Omdat 80% van de webaanvallen via de browser plaatsvindt, worden organisaties voortdurend blootgesteld aan verschillende aanvallen wanneer werknemers hun browser gebruiken. Deze omvatten drive-by downloads, malvertising, injectie van kwaadaardige code, cross-site scripting en vele andere.
Als gevolg hiervan zijn organisaties voortdurend op zoek naar effectieve manieren om zich te beschermen tegen risico's, bedreigingen en aanvallen via internet. Sommige organisaties wenden zich tot beveiligingsoplossingen voor browserisolatie in een poging om met deze aanvalsvectoren om te gaan. In dit artikel zal ik uitweiden over waarom deze aanpak achterhaald en inefficiënt is en beargumenteren dat er betere en veiligere browserbeveiligingsoplossingen zijn die kunnen worden overwogen.
Wat is browserisolatie?
Wanneer een gebruiker een website bezoekt, wordt de browser haalt de site op bestanden een webserver en aanschouwelijk rendert de pagina op het apparaatscherm. Vanuit beveiligingsperspectief is dit een prominent aanvalsoppervlak omdat hierbij code van een onbekende bron op het apparaat moet worden uitgevoerd.
Browserisolatie is een technologie die het proces van het laden van webpagina's scheidt van de fysieke apparaten van gebruikers. Op die manier kunnen bestanden en code het apparaat en het besturingssysteem van de gebruiker niet bereiken, waardoor wordt voorkomen dat potentieel kwaadaardige code op het apparaat van een gebruiker wordt uitgevoerd en het risico op het downloaden van malware wordt verminderd.
Met andere woorden: browserisolatie beschermt de browseractiviteit tegen op code gebaseerde bedreigingen het verplaatsen van internetactiviteiten weg van de lokale netwerken en infrastructuur van een bedrijf.
De nadelen van browserisolatie
De benadering van browserisolatie kent veel problemen, waaronder latentieproblemen, gebruikersfrustratie, hoge kosten, een ondermaats beveiligingsbeleid en inefficiëntie. Bovendien zijn wij van mening dat browserisolatie niet langer relevant is in het huidige bedreigingslandschap.
Enkele van de belangrijkste uitdagingen bij browserisolatie zijn:
Slechte latentie en gebruikerservaring
Browserisolatie is storend voor de gebruiker. Als de browserisolatie wordt gehost in een openbare cloud of een geografisch afgelegen datacenter, zal de eindgebruiker doorgaans slechte browsersnelheid en -prestaties ervaren. Bovendien moeten gebruikers elke keer dat ze de browser willen starten eerst door de browserisolatietoepassing heen springen. Dit kan frustratie veroorzaken, vooral als de applicatie niet wordt bijgewerkt in overeenstemming met de browser, wat ertoe kan leiden dat sommige websites eenvoudigweg niet in browserisolatie werken.
Bovendien verstoort het isolatieproces dynamische webapplicaties ernstig, omdat ze veel JavaScript bevatten en veel code-rendering aan de clientzijde bevatten. Omdat de meeste SaaS-applicaties op die manier werken, is browserisolatie geen relevant hulpmiddel voor cloud-positieve organisaties.
Lastig voor het IT-team
De bovengenoemde latentie- en compatibiliteitsproblemen verbruiken ook veel tijd van het IT-team. IT-teams zijn verplicht om de browserisolatiesoftware op elk eindpuntapparaat te installeren en bij te werken en vervolgens alle bugs en problemen die zich voordoen op te lossen. Deze uitdaging wordt ingewikkelder als er veel werknemers zijn om voor te zorgen, als er op afstand wordt gewerkt en als externe contractanten ook de software van de organisatie gebruiken.
Dit leidt ertoe dat IT-teams eindeloos te maken krijgen met compatibiliteitsproblemen, niet-reagerende websites of suboptimaal browsen, terwijl ze worden afgeleid van belangrijkere taken.
Hoge kosten
Browserisolatie is niet alleen oncomfortabel in gebruik, het is ook prijzig. Browserisolatieoplossingen vereisen dat al het webverkeer van een organisatie via de cloud wordt geleid. Deze continue codering van het verkeer vereist aanzienlijke bandbreedte, waardoor het proces van browserisolatie arbeidsintensief en dus kostbaar voor het bedrijf wordt. Publieke cloudinfrastructuur van derden, waarop de isolatieservice wordt gehost, brengt vaak extra kosten met zich mee die ook aan klanten worden doorberekend. Al met al maken deze isolatieoplossingen voor organisaties erg duur in het gebruik.
Browserisolatie wordt sporadisch gebruikt en laat de organisatie bloot
Zoals hierboven uitgelegd, is browserisolatie duur en storend voor gebruikers. Als gevolg hiervan kiezen organisaties er vaak voor om het alleen in specifieke omgevingen te gebruiken. Het bedrijf kan het gebruik ervan bijvoorbeeld alleen eisen in teams die toegang hebben tot bijzonder gevoelige gegevens, of als alternatief het gebruik van browserisolatie uitsluiten wanneer gebruikers toegang krijgen tot bekende domeinen zoals Google, Microsoft of AWS.
Dit is jammer, zoals we hebben gezien Het afgelopen jaar zijn er talloze phishing-aanvallen geweest waarbij misbruik werd gemaakt van AWS- of Microsoft-domeinen. Phishing-campagnes zijn steeds geavanceerder geworden en sommigen slagen erin legitieme domeinen te gebruiken om malware te verspreiden en persoonlijke gegevens te stelen. Wanneer de organisatie dus gedeeltelijk gebruik van de browserisolatie toestaat, blijft zij blootgesteld aan echte, veel voorkomende phishing-aanvallen.
