Problémy izolace vzdáleného prohlížeče

Bezpečné prohlížení webu

Nebo Eshed Zveřejněno – 02. února 2023

Obsah

Dva typy izolace vzdáleného prohlížeče
1. Pixel Pushing
2. Manipulace s DOM
Výzvy manipulace DOM
1. Bezpečnostní otázky
2. Omezená věrnost
Výzvy Pixel-Pushing
Obecné výzvy izolace vzdáleného prohlížeče
Chraňte se před riziky procházení pomocí LayerX

Internetové prohlížeče představují dnes jednu z největších útočných ploch. Přepracování toho, jak a odkud zaměstnanci pracují, již prodloužilo zabezpečení perimetru za bod zlomu a největší obětí je prohlížeč. V roce 2022 došlo k rychlému nárůstu počtu škodlivých rozšíření prohlížečů, přičemž mezi lednem 4.3 a červnem 2020 bylo zacíleno 2022 milionu unikátních prohlížečů. Ty slouží jako keyloggery, adwarové servery a poskytovatelé škodlivých přidružených odkazů, což útočníkům umožňuje vytvořit si pevné místo v jinak chráněných prostředích.

Útočná plocha prohlížeče je usnadněna přímou blízkostí každého prohlížeče k ověřenému zařízení koncového uživatele. Když uživatel požádá o škodlivou stránku – nebo náhodně spustí komponentu škodlivé webové stránky – jakýkoli kód vložený do této stránky je spuštěn prohlížečem uživatele. Mezi prohlížečem zařízení a dalšími částmi širšího operačního systému není téměř žádná bariéra, což útočníkům propůjčuje neuvěřitelné množství kontroly poté, co je infiltrováno pouze jedno zařízení.

Vzdálená izolace prohlížeče (RBI) umístí fyzickou vzdálenost mezi koncovým zařízením a prohlížečem. Tento přístup znamená, že cloudová služba třetí strany zpracovává jakýkoli škodlivý kód, který může být přibalen k webové stránce, a v konečném důsledku tak chrání zařízení koncového uživatele – a širší podnikovou síť – před infekcí.

Navzdory ochraně slibované izolací vzdáleného prohlížeče byly výhody v reálném světě rozhodně nevýrazné. Výzvy spojené s izolací vzdáleného prohlížeče jsou pro koncové uživatele často šokem a technická omezení občas donutila organizace, aby si vybraly mezi uživatelskou zkušeností nebo ochranou prohlížeče. LayerX tomu rozumí zabezpečení prohlížeče může být víc než zaostalé webové stránky a nefunkční weby.

Tlačítko: [Další informace o platformě ochrany prohlížeče LayerX]

problémy s izolací vzdáleného prohlížeče

Dva typy izolace vzdáleného prohlížeče

Zatímco RBI popisuje vzdušnou mezeru procházení, pixel pushing a DOM manipulace nabízejí dvě odlišné metody, jak oddělit zařízení uživatele od externích webových stránek. Oba přístupy mohou mít jedinečně závažné dopady na širší podnikovou síť, takže je nezbytné porozumět výhodám a nevýhodám každého z nich.

Pixel Pushing

„Pixel pushing“ byl první komerčně úspěšnou formou izolace vzdáleného prohlížeče. Načítání nedůvěryhodné webové stránky v rámci virtuálního počítače nebo izolovaný kontejner, plně vzdálený prohlížeč spustí veškerý obsah stránky. Reprezentace každé stránky a interakce je streamována zpět do zařízení uživatele ve vektorovém grafickém formátu, což usnadňuje online interakci co nejblíže typickému procházení. Toto řešení zpracovává phishingové weby s varováním na straně klienta, označuje potenciální weby a vydává je ve formátu pouze pro čtení. Tímto způsobem je škodlivý kód držen daleko od zařízení uživatele, bez ohledu na to, zda uživatel omylem zahájil stahování nebo ne.

Manipulace s DOM

Manipulace s DOM začíná v podstatě stejným způsobem: cloudový server nejprve načte webovou stránku. Namísto pouhého streamování reprezentace videa uživateli však tato technika hraje aktivnější roli v zabezpečení prohlížeče. DOM neboli objektový model dokumentu označuje objekty tvořící jednotlivé části webové stránky. Při manipulaci s DOM cloudový prohlížeč načte a vyhodnotí každý prvek na webové stránce; cílem je eliminovat rozpoznatelné exploity, škodlivá vyskakovací okna a aktivní kód, jako je JavaScript. Vzdálený prohlížeč pak předá tento kód prohlížeči koncového uživatele, který jej použije k rekonstrukci „čisté“ verze každého webu.

V roce 2018 společnost Gartner Insights zveřejnila svou první zprávu podrobně popisující potenciál vzdálené izolace prohlížeče. S názvem Je čas izolovat své uživatele od internetové žumpyprůmyslová odvětví skočila po možnosti úplné ochrany proti phishingu, zero-day a malwaru. Od té doby však RBI zjistila, že implementace je značně omezená díky řadě hlavních problémů. Od nebetyčně vysoké latence až po spirálovité rozpočty, níže je rozpis některých jedinečných omezení obou přístupů.

Výzvy manipulace DOM

Manipulace DOM představuje o něco novější přístup k RBI, který se pokouší řešit problémy pixel-pushingu. Rekonstrukční proces však přináší některé vlastní problémy.

Bezpečnostní otázky

I když manipulace s DOM může vymazat web s užitečnými daty, převládá hrozba skrytých útoků. Špatná identifikace kódu webových stránek jako neškodného je možná prostřednictvím pokročilých útoků, které skrývají své užitečné zatížení pod alternativními formuláři. Díky architektuře rekonstrukce DOM může být kód, který se skrývá pod rouškou neškodného obsahu stránek – zvláště rozšířený u phishingových útoků – stále předán do místního zařízení koncového uživatele. Propojení zařízení s veřejným internetem, i přes tvrdý proces rekonstrukce ve stylu perimetru, nadále představuje hrozbu pro nulovou důvěru.

Omezená věrnost

Kromě obav z nulové důvěry nebyly pokusy vykreslování DOM bojovat s vážnými dopady používání pixelů na uživatele tak úspěšné, jak se slibovalo. V procesu aktivního odstraňování škodlivých prvků přepisování celých webových stránek často zcela rozbije dynamické stránky. Každý web s neobvyklou architekturou bude také narušen procesem přestavby. Vzhledem k tomu, že JavaScript na straně klienta tvoří stále větší počet moderních webových stránek, je negativně ovlivněna produktivita zaměstnanců díky omezenější funkčnosti prohlížeče. Kromě toho bylo hlášeno, že vykreslování DOM má potíže s podporou celopodnikových aplikací pro produktivitu, jako jsou Office 365 a G Suite od společnosti Google. Následné nahromadění IT vstupenek může organizaci přimět, aby rychle ustoupila od jakýchkoli vývojových kroků směrem k rozšířenému zabezpečení prohlížeče.

Výzvy Pixel-Pushing

I když se tím udržuje úplná vzduchová mezera mezi zařízením a jakýmikoli externími webovými servery, přináší to značné náklady na uživatelskou zkušenost a jako takovou ochranu.

Mobilní podpora

Vzhledem k vysokým požadavkům na šířku pásma pixel pushing je téměř nemožné implementovat pro mnoho dnešních mobilních zařízení. S chytrými telefony, které se staly dominantním způsobem interakce zaměstnanců s webem, nezůstal nedostatek ochrany bez povšimnutí zlomyslných aktérů. Například v průběhu roku 2022 výzkumníci detekovali rostoucí úrovně mobilního malwaru a rozšíření prohlížečů pro IoS i Android. Obzvláště znepokojivé byly aplikace nabité malwarem, přičemž opakovaní pachatelé se chlubili více než 10 miliony stažení; tyto statistiky poukazují na důležitost ochrany procházení pro každé zařízení.

Nízké rozlišení

Vysoké nároky na streamování videa v téměř reálném čase vedou k posunu pixelů, který přirozeně tíhne ke kvalitě videa s nižší hustotou. I když to u hardwaru nižší třídy nemusí být hned zřejmé, displeje s vysokým DPI umocňují mírně podprůměrné rozlišení. Koncoví uživatelé si často stěžují na kvalitu písma, které se může zdát neostré a neostré.

Problémy se zabezpečením

I když se může zdát, že pixel pushing představuje mnohem neprůstřelnější přístup k zabezpečení, jeho vážné důsledky na uživatelskou zkušenost mohou ve skutečnosti vidět, že „bezpečný prohlížeč“ poškodí celkový bezpečnostní postoj podniku. Aby se předešlo problému koncových uživatelů, některé podniky vyžadují řešení pouze v odděleních, která se zaměřují na vysoce citlivé informace; nebo použít tuto techniku pouze na webové stránky, o kterých se předpokládá, že jsou zvláště rizikové. Bez ohledu na přístup je základ vzduchové mezery při zatlačování pixelů okamžitě proražen, pokud je aplikován pouze sporadicky.

Obecné výzvy izolace vzdáleného prohlížeče

Kromě specifických zvláštností vkládání pixelů a rekonstrukce DOM existují některé základní výzvy, které RBI musí ještě překonat.

Vysoká latence

Během procesu procházení je provoz každého uživatele nejprve přesměrován do vybraného cloudového systému řešení. Ať už je to hostováno ve veřejném cloudu nebo v geograficky omezené podnikové síti, fyzická vzdálenost hraje v době načítání větší roli. Tato dodatečná vzdálenost požadovaná od těchto datových paketů se může zdát libovolná, ale problém se ještě zhorší, když se zasadí do širšího kontextu podniku, který si uvědomuje bezpečnost. Zabezpečené webové brány a další proxy jsou zřídka hostovány ve stejných datových centrech jako řešení RBI, což vede k neefektivnímu a frustrujícímu procházení.

Vysoká spotřeba šířky pásma

Neustálé streamování videa v izolaci prohlížeče je velmi náročné na šířku pásma. Pro ty, kteří se snaží odpovídajícím způsobem škálovat své síťové zdroje, může bezpečnostní řešení rychle přetížit síť. Od zpoždění až po občasné výpadky je nespolehlivé spojení jednou z hnacích sil neúplné ochrany RBI.

Vysoké náklady

Z výpočetního hlediska jsou obě formy RBI vysoce intenzivní. Nepřetržité kódování toků videa a hloubková rekonstrukce kódu stránky, ke které dochází při každé nové kartě, vyžaduje špičkový hardware. Náklady se přenášejí na zákazníky, což má za následek nerovnoměrnou ochranu s vysokými finančními náklady.

Chraňte se před riziky procházení pomocí LayerX

LayerX si uvědomuje rozšířené potíže, kterým RBI čelí, a proto se na každý z nich zaměřuje se závazkem skutečně uživatelsky přívětivé ochrany prohlížeče.

Naše odlehčené rozšíření podnikového prohlížeče je jádrem naší platformy s nízkou šířkou pásma. Umístěním senzorů na samý okraj sítě lze každou jednotlivou událost procházení a funkci webové stránky vyhodnocovat v reálném čase. Srdcem ochrany koncového uživatele je náš motor Plexus. Analýza poskytovaná tímto nástrojem strojového učení je postavena na dvoumotorovém přístupu. Události shromážděné rozšířením jsou neustále vkládány do tohoto programu, přičemž každá událost je analyzována s ohledem na vaše celopodnikové zásady prosazování.

Kromě vlastní tolerance rizik vaší organizace je analýza hrozeb shromážděna daty z databáze LayerX Threat Intel. S kontextem vysoce granulárních uživatelských dat – a stále se přizpůsobující širší inteligence o hrozbách – tento připravený systém umožňuje přesnou detekci škodlivého kódu. Toto je převedeno zpět do proaktivního vynucovacího systému rozšíření. Komponenty Enforcer používají vkládání a úpravy kódu k neutralizaci vysoce rizikového kódu – ještě předtím, než je prohlížeč odhalen.

Tato ochranná akce probíhá bez latence. Představte si to jako přirozený vývoj manipulace DOM – namísto aktivního přepisování celých stránek kódu umožňuje náš vysoce zaměřený přístup ochranu bez latence. Pokud nejsou přítomny žádné hrozby, uživatel může jednoduše pokračovat v prohlížení jako obvykle.

LayerX jde daleko za jednoduchou analýzu webových stránek; se zaměřením na soudržnou ochranu napříč všemi zařízeními umožňují uživatelská data, která jsou součástí jejich ochrany, také bezpečnostním týmům zpřísnit bezpečnostní zásady podle potřeby. Všechny události na úrovni senzorů jsou agregovány a zpracovávány do konzoly pro správu, která nabízí další úroveň přehledu o spravovaných a nespravovaných zařízeních a rizicích, kterým čelí. Tento praktický pohled na podnikové zabezpečení umožňuje bezpečnostním týmům přizpůsobovat své aktivity a zásady přístupu s mnohem větší přesností, což vede ke zvýšenému bezpečnostnímu postoji, který daleko přesahuje izolaci prohlížeče.

Nebo Eshed

Nebo Eshed je spoluzakladatel a CEO platformy Browser Security LayerX s více než desetiletými zkušenostmi v oblasti kybernetické bezpečnosti, umělé inteligence a informační války.

Zabezpečení používání umělé inteligence

Zabezpečení podnikového prohlížeče

Zpráva o zabezpečení LayerX Enterprise GenAI za rok 2025

Partneři

O nás