Die dunkle Seite von Unternehmensbrowsern: Faktencheck von 6 ihrer Behauptungen

Im Jahr 2022 gab es einen enormen Hype um Browsersicherheit und Unternehmensbrowser. Obwohl sie behaupten, „Sicherheit auf Unternehmensniveau“ zu bieten, sind Unternehmensbrowser in Wirklichkeit alles andere als perfekt. Tatsächlich haben sie einige entscheidende Nachteile.

Was sind sie und was ist die Alternative? In diesem Blog werde ich zwischen Browsersicherheit und Unternehmensbrowsern unterscheiden, auf die jeweiligen Vor- und Nachteile eingehen und etwas Licht auf die Browserschulden werfen, die bei der Migration zu einem Unternehmensbrowser entstehen. Lesen Sie weiter, um zu erfahren, welche Ansprüche Enterprise-Browser-Unternehmen stellen und ob sie diesen tatsächlich gerecht werden können.

Der Browser braucht mehr Sicherheit. Ist ein Unternehmensbrowser die richtige Lösung?

In den letzten Jahren gab es einige tektonische Veränderungen in der IT. Diese Veränderungen machten herkömmliche Sicherheitslösungen wie Firewalls, SWGs, VDIs und VPNs irrelevant. Netzwerksicherheitstools können komplexe SaaS-Anwendungen nicht überprüfen, die in der Belegschaft immer häufiger eingesetzt werden. Mitarbeiter arbeiten remote und hasse es, über ein VPN zu surfen. Daten sind auf unzählige Anwendungen verteilt und schwer zu schützen. Virtuelle Desktops sind teuer und bieten eine schlechte Leistung; Sie sind das falsche Werkzeug für den Zugriff auf Webanwendungen.

Mit anderen Worten: Die am häufigsten verwendeten Tools des Cybersicherheits-Stacks von Unternehmen werden unbrauchbar. Dies ist ein perfekter Sturm, der dazu geführt hat, dass Unternehmen sich nach einer modernen Browser-Sicherheitslösung sehnen, die Transparenz, Sicherheit und Kontrolle in jeder Websitzung bietet. 

Echte Browser-Sicherheit erfordert die Berücksichtigung der Browser-Perspektive, um sicherzustellen, dass eine Ende-zu-Ende-Verschlüsselung und der Rendering-Prozess berücksichtigt werden. Unter Berücksichtigung der Browserarchitektur kann eine solche Lösung auf zwei Arten bereitgestellt werden:

• Eine Browsererweiterung zusätzlich zum vorhandenen Browser (das Ergebnis ähnelt einem EDR zusätzlich zum Betriebssystem)
• Verwenden von Firefox- oder Chromium-Rendering-Engines zum Erstellen eines neuen Browsers (das Ergebnis ähnelt dem Anpassen eines Linux-/Android-Betriebssystems, um eine neue Variante zu erstellen)

Was ist ein Unternehmensbrowser?

Unternehmensbrowser (auch bekannt als „sichere Unternehmensbrowser“) sind Chromium-basierte (oder Firefox-basierte) Browser, die für die Unternehmensumgebung entwickelt wurden. Sie bieten Chrome- (oder Firefox-) Rendering-Funktionen. Anstelle der nativen Chrome/Edge-Funktionen führen sie jedoch eigene Sicherheits-, Verwaltungs- und Identitätsfunktionen ein.

Unternehmensbrowser fordern Kunden dazu auf, sich von ihren geliebten Browsern Chrome, Edge, Firefox und Safari zu verabschieden und sich stattdessen etwas Neues und vermeintlich Sichereres zu gönnen. Im Gegenzug fallen für sie eine monatliche Abonnementgebühr, ein nicht ganz so einfacher Bereitstellungsprozess und eine starre Anbieterabhängigkeit an.

