V roce 2022 nastal obrovský humbuk kolem zabezpečení prohlížečů a podnikových prohlížečů. Zatímco však tvrdí, že poskytují „zabezpečení na podnikové úrovni“, podnikové prohlížeče mají k dokonalosti daleko. Ve skutečnosti mají některé kritické nevýhody.
Které to jsou a jaká je alternativa? V tomto blogu budu rozlišovat mezi zabezpečením prohlížeče a podnikovými prohlížeči, zaměřím se na klady a zápory každého z nich a osvětlím dluh v prohlížeči vzniklý při migraci na podnikový prohlížeč. Čtěte dále a zjistěte, která tvrzení vznášejí společnosti podnikových prohlížečů a zda je skutečně dokážou splnit.
Prohlížeč potřebuje větší zabezpečení. Je podnikový prohlížeč tím správným řešením?
V posledních několika letech došlo v IT k určitým tektonickým posunům. Tyto posuny učinily tradiční bezpečnostní řešení, jako jsou firewally, SWG, VDI a VPN, irelevantními. Nástroje pro zabezpečení sítě nemohou kontrolovat složité aplikace SaaS, které se stávají převládajícími napříč pracovní silou. Zaměstnanci pracují na dálku a nenávidím procházení přes VPN. Data jsou rozptýlena mezi nesčetnými aplikacemi a je obtížné je chránit. Virtuální plochy jsou drahé a poskytují špatný výkon; jsou nesprávným nástrojem pro přístup k webovým aplikacím.
Jinými slovy, nejčastěji používané nástroje podnikového zásobníku kybernetické bezpečnosti se stávají zbytečnými. Toto je dokonalá bouře, kvůli které organizace touží po moderním řešení zabezpečení prohlížeče, které poskytuje viditelnost, zabezpečení a kontrolu každé webové relace.
Skutečné zabezpečení prohlížeče vyžaduje řešení z hlediska prohlížeče, aby bylo zajištěno, že zohledňuje end-to-end šifrování a proces vykreslování. S ohledem na architekturu prohlížeče lze takové řešení dodat jedním ze dvou způsobů:
- Rozšíření prohlížeče nad stávajícím prohlížečem (výsledek je podobný EDR nad OS)
- Použití vykreslovacích modulů Firefox nebo Chromium k vytvoření nového prohlížeče (výsledek je podobný přizpůsobení operačního systému Linux/Android za účelem vytvoření nové verze)
Co je podnikový prohlížeč?
Podnikové prohlížeče (také znám jako „zabezpečené podnikové prohlížeče“) jsou prohlížeče založené na Chromiu (nebo Firefoxu), které jsou vytvořeny pro podnikové prostředí. Poskytují možnosti vykreslování Chrome (nebo Firefoxu). Ale místo nativních funkcí Chrome/Edge zavádějí své vlastní funkce zabezpečení, správy a identity.
Podnikové prohlížeče žádají zákazníky, aby se rozloučili se svými milovanými prohlížeči Chrome, Edge, Firefox a Safari ve prospěch něčeho nového a údajně bezpečnějšího. Na oplátku jim vzniká měsíční poplatek za předplatné, nepříliš jednoduchý proces nasazení a pevná závislost na dodavateli.
Tvrzení prodejců podnikových prohlížečů, jejichž cílem je přesvědčit organizace, aby si je vybraly, nejsou z mého pohledu platná. V další části budu odkazovat na každé z těchto tvrzení a poskytnu o nich své dva kybernetické centy.
"Polovina pravdy je často velká lež" - Benjamin Franklin
Tvrzení č. 1: Chrome je nejzranitelnější prohlížeč
NEPRAVDIVÉ
Toto je klasický příklad předpojatosti k přežití. Google není nejzranitelnější prohlížeč, ale nejopravovanější prohlížeč! Projekt nula společnosti Google je nejlepším příkladem skenování zranitelnosti softwaru v historii IT.
Většinu zranitelností prohlížeče Chromium objevili inženýři společnosti Google a jen několik z nich bylo někdy zneužito ve volné přírodě. Navíc počet různých zranitelností potřebných k úspěšnému zneužití tohoto prohlížeče strmě stoupá. Ve skutečnosti se na digitální ulici říká, že pokud dokážete provést vzdálené spuštění kódu pomocí sandbox escape, můžete jej prodat za pár milionů dolarů.
