Die Verschlüsselung des Webverkehrs (auch bekannt als SSL, TLS, HTTPS) ist seit langem die Norm für die meisten Webdienste, insbesondere für SaaS-Unternehmensanwendungen wie Salesforce, Microsoft Outlook 365 und Skype. Um diesen Datenverkehr vor Lauschangriffen und der potenziellen Offenlegung vertraulicher Daten zu schützen, ist die End-to-End-Verschlüsselung eine wichtige und wirksame Sicherheitsmaßnahme zur Risikominderung.
Unternehmen sind jedoch mit einer viel größeren Bandbreite an Bedrohungen konfrontiert, darunter Ransomware und andere Formen webbasierter Malware, Datenlecks und mehr. Um dem entgegenzuwirken, werden Sicherheitstools wie URL-Filterung, Antivirenprogramme, Sandbox, Data Loss Prevention (DLP) und Cloud Access Security Brokers (CASB), um nur einige zu nennen, eingesetzt und mit der Überprüfung des gesamten Webverkehrs beauftragt.
Die meisten Sicherheitsexperten sind der Meinung, dass die Sicherheit ihrer Benutzer und Organisationen durch die richtige Kombination von Sicherheitstools gewährleistet ist. Allerdings verhindert eine weit verbreitete Praxis namens „Certificate Pinning“, dass diese Tools den Schutz bieten, der ihnen anvertraut wurde.
Was ist Certificate Pinning und welche Risiken birgt es für Ihr Unternehmen?
Netzwerksicherheitstools implementieren ihren Schutz, indem sie den Webverkehr prüfen, während er durch sie fließt. Bei verschlüsseltem Datenverkehr müssen sie diesen entschlüsseln, um die nötige Transparenz zu erhalten. Die meisten Sicherheitstools lösen dieses Problem, indem sie eine sogenannte SSL-Prüfung durchführen. Ohne zu sehr ins Technische zu gehen, sagen wir einfach, dass dies üblicherweise mithilfe selbstsignierter Zertifikate und einer als Man-in-Middle bekannten Technik geschieht. Meistens funktioniert dies ziemlich gut, bis sie auf einen Dienst stoßen, der Certificate Pinning verwendet. Auch hier gilt: Ohne zu sehr ins Detail zu gehen, ist Certificate Pinning ein Mechanismus, der von Webdiensten verwendet wird, um Man-in-the-Middle-Prüfungen zu vermeiden, die dazu führen, dass derartige Versuche die Verbindung beenden und Benutzer an ihrer Arbeit hindern, was zu Frustration führt und das Geschäft beeinträchtigt.
Die einzige Möglichkeit, solche Dienste zu aktivieren, besteht darin, die SSL-Überprüfung zu umgehen. Dadurch werden Ihre Sicherheitsprodukte unbrauchbar und Ihre Benutzer werden Bedrohungen ausgesetzt.
Wie häufig wird Certificate Pinning verwendet? Es wird von allen oben genannten Diensten verwendet: Salesforce, Microsoft 365 Outlook und Skype sowie von vielen anderen häufig verwendeten Geschäftsanwendungen: Dropbox, Google Drive, Webex Teams, Amazon Drive, DocuSign und vielen mehr.
Sicherheitsanbieter sind sich dieses Mangels durchaus bewusst und haben Lösungen entwickelt, die nicht auf SSL-Prüfungen basieren. Diese Lösungen sind API-basiert und ohne zu sehr ins Detail zu gehen, können wir nur sagen, dass sie zwei sehr kritische Nachteile haben. Der erste ist, dass sie keinen Echtzeitschutz bieten. Sie verlassen sich auf eine Warnung, die vom SaaS-Anbieter gesendet wird, die angezeigt, analysiert und erst dann entsprechend reagiert werden muss. Dies kann zwischen Minuten bis Stunden und manchmal Tagen dauern, und dann ist es in der Regel viel zu spät, um einen Verstoß zu verhindern.
Zweitens kann diese Lösung nur auf genehmigte SaaS-Anwendungen angewendet werden, die dem Unternehmen bekannt sind und für die es die Lösung eingesetzt hat. Da mehr als 85 % der SaaS-Anwendungen nicht genehmigt sind, bleibt ein erheblicher Teil der SaaS-Angriffsfläche selbst bei nachträglichen Warnungen völlig ungeschützt.
API-basierte Lösungen sind eindeutig alles andere als ideal, wenn es darum geht, die Sicherheit zu gewährleisten, die Ihr Unternehmen braucht.
Wie können wir das Zertifikat-Pinning umgehen?
Das Problem liegt im Man-in-the-Middle-Ansatz, den herkömmliche Tools verwenden. Dies gilt für Lösungen, die als Edge-Appliances (physisch oder virtuell) bereitgestellt werden, sowie für Cloud-Dienste (z. B. Cloud SWG, CASB, SSE/SASE).
Indem wir den Bereitstellungsort in den Browser selbst verschieben, können wir diese Einschränkung überwinden. Da der Browser Einblick in den ausgehenden Datenverkehr vor der Verschlüsselung und den eingehenden Datenverkehr nach der Entschlüsselung hat, ermöglicht die Überprüfung des Datenverkehrs an diesem Schnittpunkt die erforderlichen Erkenntnisse, um Bedrohungen effektiv zu erkennen und zu blockieren. Dies ermöglicht eine vollständige Sicherheitsabdeckung mit Echtzeitschutz für den gesamten Webdatenverkehr, einschließlich für Dienste mit Zertifikats-Pinning.
Die Integration der Websicherheit in den Browser bietet viele weitere Vorteile, darunter eine verbesserte Leistung und Benutzerfreundlichkeit, da der Datenverkehr direkt an sein Ziel gesendet werden kann, sowie Einblick in Browserkomponenten wie riskante Erweiterungen und Einblick in nicht genehmigte Benutzeraktionen im Browser, wie das Kopieren und Einfügen vertraulicher Daten sowie deren Eingabe in Gen AI-Tools. Darüber hinaus bietet es Vorteile bei den Gesamtbetriebskosten, da die Anzahl der benötigten Lösungen reduziert wird und zusätzliche Lösungen wie API-basierte Sicherheit nicht mehr erforderlich sind.
Die LayerX Enterprise Browser Extension lässt sich nativ in jeden Browser integrieren und macht ihn zum sichersten und am einfachsten zu verwaltenden Arbeitsbereich. Unternehmen nutzen LayerX, um ihre Geräte, Identitäten, Daten und SaaS-Apps vor webbasierten Bedrohungen und Browsing-Risiken zu schützen, wie z. B. Datenlecks über das Web, SaaS-Apps und GenAI Tools, bösartige Browsererweiterungen, Phishing, Kontoübernahmen und mehr.
Fordern Sie eine Demo von LayerX an werden auf dieser Seite erläutert
