Den mørke side af virksomhedsbrowsere: faktatjek 6 af deres påstande

I 2022 var der en enorm hype omkring browsersikkerhed og virksomhedsbrowsere. Men selvom de hævder at give "virksomhedssikkerhed", er virksomhedsbrowsere faktisk langt fra perfekte. Faktisk har de nogle kritiske ulemper.

Hvad er de, og hvad er alternativet? I denne blog vil jeg skelne mellem browsersikkerhed og virksomhedsbrowsere, adressere fordele og ulemper ved hver enkelt browser og kaste lys over den browsergæld, der opstår ved migrering til en virksomhedsbrowser. Læs videre for at se, hvilke krav der fremsættes af virksomhedsbrowservirksomheder, og om de rent faktisk kan leve op til dem.

Browseren har brug for mere sikkerhed. Er en virksomhedsbrowser den rigtige løsning?

I de sidste par år har der været nogle tektoniske skift inden for IT. Disse skift gjorde traditionelle sikkerhedsløsninger, såsom firewalls, SWG'er, VDI'er og VPN'er, irrelevante. Netværkssikkerhedsværktøjer kan ikke inspicere komplekse SaaS-applikationer, som er ved at blive udbredt på tværs af arbejdsstyrken. Medarbejdere arbejder på afstand og hader at browse via en VPN. Data er spredt mellem utallige applikationer og er svære at beskytte. Virtuelle desktops er dyre og giver dårlig ydeevne; de er det forkerte værktøj til jobbet med at få adgang til webapplikationer.

Med andre ord bliver de mest brugte værktøjer i virksomhedens cybersikkerhedsstakken ubrugelige. Dette er en perfekt storm, der fik organisationer til at hige efter en moderne browsersikkerhedsløsning, der giver synlighed, sikkerhed og kontrol i hver websession. 

Ægte browsersikkerhed kræver, at man adresserer browserens synspunkt for at sikre, at den tager højde for end-to-end-kryptering og gengivelsesprocessen. Under hensyntagen til browserarkitekturen kan en sådan løsning leveres på en af ​​to måder:

• En browserudvidelse oven på den eksisterende browser (resultatet ligner en EDR oven på OS)
• Brug af Firefox- eller Chromium-gengivelsesmotorer til at bygge en ny browser (resultatet svarer til at tilpasse et Linux/Android OS for at skabe en ny smag)

Hvad er en virksomhedsbrowser?

Enterprise browsere (AKA "sikre virksomhedsbrowsere") er Chromium-baserede (eller Firefox-baserede) browsere, der er bygget til virksomhedsmiljøet. De giver Chrome (eller Firefox) gengivelsesfunktioner. Men i stedet for de native Chrome/Edge-funktioner introducerer de deres egne sikkerheds-, administrations- og identitetsfunktioner.

Enterprise-browsere beder kunder om at sige farvel til deres elskede Chrome, Edge, Firefox og Safari til fordel for noget nyt og angiveligt mere sikkert. Til gengæld pådrager de sig et månedligt abonnementsgebyr, en ikke så simpel implementeringsproces og rigid leverandørafhængighed.

Påstandene fra virksomhedsbrowserleverandører, der har til formål at overbevise organisationer om at vælge dem, er ikke gyldige fra mit synspunkt. I det næste afsnit vil jeg henvise til hver af disse påstande og give mine to cybercents om dem.

"En halv sandhed er ofte en stor løgn" - Benjamin Franklin

Påstand #1: Chrome er den mest sårbare browser

FALSK

Dette er et klassisk eksempel på overlevelsesbias. Google er ikke den mest sårbare browser, men snarere den mest patchede browser! Googles projekt nul er det bedste eksempel på softwaresårbarhedsscanning i it-historien.

De fleste Chromium-sårbarheder opdages af Googles ingeniører, og kun få bliver nogensinde udnyttet i naturen. Desuden er antallet af særskilte sårbarheder, der kræves for at kunne udnytte denne browser, stejlt stigende. Som en kendsgerning er ordet på den digitale gade, at hvis du kan udføre fjernudførelse af kode med en sandbox-escape, kan du sælge den for et par millioner dollars.

Du burde faktisk være mere bekymret for produkter, der ikke afslører deres sårbarheder. Hvis de ikke afslører dem, retter de dem ikke. Google er tværtimod åben og gennemsigtig omkring Chromiums sårbarheder, fastholder det som et open source-projekt og demonstrerer den hurtigste patching-rutine i it-branchen. 

Den underliggende sandhed for CISO'er er, at Chromium-browsere giver den bedste sikkerhedsarkitektur i deres miljø. Det er faktisk it-værktøjerne uden ordentlig afsløring af sårbarhed, de skal bekymre sig om.

Hvis du ikke er enig, så prøv at finde en CISO, der oplevede en Chrome nul-dages udnyttelse, eller prøv bare at udnytte Chrome selv.

Påstand #2: Virksomhedsbrowsere retter sårbarheder hurtigere end Chrome

MEST FALSK

Google har en forudsigelig softwareudgivelseslivscyklus. Hver softwareopdatering implementeres i henhold til følgende trin: canary, beta, ustabil og stabil. Nogle gange vil det tage et par uger for et nyt stykke kode at gå fra at blive skrevet til at blive implementeret over hele verden.

Nogle virksomhedsbrowsere hævder at skubbe softwareopdateringer til produktion hurtigere end Google, hvilket betyder, at de angiveligt retter sårbarheder hurtigere end Chrome.

Men virkningsfulde sårbarheder bliver faktisk rettet af Google på en out-of-band-måde inden for få dage og uden for Chromes normale udgivelseslivscyklus. Det betyder, at når man har at gøre med en lort-hit-the-fan-type sårbarhed (alvorlig, udnyttet i naturen osv.), gør Google en enestående indsats for at rette op på det på ingen tid.

Dette nye stykke kode i Chromium er ikke mærket som relateret til sikkerhedsproblemer, og det går direkte til produktion. Med andre ord har virksomhedsbrowsere ingen mulighed for at vide, at det er væsentligt, og hvilke kompatibilitetsproblemer der kan opstå.

Mit råd ville være at bede din virksomhedsbrowser om at frigive sin versionshistorik. Det er god praksis for softwareleverandører at være gennemsigtige omkring deres faktiske udgivelsescyklus.

Påstand #3: Enterprise browserkode er mere sikker end kommerciel browserkode og er immun over for angreb på browseren

MÅSKE

Ethvert stykke software har sine sårbarheder og sikkerhedsproblemer (selv en virksomhedsbrowser). Spørgsmålet er – er der sikkerhedshuller i standardbrowsere? Den bedste måde at besvare dette spørgsmål på er at kontrollere de måder, der gør det muligt at bryde kommercielle browsere. 

Svaret er givet af både malware og antivirussoftware. Begge ønsker adgang til browseren for at overvåge aktivitet - malware til at stjæle adgangskoder og antivirussoftware til at blokere malware. Begge gør normalt dette ved at implementere en lokal browserudvidelse. Det betyder, at det er svært at overvåge browseraktivitet, da browseren er isoleret i en sandkasse med begrænset adgang til resten af ​​systemet, og bruger kryptering til at beskytte data. Det er faktisk sikkert nok på kodeniveau. 

Der findes huller, men ikke på kodeniveau. Browserdatafiler (cookies, adgangskodefiler og downloads) kan tilgås af malware. Men dette kræver ikke, at du ændrer hele browseren. Derudover, hvis malware er det, du er bange for, er dit bedste bud at bruge en slutpunktsbeskyttelsesløsning. Brug det rigtige værktøj til opgaven.

For at tilføje en sidebemærkning - jeg ville personligt frygte, at virksomhedsbrowseren vil introducere flere sårbarheder end dem, den kunne lappe. Grunden til dette er, at Chromium er understøttet af både Google og et enormt økosystem involveret i dets open source-projekt. Chromium-koden har en fantastisk standard for sikkerhedsbaseline. Jeg ville frygte meget mere fra ny kode, der forstyrrer den eksisterende kode og den eksisterende måde at arbejde på end Chromium-kode.

Påstand #4: Kommercielle browsere giver ikke tilstrækkelige styrings- og styringskapaciteter

DELVIS SAND

For Google Workspace-kunder er Chrome Enterprise gratis og giver direkte administrationsfunktioner. For Office365-brugere er der administrerede Edge-indstillinger, der kan indstilles af enhedsadministrationsværktøjer. De er ikke så detaljerede som virksomhedsbrowsere, men disse huller kan løses med en virksomhedsbrowserudvidelse.

En virksomhedsbrowserudvidelse (f.eks LayerX) tilføjer administrationsfunktioner i sessioner og kontrollerer forskellige browser-API'er. Dette gør det muligt at tilpasse eksisterende browsere og omdanne dem til sikre browsere i virksomhedskvalitet. Mens browseren bringer tilgængeligheden og pålideligheden af ​​webtrafik, tilføjer udvidelsen sikkerhed og styringsfunktioner oven i det.

Faktisk er det præcis, hvad browserleverandører med vilje tillader. Administrerede browsere (Chrome og Edge) såvel som Firefox og Safari understøtter alle omfattende og stabile tilpasningsmuligheder med virksomhedsbrowserudvidelser.

Påstand #5: Udvidelser er ikke så effektive som browseren

IRRELEVANT OG STORST FALSK

Denne påstand svarer til at sige, at en spiseske er mere kraftfuld end en teske. Det kommer meget an på, hvad du vil røre.

Med hensyn til browsersikkerhed er de fleste tilfælde relateret til det gengivede indhold (med enkle ord – de websteder, vi browser til). Udvidelser har den samme tilgængelighed til det gengivede indhold (dvs. post-dekryptering, kildekode, DOM, browser-debugger og tonsvis af sjove ting). Det betyder, at et enklere værktøj end browseren kan få arbejdet gjort med mindre indsats.

Funktioner, som en udvidelse ikke kan håndtere, behandles allerede ret godt af browserleverandørerne. Google, Microsoft, Mozilla og Apple gør et utroligt stykke arbejde med at levere et SOTA-produkt med tonsvis af sikkerhedsfunktioner indeni. Med andre ord sammenligner du ikke virksomhedsbrowsere vs. en udvidelsesløsning, men faktisk virksomhedsbrowsere vs. Chrome+udvidelseskombinationen.

Derudover er kraften ved virksomhedsbrowsere et tveægget sværd. Jo flere ændringer de foretager til Chromium, jo ​​større er chancerne for, at de vil forkaste det, hvilket gør dem umulige at opdatere inden for rimelige tidsrammer. Betydningen af ​​dette er, at virksomhedsbrowsere sandsynligvis vil foretage så få ændringer som muligt i Chromium-koden, mens de baserer det meste af deres sikkerhed på en medfølgende udvidelse eller på en lokal proxy.

Påstand #6: Enterprise-browsere giver den samme oplevelse som Chrome

HALV SANDHED

Det er Chromium, der giver en LIGNENDE oplevelse til Chrome. Oplevelsen er ikke identisk, og ingen lover, at Google vil blive ved med at dele det meste af sin kode med sine konkurrenter. Med tiden ser vi, at Google tilføjer specifikke funktioner i Chrome, som ikke er en del af Chromium.

Hvad virksomhedsbrowsere ikke fortæller dig

Jeg forventer, at ud over deres unikke fordele vil virksomhedsbrowsere også have nogle uvelkomne ulemper, som vil bringe mange it-teams til tårer i de kommende år.

