Sve više i više donositelja sigurnosnih odluka shvaća da je preglednik krajnja linija fronta protiv višestrukih cyber prijetnji. Ovaj ih je uvid naveo da dodaju rješenja za izolaciju preglednika svojim sigurnosnim skupovima. Međutim, u posljednje smo vrijeme svjedočili rastućem trendu sigurnosnih stručnjaka koji se udaljavaju od ovih rješenja prema ekstenzijama Secure Browser. Ova novija rješenja smatraju se boljom alternativom za osiguranje površine za napade preglednika.
U ovom ćemo članku analizirati ovaj trend i pokušati objasniti razloge za ovaj pristup. Prvo ćemo pregledati različite mogućnosti koje svaki pristup nudi. Zatim ćemo pokazati da sigurno proširenje preglednika rješava daleko širi raspon prijetnji koje se prenose webom. Omogućuje modernoj radnoj snazi da u potpunosti iskoriste potencijal produktivnosti svojih preglednika, dok je pristup izolacije preglednika daleko ograničeniji u pokrivanju rizika. Izolacija preglednika također degradira korisničko iskustvo pregledavanja na način koji ga čini neusklađenim s modernim radnim okruženjem orijentiranim na preglednik.
Počnimo s kratkim rezimeom o tome što je izolacija preglednika i kako funkcionira.
Izolacija preglednika 101: Nepropusna zaštita od prijetnji krajnje točke
Rješenja za izolaciju preglednika pružaju virtualno okruženje za rad preglednika. To znači da preuzetom kodu nije dopušteno pokretanje na stvarnom računalu prije nego što rješenje ispita njegovo ponašanje i osigura da je doista benigno. Ovaj je pristup iznimno učinkovit u ublažavanju utjecaja eksploatacije preglednika i preuzimanja zlonamjernih datoteka. Čak i ako je eksploatacija bila uspješna i malware je preuzet, niti jedno od njih ne dolazi do stvarnog računala.
Lako je vidjeti da je u smislu njegove izravne ponude vrijednosti, izolacija preglednika prirodan napredak tradicionalne zaštite krajnje točke. Koncept lokalnog sandboxa, ili čak namjenski stvorenog virtualnog stroja, za sigurno izvođenje procesa sklonih iskorištavanju, implementiran je u različitim oblicima tijekom posljednjeg desetljeća. To je učinilo usvajanje izolacije preglednika prirodnim korakom 'dublje obrane' za jačanje postojeće EDR\NGAV zaštite.
Današnji radni prostor više nije krajnja točka nego sam preglednik
Međutim, kako je vrijeme prolazilo, organizacije su shvatile da ovaj pristup možda nije dovoljno dobar. To je zbog dva glavna razloga:
- Potrošnja resursa: Sva rješenja sandboxa, uključujući izolaciju preglednika, zloglasno su poznata po pohlepnoj potrošnji CPU-a, što neizbježno degradira performanse zaštićenog stroja. Zapravo, to je glavni razlog zašto su vodeći dobavljači zaštite krajnjih točaka napustili ovaj pristup.
- Djelomična pokrivenost: Iako izolacija preglednika pruža pouzdanu zaštitu od prijetnji krajnje točke, nudi malo ili nimalo zaštite od širokog spektra rizika koji se prenose webom.
Razradimo temu još malo.
Izolacija preglednika bori se s izazovima sigurnosti i produktivnosti modernog poduzeća temeljenog na webu
Prije deset godina zaposlenici su uglavnom radili s podatkovnim datotekama na lokalnom hostu. Ali danas je preglednik preuzeo ulogu prevladavajućeg radnog prostora u poslovnom okruženju. Ova promjena dogodila se u skladu s modernim preglednicima koji nude širok raspon sigurnosnih značajki, kao i nepokolebljivu posvećenost korisničkom iskustvu. Uvođenje rješenja za izolaciju preglednika opterećuje resurse stroja što izravno dovodi do lošijih performansi preglednika. Jedno od osnovnih pravila je da će svaka sigurnosna kontrola koja stane na put zaposlenicima u obavljanju posla biti onemogućena, prije ili kasnije. To je ono što se danas događa rješenjima za izolaciju preglednika.
