Whitelisting overview/overzicht

Wat is Whitelisting en hoe te  implementeren in een bedrijf ?

Nu ransomware en mobiele phishing-aanvallen in opkomst zijn, is whitelisting een absolute must (en best practice) voor kleine en middelgrote ondernemingen, grote bedrijven en particulieren die hun bescherming willen versterken. Een whitelist is de cybersecurity lijst, die alleen door de beheerder goedgekeurde programma's en IP- en e-mailadressen toegang geeft tot het systeem. Wat niet op de lijst staat, wordt geblokkeerd. Whitelists zijn geen one-size-fits-all; beheerders maken whitelists op maat op basis van hun unieke wensen en behoeften. YouTube, bijvoorbeeld, heeft een whitelisted YouTube Kids versie die afgaat van handmatige gekozen, leeftijdsgerichte video's uitgebracht in plaats van algoritmische aanbevelingen.

Whitelists die consequent zijn bijgewerkt minimaliseren de kans dat spam de inbox overspoelt en minimaliseren de kans dat malware en ransomware in het systeem infiltreert. Bovendien verhoogt het de veiligheid van je netwerk, wat een potentieel probleem kan zijn voor bedrijven die BYOD-beleid (bring-your-own-device) hebben. En whitelisting kan zelfs de groei van bedrijven versnellen.  Uit onderzoek blijkt dat 53 procent van de werknemers productiever is bij het gebruik van hun telefoon op het werk. Ondanks de toegenomen productiviteit en gebruiksgemak, zijn meerdere apparaten op een onveilig netwerk een risico  voor aanvallen door nalatige werknemers. Om nog maar te zwijgen van andere soorten afleiding; uit een enquête bleek dat werknemers gemiddeld meer dan een uur aan niet-werkgerelateerde video's per dag bekijken. Whitelisting stelt bedrijven in staat om het BYOD-beleid op maat te maken op hun eigen voorwaarden. Dankzij whitelisting kunnen bedrijven onveilige en afleidende sites verbieden die het risico met zich meebrengen dat bedrijfsprojecten in het gedrang komen en in de winst dalen.

Whitelisting vs. blacklisting

Een Black list is een lijst van toepassingen, e-mailadressen, IP-adressen en websites die geen toegang hebben tot het netwerk. Veel van de traditionele antivirussoftware is gebaseerd op blacklisting.

Terwijl whitelists ervan uitgaan dat een adres of domein dat niet op de lijst staat onveilig is, gaan blacklists ervan uit dat alles wat niet op de lijst staat in orde is. Het spreekt voor zich dat whitelists de blacklists overrulen! Whitelists zijn zeer nuttige en krachtige tools.

Virussen vermenigvuldigen zich sneller dan ooit, waardoor ze moeilijker te volgen zijn. In 2015 werden dagelijks bijna 1 miljoen nieuwe malwarevirussen in computersystemen geïntroduceerd. Door elk afzonderlijk virus op een zwarte lijst te plaatsen, verspil je niet alleen tijd, maar laat je de deur open voor toekomstige virussen om in het netwerk te sluipen. Het enige wat hackers hoeven te doen is de malwarestammen enigszins aan te passen om zwarte lijsten te omzeilen. Studies tonen aan dat de snelheid van nieuwe malware de traditionele antivirussoftware ver achter zich laat. 

Whitelisting maakt cybersecurity echter relatief eenvoudig - het enige wat je hoeft te doen is applicaties, adressen, etc. goed te keuren. De rest is geblokkeerd. Het draait goed naast antivirus blacklisting software, anti-ransomware, anti-malware en antivirussoftware, en werkt verder ook goed in combinatie met jaarlijkse penetratietesten (op zoek naar kwetsbaarheden in het netwerk).  Een  studie uit 2016, waarin werd vastgesteld dat 95 procent van de IT-leiders die aan beveiliging werkten, van plan was om whitelistingoplossingen te implementeren, zelfs ondanks het feit dat ze af en toe vals-positief waren.[1]

Hoe whitelisting te implementeren in een bedrijf?

Voor e-mail whitelists:

- Bouw een e-mail whitelist door goedgekeurde e-mailadressen toe te voegen aan je contactlijst. 

