Blocklist significa lista bloccata ed è una terminologia che sostituisce il termine blacklist (o lista nera) che, oltre a rimuovere connotazioni razziali e culturali, descrive meglio la funzionalità sottesa a una strategia di sicurezza che presuppone alcune modalità di controllo degli accessi relative ad applicazioni, siti Web, indirizzi IP e indirizzi e-mail. La sua antitesi e allowlist, che sostituisce il termine white list (o lista bianca).
Blocklist e allowlist: le differenze
Liste nere e liste bianche sono definizioni che sono state utilizzate per decenni nel descrivere due note metodologie di controllo degli accessi. Alla luce della crescente consapevolezza sulla diversità, sull’equità e sulla giustizia sociale, i media e l’industria tecnologica stanno valutando attivamente la terminologia comune per adottare un linguaggio più inclusivo ed esplicativo. Entrando nel merito:
- la blocklist è una strategia di sicurezza che impedisce che qualsiasi cosa nota come dannosa venga eseguita sugli endpoint o sui server di una rete, impedendo a questi dispositivi di accedere a un servizio o un’applicazione. L’accesso è consentito alle entità non presenti nella blocklist.
- la allowlist è un controllo di sicurezza che consente l’esecuzione solo di applicazioni e processi pre-approvati, permettendo a queste applicazioni di accedere solo a file pre-identificati. Le liste consentite gestiscono anche quali utenti e dispositivi sono autorizzati ad accedere a un determinato servizio o applicazione. Le entità non presenti nell’elenco non ottengono l’accesso.
In estrema sintesi, inserendo alcune applicazioni nella lista consentita e altre nella lista bloccata le aziende ottengono dei vantaggi ma devono anche risolvere alcune criticità. Gli esperti aiutano a fare chiarezza.
Allowlist: esempi di liste consentite
Filtri antispam per e-mail.
Questi filtri hanno lo scopo di impedire che la maggior parte dei messaggi e-mail non richiesti, o spam, vengano visualizzati nelle caselle di posta degli abbonati. Tuttavia, lo spam abilmente creato a volte riesce a sfuggire, mentre anche le e-mail importanti e pertinenti possono essere bloccate. La maggior parte degli utenti di posta elettronica tollera la pubblicità occasionale via e-mail non richiesta, ma è più preoccupata quando non vengono ricevuti messaggi importanti. L’opzione allow list o consent list all’interno del servizio di filtraggio dello spam mette il potere dei permessi espliciti nelle mani dell’utente della casella di posta.
Elenchi di controllo degli accessi
Gli ACL (Access Control List) applicati all’interfaccia di un router di rete possono essere configurati per consentire l’accesso a singoli indirizzi IP o a blocchi. Gli ACL vengono elaborati dall’alto verso il basso con un rifiuto implicito alla fine dell’elenco. Ciò significa che gli indirizzi IP di destinazione vengono abbinati all’elenco di accesso e se l’indirizzo IP non è contenuto nell’elenco, il pacchetto viene scartato.
Blocklist: esempi di liste bloccate
Come già accennato, la lista di elementi indesiderati o sospetti bloccati è un elenco di indirizzi IP, nomi di dominio, URL, indirizzi e-mail o altri identificatori univoci che sono considerati pericolosi o non affidabili. Questi elementi vengono inseriti nella blocklist per impedire loro di accedere a una determinata risorsa o per limitarne l’interazione con i sistemi informatici. Più nel dettaglio:
- Blocklist degli indirizzi IP
Gli indirizzi IP possono essere inseriti in una blocklist per impedire l’accesso a determinati servizi o risorse. Ad esempio, se un determinato indirizzo IP è noto per essere utilizzato da un attaccante o da un server malevolo, può essere inserito nella blocklist per bloccare qualsiasi tentativo di connessione da parte di quel dispositivo.
2. Blocklist dei nomi di dominio
I nomi di dominio possono essere inseriti in una blocklist quando sono associati a siti web o risorse dannose. Ad esempio, se un nome di dominio viene identificato come facente parte di una campagna di phishing o di distribuzione di malware, può essere inserito nella blocklist per impedire agli utenti di accedere a quel sito.
3. Blocklist degli indirizzi e-mail
Gli indirizzi e-mail possono essere inseriti in una blocklist per filtrare lo spam o per prevenire tentativi di phishing. A seconda dei casi e del tipo di lista, l’e-mail inviata potrà essere bloccata oppure dirottata verso la cartella di spam. Mentre nel secondo caso il mittente non riceverà nessun tipo di comunicazione, nel primo gli verrà inviato un messaggio di errore, il quale renderà subito evidente l’inserimento in una lista bloccata.
4. Blocklist delle applicazioni o dei processi
Questo tipo di blocklist viene utilizzato per impedire l’esecuzione di determinate applicazioni o processi considerati pericolosi o non autorizzati. Ad esempio, una blocklist può essere utilizzata per bloccare l’esecuzione di software dannosi o per limitare l’accesso a determinate funzionalità del sistema operativo.
Blocklist delle applicazioni: sfide e vantaggi
La blocklist delle applicazioni è da anni un punto fermo dell’arsenale della sicurezza informatica in quanto strumento utile per proteggersi dalle minacce conosciute. Questo approccio relativamente semplice viene utilizzato nei sistemi antimalware, di prevenzione e rilevamento delle intrusioni e nei sistemi di filtraggio di posta elettronica e spam.
Una delle principali sfide legate alla blocklist è che l’elenco delle minacce da bloccare è in costante crescita ed evoluzione, per cui le blacklist per essere funzionali, devono essere costantemente aggiornate e mantenute. L’AV-TEST Institute registra ogni giorno più di 450.000 nuovi programmi dannosi e applicazioni potenzialmente indesiderate. Poiché è difficile tenere il passo con questo elenco sempre crescente di minacce, una blocklist non è mai completa o infallibile. Inoltre, una blocklist non può tenere conto delle minacce sconosciute, lasciando l’organizzazione vulnerabile agli attacchi zero-day.
Liste consentite: le sfide e i vantaggi
L’inserimento nella lista consentita delle applicazioni è più restrittivo di una blocklist. Un’applicazione può essere utilizzata solo se è esplicitamente indicizzata in una lista consentita, consentendo agli amministratori di ridurre al minimo la superficie di attacco. Tuttavia, la creazione e il mantenimento di una lista consentita ottimale può risultare impegnativo per IT manager e security manager.
Mentre una lista di autorizzazione eccessivamente permissiva o semplicistica con una supervisione insufficiente espande la superficie di attacco e introduce rischi eccessivi, una lista consentita eccessivamente rigida o errata potrebbe impedire agli utenti di accedere alle applicazioni legittime di cui hanno bisogno per svolgere il proprio lavoro, danneggiando la produttività. L’inserimento nella lista consentita delle applicazioni ha un’applicabilità diretta nel caso di sistemi unici o per dispositivi con scopi mirati come, ad esempio, gli sportelli bancomat o i contatori intelligenti.
In questo caso, l’inserimento nella lista consentita consente l’esecuzione solo delle app e dei processi rilevanti per la funzione di quell’end point. Come sottolineano gli esperti, l’inserimento delle applicazioni nella lista consentita presenta vantaggi operativi che vanno oltre la protezione dalle minacce, tra cui:
- Inventario delle applicazioni. Identificazione delle applicazioni non autorizzate e delle versioni errate delle applicazioni approvate.
- Integrità dei file. Monitoraggio periodico delle modifiche ai file dell’applicazione su disco.
- Rilevamento malware. Durante la risposta agli incidenti, scansione degli attributi di file dannosi, come gli hash, nell’intera azienda.
L’inserimento nella lista bianca delle applicazioni viene spesso implementato seguendo la pubblicazione speciale NIST 800-167, “Guida alla lista bianca delle applicazioni“. La guida elenca cinque attributi principali utilizzati per inserire le applicazioni nella lista consentita. Per massimizzare i vantaggi dell’inserimento nella lista consentita, il NIST consiglia di utilizzare due o più di questi attributi insieme tra loro:
- Percorso del file
Questo è l’attributo più generale che consente l’accesso a qualsiasi applicazione all’interno di un particolare percorso (directory/cartella). Con questo attributo verrebbero consentiti anche tutti i file dannosi presenti in un percorso di file incluso nella lista consentita. Utilizzata da sola, questa non è una forma sicura di inserimento nella lista consentita.
- Nome del file
Qualsiasi applicazione, con una particolare convenzione di denominazione, è inclusa nella lista consentita. Qualsiasi eseguibile potrebbe essere infetto o il contenuto del file sostituito con malware con lo stesso nome, rendendo questo attributo di per sé insufficiente.
- Dimensione del file
La dimensione del file di un’applicazione può essere un attributo della lista consentita. Sebbene un utente malintenzionato possa sostituire un programma legittimo con un programma dannoso delle stesse dimensioni, farlo comporterebbe uno sforzo significativo. La dimensione del file viene generalmente utilizzata in combinazione con altri attributi.
- Firma digitale
Una firma digitale fornisce un valore univoco per un file di applicazione firmato dall’editore e che può essere verificato dal destinatario. Questa verifica garantisce che non siano state apportate modifiche durante il trasporto. Le liste consentite devono essere aggiornate quando viene modificato l’editore o la chiave.
- Hash crittografico
Un hash crittografico abilita il valore più univoco e non duplicabile derivato dal contenuto di un file dell’applicazione. Quando un file cambia, ad esempio quando viene applicata una patch, l’hash dovrebbe essere ricalcolato con gli eventuali hash più vecchi rimossi dalla lista consentita.
Blocklist e allowlist: qual è la soluzione migliore?
Come per la maggior parte dei problemi legati alla sicurezza informatica, la risposta di quale sia l’opzione migliore dipende dalle esigenze specifiche e dai casi d’uso di un’azienda.
La maggior parte degli esperti ritiene che una combinazione di block list (per bloccare applicazioni e file dannosi noti) e consent list (per consentire selettivamente applicazioni, processi e file) sia il modo più pragmatico per affrontare il panorama in continua evoluzione degli attacchi alla sicurezza.
