En 2022 hubo un gran revuelo en torno a la seguridad de los navegadores y los navegadores empresariales. Pero aunque afirman ofrecer “seguridad de nivel empresarial”, los navegadores empresariales en realidad están lejos de ser perfectos. De hecho, tienen algunas desventajas críticas.
¿Cuáles son y cuál es la alternativa? En este blog distinguiré entre la seguridad del navegador y los navegadores empresariales, abordaré los pros y los contras de cada uno y arrojaré algo de luz sobre la deuda del navegador que se incurre al migrar a un navegador empresarial. Siga leyendo para ver qué afirmaciones hacen las empresas de navegadores empresariales y si realmente pueden estar a la altura de ellas.
El navegador necesita más seguridad. ¿Es un navegador empresarial la solución adecuada?
En los últimos años hubo algunos cambios tectónicos en TI. Estos cambios hicieron que las soluciones de seguridad tradicionales, como firewalls, SWG, VDI y VPN, fueran irrelevantes. Las herramientas de seguridad de red no pueden inspeccionar aplicaciones SaaS complejas, que se están volviendo frecuentes entre la fuerza laboral. Los empleados trabajan de forma remota y odio navegar a través de una VPN. Los datos están dispersos entre innumerables aplicaciones y son difíciles de proteger. Escritorios virtuales son caros y ofrecen un rendimiento deficiente; son la herramienta equivocada para la tarea de acceder a aplicaciones web.
En otras palabras, las herramientas más utilizadas del conjunto de la ciberseguridad empresarial se están volviendo inútiles. Esta es una tormenta perfecta que hizo que las organizaciones ansiaran una solución de seguridad de navegador moderna que brinde visibilidad, seguridad y control en cada sesión web.
La verdadera seguridad del navegador requiere abordar el punto de vista del navegador para garantizar que tenga en cuenta el cifrado de extremo a extremo y el proceso de renderizado. Teniendo en cuenta la arquitectura del navegador, dicha solución se puede entregar de dos maneras:
- Una extensión de navegador encima del navegador existente (el resultado es similar a un EDR encima del sistema operativo)
- Usar los motores de renderizado Firefox o Chromium para crear un nuevo navegador (el resultado es similar a personalizar un sistema operativo Linux/Android para crear un nuevo sabor)
¿Qué es un navegador empresarial?
Navegadores empresariales (también conocidos como “navegadores empresariales seguros”) son navegadores basados en Chromium (o Firefox) diseñados para el entorno empresarial. Proporcionan capacidades de renderizado de Chrome (o Firefox). Pero en lugar de las funciones nativas de Chrome/Edge, introducen sus propias funciones de seguridad, administración e identidad.
Los navegadores empresariales piden a los clientes que se despidan de sus queridos Chrome, Edge, Firefox y Safari en favor de algo nuevo y supuestamente más seguro. A cambio, incurren en una tarifa de suscripción mensual, un proceso de implementación no tan simple y una rígida dependencia del proveedor.
Las afirmaciones hechas por los proveedores de navegadores empresariales, destinadas a convencer a las organizaciones de que los elijan, no son válidas desde mi punto de vista. En la siguiente sección me referiré a cada una de estas afirmaciones y daré mi granito de arena sobre ellas.
“Una verdad a medias es a menudo una gran mentira” – Benjamin Franklin
° 1: Chrome es el navegador más vulnerable
FALSO
Este es un ejemplo clásico de sesgo de supervivencia. ¡Google no es el navegador más vulnerable, sino el navegador más parcheado! El proyecto cero de Google es el mejor ejemplo de escaneo de vulnerabilidades de software en la historia de TI.
La mayoría de las vulnerabilidades de Chromium son descubiertas por los ingenieros de Google y solo unas pocas llegan a ser explotadas en la naturaleza. Además, el número de vulnerabilidades distintas necesarias para explotar con éxito este navegador está aumentando considerablemente. De hecho, lo que se dice en la calle digital es que si puedes realizar la ejecución remota de código con un escape sandbox, puedes venderlo por unos pocos millones de dólares.
En realidad, debería preocuparse más por los productos que no revelan sus vulnerabilidades. Si no los revelan, no los arreglan. Google, por el contrario, es abierto y transparente sobre las vulnerabilidades de Chromium, lo mantiene como un proyecto de código abierto y demuestra la rutina de parcheo más rápida de la industria de TI.
La verdad subyacente para los CISO es que los navegadores Chromium proporcionan la mejor arquitectura de seguridad en su entorno. En realidad, son las herramientas de TI las que deberían preocuparse sin una adecuada divulgación de vulnerabilidades.
Si no está de acuerdo, intente encontrar un CISO que haya experimentado una explotación de día cero de Chrome o simplemente intente explotar Chrome usted mismo.
° 2: los navegadores empresariales solucionan las vulnerabilidades más rápido que Chrome
MAYORMENTE FALSO
Google tiene un ciclo de vida de lanzamiento de software predecible. Cada actualización de software se implementa según los siguientes pasos: canary, beta, inestable y estable. A veces, pasarán algunas semanas hasta que un nuevo fragmento de código pase de escribirse a implementarse en todo el mundo.
Algunos navegadores empresariales afirman enviar actualizaciones de software a producción más rápido que Google, lo que significa que supuestamente parchean vulnerabilidades más rápido que Chrome.
Sin embargo, Google parchea las vulnerabilidades impactantes de manera fuera de banda, en cuestión de días y fuera del ciclo de vida de lanzamiento regular de Chrome. Esto significa que cuando se trata de un tipo de vulnerabilidad muy común (grave, explotada en estado salvaje, etc.), Google hace un esfuerzo extraordinario para solucionarla en poco tiempo.
Este nuevo fragmento de código en Chromium no está etiquetado como relacionado con problemas de seguridad y pasa directamente a producción. En otras palabras, los navegadores empresariales no tienen forma de saber si es importante y qué problemas de compatibilidad pueden surgir.
Mi consejo sería pedirle al navegador de su empresa que publique su historial de versiones. Es una buena práctica que los proveedores de software sean transparentes sobre su ciclo de lanzamiento real.
° 3: el código del navegador empresarial es más seguro que el código del navegador comercial y es inmune a los ataques al navegador
TAL VEZ
Cualquier software tiene sus vulnerabilidades y problemas de seguridad (incluso un navegador empresarial). La pregunta es: ¿existen lagunas de seguridad en los navegadores estándar? La mejor manera de responder a esa pregunta es comprobar las formas que permiten vulnerar los navegadores comerciales.
La respuesta la proporcionan tanto el malware como el software antivirus. Ambos quieren acceder al navegador para monitorear la actividad: malware para robar contraseñas y software antivirus para bloquear malware. Ambos suelen hacer esto implementando una extensión de navegador local. Esto significa que es difícil monitorear la actividad del navegador, ya que el navegador está aislado en una zona de pruebas con acceso limitado al resto del sistema y utiliza cifrado para proteger los datos. En realidad, es lo suficientemente seguro a nivel de código.
Existen lagunas, pero no a nivel de código. El malware puede acceder a los archivos de datos del navegador (cookies, archivos de contraseñas y descargas). Pero esto no requiere cambiar todo el navegador. Además, si lo que le teme es el malware, lo mejor que puede hacer es utilizar una solución de protección de endpoints. Utilice la herramienta adecuada para el trabajo.
Para agregar una nota al margen: personalmente me temo que el navegador empresarial introduzca más vulnerabilidades de las que podría parchear. La razón de esto es que Chromium cuenta con el respaldo tanto de Google como de un enorme ecosistema involucrado en su proyecto de código abierto. El código Chromium presenta un estándar sorprendente para la base de seguridad. Temería mucho más del código nuevo que interfiere con el código existente y la forma de trabajo existente que del código Chromium.
° 4: los navegadores comerciales no proporcionan suficientes capacidades de gobernanza y gestión
PARCIALMENTE VERDAD
Para los clientes de Google Workspace, Chrome Enterprise es gratuito y ofrece capacidades de administración listas para usar. Para los usuarios de Office365, existen configuraciones de Edge administradas que se pueden configurar mediante herramientas de administración de dispositivos. No son tan detallados como los navegadores empresariales, pero estas lagunas se pueden solucionar con una extensión del navegador empresarial.
Una extensión de navegador empresarial (como LayerX) agrega capacidades de administración en sesión y controla varias API del navegador. Esto permite personalizar los navegadores existentes y convertirlos en navegadores seguros de nivel empresarial. Si bien el navegador brinda disponibilidad y confiabilidad del tráfico web, la extensión agrega capacidades de seguridad y gobernanza.
De hecho, esto es exactamente lo que los proveedores de navegadores permiten intencionalmente. Los navegadores administrados (Chrome y Edge), así como Firefox y Safari, admiten capacidades de personalización ricas y estables con extensiones de navegador empresarial.
° 5: las extensiones no son tan poderosas como el navegador
IRRELEVANTE Y MAYORMENTE FALSO
Esta afirmación equivale a decir que una cucharada es más poderosa que una cucharadita. Realmente depende de lo que quieras revolver.
Con respecto a la seguridad del navegador, la mayoría de los casos de uso están relacionados con el contenido representado (en palabras simples, los sitios web por los que navegamos). Las extensiones tienen la misma accesibilidad al contenido renderizado (es decir, descifrado de publicaciones, código fuente, DOM, depurador del navegador y toneladas de cosas divertidas). Esto significa que una herramienta más sencilla que el navegador puede realizar el trabajo con menos esfuerzo.
Los proveedores de navegadores ya tratan bastante bien las capacidades que una extensión no puede manejar. Google, Microsoft, Mozilla y Apple están haciendo un trabajo increíble al proporcionar un producto SOTA con toneladas de funciones de seguridad en su interior. En otras palabras, no se están comparando navegadores empresariales con una solución de extensión, sino navegadores empresariales con la combinación Chrome+extensión.
