Nel 2022 c’è stato un enorme clamore intorno alla sicurezza dei browser e ai browser aziendali. Ma nonostante affermino di fornire “sicurezza di livello aziendale”, i browser aziendali sono in realtà tutt’altro che perfetti. In effetti, presentano alcuni aspetti negativi critici.

Cosa sono e qual è l'alternativa? In questo blog distinguerò tra sicurezza del browser e browser aziendali, affronterò i pro e i contro di ciascuno e farò luce sul debito del browser sostenuto durante la migrazione a un browser aziendale. Continua a leggere per vedere quali affermazioni fanno le società di browser aziendali e se possono effettivamente mantenerle.

Il browser ha bisogno di maggiore sicurezza. Un browser aziendale è la soluzione giusta?

Negli ultimi due anni si sono verificati alcuni cambiamenti tettonici nel settore IT. Questi cambiamenti hanno reso irrilevanti le soluzioni di sicurezza tradizionali, come firewall, SWG, VDI e VPN. Gli strumenti di sicurezza di rete non possono ispezionare le complesse applicazioni SaaS, che stanno diventando prevalenti nella forza lavoro. I dipendenti lavorano da remoto e odio navigare tramite una VPN. I dati sono sparsi tra innumerevoli applicazioni e sono difficili da proteggere. Desktop virtuali sono costosi e forniscono scarse prestazioni; sono lo strumento sbagliato per il compito di accedere alle applicazioni web.

In altre parole, gli strumenti più comunemente utilizzati nello stack di sicurezza informatica aziendale stanno diventando inutili. Si tratta di una tempesta perfetta che ha spinto le organizzazioni a desiderare una moderna soluzione di sicurezza del browser che offra visibilità, sicurezza e controllo in ogni sessione web. 

La vera sicurezza del browser richiede di affrontare il punto di vista del browser, per garantire che tenga conto della crittografia end-to-end e del processo di rendering. Prendendo in considerazione l’architettura del browser, tale soluzione può essere fornita in due modi:

  • Un'estensione del browser sopra il browser esistente (il risultato è simile a un EDR sopra il sistema operativo)
  • Utilizzo dei motori di rendering Firefox o Chromium per creare un nuovo browser (il risultato è simile alla personalizzazione di un sistema operativo Linux/Android per creare una nuova versione)

Cos'è un browser aziendale?

Browser aziendali (noti anche come "browser aziendali sicuri") sono browser basati su Chromium (o Firefox) creati per l'ambiente aziendale. Forniscono funzionalità di rendering di Chrome (o Firefox). Ma invece delle funzionalità native di Chrome/Edge, introducono le proprie funzionalità di sicurezza, gestione e identità.

I browser aziendali chiedono ai clienti di dire addio ai loro amati Chrome, Edge, Firefox e Safari in favore di qualcosa di nuovo e presumibilmente più sicuro. In cambio, sono soggetti a una tariffa di abbonamento mensile, a un processo di implementazione non così semplice e a una rigida dipendenza dal fornitore.

Le affermazioni fatte dai fornitori di browser aziendali, intese a convincere le organizzazioni a sceglierli, non sono valide dal mio punto di vista. Nella prossima sezione farò riferimento a ciascuna di queste affermazioni e fornirò i miei due centesimi informatici al riguardo.

“Una mezza verità è spesso una grande bugia” – Benjamin Franklin

 

Affermazione n. 1: Chrome è il browser più vulnerabile

FALSO

Questo è un classico esempio di bias di sopravvivenza. Google non è il browser più vulnerabile, ma piuttosto il browser più patchato! Il Project Zero di Google è il miglior esempio di scansione delle vulnerabilità software nella storia dell'IT.

La maggior parte delle vulnerabilità di Chromium vengono scoperte dagli ingegneri di Google e solo poche riescono a essere sfruttate in natura. Inoltre, il numero di vulnerabilità distinte necessarie per sfruttare con successo questo browser è in forte aumento. Di fatto, nel mondo digitale si dice che se riesci a eseguire l'esecuzione di codice remoto con un escape sandbox, puoi venderlo per qualche milione di dollari.

