Blacklisting vs. Whitelisting | 2021 Guide | Consoildated Tech
Khi nào bạn cũng là kẻ thù?
Trong thế giới bảo mật dữ liệu, đó là một câu hỏi muôn thuở. Trong khi tất cả các loại tấn công dữ liệu và bảo mật đang gia tăng vào năm 2021, một số trong số những vụ tấn công lén lút nhất – và khó bắt nhất – lại giả mạo là những thông tin liên lạc vô thưởng vô phạt từ những người mà chúng ta biết.
Mặc dù chúng tôi đã nỗ lực hết sức để bảo vệ khỏi các mối đe dọa, các loại lừa đảo, lừa đảo và phần mềm độc hại này lợi dụng bản chất con người để sinh sôi nảy nở trong các doanh nghiệp. Theo av-test của viện bảo mật, 1,1 tỷ chương trình độc hại mới đã được phát hiện vào năm 2020 và trên thực tế, hơn một nửa số phần mềm độc hại xâm nhập hệ thống ngày nay được coi là mối đe dọa “zero-day”, có nghĩa là không có hồ sơ. phần mềm độc hại cụ thể đó và ngược lại, không có giao thức nào để chặn nó.
Đó là lý do tại sao việc kiểm soát quyền truy cập vào các thiết bị hoặc mạng không chỉ là công việc của đối tác bảo mật hay của công ty mà là công việc của tất cả mọi người.
đưa vào danh sách đen và đưa vào danh sách trắng: một cách tiếp cận theo hai hướng để bảo mật dữ liệu chỉ đơn giản là xác định ai sẽ được phép truy cập và ai sẽ bị chặn gửi tin nhắn từ hệ thống của chúng tôi.
Cả hai phương pháp đều có ưu và nhược điểm và không phải ai cũng đồng ý về cách tốt nhất để sử dụng. sự lựa chọn phù hợp chủ yếu phụ thuộc vào nhu cầu và mục tiêu của tổ chức bạn, và thường thì chiến thuật lý tưởng là sự kết hợp của cả hai. Hãy cùng xem xét danh sách đen và danh sách trắng một cách chi tiết và thảo luận về sự khác biệt giữa hai phương pháp.
danh sách đen là gì?
Phương pháp tiếp cận danh sách đen bao gồm việc xác định các thực thể nào nên bị chặn. Danh sách đen là danh sách các thực thể đáng ngờ hoặc độc hại nên bị từ chối quyền truy cập hoặc thực thi quyền trên mạng hoặc hệ thống.
Như một ví dụ trong thế giới thực, cơ quan kiểm soát biên giới có thể duy trì một danh sách đen gồm những kẻ khủng bố đã biết hoặc bị nghi ngờ. một chủ cửa hàng có thể có một danh sách đen những tên trộm. Trong thế giới an ninh mạng, danh sách đen thường bao gồm các phần mềm độc hại như vi rút, phần mềm gián điệp, Trojan, sâu và các loại phần mềm độc hại khác. Bạn cũng có thể đưa vào danh sách cấm người dùng, địa chỉ IP, ứng dụng, địa chỉ email, miền, quy trình hoặc tổ chức. bạn có thể áp dụng danh sách đen cho hầu như bất kỳ khía cạnh nào trong mạng của mình.
có thể xác định các thực thể đáng ngờ hoặc độc hại bằng chữ ký điện tử, phương pháp phỏng đoán, hành vi của họ hoặc bằng các phương tiện khác. Đối với các ứng dụng danh sách đen, các tổ chức có thể tạo danh sách đen của riêng họ và cũng có thể sử dụng danh sách do bên thứ ba tạo, chẳng hạn như nhà cung cấp dịch vụ an ninh mạng. Danh sách đen là cách tiếp cận truyền thống để kiểm soát truy cập và từ lâu đã được sử dụng bởi các công cụ chống vi-rút, bộ lọc thư rác, hệ thống phát hiện xâm nhập và phần mềm bảo mật khác.
Phương pháp tiếp cận danh sách đen tập trung vào các mối đe dọa và mặc định là cho phép truy cập. quyền truy cập được cấp cho bất kỳ thực thể nào không có trong danh sách đen, nhưng bất kỳ thứ gì đã biết hoặc được cho là mối đe dọa đều bị chặn.
