La whitelist del comportamento è un metodo di sicurezza in cui vengono specificate le azioni consentite all'interno di un determinato sistema e tutte le altre vengono bloccate. Il metodo può essere condotto tramite software di sicurezza o l'aggiunta di eccezioni autorizzate a una lista nera di comportamenti.
La whitelist dei comportamenti viene utilizzata per proteggere siti Web, servizi e forum da bot e hacker, computer da malware e tentativi di hacking e posta elettronica da tentativi di spam e phishing. Il whitelisting viene utilizzato anche nei sistemi di rilevamento delle violazioni (BDS) che proteggono le reti.
I due metodi tradizionali per bloccare lo spam sono il filtro basato sui contenuti e la blacklist basata su IP. Questi metodi stanno diventando meno efficaci poiché gli spammer trovano il modo di aggirarli. Bloccare tutti i comportamenti non presenti in una whitelist può fornire una protezione molto efficace. Tuttavia, richiede la conoscenza delle attività e delle comunicazioni che un sistema dovrà eseguire e deve essere regolato quando questi requisiti cambiano.
Il comportamento di whitelisting può anche essere molto efficace nella prevenzione dello spam. Il metodo funziona bene quando i tipi di email inviate e ricevute non sono così varie e imprevedibili da essere al di fuori di una whitelist, causando falsi positivi. Le procedure di posta elettronica formali possono facilitare il comportamento di whitelisting. L'inserimento in una whitelist normalmente consente di risparmiare CPU e risorse di memoria poiché l'elenco dei comportamenti consentiti è quasi sempre più piccolo rispetto a una lista nera e quindi meno lavoro da esaminare.
Se implementate in modo improprio, le whitelist dei comportamenti possono creare vulnerabilità. Il whitelisting è più efficace quando il numero di funzioni consentite richieste è ridotto e i requisiti di sicurezza e accessibilità sono elevati. Una lista nera utilizzata in questa situazione richiede più tempo di configurazione e lavoro di manutenzione per bloccare il volume elevato di comportamenti più vari. Le liste nere richiedono anche una conoscenza più completa e aggiornata delle minacce. Entrambi i metodi devono essere implementati scrupolosamente per fornire una protezione adeguata.