Una delle minacce più trascurate alla sicurezza aziendale è rappresentata dalle spese dei dipendenti 40% delle loro ore di veglia facendo. Poiché le organizzazioni beneficiano dei vantaggi di una forza lavoro sempre più ibrida, troppe hanno effettuato questa supervisione fondamentale sul modo in cui utenti e dipendenti interagiscono con i sistemi esterni. La navigazione sul Web comporta rischi considerevoli, spesso ignorati.
Quando visiti una pagina web o un'app, il browser del tuo dispositivo carica il codice da un server remoto. Dal punto di vista zero trust, il presupposto della legittimità di questo server solleva serie preoccupazioni. Protezione tradizionale del browser come Secure Web Gateway (SWG) focalizzato sul tentativo di verificare una pagina web tramite un elenco predefinito di collegamenti sospetti; questo approccio senza contesto ha ostacolato le richieste autentiche e spesso ha mancato completamente nuovi attacchi.
Un decennio fa, tecniche come l'isolamento remoto del browser sono stati introdotti come la prossima generazione di protezione del browser. Ciò che fa l'isolamento remoto del browser è caricare e verificare il codice del sito prima che raggiunga il browser. Offrendo una maggiore protezione contestuale, questo approccio isola fisicamente un dispositivo dalle minacce codificate.
Di seguito, esaminiamo più da vicino le minacce da cui protegge l'isolamento del browser e il motivo per cui le organizzazioni lo utilizzano. Chiediamo se offre una protezione adeguata in un panorama delle minacce in evoluzione che richiede una sicurezza continua a livello di organizzazione e rivediamo tecnologie di sicurezza più moderne ed efficaci per affrontare i rischi della navigazione.
Da quali minacce protegge l'isolamento del browser?
L'isolamento del browser protegge da eventi di sicurezza opportunistici. Di seguito sono elencate le 6 principali vulnerabilità affrontate dagli utenti finali non protetti:
- Malvertising. Questo attacco è incentrato su reti pubblicitarie legittime. Agli operatori autentici del sito – e al loro gestore di annunci di terze parti – questi annunci sembrano del tutto normali. Tuttavia, gli operatori criminali di questi annunci hanno incluso alcune righe di codice dannoso. Quando un browser non protetto carica una pagina infetta, che può essere un qualsiasi annuncio su qualsiasi sito, una singola istruzione viene caricata sul tuo dispositivo, collegandolo al server di comando e controllo del criminale. Da qui, il server C2 può scaricare rapidamente e silenziosamente qualsiasi cosa in background.
- Download guidati. Questa ampia categoria di attacchi descrive un processo di installazione furtiva di malware. Che tu stia semplicemente caricando una pagina Web con una vulnerabilità del browser senza patch o installando un software autentico con malware in bundle nel caricatore, i download drive-by sfruttano ogni piccola svista.
- Attacchi reindirizzati. Quando un'e-mail che promuove sconti importanti presso un marchio rimbalza nella casella di posta di qualcuno, un utente attento alla sicurezza passerà il mouse sul collegamento per verificarne la validità. Vedendo l'URL che inizia con l'indirizzo del sito del marchio, presumono che tutto vada bene. Tuttavia, gli URL di reindirizzamento consentono l'introduzione clandestina del sito dell'aggressore in un indirizzo che inizialmente appare legittimo. Questa tecnica è stata riscontrata in quasi 7,000 e-mail di phishing mascherate da American Express e Snapchat nei 3 mesi tra maggio e luglio 2022.
- Clickjacking. La classica vulnerabilità che consente a un utente di essere indotto con l'inganno a fare clic su qualsiasi collegamento non intenzionale. Abbondano i falsi pulsanti "download" e chiudi annuncio, che inducono gli utenti a generare entrate pubblicitarie false e persino ad avviare il download di malware.
- Attacchi al browser sul percorso. Posizionandosi tra il server del sito e il tuo browser, un utente malintenzionato sul percorso può rubare i tuoi cookie o sfruttare la connessione HTTP per raccogliere credenziali di accesso e persino alterare il contenuto web che stai visualizzando.
