Wat is Software Whitelisting?
Software Whitelisting is een beveiligingsmaatregel waarbij alleen goedgekeurde software mag worden uitgevoerd op een systeem. Alles wat niet expliciet is toegestaan, wordt standaard geblokkeerd.
In industriële omgevingen beschermt dit tegen Malware, ongeautoriseerde tools en menselijke fouten — zelfs als Antivirus of patching niet mogelijk is.
🧠 Waarom is Software Whitelisting belangrijk in OT?
| Risico zonder whitelisting | Gevolg |
|---|---|
| Malware of ransomware via USB | Schadelijke .exe of script draait direct op Engineering Station |
| Shadow IT op SCADA-stations | Ongecontroleerde tools beïnvloeden real-time processen |
| Zero-day-aanvallen | Malware zonder AV-handtekening wordt uitgevoerd |
| Misbruik van legitieme tools | Living Off The Land (bv. PowerShell, WMI, TeamViewer) mogelijk |
🔧 Hoe werkt Software Whitelisting?
- Inventarisatie – Bepaal welke software legitiem is per OT-systeem
- Whitelisting opstellen – Op basis van hash, bestandslocatie of uitgever
- Beleid afdwingen – Alleen goedgekeurde processen mogen starten
- Monitoring – Pogingen tot niet-toegestane uitvoer loggen en blokkeren
🚧 Technische benaderingen
| Methode | Voor- en nadelen |
|---|---|
| Hash-based | Zeer nauwkeurig, maar gevoelig voor updates |
| Path-based | Eenvoudig, maar kwetsbaarder voor omzeiling |
| Publisher-based | Flexibel bij updates, vereist Code Signing |
| Combinatie | Best practice: meerdere lagen voor optimale controle |
🎯 OT-toepassingen
| Systeem | Toegestane software |
|---|---|
| HMI | Alleen runtime, logging-tools, eventueel vendor-drivers |
| Historian | Database-engine, connector-software, logging agents |
| Engineering Station | Alleen vendor IDE, geen browsers of bestandsverkenners |
| SCADA-servers | Control-software, monitoringtools, geen tekstverwerkers |
✅ Best practices
- Begin met audit mode: log eerst alles wat wordt uitgevoerd
- Werk samen met operations om uitzonderingen veilig toe te voegen
- Combineer met USB Control om insluizen van software te voorkomen
- Herzie whitelists periodiek of bij MOC (Management of Change)
- Monitor via SIEM, EDR of endpoint agents (bv. AppLocker, McAfee, Carbon Black)
- Combineer met Patchmanagement en Code Signing voor volledigheid
📌 Samengevat
Software Whitelisting is een krachtige verdedigingsmaatregel in statische OT-omgevingen. Het voorkomt dat onbekende of ongewenste software überhaupt wordt uitgevoerd — een effectieve barrière tegen moderne aanvallen.