Ve skutečnosti byste se měli více obávat produktů, které neodhalují jejich zranitelnost. Pokud je neprozradí, neopraví je. Google je naopak otevřený a transparentní ohledně zranitelností Chromia, udržuje jej jako projekt s otevřeným zdrojovým kódem a demonstruje nejrychlejší záplatovací rutinu v IT průmyslu.
Základní pravdou pro CISO je, že prohlížeče Chromium poskytují ve svém prostředí nejlepší architekturu zabezpečení. Ve skutečnosti by se měli obávat IT nástroje bez řádného zveřejnění zranitelnosti.
Pokud nesouhlasíte, zkuste najít CISO, který zažil Chrome zero-day exploitation, nebo prostě zkuste Chrome zneužít sami.
Tvrzení č. 2: Podnikové prohlížeče opravují zranitelnosti rychleji než Chrome
VĚTŠINOU NEPRAVDA
Google má předvídatelný životní cyklus vydání softwaru. Každá aktualizace softwaru je nasazena podle následujících kroků: canary, beta, unstable a stable. Někdy to trvá několik týdnů, než se nový kód dostane od napsání k nasazení po celém světě.
Některé podnikové prohlížeče tvrdí, že dodávají aktualizace softwaru do produkce rychleji než Google, což znamená, že údajně opravují zranitelnosti rychleji než Chrome.
Zásahová zranitelnost však Google ve skutečnosti opravuje mimopásmovým způsobem, během několika dní a mimo pravidelný životní cyklus vydání Chrome. To znamená, že když se Google vypořádá s typem zranitelnosti typu shit-hit-the-fan (závažná, zneužitá ve volné přírodě atd.), vynaloží velké úsilí, aby ji okamžitě napravil.
Tento nový kód v Chromiu není označen jako související s bezpečnostními problémy a jde přímo do výroby. Jinými slovy, podnikové prohlížeče nemají žádný způsob, jak zjistit, že je to významné a jaké problémy s kompatibilitou mohou nastat.
Moje rada by byla požádat váš podnikový prohlížeč o vydání historie verzí. Je dobrou praxí, aby dodavatelé softwaru byli transparentní ohledně jejich skutečného cyklu vydávání.
Tvrzení č. 3: Kód podnikového prohlížeče je bezpečnější než kód komerčního prohlížeče a je imunní vůči útokům na prohlížeč
MOŽNÁ
Každý software má svá zranitelná místa a bezpečnostní problémy (dokonce i podnikový prohlížeč). Otázka zní – existují bezpečnostní mezery ve standardních prohlížečích? Nejlepší způsob, jak odpovědět na tuto otázku, je zkontrolovat způsoby, které umožňují porušování komerčních prohlížečů.
Odpověď poskytuje jak malware, tak antivirový software. Oba chtějí přístup k prohlížeči, aby mohli sledovat aktivitu – malware ke krádeži hesel a antivirový software k blokování malwaru. Oba to obvykle dělají nasazením místního rozšíření prohlížeče. To znamená, že je obtížné sledovat aktivitu prohlížeče, protože prohlížeč je izolovaný v karanténě s omezeným přístupem ke zbytku systému a k ochraně dat používá šifrování. Na úrovni kódu je skutečně dostatečně bezpečný.
Mezery existují, ale ne na úrovni kódu. Malware může přistupovat k datovým souborům prohlížeče (soubory cookie, soubory s hesly a soubory ke stažení). To ale nevyžaduje změnu celého prohlížeče. Pokud se navíc bojíte malwaru, nejlepším řešením je použít řešení ochrany koncových bodů. Použijte správný nástroj pro danou práci.
Abych přidal poznámku na okraj – osobně bych se obával, že podnikový prohlížeč zavede více zranitelností, než jaké by mohl opravit. Důvodem je to, že Chromium podporuje jak Google, tak obrovský ekosystém zapojený do jeho open source projektu. Kód Chromium představuje úžasný standard pro základní úroveň zabezpečení. Mnohem více bych se bál nového kódu, který zasahuje do stávajícího kódu a stávajícího způsobu práce, než kódu Chromium.
Tvrzení č. 4: Komerční prohlížeče neposkytují dostatečné možnosti správy a řízení
ČÁSTEČNĚ PRAVDA
Pro zákazníky Google Workspace je Chrome Enterprise zdarma a poskytuje možnosti správy ihned po vybalení. Pro uživatele Office365 jsou k dispozici spravovaná nastavení Edge, která lze nastavit pomocí nástrojů pro správu zařízení. Nejsou tak podrobné jako podnikové prohlížeče, ale tyto mezery lze vyřešit rozšířením podnikového prohlížeče.
Rozšíření podnikového prohlížeče (např LayerX) přidává možnosti správy během relace a ovládá různá rozhraní API prohlížeče. To umožňuje přizpůsobit stávající prohlížeče a přeměnit je na zabezpečené prohlížeče podnikové úrovně. Zatímco prohlížeč přináší dostupnost a spolehlivost webového provozu, rozšíření navíc přidává možnosti zabezpečení a správy.
Ve skutečnosti je to přesně to, co prodejci prohlížečů záměrně umožňují. Spravované prohlížeče (Chrome a Edge), stejně jako Firefox a Safari, všechny podporují bohaté a stabilní možnosti přizpůsobení pomocí rozšíření podnikového prohlížeče.
Tvrzení č. 5: Rozšíření nejsou tak výkonná jako prohlížeč
NEDŮLEŽITÉ A VĚTŠINOU NEPRAVDIVÉ
Toto tvrzení je ekvivalentní tvrzení, že polévková lžíce je silnější než čajová lžička. Opravdu záleží na tom, co chcete míchat.
Pokud jde o zabezpečení prohlížeče, většina případů použití souvisí s vykreslovaným obsahem (jednoduše řečeno – weby, na kterých procházíme). Rozšíření mají stejnou přístupnost k vykreslovanému obsahu (tj. post dešifrování, zdrojový kód, DOM, debugger prohlížeče a spoustu zábavných věcí). To znamená, že jednodušší nástroj než prohlížeč zvládne práci s menším úsilím.
S funkcemi, které rozšíření nezvládne, již prodejci prohlížečů zacházejí docela dobře. Google, Microsoft, Mozilla a Apple odvádějí neuvěřitelnou práci při poskytování SOTA produktu se spoustou bezpečnostních funkcí uvnitř. Jinými slovy, neporovnáváte podnikové prohlížeče vs. řešení rozšíření, ale ve skutečnosti podnikové prohlížeče vs. kombinace Chrome+rozšíření.
Síla podnikových prohlížečů je navíc dvojsečná zbraň. Čím více změn v prohlížeči Chromium provedou, tím vyšší je pravděpodobnost, že se z něj přestanou používat, takže nebude možné aktualizovat v přiměřených časových rámcích. To znamená, že podnikové prohlížeče pravděpodobně provedou co nejméně změn v kódu Chromium, přičemž většinu svého zabezpečení založí na přibaleném rozšíření nebo na místním proxy.
Tvrzení č. 6: Podnikové prohlížeče poskytují stejné prostředí jako Chrome
PŮL PRAVDY
Je to Chromium, který poskytuje podobné možnosti jako Chrome. Zkušenost není identická a nikdo neslibuje, že Google bude i nadále sdílet většinu svého kódu se svými konkurenty. Postupem času vidíme, že Google přidává do Chromu specifické funkce, které nejsou součástí Chromia.
Co vám podnikové prohlížeče neřeknou
Předpokládám, že kromě svých jedinečných výhod budou mít podnikové prohlížeče také některé nevítané nevýhody, které v nadcházejících letech doženou mnoho IT týmů k slzám.
Mezi tyto nevýhody patří:
- Nespolehlivá a nekonzistentní rutina záplatování: Podnikové prohlížeče nepublikují své záplatovací rutiny. Ale extrapolací z Brave and Edge jim může trvat nejméně 12 hodin (a až několik dní), než opraví zranitelnosti Chromium zero-day, které byly opraveny Googlem mimo pásmo.