- Cross Site Scripting: Ciò vede un utente malintenzionato iniettare codice in un sito Web legittimo; il cui payload viene rilasciato quando la vittima carica il sito web. Simili nello stile all'attacco di reindirizzamento, alcuni script cross-site aggiungono codice dannoso alla fine di un URL attendibile. Quando il browser web della vittima lo carica, un utente malintenzionato è in grado di rubare credenziali di accesso e altro ancora.
Come funziona l'isolamento del browser?
La tecnologia di isolamento del browser allontana le pagine Web dal browser dell'utente. Ciò può assumere diverse forme (vedere i tipi di isolamento del browser di seguito), ma funzionano tutti sulla stessa premessa generale. Innanzitutto, le attività di navigazione di un utente web vengono condotte in un ambiente isolato. Può trattarsi di un server, controllato e gestito da un fornitore cloud, o di una sandbox all'interno del computer dell'utente finale. Da lì, il comportamento di navigazione viene ritrasmesso al dispositivo dell'utente, così come le pagine web richieste (o le relative simulazioni). Quando l'utente invia un modulo, richiede un download o fa clic su un collegamento, la richiesta viene prima trasmessa a questo contenitore isolato, dove viene eseguita e valutata per la presenza di malware.
Ad esempio, un utente ha navigato in un sito dall'aspetto innocente contenente informazioni su un imminente evento di settore. A loro insaputa, tuttavia, una campagna di malvertisement ha preso di mira esattamente questa pagina. Mentre un utente non protetto rischia il download automatizzato di malware, il contenitore isolato protegge l'utente da qualsiasi tentativo di inviarlo a un server di comando e controllo non riconosciuto, disabilitando completamente l'attacco. Questo server o sandbox funziona in modo non persistente e viene ripristinato o eliminato ogni volta che l'utente chiude la sessione o il browser va in timeout. Ciò annulla il rischio di cross-site scripting e altri attacchi basati su JavaScript, rimuovendoli dalle preoccupazioni del singolo dipendente e aiutando a isolare i browser Web dalla più ampia superficie di attacco dell'azienda.
Perché le organizzazioni utilizzano l'isolamento del browser?
Lo ha scoperto un recente sondaggio di Gartner 82% degli intervistati leader del settore in tutti i settori finanziario, delle risorse umane e legale continuerà a supportare il lavoro a distanza. Con la tradizionale sicurezza perimetrale ormai diffusa in centinaia di sedi diverse, l’aumento vertiginoso dei costi di violazione dei dati sta dimostrando la necessità di una migliore protezione remota.
L'opzione tradizionale per la protezione dal malware basato sul Web include strumenti come il gateway Web sicuro (SWG). Questa soluzione di sicurezza di rete funge da proxy tra l'utente finale e la pagina a cui sta tentando di connettersi. Sfortunatamente, gli SWG non riescono a identificare dinamicamente, e quindi a proteggere, le pagine dannose in tempo reale. Molti proxy web e strumenti simili soffrono di cecità nel contesto della sessione di navigazione, mentre non riescono a distinguere i minimi dettagli tra destinazioni web autentiche e istanze dannose. L’ampia gamma di approcci utilizzati ha visto le soluzioni browser web iniziare a soffrire di un aumento dello stack tecnologico. Inoltre, questi approcci complessi possono comunque non cogliere gli exploit zero-day, bloccando inutilmente gli utenti dai siti e quindi bloccando la produttività.
L'isolamento del browser Web allontana le reti interne da qualsiasi minaccia. Ciò facilita sia la produttività dei dipendenti che la loro sicurezza.
Tipi di isolamento del browser
Esistono tre grandi categorie di tecniche di isolamento del browser.
#1. Isolamento del browser remoto
L'isolamento del browser remoto si basa sullo streaming del comportamento di navigazione dell'utente finale su un server cloud isolato. Esistono tre diverse forme di isolamento remoto, ciascuna delle quali invia contenuti al dispositivo dell'utente in forme diverse. Il primo è il metodo "pixel push". Questo vede un server cloud caricare il codice della pagina web, mentre trasmette in streaming un video o immagini sequenziali delle attività di navigazione dell'utente sul dispositivo dell'utente finale.
