt om bekende "slechte" activiteiten te voorkomen en al het andere toe te staan, staan allowlisting-technologieën bekende "goede" activiteiten toe en blokkeren ze al het andere. Uiteindelijk kan deze praktijk helpen om verschillende bedreigingen, waaronder malware en ongeautoriseerde of potentieel kwetsbare software, te beperken.lt;/p>

Aangezien veel van de huidige malware-gebaseerde bedreigingen op maat zijn gemaakt en gericht zijn, kan het toestaan van applicaties helpen voorkomen dat malware wordt geïnstalleerd of uitgevoerd. Soms kunnen technologieën voor het toestaan van applicaties effectiever zijn dan antivirussoftware voor het voorkomen van onbekende malware.

Naast het blokkeren van ongeautoriseerde applicaties, controleert applicatie-allowlistingsoftware een besturingssysteem in realtime, waardoor de uitvoering van ongeautoriseerde bestanden wordt voorkomen. Applicatie-allowlisting voorkomt niet alleen dat ongewenste applicaties worden uitgevoerd, maar voert ook een gedetailleerde inspectie uit van de installatiepakketten van de applicaties om de integriteit van de bestanden te controleren.

Application allowlisting is een eenvoudige maar effectieve maatregel om de eindpunten van een organisatie te beveiligen. Beheerders kunnen kwaadaardige programma's stoppen voordat ze onherstelbare schade aanrichten door ervoor te zorgen dat eindgebruikers alleen goedgekeurde applicaties kunnen installeren.

Bij het implementeren van applicatie-allowlisting is het essentieel om ervoor te zorgen dat alleen vertrouwde applicaties op uw systeem mogen worden uitgevoerd. Oplossingen zoals Singularity XDR bieden realtime monitoring en uitgebreide detectiemogelijkheden om ervoor te zorgen dat uw allowlisting-beleid effectief wordt gehandhaafd op alle eindpunten.

Toepassing op de witte lijst versus zwarte lijst

Met behulp van een vooraf gedefinieerde lijst met "slechte" toepassingen vergelijkt software voor zwarte lijsten doorgaans alle toepassingen die op het netwerk worden uitgevoerd met de lijst met geblokkeerde toepassingen. Als de applicatie niet op de blokkeerlijst staat, wordt deze toegestaan.

Conventionele antivirussoftware maakt bijvoorbeeld gebruik van blokkeringslijsten om te voorkomen dat bekende malware op een computersysteem wordt uitgevoerd. Aangezien applicatie-allowlisting niet-vermelde applicaties weigert en applicatie-blokkering niet-vermelde applicaties toestaat, is applicatie-allowlisting aantoonbaar veiliger dan applicatie-blokkering.

Toegestane lijst van applicaties versus applicatiecontrole

“Toegestane lijst van applicaties” en “applicatiecontrole” worden vaak door elkaar gebruikt, maar ze betekenen niet altijd hetzelfde. Hoewel beide technologieën ongeautoriseerde applicaties kunnen voorkomen, is een applicatie-allowlist strenger dan applicatiecontrole.

Applicatiecontrole is vergelijkbaar met applicatie-allowlisting, omdat het kan voorkomen dat ongeautoriseerde applicaties worden geïnstalleerd op eindpunten.

Maar de technologie zelf heeft twee belangrijke beperkingen. Ten eerste werkt applicatiecontrole op het niveau van het installatiepakket, wat betekent dat het een eindgebruiker niet kan verhinderen een applicatie te starten die op het systeem is geïnstalleerd of een zelfstandig uitvoerbaar bestand.

Ten tweede inspecteren applicatiecontroletools applicatie-installatiepakketten niet altijd op detailniveau. In plaats daarvan controleren ze alleen of de applicatie is toegestaan. Een bedreigingsactor ongeautoriseerde code in een verder legitiem applicatiepakket installeren om applicatiebeheertools te omzeilen.

Soorten applicatie-allowlists

Verschillende soorten applicatie-allowlists bieden verschillende balansen tussen beveiliging, bruikbaarheid en onderhoudbaarheid. Ze omvatten het volgende:

1. Bestandspad

Het bestandspad is het meest algemene kenmerk en staat alle applicaties met een bepaald pad (d.w.z. directory of map) toe. Een bestandspad kan een zwak kenmerk zijn, omdat het de uitvoering van alle kwaadaardige bestanden in de directory toestaat. Als er echter strikte toegangscontroles zijn waardoor alleen beheerders bestanden kunnen toevoegen of wijzigen, kan het bestandspad een robuuster kenmerk worden.

Bestandspaden kunnen ook voordelig zijn omdat niet elk bestand binnen het pad afzonderlijk hoeft te worden vermeld, waardoor de noodzaak om de lijst met toegestane bestanden voor elke nieuwe toepassing en patch bij te werken, wordt verminderd.

2. Bestandsnaam

De bestandsnaam is op zichzelf vaak een te algemeen kenmerk. Als een bestand bijvoorbeeld geïnfecteerd of vervangen zou worden, zou de naam waarschijnlijk niet veranderen en zou het bestand nog steeds onder de toelaatlijst worden uitgevoerd.

Bovendien kan een kwaadwillende actor een schadelijk bestand op een host plaatsen met dezelfde naam als een standaard onschadelijk bestand. Vanwege deze zwakke punten werken bestandsnaamattributen het beste in combinatie met andere attributen, zoals bestandspad- of digitale handtekeningattributen.

3. Bestandsgrootte

Door de bestandsgrootte van een toepassing te controleren, gaan beheerders ervan uit dat een kwaadaardige versie een andere bestandsgrootte heeft dan de originele versie.

Bedreigers maken echter vaak opzettelijk kwaadaardige bestanden met dezelfde grootte als hun goedaardige tegenhangers. Andere attributen, waaronder digitale handtekening en cryptografische hash, kunnen bestanden beter identificeren en moeten waar mogelijk worden gebruikt in plaats van de bestandsgrootte.

4. Cryptografische hash

Cryptografische hashes kunnen een betrouwbare en unieke waarde voor een applicatiebestand opleveren, mits de gebruikte cryptografie sterk is en de hash al is gekoppeld aan een 'goed' bestand. Een cryptografische hash is meestal nauwkeurig, ongeacht waar het bestand zich bevindt, hoe het is genoemd of hoe het is ondertekend.

Cryptografische hashes zijn echter minder nuttig wanneer bestanden worden bijgewerkt. Bij het patchen van een applicatie krijgt de gepatchte versie bijvoorbeeld een andere hash. In deze gevallen kan de patch legitiem lijken door de digitale handtekening en de cryptografische hash die aan de allowlist is toegevoegd.

5. Digitale handtekening en uitgever

Tegenwoordig ondertekenen veel uitgevers applicatiebestanden digitaal. Digitale handtekeningen bieden een betrouwbare en unieke waarde voor de verificatie van applicatiebestanden door de ontvanger en stellen teams in staat om te controleren of het bestand legitiem en ongewijzigd is.

Sommige uitgevers ondertekenen applicatiebestanden echter niet, waardoor het vaak onmogelijk is om alleen door de uitgever verstrekte digitale handtekeningen te gebruiken. Sommige applicatie-allowlists kunnen gebaseerd zijn op de identiteit van de uitgever in plaats van op de verificatie van individuele digitale handtekeningen. Deze methode gaat er echter vanuit dat organisaties alle applicaties van vertrouwde uitgevers kunnen vertrouwen.

Voordelen en beperkingen van applicatie-allowlists

Er zijn verschillende voordelen en beperkingen verbonden aan applicatie-allowlists.

Voordelen

Het belangrijkste voordeel van een whitelist voor applicaties is dat deze kan helpen om malware en ransomware te voorkomen dat deze binnen netwerken terechtkomen en worden uitgevoerd. Aangezien applicatie-allowlisting restrictiever is dan blocklisting, hebben eindgebruikers toestemming van beheerders nodig voordat ze programma's kunnen installeren die niet op de allowlist van de organisatie staan. Door goedkeuring te vereisen voor niet-geautoriseerde applicaties kan worden voorkomen dat kwaadaardige programma's op eindpunten worden geïnstalleerd.

De belangrijkste voordelen van een applicatie-allowlist zijn onder meer:

• Het voorkomen van malware en onbekende bedreigingen
• Het creëren van een software-inventaris
• Ondersteuning bij incidentrespons
• Monitoring van bestanden

Nadelen

Een cruciale beperking van applicatie-allowlists is dat ze extra werk kunnen creëren voor beveiligingsteams. Voor het samenstellen van de eerste allowlist is bijvoorbeeld gedetailleerde informatie nodig over de taken van eindgebruikers en de applicaties die nodig zijn om die taken uit te voeren.

Ook het onderhouden van allowlists kan tijdrovend zijn vanwege de toenemende complexiteit van applicaties en enterprise-technologiestacks.

Enkele van de belangrijkste nadelen van applicatie-allowlists zijn:

• Moeilijk te implementeren
• Heeft gevolgen voor eindgebruikers
• Beperkingen in reikwijdte
• Arbeidsintensief

Best practices voor het toestaan van applicaties

1. Controleer het netwerk

   Een schoon systeem kan baat hebben bij een grondige scan met externe opslagapparaten om te detecteren welke applicaties en procedures essentieel zijn voor een optimale werking.
   Het scannen van netwerkcomponenten kan netwerkbeheerders helpen een solide basis te leggen voor welke programma's moeten worden geaccepteerd. Een netwerkaudit kan ook helpen om onnodige of kwaadaardige applicaties die al op het netwerk draaien, te verwijderen.

2. Vertrouwde applicaties en specifieke beheertools op de witte lijst zetten

   Maak een lijst van toegestane of goedgekeurde applicaties en specifieke beheertools en categoriseer ze als essentieel en niet-essentieel. Door applicaties op basis van belangrijkheid te prioriteren, kunt u bepalen welke applicaties cruciaal zijn voor bedrijfsfuncties en welke gewoon leuk zijn om te hebben.

3. Documenteer een toegangsbeleid

   Stel vervolgens een toegangsbeleid op met een reeks regels, zodat alleen gebruikers die aan specifieke criteria voldoen, de applicaties kunnen gebruiken die ze nodig hebben. Door verschillende toegangsniveaus in te stellen voor teamleden op een toegestane lijst, kunt u de netwerktoegang stroomlijnen en het beheer van de toegestane lijst met applicaties vergemakkelijken.

4. Controleer de uitgever

   Er zijn verschillende niet-gelicentieerde en onveilige applicaties, waarvan er vele webapplicaties en netwerken kunnen infecteren. Door de authenticiteit van de uitgever te controleren voordat u de applicatie op een computer installeert, kunt u de kans verkleinen dat een kwaadwillende actor misbruik maakt van een onbekende kwetsbaarheid.

5. Toestemmingslijst voor zowel cloud- als on-premise-applicaties

   Door zowel on-premise- als cloudgebaseerde applicaties te controleren, kunt u ervoor zorgen dat de toestemmingslijst alle aspecten dekt. Een grondige software-inventarisatie moet volledig inzicht geven in alle applicaties en processen op elk eindpunt en elke server.
   Met deze informatie zijn beveiligingsteams beter in staat om ongeautoriseerde applicaties of verouderde software te identificeren.

6. De allowlist bijwerken

   Het continu bijwerken van een allowlist is van cruciaal belang om verstoringen van de workflow te voorkomen. Aangezien ontwikkelaars vaak bijgewerkte versies van applicaties uitbrengen vanwege kwetsbaarheden in oudere versies, kan het bijwerken van een allowlist ervoor zorgen dat deze in overeenstemming is met de nieuwste versies van de software.
   Als de allowlist niet regelmatig wordt bijgewerkt, kan dit leiden tot schade of verstoringen, omdat applicaties mogelijk niet effectief kunnen functioneren.

7. Gebruik aanvullende cyberbeveiligingsmaatregelen

   Tegenwoordig is het nodig om meer dan één cyberbeveiligingsmethode in te zetten om systemen en netwerken te beschermen tegen dynamische bedreigingen. Het implementeren van verschillende beveiligingstechnieken is de beste manier om een sterke verdediging te garanderen.
   Vertrouw niet alleen op applicatie-allowlists, maar voeg andere cyberbeveiligingsmethoden toe, zoals DNS-filtering, e-mailbeveiliging, patchbeheer, antivirus, en uitgebreide detectie- en responsplatforms toe om eventuele hiaten op te vullen.

Gelukkig kan het toestaan van applicaties doorgaans goed worden geïntegreerd met andere cyberbeveiligingsmaatregelen, zodat organisaties verschillende tools kunnen combineren om aan hun unieke netwerken en systemen tegemoet te komen.

Voorbeelden en gebruiksscenario's van het toestaan van applicaties

Application allowlisting is een proactieve methode om netwerken veilig te houden en heeft als hoofddoel het bieden van toegangscontrole voor applicaties. Organisaties kunnen tools voor application allowlisting echter ook voor andere doeleinden gebruiken, waaronder:

• Het maken van een software-inventaris: De meeste technologieën voor het toestaan van applicaties helpen organisaties bij het bijhouden van een lijst met applicaties en applicatieversies op eindpunten en servers. Een software-inventaris kan organisaties helpen om snel ongeautoriseerde applicaties te identificeren (d.w.z. applicaties zonder licentie, verboden, verouderd, onbekend of gewijzigd). Inzicht in zowel cloudgebaseerde als lokale applicaties kan ook forensisch onderzoek ondersteunen.

• Monitoring van bestandsintegriteit: Veel tools voor het toestaan van applicaties kunnen continu pogingen om applicatiebestanden te wijzigen monitoren. Sommige technologieën voor het toestaan van applicaties kunnen voorkomen dat bestanden worden gewijzigd, terwijl andere tools onmiddellijk kunnen melden wanneer er wijzigingen plaatsvinden.

• Incidentrespons: Toepassingsallowlists kunnen organisaties ook helpen bij het reageren op beveiligingsincidenten. Als de organisatie bijvoorbeeld de kenmerken van een kwaadaardig bestand kan vastleggen, kan ze ook een applicatie-allowlistingtool gebruiken om andere hosts te vergelijken op dezelfde bestandsnamen, om zo aan te geven of ze gecompromitteerd zijn.

Tools en software voor applicatie-allowlists

Organisaties die een tool voor applicatie-allowlists overwegen, moeten beginnen met het analyseren van de omgevingen waarin de hosts zullen draaien.

Oplossingen voor het opstellen van een witte lijst voor applicaties zijn doorgaans het meest geschikt voor hosts in Specialized Security-Limited Functionality (SSLF)-omgevingen die zeer restrictief en veilig zijn vanwege het hoge risico op aanvallen of blootstelling van gegevens. Het is ook belangrijk om te onthouden dat witte lijsten voor applicaties speciaal personeel vereisen om de oplossing te beheren en te onderhouden.

Vervolgens kunnen organisaties overwegen welke tools voor het toestaan van applicaties het meest geschikt zijn voor hun omgeving. Voor centraal beheerde hosts (bijv. desktops, laptops en servers) kan een technologie voor het toestaan van applicaties die al in het besturingssysteem is ingebouwd, het meest praktisch zijn vanwege het relatieve gemak en de minimale kosten van het beheer van deze oplossingen.

Als de ingebouwde functies voor toegestane lijsten ongeschikt of niet beschikbaar zijn, is een oplossing van een derde partij met robuuste gecentraliseerde beheermogelijkheden de op één na beste optie.

Veelgestelde vragen over de toegestane lijst voor applicaties