Perché i leader della sicurezza stanno passando dall'isolamento del browser alle soluzioni di estensione della sicurezza del browser?

Sempre più decisori in materia di sicurezza si sono resi conto che il browser rappresenta la prima linea contro molteplici minacce informatiche. Questa intuizione li ha portati ad aggiungere soluzioni di isolamento del browser ai loro stack di sicurezza. Tuttavia, ultimamente abbiamo assistito a una tendenza crescente di professionisti della sicurezza che si stanno allontanando da queste soluzioni e verso le estensioni del browser sicuro. Queste soluzioni più recenti sono percepite come un’alternativa migliore per proteggere la superficie di attacco del browser.

In questo articolo analizzeremo questa tendenza e proveremo a spiegare la logica alla base di questo approccio. Innanzitutto, esamineremo le diverse funzionalità offerte da ciascun approccio. Successivamente, mostreremo che un'estensione per browser sicura affronta una gamma molto più ampia di minacce trasmesse dal web. Consente alla forza lavoro moderna di sfruttare appieno il potenziale di produttività dei propri browser, mentre l'approccio di isolamento del browser è molto più limitato nella copertura dei rischi. L'isolamento del browser inoltre peggiora l'esperienza di navigazione dell'utente in un modo che la rende inadeguata al moderno ambiente di lavoro orientato al browser. 

Iniziamo con un breve riepilogo su cos'è l'isolamento del browser e come funziona.

Isolamento del browser 101: protezione ermetica contro le minacce agli endpoint

Le soluzioni di isolamento del browser forniscono un ambiente virtuale in cui i browser possono essere eseguiti. Ciò significa che non è consentita l'esecuzione del codice scaricato sulla macchina reale prima che la soluzione ne esamini il comportamento e si assicuri che sia effettivamente innocuo. Questo approccio è estremamente efficace nel mitigare l'impatto degli exploit del browser e del download di file malware. Anche se lo sfruttamento ha avuto successo e il malware è stato scaricato, nessuno dei due raggiunge la macchina vera e propria.

È facile vedere che, in termini di proposta di valore diretto, l'isolamento del browser è una progressione naturale della tradizionale protezione degli endpoint. Il concetto di disporre di una sandbox locale, o anche di una macchina virtuale creata appositamente, per l'esecuzione sicura di processi soggetti a exploit, è stato implementato in varie forme nel corso dell'ultimo decennio. Ciò ha reso l'adozione dell'isolamento del browser un passaggio naturale di "difesa approfondita" per rafforzare la protezione EDR\NGAV esistente. 

Lo spazio di lavoro di oggi non è più l'endpoint ma il browser stesso 

Tuttavia, con il passare del tempo, le organizzazioni si sono rese conto che questo approccio potrebbe non essere abbastanza valido. Ciò è dovuto a due ragioni principali:

• Consumo di risorse: Tutte le soluzioni sandbox, compreso l'isolamento del browser, sono notoriamente note per l'avido consumo della CPU, che inevitabilmente riduce le prestazioni della macchina protetta. In effetti, questo è il motivo principale per cui questo approccio è stato abbandonato dai principali fornitori di protezione endpoint.

• Copertura parziale: Sebbene l'isolamento del browser offra una solida protezione contro le minacce agli endpoint, offre una protezione scarsa o nulla contro l'ampio panorama di rischi trasmessi dal web. 

Approfondiamo ancora un po' l'argomento.

L'isolamento del browser fatica a soddisfare le sfide di sicurezza e produttività della moderna azienda basata sul Web 

Dieci anni fa, i dipendenti lavoravano principalmente con file di dati sull’host locale. Ma oggi il browser ha assunto il ruolo di spazio di lavoro predominante nell’ambiente aziendale. Questo cambiamento è avvenuto in conformità con i browser moderni che offrono un'ampia gamma di funzionalità di sicurezza, nonché un impegno costante per l'esperienza dell'utente. L'implementazione di una soluzione di isolamento del browser crea un carico sulle risorse della macchina che porta direttamente a prestazioni del browser inferiori. Una delle regole pratiche essenziali è che qualsiasi controllo di sicurezza che ostacoli lo svolgimento del lavoro da parte dei dipendenti verrà disattivato, prima o poi. Questo è ciò che sta accadendo oggi alle soluzioni di isolamento del browser.

Inoltre, i rischi derivanti dal Web sono qualsiasi tipo di minaccia fornita dal browser: phishing e altri tipi di pagine Web dannose, accesso dannoso alle applicazioni SaaS tramite credenziali compromesse e fuga di dati basata sul browser. Tuttavia, le soluzioni di isolamento del browser hanno solo una visibilità parziale e limitata del contenuto delle pagine web. La loro visibilità nelle app SaaS è limitata all'individuazione di base a livello di nome host, senza approfondimenti sull'identità dell'utente o sull'utilizzo effettivo. In termini di monitoraggio del comportamento effettivo della pagina web stessa, hanno visibilità solo nel codice HTML pre-renderizzato. Inoltre, in termini di applicazione delle norme, le soluzioni di isolamento del browser mancano di granularità configurabile . Si limitano a controlli grezzi, come la disabilitazione di un evento di navigazione come incolla o cattura schermo su ogni destinazione o app, il che li rende inefficaci a causa dell'interruzione della produttività che comportano. 

Il problema è che questi rischi derivanti dal web stanno diventando sempre più una parte dominante del panorama delle minacce aziendali. E mentre le soluzioni di isolamento del browser potrebbero eccellere contro gli exploit malware, offrono poco contro un’ampia gamma di attacchi che le organizzazioni non possono più permettersi di ignorare.

A differenza di queste soluzioni, l’approccio sicuro dell’estensione del browser affronta completamente queste minacce. Capiamo perché:

Estensione Secure Browser 101: ispezione approfondita della sessione di ogni evento di navigazione

Le estensioni del browser sicuro vengono installate su un browser commerciale, come qualsiasi altra estensione. Dalla posizione del browser, hanno visibilità e controllo granulari di ogni evento all'interno della sessione di navigazione. Ciò consente loro di fornire monitoraggio continuo, analisi dei rischi e applicazione delle policy durante tutta la sessione web, in base sia al comportamento dell'utente stesso che alla pagina web visitata.

Questo approccio è estremamente efficace nel prevenire le minacce trasmesse dal web nel modo seguente:

Estensione sicura del browser contro phishing e altre pagine Web dannose 

Le estensioni del browser sicure hanno visibilità nella pagina Web effettivamente visualizzata man mano che viene creata gradualmente all'interno del browser. Grazie a questa visibilità, possono rilevare i primi segnali di phishing, download di malware e acquisizione di dati dannosi. Una volta rilevati questi segnali, l'estensione del browser sicuro può terminare del tutto la sessione o disattivare il rischio all'interno della pagina stessa.

Estensione sicura del browser e accesso dannoso a SaaS e app Web 

Allo stesso modo un'estensione del browser sicura ha visibilità nella pagina web, ha anche visibilità sull'utente e sulla sua attività. Con tale visibilità, può monitorare continuamente il comportamento dell'utente nelle app SaaS, profilare il suo comportamento di base, rilevare ogni volta che si verifica una deviazione da questo comportamento che potrebbe implicare un furto dell'account e, in seguito a tale rilevamento, impedire all'utente di accedere all'app.

Estensione sicura del browser e perdita di dati basata sul browser

La visibilità dell'estensione del browser sicuro in ogni evento di navigazione lo rende estremamente efficace contro la fuga di dati. Azioni come "condividi", "download" o "cattura schermo" possono essere limitate o vietate. In modo simile, incollare o digitare informazioni sensibili negli strumenti GenAI, come ChatGPT, può essere facilmente controllato e prevenuto (scopri di più sulla vera esposizione dei dati di GenAI su quest'ultimo rapporto).

La logica: proteggere la superficie esposta agli attacchi del browser anziché rafforzare la protezione degli endpoint esistente

È facile comprendere il ragionamento alla base del passaggio dall'isolamento del browser alle estensioni sicure del browser. La maggior parte delle organizzazioni non installerà più di una soluzione di sicurezza sui propri browser. Quando si sceglie la soluzione, è più sensato sceglierne una che affronti un’ampia gamma di minacce attualmente incustodite, piuttosto che aggiungere un altro livello di protezione degli endpoint. 

È vero che le estensioni sicure del browser offrono una protezione inferiore contro gli exploit zero-day rispetto agli strumenti di isolamento del browser. Tuttavia, va notato che questi exploit stanno diventando un fenomeno piuttosto raro. Anche se si verificano, sono comunque abbastanza coperti dalle attuali soluzioni EDR\NGAV. Tutto si riduce alla scelta tra una soluzione per una lacuna esistente e un’ulteriore precauzione contro una minaccia che è già in gran parte coperta. È davvero un gioco da ragazzi.

• Condividi: