Sergey Nivens - Fotolia
Allowlisting vs. Blocklisting: Vorteile und Risiken
Allowlisting und Blocklisting sind Schlüsselkomponenten der Zugriffskontrolle. Wo liegen die Vor- und Nachteile der Methoden und warum ist eine Kombination dies beste Strategie?
Die Verwaltung der Anwendungen, Websites, IP-Adressen und E-Mail-Adressen, die in einem Unternehmen verwendet werden, ist eine bewährte Praxis der Sicherheitszugriffskontrolle. Dies trägt dazu bei, die Einschleusung von bösartigem Code und anderen Bedrohungen zu verhindern.
Zwei Methoden der Anwendungskontrolle sind das Zulassen von Anwendungen (Allowlisting, Whitelisting) und das Blockieren von Applikationen (Blocklisting, Blacklisting). Jede hat ihre eigenen Vorteile und Herausforderungen.
Grund genug, beide Optionen einmal näher zu betrachten. Danach lässt sich leichter entscheiden, ob eine oder beide die Sicherheitslage des Unternehmens verbessern können.
Was bedeutet Allowlisting bei Applikationen?
Das Zulassen von Anwendungen ist eine Sicherheitskontrolle, die nur die Ausführung von zuvor genehmigten Anwendungen und Prozessen erlaubt und diesen Anwendungen den Zugriff auf zuvor festgelegte Dateien gestattet. Mit Hilfe von Allowlists wird auch verwaltet, welche Benutzer und Geräte die Erlaubnis zum Zugriff auf einen bestimmten Dienst oder eine bestimmte Anwendung haben. Entitäten, die nicht auf der Liste stehen, erhalten keinen Zugriff.
Was versteht man unter Blocklisting bei Anwendungen?
Das Blockieren von Anwendungen verfolgt den entgegengesetzten Ansatz. Diese Sicherheitsstrategie verhindert, dass als bösartig bekannte Anwendungen auf Endgeräten oder Servern in einem Netzwerk ausgeführt werden. Eine Blockliste verbietet auch bestimmten Geräten den Zugriff auf einen Dienst oder eine Anwendung. Entitäten, die nicht auf der Blockliste stehen, wird der Zugriff gestattet.
Vorteile und Herausforderungen bei Allowlisting
Die Allowlist für Anwendungen ist restriktiver als die Blockliste. Eine Anwendung kann nur verwendet werden, wenn sie explizit auf einer Erlaubnisliste aufgeführt ist, so dass Administratoren die Angriffsfläche minimieren können.
Die Erstellung und Pflege einer optimalen Erlaubnisliste kann jedoch eine Herausforderung sein. Eine zu freizügige oder vereinfachte Allowlist mit unzureichender Überwachung vergrößert die Angriffsfläche und birgt unangemessene Risiken. Andererseits kann eine zu strenge oder fehlerhafte Zulassungsliste die Benutzer daran hindern, auf legitime Anwendungen zuzugreifen, die sie für ihre Arbeit benötigen, was die Produktivität beeinträchtigt.
Das Zulassen von Anwendungen ist direkt anwendbar in besonderen oder zweckgebundenen Systemen, in denen die Geräte spezifische Aufgaben erfüllen, wie zum Beispiel bei Geldautomaten oder intelligenten Zählern. In diesem Fall erlaubt die Zulassungsliste nur die Ausführung von Anwendungen und Prozessen, die für die Funktion eines Geräts relevant sind.
Das Zulassen von Anwendungen hat über den Schutz vor Bedrohungen hinaus noch weitere praktische Vorteile, darunter die folgenden:
- Inventarisierung von Anwendungen. Identifizierung nicht autorisierter Anwendungen und falscher Versionen genehmigter Anwendungen.
- Dateiintegrität. Regelmäßige Überwachung von Änderungen an Anwendungsdateien auf dem Datenträger.
- Erkennung von Malware. Bei der Reaktion auf einen Vorfall wird im gesamten Unternehmen nach Attributen bösartiger Dateien, wie zum Beispiel Hashes, gesucht.
Das Zulassen von Anwendungen wird häufig nach der NIST Special Publication 800-167, „Guide to Application Whitelisting“, implementiert. Der Leitfaden führt fünf Hauptattribute auf, die für das Zulassen von Anwendungen verwendet werden. Um die Vorteile der Zulassungsliste zu maximieren, empfiehlt NIST die Verwendung von zwei oder mehr dieser Attribute in Verbindung miteinander:
- Dateipfad. Dies ist das allgemeinste Attribut, das den Zugriff auf jede Anwendung innerhalb eines bestimmten Pfads (Verzeichnis/Ordner) erlaubt. Mit diesem Attribut wären auch alle bösartigen Dateien in einem zulässigen Dateipfad erlaubt. Für sich genommen ist dies keine sichere Form der Erlaubnisliste.
- Dateiname. Jede Anwendung mit einer bestimmten Namenskonvention steht auf der Allowlist. Jede ausführbare Datei könnte infiziert oder ihr Inhalt durch Malware mit demselben Namen ersetzt werden, weshalb dieses Attribut allein nicht ausreicht.
- Dateigröße. Die Dateigröße einer Anwendung kann ein Attribut der Allowlist sein. Ein Angreifer könnte zwar ein legitimes Programm durch ein bösartiges Programm derselben Größe ersetzen, doch wäre dies mit erheblichem Aufwand verbunden. Die Dateigröße wird in der Regel in Kombination mit anderen Attributen verwendet.
- Digitale Signatur. Eine digitale Signatur liefert einen eindeutigen Wert für eine Anwendungsdatei, der vom Herausgeber signiert ist und vom Empfänger überprüft werden kann. Durch diese Überprüfung wird sichergestellt, dass während der Übertragung keine Änderungen vorgenommen wurden. Die Signaturlisten müssen aktualisiert werden, wenn der Herausgeber oder der Schlüssel geändert wird.
- Kryptographischer Hash. Ein kryptografischer Hash ist der eindeutigste, nicht übertragbare Wert, der aus dem Inhalt einer Anwendungsdatei abgeleitet werden kann. Wenn sich eine Datei ändert, zum Beispiel wenn ein Patch eingespielt wird, muss der Hash neu berechnet werden, wobei alle älteren Hashes aus der Zulässigkeitsliste entfernt werden.
Vorteile und Herausforderungen des Blocklistings von Anwendungen
Das Blockieren von Anwendungen ist seit Jahren ein fester Bestandteil des Instrumentariums der Cybersicherheit. Sie ist ein nützliches Werkzeug zum Schutz vor bekannten Bedrohungen. Dieser relativ einfache Ansatz zur Anwendungskontrolle wird in Antimalware-, Intrusion Prevention- und Detection-Systemen sowie in Spam- und E-Mail-Filtersystemen verwendet.
Eine große Herausforderung bei der Erstellung von Sperrlisten ist, dass die Liste der zu blockierenden Bedrohungen ständig wächst und sich weiterentwickelt. Das AV-TEST-Institut registriert täglich mehr als 450.000 neue bösartige Programme und potenziell unerwünschte Anwendungen. Da es schwierig ist, mit dieser ständig wachsenden Liste von Bedrohungen Schritt zu halten, ist eine Blockierliste niemals vollständig oder narrensicher. Außerdem kann eine Blockliste keine unbekannten Bedrohungen berücksichtigen, so dass das Unternehmen anfällig für Zero-Day-Angriffe ist.
Zulassen von Anwendungen oder Blockieren von Anwendungen: Was ist besser?
Wie bei den meisten Dingen im Bereich der Cybersicherheit lautet die Antwort auf die Frage, was besser ist - Anwendungserlaubnisliste oder Blockliste -: Es hängt von den spezifischen Bedürfnissen und Anwendungsfällen eines Unternehmens ab.