Además, el poder de los navegadores empresariales es un arma de doble filo. Cuantos más cambios realicen en Chromium, mayores serán las posibilidades de que se bifurquen, lo que hará imposible actualizarlos en plazos de tiempo razonables. El significado de esto es que es probable que los navegadores empresariales realicen la menor cantidad de cambios posible en el código Chromium, mientras basan la mayor parte de su seguridad en una extensión incluida o en un proxy local.
° 6: los navegadores empresariales brindan la misma experiencia que Chrome
LA MITAD DE LA VERDAD
Es Chromium el que brinda una experiencia SIMILAR a Chrome. La experiencia no es idéntica y nadie promete que Google seguirá compartiendo la mayor parte de su código con sus competidores. Con el tiempo, vemos que Google agrega capacidades específicas a Chrome que no forman parte de Chromium.
Lo que los navegadores empresariales no le dirán
Anticipo que, además de sus beneficios únicos, los navegadores empresariales también tendrán algunas desventajas no deseadas que harán llorar a muchos equipos de TI en los próximos años.
Estas desventajas incluyen:
- Rutina de parcheo poco confiable e inconsistente: Los navegadores empresariales no publican sus rutinas de parcheo. Pero extrapolando de Brave y Edge, les puede llevar al menos 12 horas (y hasta varios días) corregir las vulnerabilidades de día cero de Chromium que fueron reparadas por Google de manera fuera de banda.
- Posible incompatibilidad de aplicaciones: Las empresas seguirán creando sus aplicaciones para Chrome y Edge. Pero incluso si hoy un navegador empresarial es totalmente compatible, nadie garantiza que mañana será lo mismo. Cualquier código agregado a Chromium puede tener sus propios problemas y errores, lo que significa que es posible que los empleados no tengan acceso a las aplicaciones que necesitan para realizar su trabajo.
- Visibilidad parcial: Sus empleados seguirán utilizando navegadores comerciales tanto como puedan (ya sea por trabajo o por diversión). Esto significa que se quedará con enormes lagunas, que podrían implicar amenazas y pérdida de datos de funciones.
- El peor bloqueo de proveedor en la historia de la ciberseguridad: Imagine que está utilizando un navegador empresarial. Estás contento con eso. Sin embargo, un mejor navegador empresarial tiene un costo más económico. ¿Cómo migrarás? Todas sus preferencias, identidades, contraseñas y cookies se almacenan dentro de su navegador actual. Las empresas de navegadores anuncian que todas sus cookies están cifradas y que toda la memoria está completamente aislada. Si hace el trabajo que dice, entonces se encontrará en un bloqueo de proveedor.
- Perder capacidades gratuitas: Sus navegadores existentes vienen con algunas capacidades sorprendentes. Chrome tiene la mejor lista de bloqueo de la industria. Edge tiene el mejor servicio de aislamiento local (AppGuard). Firefox ofrece increíbles funciones de privacidad. La lista sigue y sigue. Tenga en cuenta que al utilizar esos navegadores, obtendrá un gran valor sin costo alguno.
- Fricción infinita: Algún día, algo no funcionará con el navegador empresarial. Puede deberse a un problema por parte del proveedor del navegador empresarial, a que Google restringe la capacidad de otros navegadores para usar Chromium o a un simple error de un empleado. Una cosa es segura: lo más probable es que el empleado diga “este navegador no funciona”. Apesta”. El uso de un navegador empresarial probablemente implicará mucha fricción con su fuerza laboral, ya que muy pocos productos de seguridad piden a los empleados que cambien su forma de trabajar. Cambiar la forma en que la gente trabaja es más una carga cultural que un activo de seguridad.
- La lucha por la identidad digital: La característica número uno de Chrome y Edge (la guinda del pastel) es su integración con la identidad de la oficina en la nube. Esto significa que para las organizaciones que utilizan Google Workspace, Chrome proporciona un perfil de navegador adjunto a la identidad de Google. Para los usuarios de Office365, Edge ofrece un perfil de navegador adjunto a la identidad de Microsoft. Esto significa que casi todas las organizaciones ya disfrutan de un navegador administrado de pago (ya sea Chrome o Edge) que funciona de maravilla con su conjunto de aplicaciones SaaS correspondiente. Pasar a otro navegador degradará esta experiencia y agregará otro servicio de identidad (innecesario) a la pila de TI. En lugar de agregar seguridad, solo causará confusión entre los empleados y aumentará los gastos generales de TI.
La alternativa segura y sencilla a los navegadores empresariales
Hay una cosa en la que las empresas de navegadores empresariales tienen razón; El navegador es el espacio de trabajo más importante y la fuente de visibilidad más valiosa de la organización. En LayerX creemos que la solución para proteger los navegadores es simple: necesitamos brindar la mayor seguridad posible a los navegadores existentes.
De la misma manera que los sistemas operativos están siendo asegurado por protección de punto final soluciones (en lugar de un estilo Linux reforzado) y servicios de correo electrónico mediante herramientas de seguridad de correo electrónico (en lugar de un "correo electrónico seguro" personalizado), una plataforma de seguridad del navegador es la solución para los problemas de seguridad del navegador.
Usando año extensión del navegador empresarial aporta todas las capacidades de seguridad posibles al navegador, sin comprometer la experiencia del usuario.