- Voor een betere bescherming tegen cybercriminaliteit via e-mail, koppel je e-mailanalyse aan activiteiten en netwerkmonitoring, samen met routinetrainingen op het gebied van cybersecurity.

- Update regelmatig whitelists om de kwetsbaarheid te minimaliseren.

Voor applicaties whitelists:

- Profiteer van de whitelisting-mogelijkheden van de applicatie die al in je systeem zijn ingebouwd.

- Ontwikkel whitelists in fases om valkuilen op te sporen en nieuwe technologie in te brengen[2].

- Overweeg IT-professionals in te huren om applicatie whitelists te beheren en bij te werken, omdat deze een grotere uitdaging kunnen vormen dan e-mail whitelists.

Voor IP whitelists:

- Zorg ervoor dat het IP-adres statisch is voordat je een whitelisting uitvoert.

- Overweeg het gebruik van een .htaccess bestand voor maximale controle over whitelisting.

- Shortcut whitelisting van de inlogpagina met plugins.

Hieronder verder de uitvoering van deze whitelistingoplossingen:

E-mail whitelisting[3]

Het voordeel is dat je door e-mail whitelisting al een vooraf goedgekeurde lijst met e-mailadressen hebt, dit bespaart je moeite en tijd met het zoeken naar dagelijkse e-mails van klanten en zakenpartners in je junkmail. Volgens recent onderzoek begint maar liefst 91 procent van de cyberaanvallen met een phishing- of spoofing-e-mail (nep-e-mails die persoonlijke informatie van gebruikers proberen te achterhalen). Het belang van whitelisting zal in de komende jaren alleen maar toenemen daar het e-mailgebruik ook alleen maar toeneemt.  

Klassieke SMTP is kwetsbaar

SMTP is de afkorting van Simple Mail Transfer Protocol. Dit protocol wordt gebruikt om e-mail te versturen over het internet. Omdat het klassieke SMTP protocol erg oud is (augustus 1982), heeft het zijn beperkingen en kwetsbaarheden. Als gebruiker doe je er dan ook verstandig aan om maatregelen te treffen om zo misbruik tegen te gaan.

- Plain text, dus gemakkelijk mee te lezen

- Geen afzender-validatie, dus gemakkelijk als ander voor te doen

- Geen inhoud-validatie, dus gemakkelijk te manipuleren

- Geen verzender-validatie, iedereen kan zich als verzender voordoen

Gevolgen:

- Heel veel spam (50-98%)

- Phishing (geld stelen)

- Malware (ergernis en andere ellende)

- Ransomware (geld aftroggelen door computers te gijzelen)

SMTP veiliger maken:

Er zijn een aantal manieren om het versturen van e-mail veiliger te maken.

- SPF

- DKIM

- DMARC

- STARTTLS

 

Werking  SPF(Sender Policy Framework)

Binnen de DNS zone van een domeinnaam zijn meerdere type records aanwezig. Deze techniek wordt gebruikt om e-mail spoofing tegen te gaan.

                         

SPF voorkomt dat iemand in naam van je organisatie een email kan sturen. SPF controleert de afzender van een email op echtheid.

E-mail spoofing

Met deze vorm van cybercriminaliteit wordt er namens jouw domeinnaam e-mail (spam) verzonden waardoor jouw domeinnaam reputatieschade kan oplopen. Dit kan in de vorm van een blacklist (spam) of imagoschade (berichten met jou als afzender).

Veel spamfilters gebruiken een algoritme om e-mail wel of niet te markeren als spam. Een onderdeel daarvan is de controle op het aanwezig zijn van een SPF record. Dit is een DNS record (TXT-record) waarin je aangeeft welke servers geautoriseerd zijn om e-mail te mogen versturen vanaf jouw domeinnaam.

Dit ziet er bijvoorbeeld zo uit:

In bovenstaand voorbeeld zijn er twee servers (62.221.206.199 en 62.221.204.110) en Mandrill geautoriseerd zijn om e-mail te mogen versturen vanaf onze domeinnaam. Wanneer spamfilters dan e-mail ontvangen vanaf een andere server, dan kunnen ze deze als spam markeren.