Over het algemeen niet effectief tegen phishing-aanvallen
Zelfs als het zonder onderbrekingen wordt gebruikt, is browserisolatie meestal niet effectief tegen phishing-aanvallen. Browserisolatielogica is gebaseerd op het blokkeren van cyberaanvallen door te voorkomen dat kwaadaardige webcode op het apparaat van de gebruiker wordt uitgevoerd. De meeste phishing-aanvallen maken echter geen gebruik van bewapende code, maar stelen eerder inloggegevens of andere persoonlijke gegevens in die door nietsvermoedende gebruikers zijn ingevoegd.
Phishing-aanvallen zijn afhankelijk van invoeracties van gebruikers op websites die legitiem lijken. In feite omvatten de meeste browseraanvallen tegenwoordig een gebruikersinteractie die de browserisolatie niet kan voorkomen. Om het duidelijk te zeggen: phishing-aanvallen voeren geen code uit, dus browserisolatie is vrijwel nutteloos tegen deze aanvallen.
Dit is een groot beveiligingslek, aangezien phishing-aanvallen een enorme bedreiging vormen en elk jaar wijdverbreider worden. Onderzoek door de Britse overheid ontdekte dat van bedrijven die meldden dat ze het afgelopen jaar inbreuken op de cyberveiligheid of -aanvallen hadden gehad, 83% is het slachtoffer geweest van phishing-aanvallen. Ingenieuze phishing- en malware-aanvallen vormen een ernstige bedreiging die organisaties op veel manieren schade kan berokkenen: financiële verliezen, privacylekken, gegevensverlies en meer.
Redundant dankzij de site-isolatie van Chrome
Als klap op de vuurpijl blijkt dat browserisolatie al een bestaande beveiligingsfunctie is in Google Chrome. De functie, genaamd Site Isolation, is standaard ingeschakeld in Chrome sinds de update van versie 67 in mei 2018. Het plaatst pagina's van verschillende websites in verschillende processen, die elk in een sandbox draaien die beperkt wat het proces mag doen. Deze isolatie is een specifiek type browserisolatie aan de clientzijde waarbij de webpagina's op een gebruikersapparaat worden geladen, maar waarbij gebruik wordt gemaakt van sandboxing om de websitecode en inhoud gescheiden te houden van de rest van het apparaat.
Het verschil tussen de twee mechanismen is dat Site Isolation de fysieke scheiding van schadelijke code van het apparaat ontbeert, terwijl Remote Browser Isolation de websitecode op een cloudinfrastructuur buiten het apparaat van de gebruiker uitvoert. Dit verschil is echter van weinig betekenis omdat aanvalsvectoren die uit sandboxen kunnen ontsnappen en vervolgens het apparaat kunnen aanvallen, relatief zeldzaam zijn.
Kwetsbaarheden zoals ontsnapping uit de sandbox worden beschouwd als aanvallen van enigszins 'hoog niveau'. Ze zijn zeldzaam, vereisen ingewikkelde technologische expertise en worden voortdurend gezocht door beveiligingsonderzoekers. Google beloont bijvoorbeeld aanzienlijke sommen geld aan onderzoekers die de genoemde kwetsbaarheden aan het bedrijf hebben gemeld, als onderdeel van hun beloningsprogramma voor bugbounty.
Dit alles wil zeggen dat deze exploits zo geavanceerd en vindingrijk zijn dat ze waarschijnlijk ook andere conventionele beveiligingsfuncties zoals Remote Browser Isolation kunnen overtreffen. Simpel gezegd: standaard RBI's zullen ze waarschijnlijk ook niet blokkeren.
Browserisolatie werkt niet: het is tijd voor een nieuw tijdperk in browserbeveiliging
Tegenwoordig is de browser een uiterst belangrijk en onvervangbaar werkinstrument. In het verleden beantwoordde browserisolatie aan een reële behoefte, namelijk het beschermen van gebruikers tegen kwaadaardige code die op het internet op de loer ligt. Het veranderende dreigingslandschap, namelijk de opkomst van phishing die zonder code wordt uitgevoerd en de opkomst van site-isolatie aan de clientzijde, hebben RBI echter ineffectief en irrelevant gemaakt. Isolatie is als zwemmen in een astronautenpak – niet erg nuttig en erg belastend.
Het is tijd voor een holistische benadering van browserbeveiliging die betere resultaten kan opleveren voor gebruikers en voor de cyberbeveiligingsbehoeften van organisaties. LayerX-beveiliging biedt de belangrijkste positieve elementen die RBI nuttig hebben gemaakt: realtime monitoring en beheer van de interactie van gebruikers op internet en bescherming tegen malware. Het allerbelangrijkste is echter dat het echte bescherming biedt tegen phishing-aanvallen via de browser, zonder de gebruikerservaring te verstoren.
Een goede oplossing voor browserbeveiliging moet gebruikers in staat stellen de browser naadloos te gebruiken en te profiteren van de voordelen ervan op het gebied van productiviteit en efficiëntie. Voeg vervolgens, voortbouwend op de bestaande beveiligingsfuncties van de browser, die cruciale extra laag toe om de meest relevante aanvallen te blokkeren.