In realtà dovresti essere più preoccupato per i prodotti che non rivelano le loro vulnerabilità. Se non li divulgano, non li risolvono. Google, al contrario, è aperto e trasparente riguardo alle vulnerabilità di Chromium, lo mantiene come un progetto open source e dimostra la routine di patching più rapida nel settore IT. 

La verità di fondo per i CISO è che i browser Chromium forniscono la migliore architettura di sicurezza nel loro ambiente. In realtà dovrebbero preoccuparsi degli strumenti IT senza un’adeguata divulgazione delle vulnerabilità.

Se non sei d'accordo, prova a trovare un CISO che ha subito uno sfruttamento zero-day di Chrome o prova semplicemente a sfruttare Chrome tu stesso.

Affermazione n. 2: i browser aziendali risolvono le vulnerabilità più velocemente di Chrome

PER LA PIÙ FALSO

Google ha un ciclo di vita del rilascio del software prevedibile. Ogni aggiornamento software viene distribuito secondo i seguenti passaggi: canary, beta, unstable e stable. A volte sono necessarie alcune settimane prima che un nuovo pezzo di codice passi dalla scrittura alla distribuzione in tutto il mondo.

Alcuni browser aziendali affermano di inviare gli aggiornamenti software alla produzione più velocemente di Google, il che significa che presumibilmente correggono le vulnerabilità più velocemente di Chrome.

Tuttavia, le vulnerabilità di maggiore impatto vengono effettivamente risolte da Google in modo fuori banda, entro pochi giorni e al di fuori del normale ciclo di vita del rilascio di Chrome. Ciò significa che quando si ha a che fare con un tipo di vulnerabilità di merda (grave, sfruttata in natura, ecc.), Google fa uno sforzo eccezionale per risolverla in pochissimo tempo.

Questo nuovo pezzo di codice in Chromium non è etichettato come correlato a problemi di sicurezza e va direttamente in produzione. In altre parole, i browser aziendali non hanno modo di sapere se è significativo e quali problemi di compatibilità potrebbero sorgere.

Il mio consiglio sarebbe quello di chiedere al browser aziendale di rilasciare la cronologia delle versioni. È buona pratica che i fornitori di software siano trasparenti riguardo al loro effettivo ciclo di rilascio.

Affermazione n. 3: il codice del browser aziendale è più sicuro del codice del browser commerciale ed è immune agli attacchi al browser

PUÒ ESSERE

Qualsiasi software ha le sue vulnerabilità e problemi di sicurezza (anche un browser aziendale). La domanda è: ci sono lacune di sicurezza nei browser standard? Il modo migliore per rispondere a questa domanda è verificare le modalità che consentono di violare i browser commerciali. 

La risposta è fornita sia dal malware che dal software antivirus. Entrambi vogliono accedere al browser per monitorare l'attività: malware per rubare password e software antivirus per bloccare malware. Entrambi di solito lo fanno distribuendo un'estensione del browser locale. Ciò significa che è difficile monitorare l'attività del browser, poiché il browser è isolato in una sandbox con accesso limitato al resto del sistema e utilizza la crittografia per proteggere i dati. In realtà è abbastanza sicuro a livello di codice. 

Esistono lacune, ma non a livello di codice. I malware possono accedere ai file di dati del browser (cookie, file di password e download). Ma ciò non richiede la modifica dell'intero browser. Inoltre, se ciò che ti spaventa è il malware, la soluzione migliore è utilizzare una soluzione di protezione endpoint. Utilizza lo strumento giusto per il lavoro.

Per aggiungere una nota a margine: personalmente temo che il browser aziendale introduca più vulnerabilità di quelle che potrebbe correggere. La ragione di ciò è che Chromium è supportato sia da Google che da un enorme ecosistema coinvolto nel suo progetto open source. Il codice Chromium presenta uno standard straordinario per la sicurezza di base. Temerei molto di più il nuovo codice che interferisce con il codice esistente e il modo di lavorare esistente rispetto al codice Chromium.