Voorbeeld van een SPF record

Voordelen

- Minder valse mail

- Betere controle over mailstromen, betere e-mail reputatie

Nadelen

E-mailforwarding kan problemen geven (vandaar softfail)

SPF Wizard

Omdat je erg punctueel moet zijn bij SPF records is het goed om deze altijd te controleren op onjuistheden. Een typefout kan ervoor zorgen dat je alle uitgaande e-mail tegenhoudt of juist openstelt voor spammers. Tools: spfwizard.net. Op mxtoolbox.com kun je SPF records controleren.

Wanneer je gebruikmaakt van bijvoorbeeld Gmail, Mandrill, Microsoft Exchange et cetera, dan krijg je bij de configuratie vaak in tekstvorm voorgeschoteld welk SPF record je dient toe te voegen, dit hoef je dan alleen nog maar te kopiëren/plakken.

 

Werking DKIM(DomainKeys Identified Mail)

                 

DKIM voorkomt vervalsing van emails. Als iemand knoeit met de inhoud van een email detecteert DKIM dat.

- In het DNS staat een publieke sleutel (TXT-record)

- Verzendende mailserver beschikt over een private sleutel

- Verzendende mailserver voegt DKIM-header toe aan uitgaande e-mails

- Ontvangende mailserver kan deze header controleren m.b.v. publieke sleutel


Voorbeeld van een DKIM record

DKIM is een e-mail authenticatie techniek die de ontvanger toestaat om te verifiëren of de e-mail echt verstuurd (en dus geautoriseerd) is door
de eigenaar van het (DKIM)domein. En of deze in oorspronkelijke staat aankomt.

Voordelen:

- Verminderde kans op spoofing

- Verminderde kans op onderweg muteren van e-mail

- Betere e-mail reputatie

Nadelen:

- Grotere beheerlast

- Toevoegingen door bijvoorbeeld mailinglists gooien roet in het eten

Werking  DMARC (Domain Message Authentication Reporting & Conformance)



DMARC vertelt uw mailserver wat hij moet doen als hij een verdachte email ontvangt. Ook zorgt DMARC ervoor dat een organisatie informatie krijgt over vervalste email die in zijn naam verstuurd is.

-Het DMARC-record is een TXT-record in het DNS

-In het DMARC-record staat een policy aangegeven domein.

 
Voorbeeld van een DMARC record

Voordelen:

-Invloed op foute mail (weigeren, of in spamfolder bijv.)

-Identifier alignment

-Feedback-rapporten

-Betere e-mail reputatie

Nadelen:

-Grotere beheerlast (met name rapporten)

-Ontvangende kant kan overrulen

-Privacy-issue in het ruf-rapport

Werking STARTTLS

STARTTLS zorgt voor een beveiligde verbinding tussen verzendende en ontvcangende mailserver. DANE dwingt STARTTLS af en geeft zekerheid over de identiteit van de ontvangende mailserver.DNSSEC waarborgt in de keten de echtheid van DANE.

-Ontvangende mailserver geeft aan deze mogelijkheid te ondersteunen

-Verzendende mailserver vraagt vervolgens om deze mogelijkheid

-Verkeer zal via TLS worden versleuteld

STARTTLS wordt gestart

Voordelen:

-E-mail verkeer is versleuteld, dus moeilijker af te luisteren

Nadelen:

-Is opportunistic (oplossing: DANE , RFC7672 en/of MTA-STS)

Om e-mail te whitelisten:

Stap 1: Login op de webmail met je account.
Stap 2: Ga naar de instellingen binnen het account, eerst op het tandwiel van de instellingen, hierna druk je op vertrouwde afzenders.  Vervolgens kun je op Nieuw drukken om email adressen en domeinen toe te voegen.
Stap 3: Voeg de email adressen of domeinen toe in het scherm vertrouwde afzenders
Vervolgens druk je op Opslaan om dit in te voeren.
Stap 4: De email adressen zijn nu toegevoegd aan de whitelist. Je kunt ze nu ook bewerken of verwijderen.

Ook handig:[4]

Set up AOL mail.

AOL Mail
1. Click Contacts in the right toolbar.
2. Click Add Contact.
3. Enter [wlemail] and additional information if you wish.
4. Click Add Contact button in the popup to finish.

