Proč vedoucí pracovníci v oblasti zabezpečení přecházejí od izolace prohlížeče k řešením rozšíření zabezpečení prohlížeče?

Stále více osob s rozhodovací pravomocí v oblasti bezpečnosti si uvědomuje, že prohlížeč je ultimátní přední linií proti mnoha kybernetickým hrozbám. Tento poznatek je přivedl k tomu, aby do svých bezpečnostních zásobníků přidali řešení izolace prohlížeče. V poslední době jsme však svědky vzrůstajícího trendu bezpečnostních profesionálů, kteří od těchto řešení odcházejí a míří k rozšířením Secure Browser. Tato novější řešení jsou vnímána jako lepší alternativa pro zabezpečení útočné plochy prohlížeče.

V tomto článku tento trend analyzujeme a pokusíme se vysvětlit důvody tohoto přístupu. Nejprve si probereme různé možnosti, které každý přístup nabízí. Poté ukážeme, že zabezpečené rozšíření prohlížeče řeší mnohem širší škálu webových hrozeb. Umožňuje moderním pracovníkům plně využít potenciál produktivity jejich prohlížečů, zatímco přístup k izolaci prohlížečů je v pokrytí rizik mnohem omezenější. Izolace prohlížeče také zhoršuje uživatelský dojem z procházení takovým způsobem, že neodpovídá modernímu pracovnímu prostředí orientovanému na prohlížeč. 

Začněme krátkou rekapitulací, co je to izolace prohlížeče a jak funguje.

Izolace prohlížeče 101: Vzduchotěsná ochrana proti hrozbám koncových bodů

Řešení pro izolaci prohlížečů poskytují virtuální prostředí, ve kterém mohou prohlížeče běžet. To znamená, že staženému kódu není povoleno běžet na skutečném počítači, dokud řešení nezkontroluje jeho chování a nezajistí, že je skutečně neškodné. Tento přístup je mimořádně účinný při zmírňování dopadu zneužití prohlížeče a stahování souborů malwaru. I když bylo zneužití úspěšné a malware byl stažen, žádný z nich se nedostane ke skutečnému počítači.

Je snadné vidět, že pokud jde o návrh přímé hodnoty, izolace prohlížeče je přirozeným vývojem tradiční ochrany koncových bodů. Koncept místního sandboxu nebo dokonce účelově vytvořeného virtuálního stroje pro bezpečné provádění procesů náchylných k zneužití byl v průběhu posledního desetiletí implementován v různých formách. Díky tomu je přijetí izolace prohlížeče přirozeným krokem „hloubkové ochrany“ pro posílení stávající ochrany EDR\NGAV. 

Dnešní pracovní prostor již není koncovým bodem, ale samotným prohlížečem 

Jak však čas plynul, organizace si uvědomily, že tento přístup nemusí být dost dobrý. Je to způsobeno dvěma hlavními důvody:

• Spotřeba zdrojů: Všechna řešení sandboxu, včetně izolace prohlížeče, jsou nechvalně známá pro chamtivou spotřebu CPU, která nevyhnutelně snižuje výkon chráněného stroje. Ve skutečnosti je to hlavní důvod, proč tento přístup opustili přední výrobci ochrany koncových bodů.

• Částečné pokrytí: I když izolace prohlížeče poskytuje dobrou ochranu proti hrozbám koncových bodů, nabízí malou nebo žádnou ochranu proti široké škále webů přenášených rizik. 

Pojďme si téma více rozvést.

Izolace prohlížeče se snaží čelit bezpečnostním a produktivním výzvám moderního webového podniku 

Před deseti lety zaměstnanci většinou pracovali s datovými soubory na místním hostiteli. Dnes však prohlížeč převzal hlavní pracovní prostor v podnikovém prostředí. Tato změna nastala v souladu s moderními prohlížeči nabízejícími širokou škálu bezpečnostních funkcí, stejně jako neochvějný závazek k uživatelské zkušenosti. Nasazení řešení izolace prohlížeče vytváří zátěž na prostředky počítače, což přímo vede k horšímu výkonu prohlížeče. Jedním ze základních základních pravidel je, že jakákoli bezpečnostní kontrola, která se dostane do cesty zaměstnancům při jejich práci, bude dříve nebo později deaktivována. To je to, co se dnes děje s řešeními izolace prohlížečů.

Kromě toho jsou webovými riziky jakýkoli typ hrozeb poskytovaných prohlížečem: phishing a další typy škodlivých webových stránek, škodlivý přístup k aplikacím SaaS prostřednictvím kompromitovaných přihlašovacích údajů a únik dat prostřednictvím prohlížeče. Nicméně, řešení izolace prohlížeče mají pouze částečnou a omezenou viditelnost obsahu webových stránek. Jejich viditelnost v aplikacích SaaS je omezena na základní zjišťování na úrovni názvu hostitele, bez nahlédnutí do identity uživatele nebo skutečného použití. Z hlediska sledování skutečného chování webové stránky samotné mají viditelnost pouze do předrenderovaného HTML kódu. A pokud jde o prosazování, řešení izolace prohlížeče postrádají konfigurovatelnou granularitu. Jsou omezeny na hrubé ovládací prvky, jako je zakázání události prohlížení, jako je vložení nebo snímání obrazovky v každém cíli nebo aplikaci, což je činí neúčinnými kvůli narušení produktivity, které s sebou přináší. 

Problémem je, že tato rizika přenášená webem se stále více stávají dominantní součástí prostředí podnikových hrozeb. A i když řešení izolace prohlížečů mohou vynikat proti zneužití malwaru, nabízejí jen málo proti široké škále útoků, které si organizace již nemohou dovolit ignorovat.

Na rozdíl od těchto řešení přístup zabezpečeného rozšíření prohlížeče tyto hrozby plně řeší. Pojďme pochopit, proč tomu tak je:

Secure Browser Extension 101: Deep Session Inspection každé události prohlížení

Zabezpečená rozšíření prohlížeče se instalují nad komerční prohlížeč, stejně jako jakékoli jiné rozšíření. Z umístění prohlížeče mají podrobnou viditelnost a kontrolu nad každou událostí v rámci relace prohlížení. To jim umožňuje poskytovat nepřetržité monitorování, analýzu rizik a prosazování zásad v průběhu webové relace na základě chování samotného uživatele i navštívené webové stránky.

Tento přístup je mimořádně účinný při prevenci hrozeb přenášených webem následujícím způsobem:

Zabezpečené rozšíření prohlížeče vs. phishing a další škodlivé webové stránky 

Zabezpečená rozšíření prohlížeče mají přehled o skutečné vykreslené webové stránce, jak se postupně vytváří v prohlížeči. Díky této viditelnosti dokážou odhalit první známky phishingu, stahování malwaru a sběru škodlivých dat. Po detekci těchto příznaků může zabezpečené rozšíření prohlížeče relaci buď úplně ukončit, nebo zakázat riziko na samotné stránce.

Zabezpečené rozšíření prohlížeče vs. škodlivý přístup k SaaS a webovým aplikacím 

Stejným způsobem má zabezpečené rozšíření prohlížeče viditelnost na webovou stránku a také na uživatele a jeho aktivitu. Díky této viditelnosti může nepřetržitě monitorovat chování uživatele v aplikacích SaaS, profilovat jeho základní chování, detekovat každou odchylku od tohoto chování, která může znamenat převzetí účtu, a po takovém zjištění zablokovat uživateli přístup k aplikaci.

Zabezpečené rozšíření prohlížeče vs. Únik dat založený na prohlížeči

Viditelnost zabezpečeného rozšíření prohlížeče v každé události prohlížení jej činí extrémně účinným proti úniku dat. Akce jako „sdílet“, „stáhnout“ nebo „snímek obrazovky“ lze omezit nebo zakázat. Podobným způsobem lze vkládání nebo psaní citlivých informací do nástrojů GenAI, jako je ChatGPT, snadno kontrolovat a zabránit mu (další informace o skutečném riziku vystavení dat GenAI o této nejnovější zprávě).

Odůvodnění: Spíše než posilovat stávající ochranu koncových bodů chraňte exponovaný povrch útoku prohlížeče

Je snadné pochopit důvody přechodu od izolace prohlížeče k zabezpečeným rozšířením prohlížeče. Většina organizací nenainstaluje do svých prohlížečů více než jedno bezpečnostní řešení. Při výběru řešení je smysluplnější zvolit řešení, které řeší širokou škálu aktuálně neobsluhovaných hrozeb, než přidávat další vrstvu ochrany koncových bodů. 

Je pravda, že zabezpečená rozšíření prohlížeče nabízejí menší ochranu proti zneužívání zero-day ve srovnání s nástroji pro izolaci prohlížeče. Je však třeba poznamenat, že tyto exploity se stávají spíše neobvyklým jevem. Dokonce i když se vyskytnou, jsou koneckonců slušně pokryty dnešními řešeními EDR\NGAV. Vše se scvrkává na volbu mezi řešením existující mezery a dalším opatřením proti hrozbě, která je již z větší části pokryta. Je to opravdu fuk.

• Sdílet: