Application-Whitelisting
Die Anwendungs-Whitelist ist eine Liste von genehmigten Softwareanwendungen oder ausführbaren Dateien, die auf unserem System vorhanden sind und ausgeführt werden dürfen. Das schafft die Möglichkeit, unerwünschte oder nicht genehmigte Software in Organisationen zu blockieren und sie dadurch vor schädlicher Malware zu schützen. In großen Netzwerken ist die Umsetzung eine besondere Herausforderung für uns.
Sind wir mit der Erstellung einer Whitelist in einer großen Unternehmensinfrastruktur betraut worden, implementieren wir wir zunächst eine Whitelist im Überwachungsmodus. Dadurch stellen wir sicher, dass alle erforderlichen Anwendungen auf der Whitelist stehen und nicht durch Unterlassungsfehler blockiert werden. Nach einer angemessenen Zeit prüfen wir die Whitelist, nehmen eventuelle Anpassungen vor und deaktivieren den Überwachungsmodus, um die Whitelist scharf zu schalten.
Gegensätzlich zur Whitelist, haben wir auch die Möglichkeit von Blacklisting. Hier tragen wir schädliche oder nicht genehmigte Anwendungen ein, die expliziet blockiert werden soll. Alles nicht aufgelistete darf ausgeführt werden.
Die Whitelist basiert auf dem Zero-Trust-Prinzip, bei dem wir alle Anwendungen als gefährlich ansehen, außer explizit erlaubte bzw. eingetragene.
Das ist wie Türsteher:
"Du kommst hier nicht rein.
Heute Gästeliste,
impliziertes deny."
- ITGer.de/HASCii
Die Aktualisierung einer Whitelist, ist für uns mit einem geringerem Aufwand verbunden. Wir geben ledeglich an was erlaubt ist und müssen nicht ständig eine Blacklist mit neuen bösartigen Anwendungen aktuell halten.
Leider habe ich keine Punchline für Blacklists. Dafür die Anmerkung, dass Organisationen wie NIST und BSI, Whitelisting empfehlen, insbesondere in Hochsicherheitsumgebnungen.
Danke für die Aufmerksamkeit
- itger.de\HASCii