Whitelisting overview/overzicht
Wat is Whitelisting en hoe
te implementeren in een bedrijf ?
Nu ransomware en mobiele phishing-aanvallen in
opkomst zijn, is whitelisting een absolute must (en best practice) voor kleine
en middelgrote ondernemingen, grote bedrijven en particulieren die hun
bescherming willen versterken. Een
whitelist is de cybersecurity lijst, die alleen door de beheerder
goedgekeurde programma's en IP- en e-mailadressen toegang geeft tot het systeem.
Wat niet op de lijst staat, wordt geblokkeerd. Whitelists zijn geen
one-size-fits-all; beheerders maken whitelists op maat op basis van hun unieke
wensen en behoeften. YouTube, bijvoorbeeld, heeft een whitelisted YouTube Kids
versie die afgaat van handmatige gekozen, leeftijdsgerichte video's uitgebracht
in plaats van algoritmische aanbevelingen.
Whitelists die consequent zijn bijgewerkt minimaliseren de kans dat spam de inbox overspoelt en minimaliseren de kans dat malware en ransomware in het systeem infiltreert. Bovendien verhoogt het de veiligheid van je netwerk, wat een potentieel probleem kan zijn voor bedrijven die BYOD-beleid (bring-your-own-device) hebben. En whitelisting kan zelfs de groei van bedrijven versnellen. Uit onderzoek blijkt dat 53 procent van de werknemers productiever is bij het gebruik van hun telefoon op het werk. Ondanks de toegenomen productiviteit en gebruiksgemak, zijn meerdere apparaten op een onveilig netwerk een risico voor aanvallen door nalatige werknemers. Om nog maar te zwijgen van andere soorten afleiding; uit een enquête bleek dat werknemers gemiddeld meer dan een uur aan niet-werkgerelateerde video's per dag bekijken. Whitelisting stelt bedrijven in staat om het BYOD-beleid op maat te maken op hun eigen voorwaarden. Dankzij whitelisting kunnen bedrijven onveilige en afleidende sites verbieden die het risico met zich meebrengen dat bedrijfsprojecten in het gedrang komen en in de winst dalen.
Whitelisting vs.
blacklisting
Een Black list is een lijst van toepassingen,
e-mailadressen, IP-adressen en websites die geen toegang hebben tot het netwerk.
Veel van de traditionele antivirussoftware is gebaseerd op blacklisting.
Terwijl whitelists ervan uitgaan dat een adres
of domein dat niet op de lijst staat onveilig is, gaan blacklists ervan uit dat
alles wat niet op de lijst staat in orde is. Het spreekt voor zich dat
whitelists de blacklists overrulen! Whitelists zijn zeer nuttige en krachtige
tools.
Virussen vermenigvuldigen zich sneller dan
ooit, waardoor ze moeilijker te volgen zijn. In 2015 werden dagelijks bijna 1
miljoen nieuwe malwarevirussen in computersystemen geïntroduceerd. Door elk
afzonderlijk virus op een zwarte lijst te plaatsen, verspil je niet alleen tijd,
maar laat je de deur open voor toekomstige virussen om in het netwerk te
sluipen. Het enige wat hackers hoeven te doen is de malwarestammen enigszins aan
te passen om zwarte lijsten te omzeilen. Studies tonen aan dat de snelheid van
nieuwe malware de traditionele antivirussoftware ver achter zich laat.
Whitelisting maakt cybersecurity echter relatief eenvoudig - het enige wat je hoeft te doen is applicaties, adressen, etc. goed te keuren. De rest is geblokkeerd. Het draait goed naast antivirus blacklisting software, anti-ransomware, anti-malware en antivirussoftware, en werkt verder ook goed in combinatie met jaarlijkse penetratietesten (op zoek naar kwetsbaarheden in het netwerk). Een studie uit 2016, waarin werd vastgesteld dat 95 procent van de IT-leiders die aan beveiliging werkten, van plan was om whitelistingoplossingen te implementeren, zelfs ondanks het feit dat ze af en toe vals-positief waren.[1]
Hoe whitelisting
te implementeren in een bedrijf?
Voor e-mail whitelists:
- Bouw een e-mail whitelist door goedgekeurde
e-mailadressen toe te voegen aan je contactlijst.
- Voor een betere bescherming tegen
cybercriminaliteit via e-mail, koppel je e-mailanalyse aan activiteiten en
netwerkmonitoring, samen met routinetrainingen op het gebied van cybersecurity.
- Update regelmatig whitelists om de
kwetsbaarheid te minimaliseren.
Voor applicaties whitelists:
- Profiteer van de whitelisting-mogelijkheden
van de applicatie die al in je systeem zijn ingebouwd.
- Ontwikkel whitelists in fases om valkuilen
op te sporen en nieuwe technologie in te brengen[2].
- Overweeg IT-professionals in te huren om
applicatie whitelists te beheren en bij te werken, omdat deze een grotere
uitdaging kunnen vormen dan e-mail whitelists.
Voor IP whitelists:
- Zorg ervoor dat het IP-adres statisch is
voordat je een whitelisting uitvoert.
- Overweeg het gebruik van een .htaccess
bestand voor maximale controle over whitelisting.
- Shortcut whitelisting van de inlogpagina met
plugins.
Hieronder verder de uitvoering van deze whitelistingoplossingen:
E-mail
whitelisting[3]
Het voordeel is dat je door e-mail
whitelisting al een vooraf goedgekeurde lijst met e-mailadressen hebt, dit
bespaart je moeite en tijd met het zoeken naar dagelijkse e-mails van klanten en
zakenpartners in je junkmail. Volgens recent onderzoek begint maar liefst 91
procent van de cyberaanvallen met een phishing- of spoofing-e-mail (nep-e-mails
die persoonlijke informatie van gebruikers proberen te achterhalen). Het belang
van whitelisting zal in de komende jaren alleen maar toenemen daar het
e-mailgebruik ook alleen maar toeneemt.
Klassieke
SMTP is kwetsbaar
SMTP
is de afkorting van Simple Mail Transfer Protocol. Dit protocol wordt
gebruikt om e-mail te versturen over het internet. Omdat het
klassieke
SMTP protocol erg
oud is (augustus 1982), heeft het zijn beperkingen en kwetsbaarheden. Als
gebruiker doe je er dan ook verstandig aan om maatregelen te treffen om zo
misbruik tegen te gaan.
- Plain text, dus
gemakkelijk mee te lezen
- Geen
afzender-validatie, dus gemakkelijk als ander voor te doen
- Geen
inhoud-validatie, dus gemakkelijk te manipuleren
- Geen
verzender-validatie, iedereen kan zich als verzender voordoen
Gevolgen:
- Heel veel spam
(50-98%)
- Phishing (geld
stelen)
- Malware
(ergernis en andere ellende)
- Ransomware (geld
aftroggelen door computers te gijzelen)
SMTP
veiliger maken:
Er
zijn een aantal manieren om het versturen van e-mail veiliger te maken.
Werking
SPF(Sender Policy Framework)
Binnen
de DNS zone van een domeinnaam zijn meerdere type records aanwezig. Deze
techniek wordt gebruikt om e-mail spoofing tegen te gaan.
SPF
voorkomt dat iemand in naam van je organisatie een email kan sturen. SPF
controleert de afzender van een email op echtheid.
E-mail
spoofing
Met
deze vorm van cybercriminaliteit wordt er namens jouw domeinnaam e-mail (spam) verzonden
waardoor jouw domeinnaam reputatieschade kan oplopen. Dit kan in de vorm van een
blacklist (spam) of imagoschade (berichten met jou als afzender).
Veel
spamfilters gebruiken een algoritme om e-mail wel of niet te markeren als spam.
Een onderdeel daarvan is de controle op het aanwezig zijn van een SPF record.
Dit is een DNS record (TXT-record) waarin je aangeeft welke servers
geautoriseerd zijn om e-mail te mogen versturen vanaf jouw domeinnaam.
Dit
ziet er bijvoorbeeld zo uit:
In bovenstaand voorbeeld zijn er twee servers (62.221.206.199 en 62.221.204.110) en Mandrill geautoriseerd zijn om e-mail te mogen versturen vanaf onze domeinnaam. Wanneer spamfilters dan e-mail ontvangen vanaf een andere server, dan kunnen ze deze als spam markeren.