How to set up Comcast mail.

Comcast
1. Click Preferences from the menu.
2. Click Restrict Incoming Email.
3. Click Yes to Enable Email Controls.
4. Click Allow email from addresses listed below.
5. Enter [wlemail] you want to whitelist.
6. Click Add.
7. Click Update to finish.

How to set up Earthlink mail.

Earthlink
1. Click Address Book.
2. Click Add Contact.
4. Save WhatCounts as a contact.
5. Click save.

How to set up Gmail.

Gmail
1. Open an email from the sender that you want to whitelist.
2. Click on the little down-pointing-triangle-arrow next to reply.
3. Click Add [wlemail] to contacts list to finish.

Set up Mobile Me.

Apple Mail
1. Click [wlemail] in the header of the message you´re viewing.
2. Click Add to finish.

Set up Netzero.

NetZero
1. Click the Address Book tab on the top menu bar.
2. Click Contacts.
3. Click Add Contact.
4. Enter [wlemail] and additional information if you wish.
5. Click Save to finish.

Set up Yahoo.

Yahoo! Mail
1. Open the email message from the sender you want to add to your address book.
2. Click Add to contacts next to [wlemail].
3. On the Add Contact popup, add additional information if needed.
4. Click Save to finish.

Set up Windows Live.

Windows Live Hotmail
1. Open an email from the sender that you want to whitelist.
2. Click Add to contacts next to [wlemail] to finish.

Set up Microsoft Office.

Microsoft Outlook 2003
1. Open the email message from the sender you want to add to your address book.
2. Right-click Click here to download images in the gray bar at the top of the message.
3. Click Add Sender to Senders Safe List to finish.

Set up Microsoft Outlook.

Outlook 2007
1. Right-click on the email you received (in the list of emails).
2. Click Junk E-mail.
3. Click Add Sender to Safe Senders List to finish.

Set up Microsoft Outlook.

Outlook 2010
1. Click the Home tab.
2. Click Junk.
3. Click Junk E-mail Options.
4. Click Safe Senders.
5. Click Add.
6. Enter [wlemail] and additional information if you wish.
7. Click OK to finish.

Set up Mac Mail.

Mac Mail
1. Click Address Book .
2. Click File.
3. Click New Card.
4. Enter [wlemail] and additional information if you wish. .
5. Click Edit to finish

Set up Mozilla Thunderbird for Mac.

Mozilla Thunderbird for PC
1. Click Address Book.
2. Make sure Personal Address Book is highlighted.
3. Click New Card. This will launch a New Card window that has 3 tabs: Contact, Address & Other.
4. Under Contact, enter [wlemail] and additional information if you wish.
5. Click OK to finish.
Mozilla Thunderbird for Mac
1. Click Address Book.
2. Make sure Personal Address Book is highlighted.
3. Click New Card. This will launch a New Card window that has 3 tabs: Contact, Address & Other.
4. Under Contact, enter [wlemail] and additional information if you wish.
5. Click OK to finish

Setting it up in Apple.

iOS Devices - iPad, iPhone, iPod Touch 1. On any message, tap the sender and add to either a new contact or an existing contact: The Apple set up screen

Setting it up in Android.

Android Devices – Samsung, Google Nexus, others1. In the default email client, touch the picture of the sender.
2. Click OK to add to contacts.

Snapshot of an Android phone.

 

Application whitelisting

Net als e-mail whitelisting, helpt applicatie whitelisting om je computersysteem te beschermen tegen malware, spam, ransomware en andere bedreigingen. Whitelists van applicaties laten alleen goedgekeurde apps draaien. Alles wat niet whitelisted is, wordt als onveilig beschouwd en geblokkeerd. Naast het monitoren van malware controleren bepaalde typen whitelisting-applicaties of de applicatieversies up-to-date, zonder licentie of verboden zijn. Applicatie whitelisting volgt meestal ook applicatiewijzigingen en, in sommige gevallen, reacties op incidenten.

https://thewindowsclub-thewindowsclubco.netdna-ssl.com/wp-content/uploads/2016/07/whitelist-a-program-in-Windows-10.png

Om een programma op Windows te whitelisten:

1. Als je Windows Pro- of Enterprise-editie gebruikt, kan je gebruik maken van de instelling Beveiligingsbeleid om programma's te whitelisten. Om dit te doen, typt u secpol.msc in het vakje Run en drukt u op Enter om de Local Security Policy Editor te openen.

Onder Beveiligingsinstellingen ziet u het beleid voor softwarebeperkingen. Als er geen beleid van kracht is, moet u een nieuw SRP maken door er met de rechtermuisknop op te klikken en een nieuw beleid maken te selecteren.

Zodra u dit hebt gedaan, kunt u in het rechterdeelvenster dubbelklikken op Enforcement, Designated File Types & Trusted Publishers om je whitelisting voorkeuren in te stellen.

Met behulp van het Software Restriction Policies kunt u dit doen:

- Whitelist programma's

- Bestrijding van malware

- Regel welke ActiveX-besturingselementen kunnen worden gedownload

- Alleen digitaal ondertekende scripts uitvoeren

- Laat alleen goedgekeurde software installeren

- Vergrendeling van een systeem.

Je moet dan de map Security Levels openen en de standaard beveiligingsactie instellen. De opties zijn dat wel:

-  Niet toegestaan

-  Basisgebruiker

-  Onbeperkt

Omdat we alleen toepassingen met een witte lijst willen toestaan om te draaien, moet u dubbelklikken op Disallowed en deze als standaardactie instellen.[5]

2. De Windows AppLocker laat een beheerder toe om bepaalde gebruikers te blokkeren of toe te staan bepaalde applicaties te installeren of te gebruiken. Je kan  gebruik maken van blacklisting regels of whitelisting regels om dit resultaat te bereiken. AppLocker  helpt beheerders om te bepalen welke applicaties en bestanden gebruikers kunnen draaien. Deze omvatten uitvoerbare bestanden, scripts, Windows Installer bestanden, DLLs, Packaged apps en Packaged app installateurs. Deze functie is alleen beschikbaar op Enterprise edities van Windows. In Windows 10/8 Applocker kan je zowel legacy als Windows Store apps blokkeren.

Je kan de in Windows ingebouwde functie AppLocker gebruiken om te voorkomen dat gebruikers Windows Store Apps installeren of uitvoeren en om te bepalen welke software moet draaien. Je kan je apparaat dienovereenkomstig configureren om de kans op Cryptolocker ransomware-infectie te verminderen.

Je kan het ook gebruiken om ransomware te beperken door uitvoerbare, niet ondertekende ransomware te blokkeren:

<users profile>\AppData\Local\Temp

<users profile>\AppData\Local\Temp\*

<users profile>\AppData\Local\Temp\*\*

Toepassing  AppLocker

In het begin moet je de applicatie starten met behulp van de console Identiteitssnap-in

a. Om de Identiteitstoepassing te starten, klik je op Start / Run en typ je services.msc. In de console snap-in kijk voor de identy service toepassing, klik met de rechtermuisknop en selecteer Eigenschappen. Klik in het dialoogvenster op Automatisch, klik op Start en klik vervolgens op OK. Sluit het venster Diensten en ga verder

b. Klik op de knop Start, programma's en bestanden in het zoekvak, typ secpol.msc en druk op ENTER. Dat kan ook: Klik op de knop Start en klik vervolgens op Configuratiescherm / Systeem en Beveiliging en klik vervolgens op Administratieve tools en vervolgens op Lokaal beveiligingsbeleid.

OPMERKING: Als je het UAC-dialoogvenster ziet, bevestig je dat de actie wordt weergegeven door op Ja te klikken.

c. In de console dubbelklikken op de criteria voor applicatiebeheer en vervolgens op AppLocker. rechtsklik op Rules Executables. (Merk op dat je automatisch regels kunt genereren voor uitvoerbare bestanden, Windows Installer en script), klik dan op Nieuwe regels aanmaken.

d. Klik op het scherm " Before you start/Voordat u begint" op Next/Volgende.

e. Klik op Toestaan of Weigeren om de bestanden in de regel toe te staan of te weigeren.

f. Klik Selecteren. In het dialoogvenster Selecteer groep of gebruiker heeft de naam van de gebruiker of groep getypt en klik dan op OK, of klik op Geavanceerd / Zoeken en selecteer de gebruiker en klik vervolgens op Volgende.

g. Klik op de juiste voorwaarde voor deze regel. Je kan kiezen uit het bestand Auteur, Pad of Hash en vervolgens verdergaan met Volgende.

3. CryptoPrevent bevat een functie genaamd Whitelist waarmee je een aantal betrouwbare programma's kan toevoegen die moeten worden uitgevoerd vanuit locaties die toolblokken. Als je er zeker van bent dat een bepaald programma betrouwbaar is en in staat is om elke gewenste locatie te gebruiken, kan je deze programma's toevoegen aan de whitelist.

4. Met de meeste Internet Security Suites kan je programma's op een zwarte lijst of witte lijst plaatsen. Als je er een gebruikt, ga dan door de instellingen ervan en probeer het te vinden. Je kan uitsluitingen configureren of toepassingen toevoegen aan de vertrouwde lijst.

5. NoVirusThanks Driver Radar Pro is een handige toepassing waarmee je het laden van kernelbestanden kan toestaan of weigeren en verder ook veilige whitelisting methoden kan instellen.

6. Als je op zoek bent naar een tool, dan is VoodooShield een gratis anti-executable beveiligingssoftware die je helpt om programma's te whitelisten en je Windows PC te beschermen tegen malware en biedt HIPS of Host Intrusion Prevention. Eenmaal ingeschakeld, zal het programma je status quo beschermen en niets nieuws laten draaien. Als er iets nieuws probeert uit te voeren, wordt je hiervan op de hoogte gesteld en wordt je toestemming gevraagd om dit al dan niet toe te staan. Zodra je een programma toestaat, wordt het whitelisted, wat het je gemakkelijk maakt.

7. AppSamvid Application Whitelisting software is ontworpen en ontwikkeld door het Centre for Development of Advanced Computing (C-DAC) en valt onder het Indiase initiatief Digital India.

IP Whitelists[6]

IP whitelist is een goedgekeurde lijst van IP-adressen en/of IP-domeinen die toestemming hebben om toegang te krijgen tot je domein(en). IP whitelisting wordt enkel ingesteld en bijgewerkt door de beheerder van de site. Uitbreiding naar andere eindgebruikers kan overigens ook.

Je kan IP-adressen krijgen met behulp van een commando zoals dig, host of nslookup om de huidige IP-adressen van je gehoste werkplekken te vinden.

De volgende tabel beschrijft de specifieke poorten die gebruikt worden door gemeenschappelijke database. Afhankelijk van de geïnstalleerde database moeten deze poorten ingeschakeld zijn voor de communicatie tussen de tools voor het laden van gegevens en je database:

Port

Description

22

SFTP

1433, 1434

Microsoft SQL Server

1521

Oracle

3050

Firebird, Interbase

3306

MySQL

5349

Amazon Redshift JDBC driver

5432, 5433

PostgreSQL

Om je IP te Whitelisten:

- 1. Log in RDP (remote desktop).

- 2. Ga naar Start.

- 3. Selecteer Administratieve tools.

- 4. Klik op Windows Firewall met geavanceerde beveiliging.

- 5. Klik op Inbound Rules aan de linkerkant.

- 6. Klik in het midden op MSSQL Server of MySQL.

- 7. Onder het gedeelte MSSQL Server klik je op Eigenschappen.

- 8. Klik op het tabblad Scope.

- 9. Onderaan, onder Extern IP-adres, klik je op Toevoegen en voegt je je IP-adres toe. 

- 10. Klik op OK.

 Instructies voor stappen 5 tot en met 10 worden hieronder geïllustreerd: 

http://support.hostgator.com/img/articles/ipwindows425px.jpeg


[1] Springboard.com

[2] Advies National Institute of Standards and Technology´s

[3] Realhosting.nl

[4] Whatcounts.com

[5] Techned.nl

[6] Gooddata.com

https://www.gov.uk/guidance/set-up-government-email-services-securely
http://www.dkim.org
https://dmarc.org
https://www.sparkpost.com/resources/email-explained/ssl-tls-starttls-encyption/
https://whatismyipaddress.com
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/what-is-applocker