Allowlisting (whitelisting) приложений
Что такое Allowlisting (whitelisting) приложений?
Allowlisting (whitelisting) приложенийЗащитный механизм, разрешающий запуск только явно одобренных исполняемых файлов, скриптов и библиотек на конечной точке, блокируя всё остальное по умолчанию.
Allowlisting приложений (ранее whitelisting) переворачивает «по умолчанию разрешено» антивируса: на узле могут выполняться только исполняемые файлы, DLL, скрипты и инсталляторы, соответствующие утверждённой политике — по хешу, подписи издателя или пути; всё остальное блокируется. Microsoft AppLocker и Windows Defender Application Control (WDAC), Linux fapolicyd, нотаризация macOS и продукты Airlock Digital, ThreatLocker реализуют этот шаблон. NIST SP 800-167 описывает архитектуру, а Essential Eight CISA/NSA/FBI признаёт allowlisting самой эффективной одиночной мерой против целевых атак. Метод очень действенен против fileless-атак и неподписанных шифровальщиков, но требует строгого change management — каждое новое средство нуждается в одобрении.
● Примеры
- 01
Windows-сервер с WDAC, разрешающий только подписанные Microsoft бинарники и узкий набор одобренных внутренних инструментов.
- 02
Airlock Digital блокирует неподписанный PowerShell-скрипт, скачивающий маяк Cobalt Strike.
● Частые вопросы
Что такое Allowlisting (whitelisting) приложений?
Защитный механизм, разрешающий запуск только явно одобренных исполняемых файлов, скриптов и библиотек на конечной точке, блокируя всё остальное по умолчанию. Относится к категории Защита и операции в кибербезопасности.
Что означает Allowlisting (whitelisting) приложений?
Защитный механизм, разрешающий запуск только явно одобренных исполняемых файлов, скриптов и библиотек на конечной точке, блокируя всё остальное по умолчанию.
Как работает Allowlisting (whitelisting) приложений?
Allowlisting приложений (ранее whitelisting) переворачивает «по умолчанию разрешено» антивируса: на узле могут выполняться только исполняемые файлы, DLL, скрипты и инсталляторы, соответствующие утверждённой политике — по хешу, подписи издателя или пути; всё остальное блокируется. Microsoft AppLocker и Windows Defender Application Control (WDAC), Linux fapolicyd, нотаризация macOS и продукты Airlock Digital, ThreatLocker реализуют этот шаблон. NIST SP 800-167 описывает архитектуру, а Essential Eight CISA/NSA/FBI признаёт allowlisting самой эффективной одиночной мерой против целевых атак. Метод очень действенен против fileless-атак и неподписанных шифровальщиков, но требует строгого change management — каждое новое средство нуждается в одобрении.
Как защититься от Allowlisting (whitelisting) приложений?
Защита от Allowlisting (whitelisting) приложений обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Allowlisting (whitelisting) приложений?
Распространённые альтернативные названия: Список разрешённых приложений, Whitelisting ПО.
● Связанные термины
- defense-ops№ 050
Антивирус (AV)
ПО для конечных точек, которое обнаруживает и удаляет вредоносные файлы с помощью баз сигнатур, сканирования файлов и базовой эвристики — историческая основа endpoint-безопасности.
- defense-ops№ 725
Антивирус нового поколения (NGAV)
Защита конечных точек, которая дополняет сигнатурное сканирование моделями машинного обучения, поведенческой аналитикой и предотвращением эксплойтов для остановки неизвестных и fileless-угроз.
- defense-ops№ 371
EDR (обнаружение и реагирование на конечных точках)
Технология защиты конечных точек, которая непрерывно фиксирует активность процессов, файлов, реестра и сети, чтобы обнаруживать, расследовать и устранять угрозы на хостах.
- malware№ 417
Бесфайловое вредоносное ПО
Малварь, выполняющаяся преимущественно в памяти и использующая доверенные системные инструменты, без размещения традиционных исполняемых файлов на диске.
- defense-ops№ 298
Обход защит (Defense Evasion)
Тактика MITRE ATT&CK (TA0005), охватывающая техники, которыми атакующий уклоняется от обнаружения, отключает средства защиты и скрывает свою активность.
- malware№ 900
Программа-вымогатель
Вредоносное ПО, которое шифрует данные жертвы или блокирует системы и требует выкуп за восстановление доступа.