Wat is Application Whitelisting?
Application Whitelisting (AWL) is een beveiligingsmaatregel waarbij alleen expliciet toegestane software of processen mogen worden uitgevoerd op een systeem. Alles wat niet op de whitelist staat, wordt automatisch geblokkeerd.
In OT is AWL een krachtige verdediging tegen Malware, Ransomware en ongeautoriseerde scripts op systemen zoals SCADA, HMI of Engineering Station.
🧠 Waarom is AWL belangrijk in OT?
| Risico zonder whitelisting | Gevolg |
|---|---|
| Malware via USB of updates | Schadelijke code wordt uitgevoerd zonder detectie |
| Ongeautoriseerde tools of scripts | Shadow IT of exploits actief op productiesystemen |
| Nieuwe, onbekende aanvallen (zero-day) | Geen AV-handtekening = geen blokkering |
| Misbruik van legitieme tools (LOLbins) | PowerShell of WMI wordt gebruikt voor laterale beweging |
Veel APT’s en OT-malware (zoals TRITON, Industroyer) maken gebruik van legitieme tools. AWL voorkomt dat deze uitgevoerd worden.
🧩 Hoe werkt Application Whitelisting?
| Stap | Beschrijving |
|---|---|
| Inventarisatie | Welke applicaties zijn legitiem in de OT-omgeving? |
| Whitelist maken | Alleen toegestane bestanden/hashes/signatures in policy opnemen |
| Policy handhaven | Alleen whitelisted software draait, andere executables worden geblokkeerd |
| Logging en alerts | Pogingen tot uitvoering van niet-goedgekeurde software worden gelogd |
🔧 Implementatiemethoden
| Methode | Toelichting |
|---|---|
| Hash-gebaseerd | Alleen specifieke versies/bestanden toegestaan (hoge controle) |
| Path-gebaseerd | Alleen uitvoer vanaf goedgekeurde locaties (sneller, minder veilig) |
| Publisher-gebaseerd | Alleen ondertekende software van vertrouwde uitgevers |
| Combinaties mogelijk | Voor balans tussen veiligheid en beheerbaarheid |
🛠️ Toepassing in OT-systemen
| Systeem | Voorbeeld van whitelisting |
|---|---|
| SCADA-server | Alleen officiële vendorsoftware, loggingtools, drivers |
| Engineering Station | Alleen vendor-specifieke ontwikkelomgevingen, geen browsers |
| HMI-paneel | Alleen runtime en loggereedschappen, geen Office, scripts |
| Historian | Alleen goedgekeurde database services, geen onbekende connectors |
✅ Best practices
- Combineer AWL met Patchmanagement en Antivirus
- Pas default-deny toe: blokkeer alles behalve wat is toegestaan
- Begin met audit mode voor initiële logging en afstemming
- Gebruik SIEM om afwijkingen te detecteren en loggen
- Combineer met USB Control om insluizen van niet-goedgekeurde software te voorkomen
- Herzie whitelist bij systeemupdates of MOC-processen
⚠️ Aandachtspunten
| Uitdaging | Aanpak |
|---|---|
| Veel varianten van software | Gebruik publisher- of hash-combinaties voor flexibiliteit |
| Legacy-systemen | AWL toepassen met uitzondering voor essentiële .exe’s |
| Updates blokkeren zichzelf | Code Signing controleren en via vertrouwde processen uitvoeren |
📌 Samengevat
Application Whitelisting blokkeert ongeautoriseerde software, voorkomt Zero-day-aanvallen en reduceert menselijke fouten. In OT-omgevingen met weinig verandering is AWL bijzonder effectief en beheersbaar.