Behavior whitelisting

Behavior whitelisting is een beveiligingsmethode waarbij toelaatbare acties binnen een bepaald systeem worden gespecificeerd en alle andere worden geblokkeerd. De methode kan worden uitgevoerd door middel van beveiligingssoftware of het toevoegen van whitelisted uitzonderingen aan een behavior blacklist.

Behavior whitelisting wordt gebruikt om websites, diensten en forums te beveiligen tegen bots en hackers, computers tegen malware en hacking pogingen en e-mail tegen spam en phishing pogingen. Whitelisting wordt ook gebruikt in de inbreukdetectiesystemen (BDS) die netwerken beschermen.

De twee traditionele manieren om spam te blokkeren zijn filteren op basis van inhoud en blacklisting op basis van IP. Deze methoden worden steeds minder effectief omdat spammers manieren vinden om ze te omzeilen. Het blokkeren van alle gedrag dat niet op een whitelist staat, kan zeer effectieve beveiliging bieden. Het vereist echter kennis van welke taken en communicatie een systeem moet uitvoeren en moet worden aangepast wanneer deze eisen veranderen.

Het whitelisten van gedrag kan ook zeer effectief zijn bij het voorkomen van spam. De methode werkt goed wanneer de soorten verzonden en ontvangen e-mail niet zo gevarieerd en onvoorspelbaar zijn dat ze buiten een whitelist vallen, waardoor valse positieven ontstaan. Formele e-mailprocedures kunnen het whitelisting-gedrag vergemakkelijken. Whitelisting bespaart vaak CPU en geheugen omdat de lijst van toegestane gedragingen bijna altijd kleiner is dan bij een blacklist en dus minder werk kost om te scannen.

Als whitelisting niet goed is geïmplementeerd, kunnen whitelists kwetsbaarheden creëren. Whitelisting is het meest effectief wanneer het aantal vereiste toegestane functies gering is en de veiligheidseisen en toegankelijkheid hoog zijn. Een blacklist die in deze situatie wordt gebruikt vereist meer insteltijd en onderhoudswerk om het grote volume van meer gevarieerde gedragingen te blokkeren. Zwarte lijsten vereisen ook een uitgebreidere en meer actuele kennis van bedreigingen. Beide methoden moeten nauwgezet worden toegepast om adequate beveiliging te bieden.