Affermazione n. 4: i browser commerciali non forniscono sufficienti capacità di governance e gestione

PARZIALMENTE VERO

Per i clienti Google Workspace, Chrome Enterprise è gratuito e offre funzionalità di gestione pronte all'uso. Per gli utenti di Office365, sono disponibili impostazioni Edge gestite che possono essere configurate dagli strumenti di gestione dei dispositivi. Non sono granulari come i browser aziendali, ma queste lacune possono essere risolte con un'estensione del browser aziendale.

Un'estensione del browser aziendale (come layerX) aggiunge funzionalità di gestione in-session e controlla varie API del browser. Ciò consente di personalizzare i browser esistenti e trasformarli in browser sicuri di livello aziendale. Mentre il browser garantisce la disponibilità e l’affidabilità del traffico web, l’estensione aggiunge inoltre funzionalità di sicurezza e governance.

In realtà, questo è esattamente ciò che i fornitori di browser consentono intenzionalmente. I browser gestiti (Chrome ed Edge), così come Firefox e Safari, supportano tutti funzionalità di personalizzazione avanzate e stabili con estensioni del browser aziendale.

Affermazione n. 5: le estensioni non sono potenti quanto il browser

IRRILEVANTE E PER LO PIÙ FALSO

Questa affermazione equivale a dire che un cucchiaio è più potente di un cucchiaino. Dipende davvero da cosa vuoi mescolare.

Per quanto riguarda la sicurezza del browser, la maggior parte dei casi d'uso sono legati al contenuto visualizzato (in parole semplici: i siti Web che visitiamo). Le estensioni hanno la stessa accessibilità al contenuto visualizzato (ad esempio post decrittografia, codice sorgente, DOM, debugger del browser e tantissime cose divertenti). Ciò significa che uno strumento più semplice del browser può svolgere il lavoro con meno sforzo.

Le funzionalità che un'estensione non è in grado di gestire sono già trattate abbastanza bene dai fornitori di browser. Google, Microsoft, Mozilla e Apple stanno facendo un lavoro incredibile nel fornire un prodotto SOTA con tantissime funzionalità di sicurezza al suo interno. In altre parole, non stai confrontando i browser aziendali con una soluzione di estensione, ma in realtà i browser aziendali con la combinazione Chrome+estensione.

Inoltre, la potenza dei browser aziendali è un’arma a doppio taglio. Maggiore è il numero di modifiche apportate a Chromium, maggiori sono le possibilità che ne venga eseguito il fork, rendendo impossibile l'aggiornamento in tempi ragionevoli. Il significato di ciò è che è probabile che i browser aziendali apportino il minor numero possibile di modifiche al codice Chromium, basando la maggior parte della loro sicurezza su un'estensione in bundle o su un proxy locale.

Affermazione n. 6: i browser aziendali forniscono la stessa esperienza di Chrome

MEZZA VERITÀ

È Chromium che offre un'esperienza SIMILE a Chrome. L'esperienza non è identica e nessuno promette che Google continuerà a condividere la maggior parte del suo codice con i suoi concorrenti. Nel corso del tempo, vediamo Google aggiungere funzionalità specifiche a Chrome che non fanno parte di Chromium.

Ciò che i browser aziendali non ti diranno

Prevedo che, oltre ai vantaggi esclusivi, i browser aziendali presenteranno anche alcuni svantaggi indesiderati che faranno piangere molti team IT nei prossimi anni.

