Behavior whitelisting é um método de segurança no qual ações permitidas dentro de um determinado sistema são especificadas e todas as outras são bloqueadas. O método pode ser conduzido através de software de segurança ou a adição de exceções da lista branca a uma lista negra de comportamento.
A lista branca de comportamento é usada para proteger sites, serviços e fóruns de bots e hackers, computadores de malware e tentativas de hacking e e-mails de spam e tentativas de phishing. A whitelisting também é usada nos sistemas de detecção de violação (BDS) que protegem redes.
As duas formas tradicionais de bloquear spam são a filtragem baseada no conteúdo e a blacklisting baseada em IP. Estes métodos estão a tornar-se menos eficazes à medida que os spammers encontram formas de os contornar. Bloquear todo comportamento que não conste de uma lista branca pode fornecer uma segurança muito eficaz. No entanto, requer conhecimento das tarefas e comunicações que um sistema precisará realizar e deve ser ajustado quando esses requisitos mudarem.
O comportamento de uma lista branca também pode ser muito eficaz na prevenção de spam. O método funciona bem quando os tipos de e-mails enviados e recebidos não são tão variados e imprevisíveis a ponto de estarem fora de uma lista branca, causando falsos positivos. Os procedimentos formais de e-mail podem facilitar o comportamento de whitelisting. As listas brancas normalmente salvam os recursos da CPU e da memória, pois a lista de comportamentos permitidos é quase sempre menor do que numa lista negra e, portanto, menos trabalho para varrer.
Se mal implementada, as listas brancas de comportamento podem criar vulnerabilidades. As listas brancas são mais eficazes onde o número de funções permitidas necessárias são poucas e os requisitos de segurança e acessibilidade são altos. Uma lista negra usada nesta situação requer mais tempo de configuração e trabalho de manutenção para bloquear o alto volume de comportamentos mais variados. As listas negras também exigem um conhecimento mais abrangente e atualizado das ameaças. Ambos os métodos devem ser escrupulosamente implementados para fornecer segurança adequada.