Voorbeeld van een SPF record
Voordelen
- Minder
valse mail
- Betere controle
over mailstromen, betere e-mail reputatie
Nadelen
E-mailforwarding
kan problemen geven (vandaar
softfail)
SPF
Wizard
Omdat je erg punctueel moet zijn bij
SPF records is het goed om deze altijd te controleren op onjuistheden. Een
typefout kan ervoor zorgen dat je alle uitgaande e-mail tegenhoudt of juist
openstelt voor spammers. Tools: spfwizard.net. Op mxtoolbox.com kun
je SPF records controleren.
Wanneer je
gebruikmaakt van bijvoorbeeld Gmail, Mandrill, Microsoft Exchange et
cetera, dan krijg je bij de configuratie vaak in tekstvorm voorgeschoteld
welk SPF record je dient toe te voegen, dit hoef je dan alleen nog maar
te kopiëren/plakken.
Werking
DKIM(DomainKeys Identified Mail)
DKIM
voorkomt vervalsing van emails. Als iemand knoeit met de inhoud van een email
detecteert DKIM dat.
- In het DNS staat een publieke sleutel
(TXT-record)
- Verzendende
mailserver beschikt over een private sleutel
- Verzendende
mailserver voegt DKIM-header toe aan uitgaande e-mails
- Ontvangende
mailserver kan deze header controleren m.b.v. publieke sleutel
Voorbeeld van een DKIM record
DKIM is een e-mail authenticatie techniek die
de ontvanger toestaat om te verifiëren of de e-mail echt verstuurd (en dus
geautoriseerd) is door
de eigenaar van het (DKIM)domein. En of deze in oorspronkelijke staat aankomt.
Voordelen:
- Verminderde kans op spoofing
- Verminderde kans
op onderweg muteren van e-mail
- Betere e-mail
reputatie
Nadelen:
- Grotere
beheerlast
- Toevoegingen door bijvoorbeeld mailinglists gooien roet in het eten
Werking
DMARC (Domain Message Authentication
Reporting & Conformance)
DMARC
vertelt uw mailserver wat hij moet doen als hij een verdachte email ontvangt.
Ook zorgt DMARC ervoor dat een organisatie informatie krijgt over vervalste
email die in zijn naam verstuurd is.
-Het DMARC-record is een TXT-record in
het DNS
-In het
DMARC-record staat een policy
aangegeven domein.
Voorbeeld van een DMARC record
Voordelen:
-Invloed op foute
mail (weigeren, of in spamfolder bijv.)
-Identifier
alignment
-Feedback-rapporten
-Betere e-mail reputatie
Nadelen:
-Grotere
beheerlast (met name rapporten)
-Ontvangende kant
kan overrulen
-Privacy-issue in
het ruf-rapport
Werking
STARTTLS
STARTTLS zorgt voor een beveiligde
verbinding tussen verzendende en ontvcangende mailserver. DANE dwingt STARTTLS
af en geeft zekerheid over de identiteit van de ontvangende mailserver.DNSSEC
waarborgt in de keten de echtheid van DANE.
-Ontvangende
mailserver geeft aan deze mogelijkheid te ondersteunen
-Verzendende
mailserver vraagt vervolgens om deze mogelijkheid
-Verkeer zal via TLS worden versleuteld
STARTTLS
wordt gestart
Voordelen:
-E-mail verkeer is
versleuteld, dus moeilijker af te luisteren
Nadelen:
-Is
opportunistic
(oplossing: DANE , RFC7672 en/of MTA-STS)
Om e-mail te whitelisten:
Stap
1:
Login op de
webmail met je account.
Stap
2: Ga naar de instellingen binnen het account, eerst op het
tandwiel van de instellingen, hierna druk je op vertrouwde afzenders.
Vervolgens kun je op Nieuw
drukken om email adressen en domeinen toe te voegen.
Stap
3: Voeg de email adressen of domeinen toe in het scherm
vertrouwde afzenders
Vervolgens druk je op Opslaan
om dit in te voeren.
Stap
4: De email adressen zijn nu toegevoegd aan de whitelist. Je
kunt ze nu ook bewerken of verwijderen.
Ook
handig:[4]
Application
whitelisting
Net als e-mail whitelisting, helpt applicatie whitelisting om je computersysteem te beschermen tegen malware, spam, ransomware en andere bedreigingen. Whitelists van applicaties laten alleen goedgekeurde apps draaien. Alles wat niet whitelisted is, wordt als onveilig beschouwd en geblokkeerd. Naast het monitoren van malware controleren bepaalde typen whitelisting-applicaties of de applicatieversies up-to-date, zonder licentie of verboden zijn. Applicatie whitelisting volgt meestal ook applicatiewijzigingen en, in sommige gevallen, reacties op incidenten.
Om een programma op
Windows te whitelisten:
1. Als je Windows Pro- of Enterprise-editie
gebruikt, kan je gebruik maken van de instelling Beveiligingsbeleid om
programma's te whitelisten. Om dit te doen, typt u secpol.msc
in het vakje Run en drukt u op Enter om de Local Security Policy Editor te
openen.
Onder Beveiligingsinstellingen ziet u het
beleid voor softwarebeperkingen. Als er geen beleid van kracht is, moet u een
nieuw SRP maken door er met de rechtermuisknop op te klikken en een nieuw beleid
maken te selecteren.
Zodra u dit hebt gedaan, kunt u in het
rechterdeelvenster dubbelklikken op Enforcement, Designated File Types &
Trusted Publishers om je whitelisting voorkeuren in te stellen.
Met behulp van het Software Restriction
Policies kunt u dit doen:
- Whitelist programma's
- Bestrijding van malware
- Regel welke ActiveX-besturingselementen
kunnen worden gedownload
- Alleen digitaal ondertekende scripts
uitvoeren
- Laat alleen goedgekeurde software
installeren
- Vergrendeling van een systeem.
Je moet dan de map Security Levels openen en
de standaard beveiligingsactie instellen. De opties zijn dat wel:
- Niet
toegestaan
- Basisgebruiker
- Onbeperkt
Omdat we alleen toepassingen met een witte
lijst willen toestaan om te draaien, moet u dubbelklikken op Disallowed
en deze als standaardactie instellen.[5]
2. De Windows AppLocker laat een beheerder toe
om bepaalde gebruikers te blokkeren of toe te staan bepaalde applicaties te
installeren of te gebruiken. Je kan gebruik
maken van blacklisting regels of whitelisting regels om dit resultaat te
bereiken. AppLocker helpt beheerders
om te bepalen welke applicaties en bestanden gebruikers kunnen draaien. Deze
omvatten uitvoerbare bestanden, scripts, Windows Installer bestanden, DLLs,
Packaged apps en Packaged app installateurs. Deze functie is alleen beschikbaar
op Enterprise edities van Windows. In Windows 10/8 Applocker kan je zowel legacy
als Windows Store apps blokkeren.
Je kan de in Windows ingebouwde functie
AppLocker gebruiken om te voorkomen dat gebruikers Windows Store Apps
installeren of uitvoeren en om te bepalen welke software moet draaien. Je kan je
apparaat dienovereenkomstig configureren om de kans op Cryptolocker
ransomware-infectie te verminderen.
Je kan het ook gebruiken om ransomware te
beperken door uitvoerbare, niet ondertekende ransomware te blokkeren:
<users
profile>\AppData\Local\Temp
<users
profile>\AppData\Local\Temp\*
<users
profile>\AppData\Local\Temp\*\*
Toepassing AppLocker
In het begin moet je de applicatie starten met
behulp van de console Identiteitssnap-in
a. Om de Identiteitstoepassing te starten,
klik je op Start / Run en typ je services.msc. In de console snap-in kijk voor
de identy service toepassing, klik met de rechtermuisknop en selecteer
Eigenschappen. Klik in het dialoogvenster op Automatisch, klik op Start en klik
vervolgens op OK. Sluit het venster Diensten en ga verder
b. Klik op de knop Start, programma's en
bestanden in het zoekvak, typ secpol.msc en druk op ENTER. Dat kan ook: Klik op
de knop Start en klik vervolgens op Configuratiescherm / Systeem en Beveiliging
en klik vervolgens op Administratieve tools en vervolgens op Lokaal
beveiligingsbeleid.
OPMERKING: Als je het UAC-dialoogvenster ziet,
bevestig je dat de actie wordt weergegeven door op Ja te klikken.
c. In de console dubbelklikken op de criteria
voor applicatiebeheer en vervolgens op AppLocker. rechtsklik op Rules
Executables. (Merk op dat je automatisch regels kunt genereren voor uitvoerbare
bestanden, Windows Installer en script), klik dan op Nieuwe regels aanmaken.
d. Klik op het scherm " Before you
start/Voordat u begint" op Next/Volgende.
e. Klik op Toestaan of Weigeren om de
bestanden in de regel toe te staan of te weigeren.
f. Klik Selecteren. In het dialoogvenster
Selecteer groep of gebruiker heeft de naam van de gebruiker of groep getypt en
klik dan op OK, of klik op Geavanceerd / Zoeken en selecteer de gebruiker en
klik vervolgens op Volgende.
g. Klik op de juiste voorwaarde voor deze
regel. Je kan kiezen uit het bestand Auteur, Pad of Hash en vervolgens
verdergaan met Volgende.
3. CryptoPrevent bevat een functie genaamd
Whitelist waarmee je een aantal betrouwbare programma's kan toevoegen die moeten
worden uitgevoerd vanuit locaties die toolblokken. Als je er zeker van bent dat
een bepaald programma betrouwbaar is en in staat is om elke gewenste locatie te
gebruiken, kan je deze programma's toevoegen aan de whitelist.
4. Met de meeste Internet Security Suites kan
je programma's op een zwarte lijst of witte lijst plaatsen. Als je er een
gebruikt, ga dan door de instellingen ervan en probeer het te vinden. Je kan
uitsluitingen configureren of toepassingen toevoegen aan de vertrouwde lijst.
5. NoVirusThanks Driver Radar Pro is een
handige toepassing waarmee je het laden van kernelbestanden kan toestaan of
weigeren en verder ook veilige whitelisting methoden kan instellen.
6. Als je op zoek bent naar een tool, dan is
VoodooShield een gratis anti-executable beveiligingssoftware die je helpt om
programma's te whitelisten en je Windows PC te beschermen tegen malware en biedt
HIPS of Host Intrusion Prevention. Eenmaal ingeschakeld, zal het programma je
status quo beschermen en niets nieuws laten draaien. Als er iets nieuws probeert
uit te voeren, wordt je hiervan op de hoogte gesteld en wordt je toestemming
gevraagd om dit al dan niet toe te staan. Zodra je een programma toestaat, wordt
het whitelisted, wat het je gemakkelijk maakt.
7. AppSamvid Application Whitelisting software
is ontworpen en ontwikkeld door het Centre for Development of Advanced Computing
(C-DAC) en valt onder het Indiase initiatief Digital India.
IP Whitelists[6]
IP whitelist is een goedgekeurde lijst van
IP-adressen en/of IP-domeinen die toestemming hebben om toegang te krijgen tot
je domein(en). IP whitelisting wordt enkel ingesteld en bijgewerkt door de
beheerder van de site. Uitbreiding naar andere eindgebruikers kan overigens ook.
Je kan IP-adressen krijgen met behulp van een
commando zoals dig, host of nslookup om de huidige IP-adressen van je gehoste
werkplekken te vinden.
De volgende tabel beschrijft de specifieke poorten die gebruikt worden door gemeenschappelijke database. Afhankelijk van de geïnstalleerde database moeten deze poorten ingeschakeld zijn voor de communicatie tussen de tools voor het laden van gegevens en je database:
Port |
Description |
22 |
SFTP |
1433, 1434 |
Microsoft SQL Server |
1521 |
Oracle |
3050 |
Firebird, Interbase |
3306 |
MySQL |
5349 |
Amazon Redshift JDBC driver |
5432, 5433 |
PostgreSQL |
Om
je IP te Whitelisten:
-
1. Log in RDP (remote desktop).
-
2. Ga naar Start.
-
3. Selecteer Administratieve tools.
-
4. Klik op Windows Firewall met geavanceerde beveiliging.
-
5. Klik op Inbound Rules aan de linkerkant.
-
6. Klik in het midden op MSSQL Server of MySQL.
-
7. Onder het gedeelte MSSQL Server klik je op Eigenschappen.
-
8. Klik op het tabblad Scope.
-
9. Onderaan, onder Extern IP-adres, klik je op Toevoegen en voegt je je IP-adres
toe.
-
10. Klik op OK.
Instructies
voor stappen 5 tot en met 10 worden hieronder geïllustreerd:
[1]
Springboard.com
[2]
Advies National
Institute of Standards and Technology´s
[3]
Realhosting.nl
[4]
Whatcounts.com
[5]
Techned.nl
http://www.dkim.org
https://dmarc.org
https://www.sparkpost.com/resources/email-explained/ssl-tls-starttls-encyption/
https://whatismyipaddress.com
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/what-is-applocker