Disse ulemper inkluderer:

• Upålidelig og inkonsekvent patchingrutine: Enterprise-browsere udgiver ikke deres patching-rutiner. Men ekstrapoleret fra Brave og Edge kan det tage dem mindst 12 timer (og op til flere dage) at lappe Chromium zero-day sårbarheder, der blev rettet af Google på en out-of-band måde.
• Potentiel applikationsinkompatibilitet: Virksomheder vil fortsætte med at bygge deres applikationer til Chrome og Edge. Men selvom en virksomhedsbrowser i dag er fuldt kompatibel, er der ingen, der garanterer, at morgendagen vil være den samme. Enhver tilføjet kode oven på Chromium kan have sine egne problemer og fejl, hvilket betyder, at medarbejderne muligvis ikke har adgang til de applikationer, de skal bruge for at få deres arbejde udført.
• Delvis synlighed: Dine medarbejdere vil stadig bruge kommercielle browsere så meget de kan (enten for arbejde eller sjov). Dette betyder, at du vil stå tilbage med massive huller, hvilket kan medføre tab af funktioner og trusler.
• Den værste leverandørlås i cybersikkerhedens historie: Forestil dig, at du bruger en virksomhedsbrowser. Du er glad for den. En bedre virksomhedsbrowser kommer dog til en billigere pris. Hvordan vil du migrere? Alle dine præferencer, identiteter, adgangskoder og cookies gemmes i din eksisterende browser. Browservirksomhederne annoncerer, at alle deres cookies er krypteret, og at al hukommelse er fuldt isoleret. Hvis den gør det, den siger, den gør, så vil du befinde dig i en leverandørlås.
• Mister gratis kapaciteter: Dine eksisterende browsere kommer med nogle fantastiske muligheder. Chrome har den bedste blokeringsliste i branchen. Edge har den bedste lokale isolationstjeneste (AppGuard). Firefox bringer utrolige privatlivsfunktioner. Listen bliver ved og ved. Husk, at ved at bruge disse browsere får du stor værdi uden omkostninger.
• Uendelig friktion: En dag vil noget ikke fungere med virksomhedsbrowseren. Det kan skyldes et problem på virksomhedsbrowserleverandørens side, Googles begrænsning af andre browseres mulighed for at bruge Chromium eller en ren medarbejderfejl. Én ting er sikker – medarbejderen vil højst sandsynligt sige “denne browser virker ikke. Det stinker." Brug af en virksomhedsbrowser vil sandsynligvis involvere en masse gnidninger med din arbejdsstyrke, da meget få sikkerhedsprodukter beder medarbejderne om at ændre måden, de arbejder på. At ændre den måde, folk arbejder på, er mere en kulturel byrde end et sikkerhedsaktiv.
• Den digitale identitetskamp: Den vigtigste funktion i Chrome og Edge (prikken over i’et) er deres integration med cloud office-identiteten. Det betyder, at for organisationer, der bruger Google Workspace, giver Chrome en browserprofil knyttet til Google-identiteten. For Office365-brugere giver Edge en browserprofil knyttet til Microsoft-identiteten. Dette betyder, at næsten enhver organisation derude allerede har en betalt administreret browser (enten Chrome eller Edge), der fungerer forbløffende med dens relevante SaaS-applikationspakke. Flytning til en anden browser vil forringe denne oplevelse og tilføje endnu en (unødvendig) identitetstjeneste til it-stakken. I stedet for at tilføje sikkerhed, vil det kun skabe forvirring blandt medarbejderne og øge IT-omkostningerne.

Det sikre og friktionsfrie alternativ til virksomhedsbrowsere

Der er én ting, som virksomhedsbrowservirksomhederne er spot-on om; browseren er det vigtigste arbejdsområde og den mest værdifulde synlighedskilde i organisationen. Hos LayerX synes vi, at løsningen til at sikre browserne er enkel – vi skal bringe så meget sikkerhed som muligt til eksisterende browsere.

På samme måde som driftssystemer er sikret med endpoint-beskyttelse løsninger (i stedet for en hærdet Linux-smag) og e-mail-tjenester med e-mail-sikkerhedsværktøjer (i stedet for en tilpasset "sikker e-mail"), er en browsersikkerhedsplatform løsningen til bekymringer om browsersikkerhed.

Brug af en virksomhedsbrowserudvidelse bringer alle mulige sikkerhedsfunktioner til browseren uden at gå på kompromis med brugeroplevelsen.

• Del: