Application Allowlisting

Was ist Application Allowlisting?

Als Application Allowlisting bezeichnet man die Festlegung eines Indexes von zugelassenen Softwareanwendungen oder ausführbaren Dateien, die auf einem Computersystem vorhanden und aktiv sein dürfen. Das Ziel der Allowlist (Whitelist) ist es, Computer und Netzwerke vor potenziell schädlichen Anwendungen zu schützen.

Im Allgemeinen ist eine Allowlist ein Index von zugelassenen Entitäten. Im Bereich der Informationssicherheit funktioniert die Positivliste am besten in zentral verwalteten Umgebungen, in denen die Systeme einer gleichmäßigen Arbeitsbelastung ausgesetzt sind. Das National Institute of Standards and Technology (NIST) empfiehlt die Verwendung einer Allowlist für Anwendungen in Umgebungen mit hohem Risiko, in denen es von entscheidender Bedeutung ist, dass die einzelnen Systeme sicher sind, und es weniger wichtig ist, dass die Software uneingeschränkt nutzbar ist. Um mehr Flexibilität zu bieten, kann eine Positivliste auch zugelassene Anwendungskomponenten wie Softwarebibliotheken, Plugins, Erweiterungen und Konfigurationsdateien indizieren.

Allowlisting vs. Blocklisting von Anwendungen

Im Gegensatz zu Verfahren, die das Blocklisting von Anwendungen verwenden, das die Ausführung unerwünschter Programme verhindert, ist das Allowlisting restriktiver und erlaubt nur die Ausführung von Programmen, die ausdrücklich zugelassen wurden. Unter den Sicherheitsexperten herrscht keine Einigkeit darüber, welche Technik - Blocklisting oder Allowlisting - besser ist. Befürworter des Blocklisting argumentieren, dass das Allowlisting von Anwendungen zu komplex und schwierig zu verwalten ist. Die Zusammenstellung der ersten Positivliste erfordert beispielsweise detaillierte Informationen über die Aufgaben aller Benutzer und alle Anwendungen, die sie zur Ausführung dieser Aufgaben benötigen. Auch die Pflege der Liste ist aufgrund der zunehmenden Komplexität und Verflechtung von Geschäftsprozessen und Anwendungen anspruchsvoll.

Befürworter der Allowlist argumentieren, dass es sich lohnt, Zeit und Mühe aufzuwenden, um Systeme proaktiv zu schützen und zu verhindern, dass bösartige oder ungeeignete Programme in das Netzwerk gelangen. Die Verwendung einer Positivliste, die nur Anwendungen zulässt, die ausdrücklich genehmigt wurden, bietet mehr Schutz vor bösartiger Software als der lockerere Standard von Anwendungs-Blocklists, die jede Software zulassen, sofern sie nicht als bösartig erkannt und zur Negativliste hinzugefügt wurde.

So funktioniert das Anwendungs-Allowlisting

Die Implementierung einer Allowlist für Anwendungen beginnt mit der Erstellung einer Liste der zugelassenen Anwendungen. Die Allowlist kann in das Host-Betriebssystem (OS) integriert sein oder über eine Drittanbieterlösung bereitgestellt werden. Bei der einfachsten Form der Allowlist kann der Systemadministrator Dateiattribute für Anwendungen auf der Positivliste festlegen, zum Beispiel Dateiname, Dateipfad und Dateigröße.

Mit Windows AppLocker, das Microsoft mit Windows 7 und Windows Server 2008 R2 eingeführt hat, können Systemadministratoren festlegen, welche Benutzer oder Benutzergruppen bestimmte Anwendungen ausführen dürfen - oder nicht. Neben der Einschränkung des Zugriffs auf bestimmte Anwendungen kann AppLocker auch dazu verwendet werden, Benutzern die Installation neuer Software zu untersagen, zu definieren, welche Versionen einer Software ausgeführt werden dürfen, und die Ausführung lizenzierter Software zu kontrollieren.

Risiken bei der Verwendung von Anwendungs-Allowlisting

Angreifer können Anwendungen, die auf der Positivliste stehen, relativ einfach durch bösartige Anwendungen ersetzen, indem sie eine Version ihrer Malware erstellen, die die gleiche Größe und den gleichen Dateinamen wie eine zugelassene Anwendung hat, und dann die Positivliste durch die bösartige Anwendung ersetzen. Aus diesem Grund ist es viel effektiver, wenn die Software für das Allowlisting von Anwendungen kryptografische Hashing-Verfahren in Verbindung mit digitalen Signaturen verwendet, die mit den Softwareentwicklern verknüpft sind.

Anwendungskontrolle vs. Anwendungs-Allowlisting

Obwohl die Begriffe oft synonym verwendet werden, sind Anwendungskontrolle und Anwendungs-Allowlisting zwei verschiedene Dinge. Beide Technologien sind darauf ausgelegt, die Ausführung nicht autorisierter Anwendungen zu verhindern. Die Anwendungskontrolle ist jedoch nicht so strikt wie ein echtes Allowlisting von Anwendungen.

Das Allowlisting von Anwendungen dient dazu, ein Betriebssystem in Echtzeit zu überwachen und die Ausführung von nicht zugelassenen Dateien zu verhindern. Dies geht über das einfache Verhindern der Ausführung unerwünschter Anwendungen hinaus. Anwendungs-Allowlisting kann auch die Verwendung von PowerShell-Skripten und anderen Arten von Skripten einschränken, um Ransomware-Angriffe zu verhindern.

Obwohl die Anwendungskontrolle als eine Art Positivliste von Anwendungen angesehen werden kann, ist sie in erster Linie als Werkzeug zur Verhinderung der Installation nicht zugelassener Anwendungen gedacht. Wenn jemand versucht, eine neue Anwendung zu installieren, wird das Installationspaket mit einer Liste der zugelassenen Anwendungen verglichen. Wenn die Anwendung für zulässig befunden wird, kann der Installationsvorgang fortgesetzt werden.

Es stimmt zwar, dass die Anwendungskontrolle ein wirksames Mittel sein kann, um die Installation nicht zugelassener Anwendungen zu verhindern, doch weist diese Technologie zwei erhebliche Mängel auf. Erstens funktioniert die Anwendungskontrolle auf der Ebene des Installationspakets, nicht auf der Dateiebene. Das bedeutet, dass sie niemanden daran hindert, eine eigenständige ausführbare Datei oder eine bereits auf dem System installierte Anwendung auszuführen. Das bedeutet, dass die Anwendungskontrolle zwar ein nützliches Werkzeug für die Anwendungsverwaltung sein kann, aber nicht besonders effektiv ist, um Ransomware-Angriffe zu verhindern.

Vorteile des Application Allowlistings

Es gibt eine Reihe von Vorteilen, die mit dem Einsatz von Application Allowlisting verbunden sind. Es ist jedoch anzumerken, dass einige Allowlisting-Tools einen größeren Funktionsumfang haben als andere und dass nicht jedes Tool alle in diesem Abschnitt beschriebenen Vorteile bietet. AppLocker von Microsoft, das Teil des Windows-Betriebssystems ist, bietet beispielsweise grundlegende Allowlisting-Funktionen, verfügt aber nicht über die umfangreichen Berichts- und Warnfunktionen, die bei Lösungen von Drittanbietern üblich sind.

Der größte Vorteil des Anwendungs-Allowlistings ist, dass es Schutz vor Ransomware-Angriffen und anderen Arten von Malware-Angriffen bietet. Herkömmliche Antiviren-Software ist in der Regel signaturbasiert. Mit anderen Worten: Wenn ein Benutzer versucht, eine ausführbare Datei zu starten, vergleicht die Antiviren-Software den Hash der Datei mit einer Datenbank, in der bekanntermaßen bösartiger Code gespeichert ist. Wenn keine Übereinstimmung gefunden wird, darf die Datei ausgeführt werden.

In gewisser Weise ähnelt der Einsatz von Antiviren-Software dem Blocklisting von Anwendungen. Die Antiviren-Software verbietet ausdrücklich die Ausführung von Software, die als bösartig bekannt ist. Das Problem bei diesem Ansatz ist jedoch, dass jeden Tag neue Malware entwickelt wird und es für jede Antiviren-Software unmöglich ist, eine umfassende Datenbank mit bösartigem Code zu führen.

Im Gegensatz dazu ist das Anwendungs-Allowlisting wesentlich restriktiver. Es lässt keinen ausführbaren Code zu, der nicht ausdrücklich von einem Administrator genehmigt wurde. Dadurch wird die Wahrscheinlichkeit eines Ransomware-Angriffs oder einer anderen Malware-Infektion erheblich verringert.

Je nach den Berichterstattungsfunktionen eines Allowlisting-Tools kann ein solches Tool dem Unternehmen dabei helfen, festzustellen, welche Benutzer ein riskantes Verhalten an den Tag legen. Einige Application-Allowlisting-Tools können Berichte erstellen, in denen aufgeführt ist, welche Benutzer versucht haben, nicht zugelassene Anwendungen zu installieren oder auszuführen, und welche Malware entdeckt wurde.

Ein weiterer Vorteil des Anwendungs-Allowlistings besteht darin, dass es die Einhaltung von Softwarelizenzen vereinfachen kann. Fairerweise muss gesagt werden, dass die meisten Allowlisting-Tools nicht für die Lizenzüberwachung ausgelegt sind. Gleichzeitig wird jedoch durch die Einschränkung der Nutzung nicht zugelassener Anwendungen verhindert, dass ein Prüfer das Unternehmen wegen eines Lizenzverstoßes anzeigt, weil jemand eine nicht lizenzierte Anwendung verwendet, von der die IT-Abteilung nicht einmal wusste.

Ein weiterer potenzieller Vorteil des Anwendungs-Allowlistings ist die Senkung der Helpdesk-Kosten. Mit der Positivliste können die IT-Mitarbeiter eines Unternehmens nicht nur einschränken, welche Anwendungen die Benutzer verwenden dürfen, sondern auch kontrollieren, welche Versionen einer genehmigten Anwendung ausgeführt werden können. Diese Einschränkungen haben das Potenzial, die Helpdesk-Kosten zu senken, da sie die Möglichkeit ausschließen, dass Benutzer eine Software installieren, die eine andere Anwendung auf dem System beeinträchtigt. Außerdem kann das IT-Personal so sicherstellen, dass die Benutzer Anwendungsversionen verwenden, die als stabil und zuverlässig bekannt sind.

Anwendungsfälle für Application Allowlists

Da die Konfiguration und Pflege von Positivlisten für Anwendungen mühsam sein kann, wird diese Technologie vor allem in Unternehmen eingesetzt, die ein Höchstmaß an Sicherheit und eine extrem strenge Kontrolle über die Anwendungsnutzung verlangen. Ein Unternehmen könnte beispielsweise vertragliche oder Compliance-Vorgaben haben, die die Verwendung bestimmter Anwendungen vorschreiben.

Obwohl es etwas ungewöhnlich erscheinen mag, wird das Application Allowlisting auch von kleinen Unternehmen erfolgreich eingesetzt. Kleine und mittlere Unternehmen (KMUs) verlassen sich in der Regel auf eine kleine und relativ statische Sammlung von Anwendungen, was die Implementierung und Wartung von Allowlisting relativ einfach macht.

Implementation von Positivlisten für Anwendungen

Der Einführungsprozess für das Allowlisting von Anwendungen variiert erheblich, je nachdem, welches Tool verwendet wird. Unabhängig davon gibt es einige bewährte Verfahren, die während des Implementierungsprozesses befolgt werden sollten.

Bevor ein Unternehmen mit der Implementierung der Software für das Anwendungs-Allowlisting beginnt, muss zunächst ein umfassendes Inventar der Anwendungen erstellt werden, die im Unternehmen verwendet werden. Alle diese Anwendungen müssen in die Allowlisting-Richtlinie des Unternehmens aufgenommen werden. Die Allowlisting-Software dient dazu, die Sicherheit der Endgeräte durchzusetzen, so dass jede Software, die nicht ausdrücklich in der vom Unternehmen erstellten Richtlinie aufgeführt ist, nicht ausgeführt werden darf. Aus diesem Grund ist es wichtig, ein umfassendes Inventar der Anwendungen zu erstellen, die das Unternehmen verwendet. Wenn eine Anwendung nicht identifiziert und in die Positivliste-Richtlinie aufgenommen wird, ist sie für die Benutzer nicht verfügbar.