Die Behauptungen der Anbieter von Unternehmensbrowsern, mit denen Unternehmen davon überzeugt werden sollen, sich für sie zu entscheiden, sind aus meiner Sicht nicht stichhaltig. Im nächsten Abschnitt werde ich auf jede dieser Behauptungen eingehen und meine Meinung dazu darlegen.

„Eine halbe Wahrheit ist oft eine große Lüge“ – Benjamin Franklin

Behauptung Nr. 1: Chrome ist der anfälligste Browser

FALSCH

Dies ist ein klassisches Beispiel für Survival Bias. Google ist nicht der anfälligste Browser, sondern der am meisten gepatchte Browser! Googles Project Zero ist das beste Beispiel für das Scannen von Software-Schwachstellen in der Geschichte der IT.

Die meisten Chromium-Schwachstellen werden von den Google-Ingenieuren entdeckt und nur wenige werden überhaupt ausgenutzt. Darüber hinaus nimmt die Zahl der einzelnen Schwachstellen, die für eine erfolgreiche Ausnutzung dieses Browsers erforderlich sind, stark zu. Tatsächlich heißt es auf der digitalen Straße, dass man Code für ein paar Millionen Dollar verkaufen kann, wenn man ihn mit einem Sandbox-Escape aus der Ferne ausführen kann.

Eigentlich sollten Sie sich mehr Sorgen über Produkte machen, die ihre Schwachstellen nicht offenlegen. Wenn sie sie nicht offenlegen, beheben sie sie nicht. Google hingegen geht offen und transparent mit den Schwachstellen von Chromium um, verwaltet es als Open-Source-Projekt und demonstriert die schnellste Patching-Routine in der IT-Branche. 

Die grundlegende Wahrheit für CISOs ist, dass Chromium-Browser die beste Sicherheitsarchitektur in ihrer Umgebung bieten. Es sind eigentlich die IT-Tools ohne ordnungsgemäße Offenlegung von Schwachstellen, über die sie sich Sorgen machen sollten.

Wenn Sie damit nicht einverstanden sind, versuchen Sie, einen CISO zu finden, bei dem ein Zero-Day-Angriff auf Chrome aufgetreten ist, oder versuchen Sie einfach, Chrome selbst auszunutzen.

Behauptung Nr. 2: Unternehmensbrowser beheben Schwachstellen schneller als Chrome

MEIST FALSCH

Google hat einen vorhersehbaren Software-Release-Lebenszyklus. Jedes Softwareupdate wird gemäß den folgenden Schritten bereitgestellt: Canary, Beta, Unstable und Stable. Manchmal dauert es ein paar Wochen, bis ein neuer Code geschrieben und weltweit bereitgestellt wird.

Einige Unternehmensbrowser behaupten, Software-Updates schneller in die Produktion zu bringen als Google, was bedeutet, dass sie Schwachstellen angeblich schneller beheben als Chrome.

Allerdings werden schwerwiegende Schwachstellen von Google tatsächlich außerhalb des regulären Veröffentlichungslebenszyklus von Chrome innerhalb weniger Tage und außerhalb des Bandes gepatcht. Das bedeutet, dass Google bei der Behebung einer Schwachstelle vom Typ „Hit-Hit-the-Fan“ (schwerwiegend, in freier Wildbahn ausgenutzt usw.) hervorragende Anstrengungen unternimmt, um sie in kürzester Zeit zu beheben.

Dieser neue Code in Chromium wird nicht als sicherheitsrelevant gekennzeichnet und geht direkt in die Produktion. Mit anderen Worten: Unternehmensbrowser haben keine Möglichkeit zu erkennen, wie wichtig es ist und welche Kompatibilitätsprobleme auftreten können.

Mein Rat wäre, Ihren Unternehmensbrowser zu bitten, seinen Versionsverlauf freizugeben. Für Softwareanbieter ist es eine gute Praxis, ihren tatsächlichen Veröffentlichungszyklus transparent zu machen.

