Allowlisting: mitä se on ja miten se toimii?

Lue alta lisää valkolistauksesta ja katso, miten se voi parantaa kyberturvallisuuttasi.

Musta lista on tuskin kenellekään vieras termi, ja valkoinen lista eli allowlist on sen vastakohta. Kyseessä on turvallisuusprosessi, jonka ansiosta esimerkiksi tiettyä verkkoa voivat käyttää vain ihmiset, jotka ovat luotettujen käyttäjien VIP-listalla eli valkoisella listalla. Käyttäjät, jotka eivät ole tällä listalla, eivät kyseiseen verkkoon pääse.

Mitä valkolistaus eli allowlisting tarkoittaa? Valkolistaus on kyberturvallisuusstrategia. Se tarkoittaa sähköpostiosoitteiden, IP-osoitteiden, verkkotunnusten tai sovellusten hyväksymistä valkoiselle listalle, eli ne sallitaan. Listan ulkopuolella olevat sähköpostiosoitteet puolestaan estetään. Valkolistaus perustuu ennen kaikkea luottamukseen, ja se on turvallisempi lähestymistapa kuin mustalistaus.

Mikä valkolistauksen tarkoitus on? Allowlistingin tarkoitus on suojata tietokoneita ja verkkoja potentiaalisesti haitallisilta tahoilta. Kyseessä on lista hyväksytyistä, turvallisiksi todetuista tahoista. Valkolistaus toimii parhaiten keskitetysti hallituissa ympäristöissä.

Valkolistausta käytetään yrityksissä ja organisaatioissa, mutta siitä on hyötyä myös yksityiskäyttäjille – ja monet jo käyttävätkin tietoturvasovelluksia ja mainosten estoa, joissa hyödynnetään valkolistausta. Valkolistausta onkin hyvä hyödyntää osana tietoturvan suojaamista yksityiskäytössä olevillakin laitteilla.

Katsotaan seuraavaksi tarkemmin, mistä valkolistauksessa on kyse. Valkolistauksen voi toteuttaa useammalla tavalla. Käyttäjät voivat hyödyntää valkolistaustoimenpiteitä käyttämällä kolmannen osapuolen ohjelmistoa, jotka tarjoavat ennalta määriteltyjä tai muokattavia listoja sovelluksista ja palveluista.

Valkolistaus voi myös perustua mallina toimivaan käyttöjärjestelmään, jossa ei ole haittaohjelmia eikä ei-toivottuja ohjelmia – tällöin tämä järjestelmä toimii valkolistausmallina muille järjestelmille. Tämä metodi on kätevä, jos käytetty järjestelmä ei juuri vaadi muokkausta ja käyttää samaa sovellusvalikoimaa.

Sovellusten valkolistausohjelma analysoi useita tekijöitä (tiedoston nimi, tiedoston koko, salakirjoitustiiviste ja digitaalinen allekirjoitus) tunnistaakseen hyväksyttävät ja estettävät sovellukset. Hyvä allowlisting-ohjelmisto arvioi etenkin näitä ominaisuuksia varmistaakseen, että sovellus on aito ja luotettava, ja että yksikään hakkeri ei pääse huijaamaan itseään valkoiselle listalle.

Valkolistaussovellusten tulisi myös analysoida hyväksyttyjen sovellusten käyttäytymismalleja, jotta voidaan varmistaa, että haitalliset tahot eivät hyödynnä hyväksyttyjä sovelluksia. Tietokannan tulisi olla ajan tasalla ja sisältää viimeisimmät tiedot salakirjoitustiivisteistä, kirjastoista, komentosarjoista, tiedostoista ja niin edelleen, ja suojata käyttäjää verkon vaaroilta.

Valkolistaus ei kuitenkaan korvaa muita kyberturvallisuuskeinoja, eikä virustorjuntaohjelmaa ole syytä lopettaa käyttämästä. Kaikki eri keinot toimivat yhdessä: koko verkon tasolla käytetään mustalistausta ja sovellusten tasolla hyödynnetään valkolistausta.

Katso alta muutama yleisin syy allowlisting-menetelmän käyttöön:

• Valkolistausta suositellaan suurille ja keskisuurille yrityksille, etenkin siinä tapauksessa, että yrityksen toimiala vaatii erittäin tiukkoja turvallisuusstandardeja, tai työntekijät yhdistävät yrityksen verkkoon omilta laitteiltaan esimerkiksi etätöitä tehdessään.
• Allowlisting voi suojata käyttäjiä haittaohjelmilta, sillä sen avulla voidaan estää verkkourkinta sähköpostin välityksellä sekä haitallinen roskaposti ja mainokset.
• Sillä voidaan suojata julkisia laitteita vaarallisten tai epäturvallisten ohjelmistojen asentamiselta. Jos jokin henkilö yrittää asentaa haittaohjelman julkikäytössä olevalle tietokoneelle, valkolistausohjelma voi estää asennuksen.
• Allowlisting voi auttaa rajoittamaan IP-osoitteita ja sähköpostiosoitteita, joista käsin sinuun tai sivustoosi voidaan ottaa yhteys.

Mikä on valkoinen lista tai musta lista? Valkolistaus eli allowlisting ja mustalistaus eli blocklisting ovat kaksi tapaa hallita pääsyä verkkoon. Valkolistaus estää pääsyn kaikilta paitsi valkolistatuilta tahoilta, kun taas mustalistaus sallii pääsyn kaikille muille paitsi mustalla listalla oleville tahoille.

Mustalistaus ja valkolistaus ovat siis kolikon eri puolia. Molempien tarkoituksena on suojata käyttäjiä haitallisilta ohjelmilta, sähköpostiosoitteilta, IP-osoitteilta ja verkkosivustoilta. Tähän pyritään kuitenkin eri periaatteita noudattamalla: mustat listat sallivat kaikki listan ulkopuolella olevat tahot, ja valkoiset listat kieltävät kaikki listan ulkopuolella oleva tahot. Mustalistaus voi siis todennäköisemmin päästää läpi tunnistamattoman haitallisen tahon.

Kumpi sitten on parempi, mustalistaus vai valkolistaus? Mustalistausta ei kannata ohittaa, sillä monet virustorjuntaohjelmat hyödyntävät tätä menetelmää. Esimerkiksi NordVPN:n Threat Protection -ominaisuus on esimerkki mustalistauksesta. Se estää käyttäjää lataamasta haittaohjelmia sisältäviä tiedostoja, estää pääsyn vaarallisille verkkosivuille ja estää seurannan sekä haitalliset mainokset. Threat Protection siis suojaa käyttäjiä asettamalla erilaiset vaaralliset tahot mustalle listalle ja estää näin vahinkojen tapahtumisen.

Valkoiset listat kuitenkin tarjoavat kattavamman suojan, sillä niiden säännöt ovat huomattavasti tiukemmat. On myös hyvä pitää mielessä nollapäivähaavoittuvuudet, joita hakkerit rakastavat. Niiltä mustalistaus ei käyttäjiä suojaa, mutta valkolistaus estää nekin todennäköisemmin.

Fiksuin lähestymistapa onkin hyödyntää sekä mustia että valkoisia listoja, sillä molemmista on hyötyä yksityisyyden suojaamisessa ja tietoturvasta huolehtimisessa.

Kokosimme alle erilaisia valkolistausmenetelmiä, joiden avulla voit käyttää verkkoa turvallisemmin.

Kun lisään sähköpostiosoitteita valkoiselle listalle, kerrot roskapostisuodattimellesi, että kyseiset lähettäjät (ja vain he) ovat luotettavia, ja heidän lähettämänsä viestit tulee hyväksyä. Tällaisia sääntöjä voivat luoda käyttäjät ja järjestelmän ylläpitäjät, tai niiden luomisessa voidaan käyttää ulkopuolista valkolistauspalvelun tarjoajaa.

Miksi sähköposteja kannattaa valkolistata? Se voi tehostaa tuottavuuttasi. Kukaan ei nauti roskapostien selaamisesta – etenkään silloin, jos niiden sekaan on kadonnut tärkeä viesti. Lisäksi valkolistaus torjuu verkkourkintaa eli phishing-yrityksiä. Huijarit ovat ovelia, ja heidän uhriksensa saattaa joutua helposti. Muista kuitenkin, että sähköpostien valkolistaus estää uusia henkilöitä lähettämästä sinulle sähköpostia – heidät täytyy ensin lisätä valkoiselle listalle.

Sovellusten valkolistaus on välttämätöntä ympäristöissä, joilta vaaditaan korkeaa turvallisuustasoa. Kun sovelluksia lisätään valkolistalle, laite määrätään käynnistämään vain listalla olevia sovelluksia ja suhtautumaan muihin sovelluksiin turvallisuusuhkana.

Myös sovelluksen toimintaa voidaan valkolistata. Tällöin listataan sovelluksen odotettu toiminta ja estetään muu toiminta. Tämä on hyödyllistä, jos laitteella on haittaohjelma ja joku henkilö yrittää ottaa laitteesi haltuunsa – valkolistaus tekee tällaisista yrityksistä turhia. Mustasta listasta ei tällaisessa tilanteessa juuri olisi iloa, sillä olisi erittäin vaikeaa listata kaikki asiat, joita sovelluksen ei tulisi tehdä.

Sovellusten hallintaa kutsutaan toisinaan virheellisesti sovellusten valkolistaukseksi. Se on osa valkolistausta, mutta hallinnan säännöt ovat löysempiä. Laitteelle ei voida ladata sovelluksia, jotka eivät ole listalla, mutta sovellusten hallinta ei estä aiemmin ladatun ja myöhemmin listalle lisätyn sovelluksen käynnistämistä. Hallinta ei myöskään tarkista tiedostoja luotettavuuden kannalta.

Sovellusten valkolistaus puolestaan seuraa käyttöjärjestelmääsi ja estää vaarallisen koodin ja tiedostojen toiminnan.

Mitä IP-osoitteen valkolistaus tarkoittaa? IP-osoitteen valkolistaus eli IP allowlisting tarkoittaa sitä, että vain tietyillä IP-osoitteilla on pääsy verkkoon. Sitä käytetään esimerkiksi työpaikoilla: jokainen työntekijä (tai hyväksytty käyttäjä) ilmoittaa verkon hallinnoitsijalle kotinsa IP-osoitteen, joka sitten lisää tämän osoitteen valkoiselle listalle, jolloin IP-osoitteen käyttäjä voi käyttää verkkoa.

IP-osoitteiden valkolistauksesta on hyötyä erityisesti silloin, kun yrityksellä on etänä työskenteleviä työntekijöitä. Se on yksi tavoista huolehtia siitä, että etätyö ei aiheuta tietoturvariskejä.

IP-osoitteiden valkolistaus on hyödyllistä myös yrityksille, joiden on huolehdittava turvallisuudesta ja yksityisyydestä erityisen hyvin. Verkkovastaavat voivat asettaa yrityksen palvelimille tai verkkopalvelimille sääntöjä, jotka sallivat yhteydet vain tietyiltä IP-osoitteilta. Esimerkiksi tietty yrityksen sovellus halutaan pitää yksityisenä, joten vain tietyt työntekijät voivat käyttää sitä. Tämä toteutetaan lisäämällä heidän IP-osoitteensa valkoiselle listalle. Toimivuuden kannalta on tärkeää, että työntekijöillä on kiinteä IP-osoite.

Mikä on IP-osoitteeni ja miten VPN liittyy IP-osoitteisiin ja valkolistaukseen? VPN-palveluita käytetään paitsi verkkoliikenteen salaamiseen myös todellisen IP-osoitteen piilottamiseen. IP-osoitteen suojaaminen lisää yksityisyyttä, sillä IP-osoitteen avulla voidaan seurata käyttäjän liikkeitä ja saada myös selville hänen sijaintinsa. VPN-palvelun myötä käyttäjät saavat toisen IP-osoitteen, jonka jakavat monet muut käyttäjät, jolloin tätä IP-osoitetta ei voida enää käyttää käyttäjän yksilöimiseen.

Jaettu IP-osoite voi kuitenkin olla haaste, kun IP-osoitteita halutaan valkolistata. NordVPN kuitenkin tarjoaa ratkaisun: palvelun tilaajat voivat hankkia kiinteän IP-osoitteen, joka suojaa todellista IP-osoitetta ja mahdollistaa pysyvyyden ansiosta myös valkolistauksen. Näin ollen käyttäjät voivat suojata yksityisyyttään tavalla, joka ei tee IP-osoitteen valkolistauksesta mahdotonta.

Mainosten valkolistaus tarkoittaa sitä, että vain tietyt mainokset saavuttavat käyttäjät ja muut mainokset estetään. Mainosten estoon käytetään usein mainostenesto-ohjelmia, ja monet näiden ohjelmien käyttäjät ovat hyödyntäneet allowlisting-menetelmää. Mainosten esto-ohjelmat estävät kaikki mainokset, mutta käyttäjät voivat kuitenkin lisätä ohjelman valkoiselle listalle tiettyjä verkkosivustoja. Tällöin mainosten esto-ohjelma sallii mainokset valkoisen listan verkkosivustoilla – tämä on mainio tapa tukea mainoksilla työtään rahoittavia verkkosivustoja, joista pidät ja joiden toimintaa haluat tukea.

Sähköpostiin liittyvällä valkolistauksella on erilaisia muotoja:

Ei-kaupallinen valkolistaus tarkoittaa käytännössä sitä, että käyttäjä haluaa estää roskapostin. Tässä tapauksessa lähettäjän täytyy vastata tiettyihin vaatimuksiin, jotta viesti pääsee vastaanottajan sähköpostilaatikkoon. Tällaisia vaatimuksia voivat olla esimerkiksi kiinteän IP-osoitteen käyttö.

Kaupallinen valkolistaus on toisenlainen lähestymistapa: tässä tapauksessa internet-palveluntarjoaja sallii valkolistalle pääsemisen korvausta vastaan. Käytännössä tämä tarkoittaa sitä, että maksua vastaan viestin lähettäjä voi olla varma siitä, että viestit, kuten mainosviestit tai roskaposti, saavuttavat vastaanottajat. Lähettäjät siis käytännössä ostavat itsensä valkoiselle listalle.

Yksityishenkilöt ja pienemmät yritykset voivat koota oman sähköpostien ja verkkosivustojen valkoisen listan. Se, miten tämä käytännössä tapahtuu, riippuu sähköpostipalveluntarjoajasta sekä käytetystä selaimesta. Verkosta löytyy runsaasti helposti seurattavia ohjeita valkolistaukseen, eikä valkolistaus vaadi suuria teknisiä taitoja. Sovellusten valkolistauksesta kiinnostuneiden kannattaa aloittaa tutustumalla tähän oppaaseen.

Suurten yritysten on syytä hyödyntää kattavampia allowlisting-teknologioita turvallisuudesta huolehtimiseen. Helpoiten tämä käy valkolistausohjelmistoa käyttäen. Nämä ohjelmistot voivat luoda listoja skannaamalla yrityksen verkon ja seuraamalla, mitä sovelluksia yrityksessä käytetään. Ohjelmisto mahdollistaa myös sovellusten ja IP-osoitteiden sekä verkkosivustojen valkolistauksen – käyttäjä voi lisätä niitä itse listalle tarpeen mukaan. Tällaisiin valkolistausohjelmistoihin kuuluu usein myös muita tietoturvaominaisuuksia.

Mitä valkolistausta varten tarvitaan? Esimerkiksi IP-osoitteen valkolistausta varten ensimmäiseksi on määriteltävä, mille laitteille tai käyttäjille sallitaan pääsy. Kun sallitut IP-osoitteet, verkkosovellukset tai käyttäjät on listattu, ne voidaan lisätä valkoiselle listalle käyttämällä tietokoneen, reitittimen tai palomuurin verkkoasetuksia.