La riscrittura del DOM, d'altra parte, vede il server caricare la pagina web e quindi riscriverla attivamente per rimuovere qualsiasi codice HTML o JavaScript dannoso. Una volta declavato, il contenuto viene inviato al dispositivo dell'utente finale per essere caricato una seconda volta dal browser e visualizzato.
Il metodo finale prevede un processo simile, in cui la pagina web viene caricata in remoto, ma il contenuto non viene riscritto ampiamente. L'utente riceve invece una rappresentazione della pagina web in formato grafico vettoriale dopo che tutto il codice è stato eseguito.
Fondamentalmente, l’isolamento del browser remoto introduce quasi sempre latenza nel processo di navigazione.
#2. Isolamento del browser locale
L'isolamento del browser locale funziona in modo simile all'isolamento del browser remoto. Tuttavia, per ridurre la latenza, il server cloud remoto viene sostituito con un server ospitato nella rete interna dell'organizzazione.
L'isolamento del browser Web deve quasi sempre avvenire all'interno delle procedure firewall esistenti dell'organizzazione, anziché all'esterno, come avviene tramite il processo di isolamento remoto. Questa tecnica può funzionare bene per le organizzazioni con la massima privacy, anche se non si applica altrettanto bene alla forza lavoro remota a causa delle costose esigenze hardware dei server locali. Inoltre, mentre gli utenti sono sicuri che la loro navigazione non metterà a rischio i singoli dispositivi, c’è il rischio che la rete interna venga colpita da una minaccia particolarmente pericolosa proveniente dall’Internet pubblica.
#3. Isolamento del browser lato client
L'isolamento del browser lato client è drasticamente diverso dall'isolamento del browser remoto. Operando secondo la stessa filosofia di virtualizzazione del browser, non si basa su un server esterno ma opera invece sul dispositivo stesso dell'utente. L'aspetto dell'isolamento deriva da una delle due tecniche: virtualizzazione o sandboxing.
La virtualizzazione descrive il processo di divisione di un computer in più macchine virtuali separate. Appena sotto il sistema operativo di un computer si trova l'hypervisor, che può essere utilizzato per dividere le risorse hardware tra il dispositivo host ed eventuali sistemi guest. Ciò che accade in una macchina virtuale dovrebbe, in teoria, essere isolato solo da questo. Utilizzando una macchina virtuale per caricare le pagine Web, il computer host è protetto dalle minacce più comuni del browser Web.
Il sandboxing presenta alcune somiglianze con la virtualizzazione, offrendo un ambiente virtuale contenuto all'interno del quale è possibile eseguire le applicazioni. Tuttavia, non è prevista la creazione di un sistema completamente separato. Invece, una sandbox è un contenitore che può essere posizionato attorno a un'applicazione in esecuzione sul sistema operativo. Il vantaggio principale di ciò è che, ogni volta che un sandbox viene chiuso, tutti gli eventi rimangono non salvati e quindi eliminati.
La prossima generazione di sicurezza del browser inizia con LayerX
L'isolamento del browser non funziona sulla sicurezza totale che una volta prometteva. L'impatto significativo della soluzione sull'esperienza utente ha portato a un utilizzo sporadico, con le organizzazioni che tentano di fare affidamento su una protezione frammentaria mentre i dipendenti scelgono semplicemente un'esperienza di navigazione meno gravosa.
Anche le alternative non sono molto migliori: i Cloud Access Security Brokers (CASB) sono da tempo la soluzione del settore alla vulnerabilità del browser. Tuttavia, l'aderenza alle policy applicata dai CASB si applica solo alle applicazioni sanzionate e dipende profondamente dall'API di ciascuna app. I loro requisiti di integrazione hanno contribuito a creare una forma di gestione della sicurezza complessa, costosa e meno efficiente.
LayerX è la prima soluzione a dare priorità alla semplicità. Fornisce in modo uniforme tutti i livelli di isolamento del browser remoto, consentendo la governance in tempo reale dell'utilizzo del Web, del phishing e della protezione da malware, senza intralciare i dipendenti. Eliminando i cambiamenti infrastrutturali su larga scala, la soluzione LayerX funziona per soddisfare le esigenze di sicurezza della tua organizzazione, e non il contrario.
