Webtrafikkryptering (AKA SSL, TLS, HTTPS) har længe været normen for de fleste webtjenester, især for virksomheders SaaS-applikationer som Salesforce, Microsoft Outlook 365 og Skype. For at hjælpe med at beskytte denne trafik mod aflytning og potentiel eksponering af følsomme data er end-to-end-kryptering en kritisk og effektiv sikkerhedsforanstaltning til at reducere risikoen.
Organisationer står imidlertid over for en meget bredere vifte af trusler, herunder ransomware og andre former for webbåren malware, databrud og mere. For at løse dette er sikkerhedsværktøjer som URL-filtrering, antivirus, sandbox, Data Loss Prevention (DLP), Cloud Access Security Brokers (CASB), for at nævne nogle få, implementeret og sat til at inspicere al webtrafik.
Mens de fleste sikkerhedsprofessionelle føler, at den rigtige blanding af sikkerhedsværktøjer vil holde deres brugere og organisationer sikre, forhindrer en vidt udbredt praksis kaldet "certificate pinning" disse værktøjer i at levere den beskyttelse, de er blevet betroet.
Hvad er certifikatfastgørelse, og hvordan bringer det din organisation i fare?
Netværkssikkerhedsværktøjer implementerer deres beskyttelse ved at inspicere webtrafik, mens den strømmer gennem dem. For krypteret trafik kræver dette, at de dekrypterer den for at få den synlighed, de har brug for. De fleste sikkerhedsværktøjer løser dette ved at udføre det, der er kendt som SSL-inspektion. Uden at blive for teknisk vil vi bare sige, at dette normalt gøres ved hjælp af selvsignerede certifikater og en teknik kendt som man-in-middle. For det meste fungerer dette ret godt, indtil de støder på en tjeneste, der bruger certifikatstifting. Igen, uden at dykke for dybt, er certifikatstifting en mekanisme, der bruges af webtjenester til at undgå man-in-the-midten-inspektion, som forårsager sådanne forsøg på at afbryde forbindelsen og forhindre brugere i at udføre deres arbejde, hvilket forårsager frustration og påvirker forretningen.
Den eneste måde at aktivere sådanne tjenester på er at omgå SSL-inspektion, hvilket gør dine sikkerhedsprodukter ubrugelige og efterlader dine brugere udsat for trusler.
Hvor almindelig er brugen af certifikatfastgørelse? Det bruges af alle ovennævnte tjenester: Salesforce, Microsoft 365 Outlook og Skype, såvel som mange andre almindeligt anvendte forretningsapplikationer: Dropbox, Google Drive, Webex Teams, Amazon Drive, DocuSign og mange flere.
Sikkerhedsleverandører er meget opmærksomme på denne mangel og har udtænkt løsninger, som ikke er afhængige af SSL-inspektion. Løsningerne er API-baserede, og uden at gå for meget i detaljer, vil vi blot sige, at de har to meget kritiske ulemper. Den første er, at de ikke giver beskyttelse i realtid. De er afhængige af en advarsel, der skal sendes fra SaaS-udbyderen, som skal ses, analyseres og først derefter reageres på. Dette kan tage alt fra minutter til timer og nogle gange dage, hvor det typisk er alt for sent at stoppe et brud.
For det andet kan denne løsning kun anvendes på sanktionerede SaaS-applikationer, som virksomheden er bekendt med og har implementeret løsningen til. Da mere end 85 % af SaaS-applikationer ikke er godkendte, efterlader dette en betydelig del af SaaS-angrebsoverfladen fuldstændig afdækket, selv for efterretninger.
API-baserede løsninger er klart langt fra ideelle til at levere den sikkerhed, din organisation har brug for.
Hvordan kan vi overvinde certifikatfastgørelse?
Problemet ligger i man-i-midten-tilgangen, som traditionelle værktøjer bruger. Dette gælder for løsninger leveret som edge-deployerede apparater, fysiske eller virtuelle, samt cloud-leverede tjenester (f.eks. cloud SWG, CASB, SSE/SASE).
Ved at flytte implementeringsstedet ind i selve browseren er vi i stand til at overvinde denne begrænsning. Da browseren har synlighed i udgående trafik, før den er krypteret, og indgående trafik, efter den er dekrypteret, giver inspektion af trafikken på dette skæringspunkt den nødvendige indsigt til effektivt at detektere og blokere trusler. Dette muliggør komplet sikkerhedsdækning med realtidsbeskyttelse for al webtrafik, inklusive tjenester, der bruger certifikatstifting.
At placere websikkerhed i browseren har mange andre fordele, herunder forbedret ydeevne og brugeroplevelse, da trafik kan sendes direkte til dens destination, også synlighed i browserkomponenter såsom risikable udvidelser og synlighed i ikke-godkendte brugerhandlinger i browseren som f.eks. kopiere og indsætte følsomme data samt indtaste dem i Gen AI-værktøjer. Det giver også TCO-fordele ved at reducere antallet af nødvendige løsninger og eliminere behovet for supplerende løsninger såsom API-baseret sikkerhed.
LayerX Enterprise Browser Extension integreres naturligt med enhver browser og gør den til det mest sikre og overskuelige arbejdsområde. Virksomheder bruger LayerX til at sikre deres enheder, identiteter, data og SaaS-apps mod netbårne trusler og browsingrisici, såsom datalækage over nettet, SaaS-apps og GenAI-værktøjer, ondsindede browserudvidelser, phishing, kontoovertagelser og mere.
Anmod om en demo af LayerX link.
