Allowlisting de Aplicacoes (Whitelisting)
O que é Allowlisting de Aplicacoes (Whitelisting)?
Allowlisting de Aplicacoes (Whitelisting)Controlo defensivo que so permite executar executaveis, scripts e bibliotecas explicitamente aprovados num endpoint, bloqueando tudo o resto por defeito.
O allowlisting de aplicacoes (antes whitelisting) inverte o modelo default-allow dos antivirus: so executaveis, DLLs, scripts e instaladores que coincidem com uma politica aprovada — por hash, assinatura do publisher ou caminho — podem correr; tudo o resto e bloqueado. Microsoft AppLocker e Windows Defender Application Control (WDAC), fapolicyd no Linux, notarizacao do macOS e produtos como Airlock Digital ou ThreatLocker implementam o padrao. O NIST SP 800-167 documenta a arquitetura e os Essential Eight da CISA/NSA/FBI classificam-no como a mitigacao mais eficaz contra intrusoes direcionadas. Muito eficaz contra ataques fileless e ransomware nao assinado, exige change management rigoroso, ja que cada nova ferramenta requer aprovacao.
● Exemplos
- 01
Servidor Windows com WDAC a permitir apenas binarios assinados pela Microsoft e um pequeno conjunto de ferramentas internas aprovadas.
- 02
Airlock Digital a bloquear um script PowerShell nao assinado que descarregaria um beacon Cobalt Strike.
● Perguntas frequentes
O que é Allowlisting de Aplicacoes (Whitelisting)?
Controlo defensivo que so permite executar executaveis, scripts e bibliotecas explicitamente aprovados num endpoint, bloqueando tudo o resto por defeito. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Allowlisting de Aplicacoes (Whitelisting)?
Controlo defensivo que so permite executar executaveis, scripts e bibliotecas explicitamente aprovados num endpoint, bloqueando tudo o resto por defeito.
Como funciona Allowlisting de Aplicacoes (Whitelisting)?
O allowlisting de aplicacoes (antes whitelisting) inverte o modelo default-allow dos antivirus: so executaveis, DLLs, scripts e instaladores que coincidem com uma politica aprovada — por hash, assinatura do publisher ou caminho — podem correr; tudo o resto e bloqueado. Microsoft AppLocker e Windows Defender Application Control (WDAC), fapolicyd no Linux, notarizacao do macOS e produtos como Airlock Digital ou ThreatLocker implementam o padrao. O NIST SP 800-167 documenta a arquitetura e os Essential Eight da CISA/NSA/FBI classificam-no como a mitigacao mais eficaz contra intrusoes direcionadas. Muito eficaz contra ataques fileless e ransomware nao assinado, exige change management rigoroso, ja que cada nova ferramenta requer aprovacao.
Como se defender contra Allowlisting de Aplicacoes (Whitelisting)?
As defesas contra Allowlisting de Aplicacoes (Whitelisting) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Allowlisting de Aplicacoes (Whitelisting)?
Nomes alternativos comuns: Lista de permitidos, Whitelisting de software.
● Termos relacionados
- defense-ops№ 050
Antivirus (AV)
Software de endpoint que deteta e remove ficheiros maliciosos atraves de bases de assinaturas, varrimento de ficheiros e heuristicas basicas; e a base historica da seguranca de endpoint.
- defense-ops№ 725
Antivirus de Proxima Geracao (NGAV)
Protecao de endpoint que complementa a deteccao por assinaturas com modelos de ML, analitica comportamental e prevencao de exploits para parar ameacas desconhecidas e fileless.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Tecnologia de segurança de endpoint que regista continuamente atividade de processos, ficheiros, registo e rede para detetar, investigar e responder a ameaças nos hosts.
- malware№ 417
Malware sem ficheiro
Malware que corre essencialmente em memória e tira partido de ferramentas legítimas do sistema, evitando executáveis tradicionais em disco.
- defense-ops№ 298
Evasão de Defesas
Tática MITRE ATT&CK (TA0005) que reúne técnicas usadas para evitar deteção, desativar ferramentas de segurança e ocultar a atividade do atacante no sistema alvo.
- malware№ 900
Ransomware
Malware que cifra os dados da vítima ou bloqueia sistemas e exige pagamento para restaurar o acesso.