Белый список (Whitelist)

Введение

Белый список (Whitelist) – фундаментальная концепция информационной безопасности, описывающая подход «разрешено только явно перечисленное, всё остальное – запрещено» (deny-all / default deny). В отличие от чёрного списка (blacklist/blocklist), который перечисляет запрещённые объекты, белый список работает по противоположной логике: доступ получают только прошедшие явную авторизацию субъекты.

Термин применяется в широком контексте: сетевые ACL, email-фильтры, контроль приложений, API-безопасность, управление пользователями. В 2020 году NIST и ряд организаций перешли на нейтральные термины «allowlist» (вместо whitelist) и «blocklist» (вместо blacklist) для устранения расовых коннотаций.

История и контекст

Концепция whitelist существовала в сетевой безопасности с самого начала: межсетевые экраны первого поколения (пакетные фильтры, 1988–1990) реализовывали ACL (Access Control Lists) – по сути, белые списки разрешённых IP-адресов и портов.

В контексте антивирусной защиты whitelist-подход (Application Whitelisting) получил широкое распространение в 2000-х как реакция на ограниченность сигнатурных антивирусов против новых угроз. АНБ США в 2010 году объявило Application Whitelisting «наиболее эффективным методом» предотвращения APT-атак. NIST SP 800-167 (2015) посвящён руководству по Application Whitelisting.

Как это работает

Реализация whitelist-подхода в различных контекстах:

• Сетевой firewall: ACL разрешает трафик только с указанных IP-адресов/подсетей, блокируя всё остальное. Типичное правило: permit tcp 192.168.1.0/24 any eq 443.
• Email whitelist: письма от перечисленных доменов/адресов не проходят спам-фильтрацию – гарантированно доставляются в inbox.
• Application Whitelisting (контроль приложений): только приложения из утверждённого списка (по хешу, цифровой подписи, пути) могут запускаться. Все прочие исполняемые файлы блокируются.
• API Security: только запросы с IP-адресов из whitelist могут обращаться к API endpoint. Используется для защиты webhook-получателей и внутренних API.
• Web фильтрация: только сайты из разрешённого списка доступны пользователям – применяется в образовательных учреждениях и режимных организациях.

Где применяется

• Корпоративная ИТ-безопасность: контроль запускаемых приложений на рабочих станциях (CIS Critical Security Control #4).
• Платёжные системы: белые списки IP-адресов в PCI DSS-средах.
• Email-системы: anti-spam whitelist для доверенных партнёров.
• OT/ICS-среды: промышленные системы управления – только строго определённые процессы вправе выполняться.
• Мобильные устройства (MDM): разрешён запуск только корпоративно одобренных приложений.

Преимущества и ограничения

Преимущества: наиболее эффективная защита от неизвестных угроз (zero-day), malware и несанкционированного ПО. Снижает поверхность атаки до минимума. Идеален для систем с предсказуемым набором операций (АСУ ТП, банкоматы, POS).

Ограничения: значительные операционные затраты на поддержание актуального списка. Ложные срабатывания – легитимное ПО, не попавшее в список, блокируется. Сложно масштабировать в динамичных средах с частым обновлением ПО. Не защищает от атак через легитимные приложения (living-off-the-land).

Связь с другими понятиями

Whitelist противопоставляется blacklist (blocklist) – в современных системах используется комбинация обоих подходов. Application Whitelisting является компонентом EDR/EPP-решений и реализован в Windows AppLocker и Windows Defender Application Control (WDAC). В контексте Zero Trust концепция whitelist является основополагающей: «никому не доверяй по умолчанию, явно проверяй каждый запрос». В email-экосистеме whitelist дополняется SPF, DKIM и DMARC для верификации отправителей.