Eine weitere bewährte Methode ist die sorgfältige Definition von Anwendungen auf der Positivliste. Einige Unternehmen entscheiden sich dafür, bestimmte Ordner oder Dateinamen auf die Allowlist zu setzen. Dieser Ansatz kann das Unternehmen jedoch anfällig für Ransomware-Angriffe und andere Bedrohungen machen.

Das Problem bei der Identifizierung von Anwendungen anhand ihrer Dateien oder der von ihnen verwendeten Ordner besteht darin, dass Malware-Autoren leicht bösartigen Code erstellen können, der dieselben Dateinamen oder Ordner wie legitime Anwendungen verwendet und so die Allowlisting-Software für Anwendungen täuschen kann.

Die beste Möglichkeit, eine gute Endpunktsicherheit zu gewährleisten, ist die Identifizierung von Anwendungen anhand der Signatur des Herausgebers oder eines kryptografischen Datei-Hashes. Die meisten Allowlisting-Tools für Anwendungen ermöglichen es, die Positiv-Richtlinie auf diese beiden Identifikatoren zu stützen.

Eine etwas weniger effektive, aber immer noch praktikable Technik besteht darin, Anwendungen anhand der von ihnen erstellten Registrierungsschlüssel zu identifizieren. Das Hauptproblem beim Aufbau einer Allowlisting-Richtlinie auf der Grundlage einer Reihe von Registrierungsschlüsseln besteht darin, dass nicht jeder ausführbare Code die Registrierung nutzt. Die meisten PowerShell-Skripte zum Beispiel erstellen keine Registrierungseinträge.

Ebenso kann die Erstellung einer Allowlisting-Richtlinie, die hauptsächlich auf Registrierungsschlüsseln basiert, ein Unternehmen verschiedenen Bedrohungen für die Endgerätesicherheit aussetzen, da es für einen Malware-Autor einfach ist, die Registrierungsschlüssel einer legitimen Anwendung zu fälschen.

Verwaltung von Anwendungs-Positivlisten

Wenn eine Organisation plant, Allowlists für Anwendungen zu verwenden, muss sie sich überlegen, wie sie die Positvlisten langfristig verwalten will. Jedes Mal, wenn die Organisation eine neue Anwendung einführt, muss diese Anwendung zur Richtlinie hinzugefügt werden, bevor sie verwendet werden kann. Ebenso kann ein Unternehmen in der Regel ein Upgrade einer bestehenden Anwendung auf eine neue Version erst dann durchführen, wenn es die neue Version zur Positivliste hinzufügt.

Die größere Herausforderung beim Allowlisting von Anwendungen besteht darin, die Verwaltung der Positivliste und die Patch-Verwaltung miteinander zu verknüpfen. Wenn ein Unternehmen keinen Plan für den Umgang mit dem Patch-Management-Prozess hat, führen Anwendungs-Patches dazu, dass die Allowlisting-Software die gepatchte Anwendung nicht mehr als legitim erkennt.

Die meisten Unternehmen verwenden Tools für die Patch-Verwaltung. Diese Tools geben den Administratoren die Möglichkeit, Patches zu genehmigen, anstatt einfach zuzulassen, dass die Endgeräte Patches automatisch herunterladen. Wenn Administratoren einen Patch für die Bereitstellung genehmigen, können sie den Patch auch zur Allowlist-Richtlinie hinzufügen.

Eine weitere mögliche Lösung besteht darin, die Allowlisting-Richtlinie für Anwendungen auf der Grundlage digitaler Signaturen des Herstellers zu erstellen. Wenn ein Hersteller einen Patch herausgibt, wird dieser automatisch für die Verwendung zugelassen, da er dieselbe digitale Signatur enthält wie die Anwendung, die er aktualisiert.

Eine weitere mögliche Lösung ist die Suche nach einem Anbieter, der in ihrem Auftrag über die Veröffentlichung von Patches auf dem Laufenden hält und die Allowlist automatisch aktualisiert, um neu veröffentlichte Patches zu berücksichtigen. Natürlich ist dieser Ansatz weniger erstrebenswert, da der Anbieter möglicherweise einen Patch in die Positivliste aufnimmt, den das Unternehmen nicht einsetzen möchte.