Questi aspetti negativi includono:

  • Routine di patch inaffidabile e incoerente: I browser aziendali non pubblicano le proprie routine di patch. Ma estrapolando da Brave e Edge, potrebbero essere necessarie almeno 12 ore (e fino a diversi giorni) per correggere le vulnerabilità zero-day di Chromium che sono state corrette da Google in modo fuori banda.
  • Potenziale incompatibilità dell'applicazione: Le aziende continueranno a sviluppare le proprie applicazioni per Chrome ed Edge. Ma anche se oggi un browser aziendale è pienamente compatibile, nessuno garantisce che domani sarà lo stesso. Qualsiasi codice aggiunto su Chromium potrebbe presentare problemi e bug, il che significa che i dipendenti potrebbero non avere accesso alle applicazioni di cui hanno bisogno per svolgere il proprio lavoro.
  • Visibilità parziale: I tuoi dipendenti continueranno a utilizzare i browser commerciali il più possibile (per lavoro o per divertimento). Ciò significa che rimarrai con enormi lacune, che potrebbero comportare perdita di dati e minacce.
  • Il peggior blocco dei fornitori nella storia della sicurezza informatica: Immagina di utilizzare un browser aziendale. Ne sei felice. Tuttavia, un browser aziendale migliore arriva a un costo inferiore. Come migrerai? Tutte le tue preferenze, identità, password e cookie vengono memorizzati nel tuo browser esistente. Le società produttrici di browser pubblicizzano che tutti i loro cookie sono crittografati e che tutta la memoria è completamente isolata. Se fa il lavoro che dice di fare, ti ritroverai in un blocco del venditore.
  • Perdere capacità libere: I tuoi browser esistenti sono dotati di alcune funzionalità sorprendenti. Chrome ha la migliore blocklist del settore. Edge ha il miglior servizio di isolamento locale (AppGuard). Firefox offre incredibili funzionalità di privacy. La lista potrebbe continuare all'infinito. Tieni presente che utilizzando questi browser otterrai un ottimo rapporto qualità-prezzo senza alcun costo.
  • Attrito infinito: Un giorno qualcosa non funzionerà con il browser aziendale. Potrebbe essere dovuto a un problema da parte del fornitore del browser aziendale, a Google che limita la capacità di altri browser di utilizzare Chromium o a un semplice errore del dipendente. Una cosa è certa: molto probabilmente il dipendente dirà “questo browser non funziona. Fa schifo. L'utilizzo di un browser aziendale comporterà probabilmente molti attriti con la forza lavoro poiché pochissimi prodotti di sicurezza chiedono ai dipendenti di cambiare il modo in cui lavorano. Cambiare il modo in cui le persone lavorano è più un onere culturale che una risorsa per la sicurezza.
  • La lotta per l’identità digitale: La caratteristica numero uno di Chrome ed Edge (la ciliegina sulla torta) è la loro integrazione con l'identità del cloud office. Ciò significa che per le organizzazioni che utilizzano Google Workspace, Chrome fornisce un profilo del browser collegato all'identità Google. Per gli utenti di Office365, Edge fornisce un profilo del browser collegato all'identità Microsoft. Ciò significa che quasi tutte le organizzazioni dispongono già di un browser gestito a pagamento (Chrome o Edge) che funziona in modo sorprendente con la suite di applicazioni SaaS pertinente. Il passaggio a un altro browser peggiorerà questa esperienza e aggiungerà un altro servizio di identità (non necessario) allo stack IT. Invece di aggiungere sicurezza, causerà solo confusione tra i dipendenti e aumenterà il sovraccarico dell’IT.

L'alternativa sicura e semplice ai browser aziendali

C'è una cosa su cui le società di browser aziendali sono esatte; il browser è lo spazio di lavoro più importante e la fonte di visibilità più preziosa all'interno dell'organizzazione. Noi di LayerX pensiamo che la soluzione per proteggere i browser sia semplice: dobbiamo offrire la massima sicurezza possibile ai browser esistenti.

Allo stesso modo in cui lo sono i sistemi operativi protetto dalla protezione degli endpoint soluzioni (invece di una versione Linux rafforzata) e servizi di posta elettronica tramite strumenti di sicurezza della posta elettronica (invece di una "email sicura" personalizzata), una piattaforma di sicurezza del browser è la soluzione ai problemi di sicurezza del browser.

Utilizzando anno estensione del browser aziendale porta tutte le possibili funzionalità di sicurezza nel browser, senza compromettere l'esperienza dell'utente.