để tóm tắt:
- danh sách đen bao gồm việc chặn quyền truy cập vào các thực thể đáng ngờ hoặc độc hại.
- mặc định là cho phép truy cập.
- danh sách đen tập trung vào các mối đe dọa.
ưu và nhược điểm của danh sách đen là gì?
Một trong những ưu điểm lớn nhất của phương pháp tiếp cận danh sách đen là tính đơn giản của nó. hoạt động theo nguyên tắc đơn giản: chỉ cần xác định các mối đe dọa đã biết và bị nghi ngờ, từ chối quyền truy cập và để mọi thứ khác tiếp tục.
Đối với người dùng, đó là một phương pháp bảo trì tương đối thấp. trong nhiều trường hợp, phần mềm bảo mật hoặc nhà cung cấp dịch vụ bảo mật của bạn sẽ đảm nhận việc biên soạn danh sách mà không cần người dùng can thiệp.
Tuy nhiên, danh sách đen không bao giờ có thể hoàn chỉnh vì các mối đe dọa mới liên tục xuất hiện. mỗi ngày, viện thử nghiệm av, nơi điều tra bảo mật của bạn, đăng ký hơn 350.000 chương trình độc hại mới và các ứng dụng có khả năng không mong muốn. Mặc dù việc theo kịp những mối đe dọa này là một thách thức, nhưng việc chia sẻ thông tin về mối đe dọa có thể giúp tạo danh sách đen hiệu quả hơn.
Ngay cả khi chia sẻ thông tin, các nhà cung cấp phần mềm bảo mật cũng dễ dàng bỏ sót các mối đe dọa chỉ vì có quá nhiều mối đe dọa trong số đó. trong khi danh sách đen có hiệu quả chống lại các mối đe dọa đã biết, nó vô dụng trước các mối đe dọa mới và chưa biết, chẳng hạn như các cuộc tấn công zero-day. nếu tổ chức của bạn không đủ may mắn để trở thành người đầu tiên nhận được một kiểu tấn công mới, danh sách đen sẽ không thể ngăn chặn nó.
Đôi khi, tin tặc cũng thiết kế phần mềm độc hại đặc biệt để tránh bị phát hiện bởi các công cụ sử dụng hệ thống danh sách đen. họ có thể sửa đổi phần mềm độc hại để công cụ danh sách đen không nhận ra nó là một mục trong danh sách đen.
danh sách trắng là gì?
danh sách trắng giải quyết những thách thức tương tự như danh sách đen, nhưng sử dụng cách tiếp cận ngược lại. thay vì tạo danh sách các mối đe dọa, nó tạo danh sách các thực thể được phép và chặn mọi thứ khác. nó dựa trên những gì đã được chứng minh và mặc định là từ chối bất kỳ điều gì mới trừ khi nó được chấp nhận. điều này dẫn đến một phương pháp kiểm soát truy cập chặt chẽ hơn nhiều. Nó giống như việc từ chối mọi người vào tòa nhà văn phòng của bạn trừ khi họ có thể vượt qua cuộc kiểm tra lý lịch và có thông tin xác thực để chứng minh họ đã làm vậy.
Ví dụ: nếu tường lửa chỉ cho phép một số địa chỉ ip nhất định truy cập vào mạng, thì nó đang sử dụng cách tiếp cận danh sách trắng. Một ví dụ khác mà hầu hết mọi người đều phải đối mặt là Apple App Store. Công ty chỉ cho phép người dùng chạy các ứng dụng mà Apple đã phê duyệt và cho phép trong cửa hàng ứng dụng.
Kỹ thuật đơn giản nhất mà bạn có thể sử dụng để đưa các ứng dụng vào danh sách trắng là xác định chúng theo tên tệp, kích thước và đường dẫn thư mục. tuy nhiên, vấn đề với kỹ thuật này là tin tặc có thể tạo một ứng dụng có cùng tên và kích thước tệp với ứng dụng trong danh sách trắng và cho phép nó xâm nhập vào hệ thống. Để chống lại khả năng này, bạn có thể sử dụng một cách tiếp cận chặt chẽ hơn chúng tôi. uu. được khuyến nghị bởi viện tiêu chuẩn và công nghệ quốc gia (nist). Nó liên quan đến việc sử dụng các kỹ thuật băm mật mã và chữ ký điện tử của nhà sản xuất hoặc nhà phát triển của mỗi thành phần.