Behauptung Nr. 3: Unternehmensbrowsercode ist sicherer als kommerzieller Browsercode und immun gegen Angriffe auf den Browser

VIELLEICHT

Jede Software hat ihre Schwachstellen und Sicherheitsprobleme (sogar ein Unternehmensbrowser). Die Frage ist: Gibt es Sicherheitslücken in Standardbrowsern? Der beste Weg, diese Frage zu beantworten, besteht darin, die Möglichkeiten zu prüfen, die es ermöglichen, in kommerzielle Browser einzudringen. 

Die Antwort liefern sowohl Malware als auch Antivirensoftware. Beide wollen Zugriff auf den Browser, um Aktivitäten zu überwachen – Malware, um Passwörter zu stehlen, und Antivirensoftware, um Malware zu blockieren. Beide tun dies normalerweise durch die Bereitstellung einer lokalen Browsererweiterung. Dies bedeutet, dass es schwierig ist, die Browseraktivität zu überwachen. da der Browser isoliert ist in einer Sandbox mit eingeschränktem Zugriff auf den Rest des Systems und nutzt Verschlüsselung zum Schutz der Daten. Auf Codeebene ist es tatsächlich sicher genug. 

Es gibt zwar Lücken, jedoch nicht auf Codeebene. Auf Browserdatendateien (Cookies, Passwortdateien und Downloads) kann Malware zugreifen. Dafür muss jedoch nicht der gesamte Browser geändert werden. Wenn Sie außerdem Angst vor Malware haben, ist es am besten, eine Endpoint-Schutzlösung zu verwenden. Verwenden Sie das richtige Werkzeug für den Job.

Um eine Randbemerkung hinzuzufügen: Ich persönlich befürchte, dass der Unternehmensbrowser mehr Schwachstellen mit sich bringt, als er schließen könnte. Der Grund dafür ist, dass Chromium sowohl von Google als auch von einem riesigen Ökosystem unterstützt wird, das an seinem Open-Source-Projekt beteiligt ist. Der Chromium-Code bietet einen erstaunlichen Standard für die Sicherheitsbasis. Ich hätte viel mehr Angst vor neuem Code, der den bestehenden Code und die bestehende Arbeitsweise beeinträchtigt, als vor Chromium-Code.

Behauptung Nr. 4: Kommerzielle Browser bieten keine ausreichenden Governance- und Verwaltungsfunktionen

Teilweise wahr

Für Google Workspace-Kunden ist Chrome Enterprise kostenlos und bietet sofort einsatzbereite Verwaltungsfunktionen. Für Office365-Benutzer gibt es verwaltete Edge-Einstellungen, die von Geräteverwaltungstools festgelegt werden können. Sie sind nicht so detailliert wie Unternehmensbrowser, aber diese Lücken können mit einer Unternehmensbrowser-Erweiterung geschlossen werden.

Eine Unternehmensbrowsererweiterung (z. B LayerX) fügt Verwaltungsfunktionen während der Sitzung hinzu und steuert verschiedene Browser-APIs. Dies ermöglicht die Anpassung vorhandener Browser und deren Umwandlung in sichere Browser der Unternehmensklasse. Während der Browser die Verfügbarkeit und Zuverlässigkeit des Webverkehrs bietet, fügt die Erweiterung darüber hinaus Sicherheits- und Governance-Funktionen hinzu.

Tatsächlich ist es genau das, was Browser-Anbieter absichtlich zulassen. Verwaltete Browser (Chrome und Edge) sowie Firefox und Safari unterstützen alle umfassende und stabile Anpassungsfunktionen mit Browsererweiterungen für Unternehmen.

Behauptung Nr. 5: Erweiterungen sind nicht so leistungsfähig wie der Browser

IRRELEVANT UND MEISTEN FALSCH

Diese Behauptung ist gleichbedeutend damit, dass ein Esslöffel stärker ist als ein Teelöffel. Es kommt wirklich darauf an, was Sie rühren möchten.

Was die Browsersicherheit betrifft, beziehen sich die meisten Anwendungsfälle auf den gerenderten Inhalt (in einfachen Worten: die Websites, die wir besuchen). Erweiterungen haben den gleichen Zugriff auf den gerenderten Inhalt (z. B. Post-Entschlüsselung, Quellcode, DOM, Browser-Debugger und jede Menge lustige Dinge). Das bedeutet, dass ein einfacheres Tool als der Browser die Arbeit mit weniger Aufwand erledigen kann.

Funktionen, die eine Erweiterung nicht bewältigen kann, werden von den Browser-Herstellern bereits recht gut behandelt. Google, Microsoft, Mozilla und Apple leisten hervorragende Arbeit bei der Bereitstellung eines SOTA-Produkts mit unzähligen Sicherheitsfunktionen. Mit anderen Worten: Sie vergleichen nicht Unternehmensbrowser mit einer Erweiterungslösung, sondern tatsächlich Unternehmensbrowser mit der Kombination aus Chrome und Erweiterung.

Darüber hinaus ist die Leistungsfähigkeit von Unternehmensbrowsern ein zweischneidiges Schwert. Je mehr Änderungen sie an Chromium vornehmen, desto höher ist die Wahrscheinlichkeit, dass sie sich davon abspalten, sodass eine Aktualisierung innerhalb angemessener Zeiträume unmöglich wird. Dies bedeutet, dass Unternehmensbrowser wahrscheinlich so wenig Änderungen wie möglich am Chromium-Code vornehmen, während der Großteil ihrer Sicherheit auf einer gebündelten Erweiterung oder einem lokalen Proxy basiert.

Behauptung Nr. 6: Unternehmensbrowser bieten das gleiche Erlebnis wie Chrome

DIE HALBE WAHRHEIT

Es ist Chromium, das Chrome ein ÄHNLICHES Erlebnis verleiht. Die Erfahrung ist nicht identisch und niemand verspricht, dass Google weiterhin den größten Teil seines Codes mit seinen Konkurrenten teilen wird. Im Laufe der Zeit fügt Google Chrome bestimmte Funktionen hinzu, die nicht Teil von Chromium sind.

Was Unternehmensbrowser Ihnen nicht verraten

Ich gehe davon aus, dass Unternehmensbrowser zusätzlich zu ihren einzigartigen Vorteilen auch einige unerwünschte Nachteile haben werden, die in den kommenden Jahren viele IT-Teams zu Tränen rühren werden.

Diese Nachteile umfassen:

• Unzuverlässige und inkonsistente Patching-Routine: Unternehmensbrowser veröffentlichen ihre Patching-Routinen nicht. Aber wenn man Brave und Edge hochrechnet, kann es mindestens 12 Stunden (und bis zu mehrere Tage) dauern, bis sie Chromium-Zero-Day-Schwachstellen schließen, die von Google auf Out-of-Band-Weise gepatcht wurden.
• Mögliche Anwendungsinkompatibilität: Unternehmen werden ihre Anwendungen weiterhin für Chrome und Edge entwickeln. Aber selbst wenn ein Unternehmensbrowser heute vollständig kompatibel ist, kann niemand garantieren, dass dies auch morgen der Fall sein wird. Jeder zusätzlich zu Chromium hinzugefügte Code kann seine eigenen Probleme und Fehler aufweisen, was bedeutet, dass Mitarbeiter möglicherweise keinen Zugriff auf die Anwendungen haben, die sie für ihre Arbeit benötigen.
• Teilsichtbarkeit: Ihre Mitarbeiter werden weiterhin so oft wie möglich kommerzielle Browser verwenden (entweder beruflich oder privat). Dies bedeutet, dass es zu massiven Lücken kommt, die zu Funktionsdatenverlusten und Bedrohungen führen können.
• Die schlimmste Anbietersperre in der Geschichte der Cybersicherheit: Stellen Sie sich vor, Sie verwenden einen Unternehmensbrowser. Du bist damit zufrieden. Ein besserer Unternehmensbrowser ist jedoch zu einem günstigeren Preis erhältlich. Wie werden Sie migrieren? Alle Ihre Präferenzen, Identitäten, Passwörter und Cookies werden in Ihrem vorhandenen Browser gespeichert. Die Browser-Hersteller geben damit an, dass alle ihre Cookies verschlüsselt sind und der gesamte Speicher vollständig isoliert ist. Wenn es den Job macht, den es verspricht, geraten Sie in eine Herstellersperre.
• Verlust kostenloser Funktionen: Ihre vorhandenen Browser verfügen über einige erstaunliche Funktionen. Chrome hat die beste Sperrliste der Branche. Edge verfügt über den besten lokalen Isolationsdienst (AppGuard). Firefox bietet unglaubliche Datenschutzfunktionen. Die Liste geht weiter und weiter. Bedenken Sie, dass Sie durch die Verwendung dieser Browser einen tollen Mehrwert erhalten, ohne dass dafür Kosten anfallen.
• Unendliche Reibung: Irgendwann funktioniert etwas mit dem Unternehmensbrowser nicht mehr. Möglicherweise liegt ein Problem beim Hersteller des Unternehmensbrowsers vor, Google schränkt die Nutzung von Chromium durch andere Browser ein oder es liegt einfach ein Mitarbeiterfehler vor. Eines ist sicher: Der Mitarbeiter wird höchstwahrscheinlich sagen: „Dieser Browser funktioniert nicht.“ Es nervt." Die Verwendung eines Unternehmensbrowsers wird wahrscheinlich zu großen Konflikten mit Ihren Mitarbeitern führen, da nur sehr wenige Sicherheitsprodukte die Mitarbeiter dazu auffordern, ihre Arbeitsweise zu ändern. Die Art und Weise zu ändern, wie Menschen arbeiten, ist eher eine kulturelle Belastung als ein Sicherheitsaspekt.
• Der Kampf um die digitale Identität: Das wichtigste Merkmal von Chrome und Edge (das i-Tüpfelchen) ist ihre Integration in die Cloud-Office-Identität. Dies bedeutet, dass Chrome für Organisationen, die Google Workspace verwenden, ein Browserprofil bereitstellt, das mit der Google-Identität verknüpft ist. Für Office365-Benutzer stellt Edge ein Browserprofil bereit, das mit der Microsoft-Identität verknüpft ist. Das bedeutet, dass fast jedes Unternehmen bereits über einen kostenpflichtigen verwalteten Browser (entweder Chrome oder Edge) verfügt, der hervorragend mit der entsprechenden SaaS-Anwendungssuite funktioniert. Der Wechsel zu einem anderen Browser beeinträchtigt dieses Erlebnis und fügt dem IT-Stack einen weiteren (nicht benötigten) Identitätsdienst hinzu. Anstatt die Sicherheit zu erhöhen, wird es nur zu Verwirrung bei den Mitarbeitern führen und den Aufwand für die IT erhöhen.

Die sichere und reibungslose Alternative zu Unternehmensbrowsern

Es gibt eine Sache, in der die Unternehmen für Unternehmensbrowser genau richtig sind; Der Browser ist der wichtigste Arbeitsbereich und die wertvollste Sichtbarkeitsquelle für die Organisation. Wir bei LayerX glauben, dass die Lösung zur Sicherung der Browser einfach ist: Wir müssen den vorhandenen Browsern so viel Sicherheit wie möglich bieten.

Genauso wie Betriebssysteme funktionieren durch Endpoint Protection gesichert Lösungen (anstelle einer gehärteten Linux-Variante) und E-Mail-Dienste durch E-Mail-Sicherheitstools (anstelle einer angepassten „sicheren E-Mail“) ist eine Browser-Sicherheitsplattform die Lösung für Browser-Sicherheitsbedenken.

Verwenden Jahr Browsererweiterung für Unternehmen bringt alle möglichen Sicherheitsfunktionen in den Browser, ohne das Benutzererlebnis zu beeinträchtigen.

• Teilen auf: