IT OT Convergentie

Application Whitelisting

2 minuten leestijd

Wat is Application Whitelisting?

Application Whitelisting (AWL) is een beveiligingsmaatregel waarbij alleen expliciet toegestane software of processen mogen worden uitgevoerd op een systeem. Alles wat niet op de whitelist staat, wordt automatisch geblokkeerd.

In OT is AWL een krachtige verdediging tegen Malware, Ransomware en ongeautoriseerde scripts op systemen zoals SCADA, HMI of Engineering Station.

🧠 Waarom is AWL belangrijk in OT?

Risico zonder whitelistingGevolg
Malware via USB of updatesSchadelijke code wordt uitgevoerd zonder detectie
Ongeautoriseerde tools of scriptsShadow IT of exploits actief op productiesystemen
Nieuwe, onbekende aanvallen (zero-day)Geen AV-handtekening = geen blokkering
Misbruik van legitieme tools (LOLbins)PowerShell of WMI wordt gebruikt voor laterale beweging

Veel APT’s en OT-malware (zoals TRITON, Industroyer) maken gebruik van legitieme tools. AWL voorkomt dat deze uitgevoerd worden.

🧩 Hoe werkt Application Whitelisting?

StapBeschrijving
InventarisatieWelke applicaties zijn legitiem in de OT-omgeving?
Whitelist makenAlleen toegestane bestanden/hashes/signatures in policy opnemen
Policy handhavenAlleen whitelisted software draait, andere executables worden geblokkeerd
Logging en alertsPogingen tot uitvoering van niet-goedgekeurde software worden gelogd

🔧 Implementatiemethoden

MethodeToelichting
Hash-gebaseerdAlleen specifieke versies/bestanden toegestaan (hoge controle)
Path-gebaseerdAlleen uitvoer vanaf goedgekeurde locaties (sneller, minder veilig)
Publisher-gebaseerdAlleen ondertekende software van vertrouwde uitgevers
Combinaties mogelijkVoor balans tussen veiligheid en beheerbaarheid

🛠️ Toepassing in OT-systemen

SysteemVoorbeeld van whitelisting
SCADA-serverAlleen officiële vendorsoftware, loggingtools, drivers
Engineering StationAlleen vendor-specifieke ontwikkelomgevingen, geen browsers
HMI-paneelAlleen runtime en loggereedschappen, geen Office, scripts
HistorianAlleen goedgekeurde database services, geen onbekende connectors

✅ Best practices

  • Combineer AWL met Patchmanagement en Antivirus
  • Pas default-deny toe: blokkeer alles behalve wat is toegestaan
  • Begin met audit mode voor initiële logging en afstemming
  • Gebruik SIEM om afwijkingen te detecteren en loggen
  • Combineer met USB Control om insluizen van niet-goedgekeurde software te voorkomen
  • Herzie whitelist bij systeemupdates of MOC-processen

⚠️ Aandachtspunten

UitdagingAanpak
Veel varianten van softwareGebruik publisher- of hash-combinaties voor flexibiliteit
Legacy-systemenAWL toepassen met uitzondering voor essentiële .exe’s
Updates blokkeren zichzelfCode Signing controleren en via vertrouwde processen uitvoeren

📌 Samengevat

Application Whitelisting blokkeert ongeautoriseerde software, voorkomt Zero-day-aanvallen en reduceert menselijke fouten. In OT-omgevingen met weinig verandering is AWL bijzonder effectief en beheersbaar.

Grafiekweergave

Backlinks