Để tạo danh sách trắng cho lớp mạng, bạn cần xem xét tất cả các tác vụ mà người dùng cần thực hiện và các công cụ họ sẽ cần để hoàn thành chúng. Danh sách trắng cấp mạng này có thể bao gồm cơ sở hạ tầng mạng, trang web, vị trí, ứng dụng, người dùng, nhà thầu, dịch vụ và cổng, cũng như các chi tiết tốt hơn như phụ thuộc ứng dụng, thư viện phần mềm, plugin, tiện ích mở rộng và tệp cấu hình. Ở cấp độ người dùng, danh sách trắng có thể bao gồm địa chỉ email, tệp và chương trình. Việc sử dụng phương pháp danh sách trắng yêu cầu bạn xem xét hoạt động của người dùng cũng như các đặc quyền của người dùng.
Các tổ chức có thể tạo danh sách trắng của riêng mình hoặc làm việc với các bên thứ ba, những người thường tạo danh sách trắng dựa trên danh tiếng và xếp hạng phần mềm cũng như các mặt hàng khác dựa trên độ tuổi, chữ ký số và các yếu tố khác.
để tóm tắt:
- danh sách trắng chỉ có nghĩa là cho phép truy cập vào các thực thể đã được phê duyệt.
- mặc định là chặn quyền truy cập.
- danh sách trắng tập trung vào sự tin cậy.
ưu và nhược điểm của danh sách trắng là gì?
Danh sách trắng là cách tiếp cận kiểm soát truy cập chặt chẽ hơn nhiều so với danh sách đen, vì mặc định là từ chối các mục và chỉ cho phép các mục đã được xác minh là an toàn. điều này có nghĩa là rủi ro về một người nào đó có ác ý truy cập vào hệ thống của bạn sẽ thấp hơn nhiều khi sử dụng phương pháp danh sách trắng.
Mặc dù danh sách trắng cung cấp khả năng bảo mật cao hơn, nhưng việc triển khai cũng có thể phức tạp hơn. thật khó để ủy quyền danh sách trắng cho bên thứ ba vì họ cần thông tin về các ứng dụng bạn sử dụng. bởi vì nó yêu cầu thông tin cụ thể cho từng tổ chức, nó đòi hỏi nhiều đầu vào hơn từ người dùng. Hầu hết các tổ chức thường xuyên thay đổi các công cụ mà họ sử dụng, có nghĩa là mỗi khi họ cài đặt một ứng dụng mới hoặc vá một ứng dụng hiện có, họ cần phải cập nhật danh sách trắng của mình. Về mặt hành chính, việc lập danh sách trắng có thể phức tạp hơn đối với người dùng, đặc biệt nếu bạn có hệ thống lớn hơn và phức tạp hơn.
Các ứng dụng trong danh sách cho phép cũng hạn chế những gì người dùng có thể làm với hệ thống của họ. họ không thể cài đặt bất cứ thứ gì họ muốn, điều này hạn chế khả năng sáng tạo của họ và các nhiệm vụ họ có thể thực hiện. cũng có khả năng việc đưa vào danh sách trắng sẽ dẫn đến lưu lượng truy cập bạn muốn bị chặn, điều này có nhiều khả năng xảy ra trong một số ứng dụng hơn những ứng dụng khác.
danh sách màu xám là gì?
Một kỹ thuật khác liên quan đến danh sách đen và danh sách trắng, nhưng được thảo luận ít thường xuyên hơn, là danh sách xám, còn được gọi là danh sách xám. như tên gọi của nó cho thấy, nó nằm ở đâu đó giữa danh sách đen và danh sách trắng. thường được sử dụng kết hợp với ít nhất một trong hai phương pháp chính này.
Danh sách màu xám là danh sách trong đó bạn có thể đặt các mục mà bạn chưa xác nhận là tốt hay xấu. Các mục trong danh sách xám tạm thời bị cấm truy cập vào hệ thống của bạn. sau khi một mục kết thúc trong danh sách xám, nó sẽ kiểm tra thêm hoặc thu thập thêm thông tin để xác định xem có nên cho phép mục đó hay không. để mọi thứ không nằm trong danh sách xám quá lâu và nhanh chóng chuyển sang danh sách đen hoặc danh sách trắng.
Cách bạn quyết định phải làm gì với một mục trong danh sách xám phụ thuộc vào loại thực thể đó là. chẳng hạn, một công cụ bảo mật có thể yêu cầu người dùng hoặc quản trị viên mạng đưa ra quyết định.
Một ví dụ về việc sử dụng danh sách xám có trong email. Nếu một bộ lọc thư rác không chắc chắn về việc chấp nhận một tin nhắn, nó có thể tạm thời chặn nó. nếu người gửi cố gắng gửi lại tin nhắn trong một khoảng thời gian nhất định, nó sẽ được gửi đi. nếu không, nó sẽ từ chối tin nhắn. Suy nghĩ đằng sau điều này là hầu hết thư rác đến từ các ứng dụng được thiết kế để gửi thư rác, không phải từ người dùng thực, vì vậy họ sẽ không cố gắng chuyển tiếp email nếu họ nhận được thông báo rằng nó tạm thời bị chặn. mặt khác, người dùng thực sẽ gửi lại email.
tôi nên sử dụng phương pháp nào?
vậy cách tiếp cận nào phù hợp với bạn? chúng ta hãy xem khi nào sử dụng từng loại và cách sử dụng cả hai cùng nhau.
1. khi nào sử dụng danh sách đen
Danh sách đen là lựa chọn phù hợp nếu bạn muốn giúp người dùng dễ dàng truy cập vào hệ thống của bạn và muốn giảm thiểu nỗ lực quản trị. nếu bạn coi trọng những điều đó hơn là kiểm soát truy cập chặt chẽ nhất có thể, hãy chọn danh sách đen.
Danh sách đen đang gia tăng đáng kể cách tiếp cận phổ biến nhất được các nhóm bảo mật sử dụng vì khi mọi người thiết kế hệ thống, họ thường muốn càng nhiều người có thể truy cập chúng càng tốt. Ví dụ: một cửa hàng thương mại điện tử có lẽ muốn chấp nhận rủi ro của giao dịch hàng giả không thường xuyên hơn là ngăn một khách hàng hợp pháp mua hàng. Nếu một cửa hàng Thương mại điện tử chặn tất cả những khách hàng mà họ chưa biết đến, thì nó sẽ không tồn tại được lâu.
Nếu bạn muốn cung cấp thứ gì đó cho công chúng và tối đa hóa số lượng người có thể sử dụng nó, đưa vào danh sách đen thường là cách tốt nhất.
Tóm lại, hãy sử dụng danh sách đen khi:
- Bạn muốn công chúng có thể sử dụng một hệ thống, chẳng hạn như cửa hàng Thương mại điện tử.
- Bạn muốn một môi trường ít hạn chế hơn.
- Bạn muốn giảm thiểu việc quản trị nỗ lực.
2. khi nào đưa vào danh sách trắng
Mặt khác, nếu bạn muốn tối đa hóa bảo mật và không ngại nỗ lực quản trị bổ sung hoặc khả năng truy cập hạn chế, thì lập danh sách trắng là lựa chọn tốt nhất. danh sách trắng là lý tưởng khi bảo mật chặt chẽ và kiểm soát truy cập là rất quan trọng.
danh sách trắng hoạt động tốt cho các hệ thống không công khai. Ví dụ: nếu bạn có một ứng dụng mà chỉ những nhân viên được chọn trong công ty của bạn mới cần quyền truy cập, bạn có thể đưa địa chỉ IP máy tính của họ vào danh sách trắng và chặn tất cả các địa chỉ IP khác truy cập vào ứng dụng.
Ngoài ra, danh sách trắng có thể hữu ích khi bạn muốn xác định những hành động mà ứng dụng hoặc dịch vụ có thể thực hiện và hạn chế ứng dụng hoặc dịch vụ làm bất kỳ điều gì khác. bạn có thể thực hiện điều này bằng cách liệt kê một số loại hành vi vào danh sách trắng. Ví dụ: bạn có thể có một máy tính mà bạn chỉ sử dụng để thực hiện một tác vụ cụ thể. Ví dụ, trong sảnh khách sạn, bạn có thể có một máy tính mà khách có thể sử dụng để đăng nhập. Bạn có thể đưa trang web của khách sạn vào danh sách trắng để đây là trang duy nhất mà khách có thể truy cập trên thiết bị. Ví dụ khác, bạn có thể tạo một chính sách cho phép một microservice sử dụng một lượng tài nguyên nhất định hoặc chạy trên một máy chủ cụ thể, nhưng hãy tắt nó nếu nó cố gắng sử dụng nhiều tài nguyên hơn hoặc chuyển sang một máy chủ mới.
Sẽ không thực tế nếu thực hiện việc này bằng cách sử dụng danh sách đen vì số lượng các hành vi có thể xảy ra mà bạn không muốn ứng dụng của mình thực hiện quá cao. bạn không thể đoán trước mọi thứ mà ứng dụng có thể làm, nhưng bạn có thể xác định những gì bạn muốn ứng dụng làm nếu bạn chỉ muốn ứng dụng làm những việc rất cụ thể.
sử dụng danh sách trắng khi:
- Chỉ một nhóm người dùng được chọn mới cần sử dụng hệ thống.
- Bạn muốn có một môi trường được kiểm soát tốt hơn.
- Bạn không ngại đầu tư thêm nỗ lực quản trị.
3. sử dụng danh sách đen và danh sách trắng cùng nhau
thường sử dụng danh sách đen và danh sách trắng cùng nhau là tùy chọn lý tưởng. bạn có thể sử dụng các phương pháp tiếp cận khác nhau ở các cấp cơ sở hạ tầng khác nhau và thậm chí sử dụng cả hai trong cùng một cấp.
Bạn có thể sử dụng phương pháp danh sách đen, chẳng hạn như để phát hiện phần mềm độc hại và hướng dẫn sử dụng phần mềm bảo mật, nhưng hãy sử dụng phương pháp danh sách trắng để kiểm soát toàn bộ quyền truy cập vào mạng. bạn cũng có thể đưa các máy chủ vào danh sách đen dựa trên địa chỉ ip của chúng trong khi liệt kê các hoạt động mong muốn của ứng dụng.
Bạn cũng có thể đưa vào danh sách trắng quyền truy cập vào một dịch vụ dựa trên khu vực địa lý nếu bạn chỉ cho phép người dùng từ các khu vực mà bạn biết người dùng thực đang ở đó. tuy nhiên, đồng thời, bạn có thể có một danh sách đen gồm những người dùng độc hại nằm trong các khu vực đó. đây là một ví dụ về việc sử dụng danh sách trắng và danh sách đen trong cùng một cấp.
nhiều tổ chức sử dụng cả danh sách đen và danh sách trắng cho các phần khác nhau trong chiến lược bảo mật của họ. ví dụ, kiểm soát quyền truy cập vào máy tính hoặc tài khoản bằng mật khẩu được đưa vào danh sách trắng. chỉ những người có mật khẩu mới có thể truy cập và những người khác không thể vào. nhiều tổ chức trong số đó cũng chạy các chương trình chống phần mềm độc hại sử dụng danh sách đen các phần mềm độc hại đã biết để chặn các chương trình độc hại.
tăng cường bảo mật mạng của bạn với các công nghệ đại hội, bao gồm
Kiểm soát quyền truy cập là trọng tâm của an ninh mạng. Danh sách đen và danh sách trắng là các cách tiếp cận hợp pháp để kiểm soát quyền truy cập vào mạng của bạn và giữ an toàn cho dữ liệu của bạn. phù hợp với bạn tùy thuộc vào nhu cầu và mục tiêu của tổ chức bạn.
các chuyên gia tại đại hội công nghệ, inc. có thể giúp bạn xác định chiến lược an ninh mạng nào là tốt nhất cho tổ chức của bạn và cung cấp nhiều giải pháp khác nhau để giúp bạn đạt được các mục tiêu bảo mật của mình. Chúng tôi cung cấp các giải pháp tường lửa, đánh giá lỗ hổng mạng, hỗ trợ tuân thủ và thậm chí là các giải pháp bảo mật được quản lý toàn diện. Để trao đổi với một trong các chuyên gia của chúng tôi về các chiến lược và giải pháp an ninh mạng nào phù hợp với bạn, hãy liên hệ với chúng tôi ngay hôm nay.
