¿Qué es una lista blanca?
La inclusión en listas blancas es una estrategia de ciberseguridad que permite que solo usuarios, entidades o acciones preaprobados o confiables operen en un sistema o red. En lugar de ir un paso por delante de los ciberatacantes para identificar y bloquear códigos maliciosos, un enfoque de lista blanca permite a los equipos de seguridad de TI identificar agentes, aplicaciones y fuentes confiables y luego bloquearles el acceso a sistemas específicos por adelantado. La inclusión en listas blancas brinda a entidades confiables, como aplicaciones de software, direcciones de correo electrónico y direcciones IP, acceso especial y privilegios que a otras entidades se les niega de forma predeterminada.
Ventajas de la lista blanca
Dado que la inclusión en listas blancas es un enfoque de seguridad de denegación predeterminado, puede evitar muchos problemas de ciberseguridad si se implementa correctamente. Al evitar el acceso no autorizado, la inclusión en listas blancas reduce en gran medida el riesgo de infección de malware e intrusión cibernética, y brinda a los equipos de seguridad de TI un control estricto sobre lo que se puede ejecutar y acceder a los sistemas dentro de una empresa.
La configuración de una lista blanca brinda a los administradores de seguridad un control detallado sobre el acceso. Este enfoque simplifica la seguridad al permitir que los administradores de seguridad se concentren únicamente en monitorear las entidades autorizadas y también reduce la cantidad de falsos positivos que pueden ocurrir con los enfoques tradicionales de listas negras.
Desventajas de la lista blanca
La inclusión en listas blancas es una medida de bloqueo bastante extrema que puede resultar muy inconveniente y frustrante para los usuarios finales. También requiere una implementación cuidadosa y una gestión continua adecuada, y no es una defensa completa contra los ataques. Las desventajas de la lista blanca son:
Complejidad de la gestión: dependiendo de su implementación, mantener la lista blanca puede requerir importantes recursos. Este enfoque requiere que los administradores proporcionen listas de acceso precisas y actualizadas incluso cuando varios elementos subyacentes de entidades y sistemas (marcadores de identificación, actualizaciones de software, etc.) cambian inevitablemente. Falsos negativos: pueden producirse interrupciones operativas si una entidad está incluida incorrectamente en la lista blanca y se le bloquea el acceso a los sistemas requeridos. Frustración del usuario: los usuarios pueden frustrarse cuando se utilizan listas blancas para restringir ciertas acciones, como software que se puede descargar, que les impiden completar su trabajo de forma rápida y autónoma sin pasar por los canales de aprobación de TI que existen.
Lista blanca y lista negra
Una lista negra es un concepto de seguridad algo familiar, ya que enumera elementos que se consideran peligrosos y deben bloquearse de los sistemas que TI intenta proteger. Muchos programas antivirus y antimalware son esencialmente listas negras. Contiene una lista de códigos maliciosos conocidos y se ejecuta automáticamente cuando esos programas se detectan en una computadora protegida. Las listas negras tienen un inconveniente bastante obvio: deben actualizarse constantemente para estar a la vanguardia de los últimos ataques. Además, por definición, el software antivirus no puede proteger a los usuarios, por ejemplo, de ataques de día cero.
Una lista blanca es lo opuesto a una lista negra. Cuando implementas una lista blanca, todo lo que no esté en la lista pasará a la lista negra.
Tipo de lista blanca
Las listas blancas se utilizan en diversas situaciones, cada una con matices de implementación. A continuación se muestra un ejemplo.
Lista blanca de aplicaciones: esta tecnología de seguridad evita que se ejecute código malicioso en un sistema o red al permitir que solo se ejecuten aplicaciones de software aprobadas en el sistema o la red. Listas blancas de correo electrónico: para reducir el riesgo de ataques de phishing, las listas blancas de correo electrónico limitan los dominios que reciben correo electrónico de dominios preaprobados y de confianza para su organización. Lista blanca de direcciones IP: con esta tecnología, solo las direcciones IP autorizadas pueden acceder a un sistema en particular y todo el resto del tráfico se bloquea de forma predeterminada. Lista blanca de URL: para reducir los ataques basados en la web o hacer cumplir la política de la empresa, algunas organizaciones utilizan listas blancas de URL para limitar el acceso web a sitios aprobados previamente. Lista blanca de dispositivos: esta tecnología limita los dispositivos permitidos en la red de una empresa, lo que reduce el riesgo de que usuarios o entidades no confiables accedan a los sistemas y datos de la empresa.
Cómo implementar la lista blanca de aplicaciones
El Instituto Nacional de Estándares y Tecnología (NIST) tiene una guía para incluir aplicaciones en la lista blanca. Aunque esta guía tiene varios años, es una excelente introducción al tema. Esta guía cubre este tema en detalle y lo abordaremos aquí.
La inclusión en listas blancas de aplicaciones es una excelente defensa contra dos tipos de amenazas a la seguridad. El más obvio es el malware. Las cargas útiles de software malicioso, como registradores de pulsaciones de teclas y ransomware, no pueden ejecutarse a menos que estén incluidas en la lista blanca. Pero las listas blancas también pueden ser una herramienta para combatir la “TI en la sombra”. Los usuarios finales o departamentos individuales pueden intentar instalar programas inseguros o sin licencia adecuada en sus computadoras. Si esas aplicaciones no están en su lista blanca, el intento se bloqueará y se notificará a su departamento de TI.
Hay dos formas de crear una lista blanca de aplicaciones. Un método es utilizar una lista estándar de aplicaciones típicas de su tipo de entorno, proporcionada por su proveedor de software de la lista blanca, y personalizarla en consecuencia. Otro método consiste en escanear un sistema que sabes que está libre de malware u otro software no deseado y utilizarlo como modelo para otras máquinas. El segundo método es adecuado para quioscos y otros dispositivos de consumo que ejecutan un conjunto limitado de aplicaciones y no requieren mucha personalización.
¿Cómo funciona la lista blanca de aplicaciones?
La esencia del software de inclusión en la lista blanca es distinguir entre aplicaciones autorizadas y no autorizadas. La guía NIST clasifica varios atributos que se pueden utilizar para este propósito.
Nombre del archivo Ruta del archivo Tamaño del archivo Firma digital del editor del software Hash criptográfico
La clave para incluir en la lista blanca es qué atributos utilizar y cuánto peso darle a cada uno. Por ejemplo, si el software de la lista blanca permite que se ejecuten aplicaciones con nombres de archivos específicos o ubicadas en carpetas específicas, es posible que un pirata informático quiera eludir esa protección ejecutando malware con ese nombre de archivo. Especificar tamaños de archivo exactos o requerir comprobaciones de hash criptográfico hace que sea más difícil engañar al software de la lista blanca, pero esta información también se comparte cada vez que se modifica un archivo de aplicación (por ejemplo, cuando se aplica un parche). Además, retrasar la aplicación de parches porque podría interferir con el software incluido en la lista blanca puede introducir sus propios agujeros de seguridad.
Lista blanca detallada
Como señala el NIST, las aplicaciones con todas las funciones no son las únicas amenazas potenciales para su computadora. El software de inclusión en la lista blanca debe administrar varias bibliotecas, scripts, macros, complementos de navegador, archivos de configuración y entradas de registro relacionadas con aplicaciones en máquinas con Windows. La granularidad de estos procesos varía según el proveedor. Lista blanca Algunos programas le permiten incluir ciertos comportamientos en la lista blanca incluso para aplicaciones aprobadas, lo cual es útil si un pirata informático se apodera de su aplicación. El software de inclusión en la lista blanca también debe integrarse con la estructura de permisos del sistema operativo para incluir aplicaciones en la lista blanca para algunos usuarios (como administradores) y no para otros.
Mejores prácticas de inclusión en la lista blanca
¿Cómo puedo aprovechar al máximo las listas blancas? Siga estos consejos.
NIST recomienda que la lista blanca se implemente gradualmente dentro de una organización para garantizar que las operaciones en toda la empresa no se vean interrumpidas si algo sale mal. Tómese el tiempo para asegurarse de que su lista blanca sea apropiada. Un programa de lista blanca es tan bueno como la lista misma. Piense en esto como una oportunidad para auditar qué aplicaciones ha instalado su organización en su infraestructura de TI y qué aplicaciones son realmente necesarias. Para saber qué hay en la lista, debe crear una política de lista blanca. No olvide mantener su lista blanca. No es estático. Parte del software ya no se utiliza y parte del software debe actualizarse de tal manera que la lista blanca no pueda reconocerlo. Además, las organizaciones necesitarán nuevo software para cumplir sus misiones. Este mantenimiento requiere recursos. Necesitará contar con personal que haga de esto parte de sus tareas laborales, pagarle a un proveedor por este servicio, o ambas cosas.
Dónde encaja la lista blanca en su programa de seguridad
La inclusión en listas blancas no es una herramienta única para todos y puede que no sea la mejor solución para cada computadora que administre. Calyptix Security sugiere tres escenarios en los que la inclusión de aplicaciones en listas blancas es útil.
Hosts centralizados conectados a otras computadoras, computadoras en entornos de alto riesgo, computadoras portátiles o quioscos donde el usuario no tiene privilegios administrativos
La verdad es que la inclusión en listas blancas no es una panacea para la seguridad y debe adaptarse al entorno de seguridad más amplio de su organización. Se necesitan sistemas antimalware, protección de endpoints y defensa perimetral para proteger las computadoras para las cuales la inclusión en listas blancas no es apropiada y para detectar lo que las listas blancas no pueden detectar.
el mejor software de lista blanca de aplicaciones
La mayoría de los sistemas operativos comerciales incluyen algún tipo de funcionalidad de lista blanca. La tienda de aplicaciones utilizada para instalar aplicaciones en dispositivos iOS y Android puede considerarse una forma de lista blanca de aplicaciones. Aparentemente, sólo se permiten aplicaciones certificadas como seguras. La mayoría del software de gestión móvil permite un control más granular.
Sin embargo, también hay proveedores externos que ofrecen software de lista blanca de aplicaciones más potente y granular, a menudo integrado en productos o suites de seguridad más grandes. Los ejemplos comunes incluyen:
AppLocker es un producto para las ediciones del sistema operativo empresarial de Microsoft. BeyondTrust ofrece productos para sistemas operativos basados en Mac, Windows y Unix. PolicyPak funciona en equipos locales y remotos. Centrify enfatiza los principios de Confianza Cero en todo nuestro conjunto de productos. Kasperksy Whitelist es un servicio cohospedado.
Incluir direcciones IP y de correo electrónico en la lista blanca: variaciones del concepto
Finalmente, discutiremos las diferencias sutiles entre los otros dos contextos principales para las listas blancas: listas blancas de correo electrónico y listas blancas de direcciones IP. En estas áreas, la inclusión en listas blancas no tiene el mismo significado que la inclusión en listas blancas de aplicaciones. Permitir que solo una lista estrechamente definida de direcciones de correo electrónico se comunique con usted, o permitir que las computadoras con una lista específica de direcciones IP accedan a su sitio web, elimina la mayoría de los beneficios del uso del correo electrónico y los sitios web se perderán.
En estos contextos, “incluir en la lista blanca” significa, por ejemplo, tomar medidas manuales para garantizar que el acceso a un sitio de ciertas direcciones IP no esté bloqueado por algún proceso de seguridad automatizado, o que los correos electrónicos de ciertos destinatarios no estén bloqueados. Eso significa mantenerlos fuera de su carpeta de spam. . Esto último es, por supuesto, la obsesión de los especialistas en marketing por correo electrónico, quienes están ansiosos por compartir instrucciones sobre cómo poner su dirección de correo electrónico en una “lista segura” para que sus correos electrónicos no sean marcados como spam. El primero es producto de firewalls excesivos y, en ocasiones, puede impedir que los usuarios accedan a sus sitios web.
Fuente: https://www.csoonline.com/article/569493/whitelisting-explained-how-it-works-and-where-it-fits-in-a-security-program.html/amp/