Osim toga, rizici koji se prenose webom su sve vrste prijetnji koje isporučuje preglednik: krađa identiteta i druge vrste zlonamjernih web stranica, zlonamjeran pristup SaaS aplikacijama putem kompromitiranih vjerodajnica i curenje podataka temeljeno na pregledniku. Međutim, rješenja za izolaciju preglednika imaju samo djelomičnu i ograničenu vidljivost sadržaja web stranica. Njihova vidljivost SaaS aplikacija ograničena je na osnovno otkrivanje na razini naziva hosta, bez uvida u identitet korisnika ili stvarnu upotrebu. Što se tiče praćenja stvarnog ponašanja same web stranice, oni imaju vidljivost samo u unaprijed prikazanom HTML kodu. Što se tiče provedbe, rješenjima za izolaciju preglednika nedostaje konfigurabilna granularnost. Ograničeni su na grube kontrole, kao što je onemogućavanje događaja pregledavanja kao što je lijepljenje ili snimanje zaslona na svakom odredištu ili aplikaciji, što ih čini neučinkovitima zbog poremećaja produktivnosti koji podrazumijevaju.
Problem je u tome što ti rizici koji se prenose internetom sve više postaju dominantan dio krajolika prijetnji poduzeća. I dok rješenja za izolaciju preglednika mogu briljirati protiv iskorištavanja zlonamjernog softvera, ona nude malo protiv širokog spektra napada koje organizacije više ne mogu priuštiti da ignoriraju.
Za razliku od ovih rješenja, pristup proširenja sigurnog preglednika u potpunosti rješava te prijetnje. Hajde da shvatimo zašto je to tako:
Proširenje sigurnog preglednika 101: Dubinska inspekcija sesije svakog događaja pregledavanja
Sigurna proširenja preglednika instalirana su povrh komercijalnog preglednika, kao i sva druga proširenja. Sa svoje lokacije preglednika imaju preciznu vidljivost i kontrolu svakog događaja unutar sesije pregledavanja. To im omogućuje kontinuirano praćenje, analizu rizika i provedbu pravila tijekom web sesije, na temelju ponašanja i samog korisnika kao i posjećene web stranice.
Ovaj je pristup izuzetno učinkovit u sprječavanju prijetnji koje se prenose webom na sljedeći način:
Proširenje sigurnog preglednika u odnosu na phishing i druge zlonamjerne web-stranice
Sigurna proširenja preglednika imaju uvid u stvarnu prikazanu web stranicu koja se postupno izgrađuje unutar preglednika. Naoružani tom vidljivošću, mogu otkriti rane znakove krađe identiteta, preuzimanja zlonamjernog softvera i prikupljanja zlonamjernih podataka. Nakon otkrivanja ovih znakova, proširenje sigurnog preglednika može u potpunosti prekinuti sesiju ili onemogućiti rizik unutar same stranice.
Sigurno proširenje preglednika u odnosu na zlonamjerni pristup SaaS-u i web-aplikacijama
Na isti način, sigurno proširenje preglednika ima vidljivost web stranice, također ima vidljivost korisnika i njegove aktivnosti. S tom vidljivošću može kontinuirano nadzirati ponašanje korisnika u SaaS aplikacijama, profilirati njihovo osnovno ponašanje, detektirati kad god postoji odstupanje od ovog ponašanja koje bi moglo značiti preuzimanje računa i, nakon takvog otkrivanja, blokirati korisniku pristup aplikaciji.
Sigurno proširenje preglednika u odnosu na curenje podataka temeljeno na pregledniku
Vidljivost sigurnog proširenja preglednika u svakom događaju pregledavanja čini ga iznimno učinkovitim protiv curenja podataka. Radnje kao što su 'dijeljenje', 'preuzimanje' ili 'snimka zaslona' mogu se ograničiti ili zabraniti. Na sličan način, lijepljenje ili upisivanje osjetljivih informacija u GenAI alate, kao što je ChatGPT, može se lako kontrolirati i spriječiti (saznajte više o stvarnom riziku izloženosti GenAI podacima na ovom posljednjem izvješću).
Obrazloženje: zaštitite izloženu površinu od napada preglednika umjesto pojačavanja postojeće zaštite krajnje točke
Lako je razumjeti razloge za prelazak s izolacije preglednika na sigurne ekstenzije preglednika. Većina organizacija neće instalirati više od jednog sigurnosnog rješenja na svoje preglednike. Kada birate rješenje, ima više smisla odabrati ono koje rješava široku lepezu trenutačno nenadziranih prijetnji, umjesto dodavanja još jednog sloja zaštite krajnje točke.
Istina je da sigurna proširenja preglednika nude manju zaštitu od zero-day exploita u usporedbi s alatima za izolaciju preglednika. Međutim, treba napomenuti da ovi podvigi postaju prilično neuobičajena pojava. Čak i kada se pojave, oni su prilično pokriveni današnjim EDR\NGAV rješenjima. Sve se svodi na izbor između rješenja za postojeći jaz i dodatne mjere opreza protiv prijetnje koja je već uglavnom pokrivena. To je stvarno bezrazložno.