- Možná nekompatibilita aplikací: Společnosti budou nadále vytvářet své aplikace pro Chrome a Edge. Ale i když je dnes podnikový prohlížeč plně kompatibilní, nikdo nezaručuje, že zítra bude stejný. Jakýkoli přidaný kód nad Chromium může mít své vlastní problémy a chyby, což znamená, že zaměstnanci nemusí mít přístup k aplikacím, které potřebují ke své práci.
- Částečná viditelnost: Vaši zaměstnanci budou i nadále používat komerční prohlížeče, jak jen budou moci (ať už pro práci nebo zábavu). To znamená, že vám zůstanou obrovské mezery, které mohou vést ke ztrátě dat funkcí a ohrožení.
- Nejhorší zámek dodavatele v historii kybernetické bezpečnosti: Představte si, že používáte podnikový prohlížeč. Máte z toho radost. Lepší podnikový prohlížeč je však levnější. Jak budete migrovat? Všechny vaše preference, identity, hesla a soubory cookie jsou uloženy ve vašem stávajícím prohlížeči. Výrobci prohlížečů inzerují, že všechny jejich soubory cookie jsou šifrované a že veškerá paměť je plně izolovaná. Pokud to dělá to, co říká, že dělá, pak se ocitnete v uzamčení dodavatele.
- Ztráta volných schopností: Vaše stávající prohlížeče mají úžasné funkce. Chrome má nejlepší seznam blokovaných v oboru. Edge má nejlepší místní izolační službu (AppGuard). Firefox přináší neuvěřitelné funkce ochrany osobních údajů. Seznam pokračuje dál a dál. Mějte na paměti, že používáním těchto prohlížečů získáte skvělou hodnotu bez nákladů.
- Nekonečné tření: Jednoho dne něco nebude fungovat s podnikovým prohlížečem. Může to být způsobeno problémem na straně dodavatele podnikového prohlížeče, Google omezující možnost jiných prohlížečů používat Chromium nebo pouhou chybou zaměstnance. Jedna věc je jistá – zaměstnanec s největší pravděpodobností řekne „tento prohlížeč nefunguje. Je to na hovno." Používání podnikového prohlížeče bude pravděpodobně zahrnovat mnoho třenic s vašimi zaměstnanci, protože jen velmi málo bezpečnostních produktů žádá zaměstnance, aby změnili způsob práce. Změna způsobu práce lidí je spíše kulturní zátěží než bezpečnostním aktivem.
- Boj o digitální identitu: Funkce číslo jedna Chrome a Edge (třešnička na dortu) je jejich integrace s identitou cloudové kanceláře. To znamená, že organizacím používajícím Google Workspace poskytuje Chrome profil prohlížeče připojený k identitě Google. Pro uživatele Office365 poskytuje Edge profil prohlížeče připojený k identitě Microsoft. To znamená, že téměř každá organizace už využívá placený spravovaný prohlížeč (buď Chrome nebo Edge), který úžasně funguje s příslušnou sadou aplikací SaaS. Přechod na jiný prohlížeč tuto zkušenost zhorší a přidá další (nepotřebnou) službu identity do zásobníku IT. Namísto zvýšení bezpečnosti způsobí pouze zmatek mezi zaměstnanci a zvýší režii na IT.
Bezpečná a bezproblémová alternativa k podnikovým prohlížečům
Společnosti podnikových prohlížečů se zajímají o jednu věc; prohlížeč je nejdůležitějším pracovním prostorem a nejcennějším zdrojem viditelnosti v organizaci. Ve společnosti LayerX si myslíme, že řešení pro zabezpečení prohlížečů je jednoduché – do stávajících prohlížečů potřebujeme přinést maximální možné zabezpečení.
Stejným způsobem jako operační systémy zabezpečeno ochranou koncových bodů řešení (namísto vylepšené verze Linuxu) a e-mailové služby pomocí nástrojů pro zabezpečení e-mailu (namísto přizpůsobeného „zabezpečeného e-mailu“), platforma zabezpečení prohlížeče je řešením pro otázky zabezpečení prohlížeče.
Pomocí rozšíření podnikového prohlížeče přináší do prohlížeče všechny možné možnosti zabezpečení, aniž by to ohrozilo uživatelské prostředí.
