De duistere kant van zakelijke browsers: zes van hun beweringen op feiten controleren

In 2022 was er een enorme hype rond browserbeveiliging en zakelijke browsers. Maar hoewel ze beweren ‘beveiliging op bedrijfsniveau’ te bieden, zijn zakelijke browsers eigenlijk verre van perfect. In feite hebben ze enkele kritische nadelen.

Wat zijn dat en wat is het alternatief? In deze blog zal ik onderscheid maken tussen browserbeveiliging en zakelijke browsers, de voor- en nadelen van beide bespreken en enig licht werpen op de browserschuld die ontstaat bij het migreren naar een zakelijke browser. Lees verder om te zien welke claims door zakelijke browserbedrijven worden gemaakt en of ze deze daadwerkelijk kunnen waarmaken.

De browser heeft meer beveiliging nodig. Is een zakelijke browser de juiste oplossing?

De afgelopen jaren hebben er enkele tektonische verschuivingen in de IT plaatsgevonden. Deze verschuivingen maakten traditionele beveiligingsoplossingen, zoals firewalls, SWG's, VDI's en VPN's, irrelevant. Netwerkbeveiligingstools kunnen geen complexe SaaS-applicaties inspecteren, die steeds vaker voorkomen op de werkvloer. Medewerkers werken op afstand en heb een hekel aan browsen via een VPN. Gegevens zijn verspreid over talloze applicaties en zijn moeilijk te beschermen. Virtuele desktops zijn duur en leveren slechte prestaties; ze zijn het verkeerde hulpmiddel voor toegang tot webapplicaties.

Met andere woorden: de meest gebruikte tools van de cybersecurity-stack van ondernemingen worden nutteloos. Dit is een perfecte storm die organisaties deed verlangen naar een moderne browserbeveiligingsoplossing die zichtbaarheid, beveiliging en controle biedt tijdens elke websessie. 

Echte browserbeveiliging vereist dat het browserperspectief wordt benaderd, om ervoor te zorgen dat er rekening wordt gehouden met end-to-end-codering en het weergaveproces. Rekening houdend met de browserarchitectuur kan een dergelijke oplossing op twee manieren worden geleverd:

• Een browserextensie bovenop de bestaande browser (het resultaat is vergelijkbaar met een EDR bovenop het besturingssysteem)
• Het gebruik van Firefox- of Chromium-rendering-engines om een ​​nieuwe browser te bouwen (het resultaat is vergelijkbaar met het aanpassen van een Linux/Android-besturingssysteem om een ​​nieuwe smaak te creëren)

Wat is een bedrijfsbrowser?

Enterprise-browsers (ook wel “veilige zakelijke browsers” genoemd) zijn Chromium-gebaseerde (of Firefox-gebaseerde) browsers die zijn gebouwd voor de bedrijfsomgeving. Ze bieden weergavemogelijkheden voor Chrome (of Firefox). Maar in plaats van de native Chrome/Edge-functies introduceren ze hun eigen beveiligings-, beheer- en identiteitsfuncties.

Enterprise-browsers vragen klanten afscheid te nemen van hun geliefde Chrome, Edge, Firefox en Safari ten gunste van iets nieuws en zogenaamd veiliger. In ruil daarvoor krijgen ze een maandelijks abonnementsgeld, een niet zo eenvoudig implementatieproces en een rigide leveranciersafhankelijkheid.

De beweringen van leveranciers van zakelijke browsers, bedoeld om organisaties te overtuigen om voor deze browsers te kiezen, zijn vanuit mijn standpunt niet geldig. In de volgende sectie zal ik naar elk van deze claims verwijzen en mijn twee cybercenten erover geven.

“Een halve waarheid is vaak een grote leugen” – Benjamin Franklin

Bewering #1: Chrome is de meest kwetsbare browser

Juist

Dit is een klassiek voorbeeld van overlevingsbias. Google is niet de meest kwetsbare browser, maar eerder de meest gepatchte browser! Google's project Zero is het beste voorbeeld van het scannen van softwarekwetsbaarheden in de geschiedenis van IT.

De meeste Chromium-kwetsbaarheden worden ontdekt door de technici van Google en slechts een paar worden ooit in het wild uitgebuit. Bovendien neemt het aantal afzonderlijke kwetsbaarheden dat nodig is om deze browser succesvol te exploiteren sterk toe. In de digitale wereld wordt in feite gezegd dat als je code op afstand kunt uitvoeren met een sandbox-ontsnapping, je deze voor een paar miljoen dollar kunt verkopen.

U zou zich eigenlijk meer zorgen moeten maken over producten die hun kwetsbaarheden niet openbaar maken. Als ze ze niet openbaar maken, repareren ze ze ook niet. Google daarentegen is open en transparant over de kwetsbaarheden van Chromium, handhaaft het als een open source-project en demonstreert de snelste patchroutine in de IT-industrie. 

De onderliggende waarheid voor CISO's is dat Chromium-browsers de beste beveiligingsarchitectuur in hun omgeving bieden. Het zijn eigenlijk de IT-tools zonder de juiste openbaarmaking van kwetsbaarheden waar ze zich zorgen over moeten maken.

Als u het er niet mee eens bent, probeer dan een CISO te vinden die een Chrome zero-day-exploitatie heeft meegemaakt, of probeer Chrome gewoon zelf te exploiteren.

Claim nr. 2: Enterprise-browsers patchen kwetsbaarheden sneller dan Chrome

VOORAL ONWAAR

Google heeft een voorspelbare levenscyclus van softwarereleases. Elke software-update wordt geïmplementeerd volgens de volgende stappen: canary, bèta, onstabiel en stabiel. Soms duurt het een paar weken voordat een nieuw stukje code wordt geschreven en wereldwijd wordt geïmplementeerd.

Sommige zakelijke browsers beweren software-updates sneller naar productie te brengen dan Google, wat betekent dat ze kwetsbaarheden sneller zouden patchen dan Chrome.

Impactvolle kwetsbaarheden worden echter door Google op een out-of-band manier gepatcht, binnen enkele dagen en buiten de reguliere releaselevenscyclus van Chrome. Dit betekent dat Google bij het omgaan met een soort kwetsbaarheid (ernstig, in het wild uitgebuit, enz.) een uitstekende inspanning levert om deze in een mum van tijd te repareren.

Dit nieuwe stukje code in Chromium is niet gelabeld als gerelateerd aan beveiligingsproblemen en gaat rechtstreeks naar productie. Met andere woorden, zakelijke browsers weten niet of dit significant is en welke compatibiliteitsproblemen zich kunnen voordoen.

Mijn advies zou zijn om uw zakelijke browser te vragen de versiegeschiedenis vrij te geven. Het is een goede gewoonte voor softwareleveranciers om transparant te zijn over hun daadwerkelijke releasecyclus.

Bewering #3: Enterprise-browsercode is veiliger dan commerciële browsercode en is immuun voor aanvallen op de browser

KAN ZIJN

Elk stukje software heeft zijn kwetsbaarheden en beveiligingsproblemen (zelfs een zakelijke browser). De vraag is: zijn er beveiligingslekken in standaardbrowsers? De beste manier om die vraag te beantwoorden is door na te gaan op welke manieren commerciële browsers kunnen worden gehackt. 

Het antwoord wordt geboden door zowel malware als antivirussoftware. Beiden willen toegang tot de browser om activiteiten te monitoren: malware om wachtwoorden te stelen en antivirussoftware om malware te blokkeren. Beide doen dit meestal door een lokale browserextensie in te zetten. Dit betekent dat het moeilijk is om browseractiviteit te controleren, omdat de browser geïsoleerd is in een sandbox met beperkte toegang tot de rest van het systeem, en gebruikt encryptie om gegevens te beschermen. Het is eigenlijk veilig genoeg op codeniveau. 

Er bestaan ​​wel hiaten, maar niet op codeniveau. Browsergegevensbestanden (cookies, wachtwoordbestanden en downloads) kunnen toegankelijk zijn voor malware. Maar hiervoor is niet de hele browser nodig. Als u bovendien bang bent voor malware, kunt u het beste een oplossing voor eindpuntbescherming gebruiken. Gebruik het juiste gereedschap voor de klus.

Om een ​​kanttekening toe te voegen: ik zou persoonlijk vrezen dat de zakelijke browser meer kwetsbaarheden zal introduceren dan hij kan patchen. De reden hiervoor is dat Chromium wordt ondersteund door zowel Google als een enorm ecosysteem dat betrokken is bij zijn open source-project. De Chromium-code beschikt over een verbazingwekkende standaard voor beveiligingsbasislijn. Ik zou veel meer vrezen voor nieuwe code die de bestaande code en de bestaande manier van werken verstoort dan voor Chromium-code.

Bewering #4: Commerciële browsers bieden niet voldoende beheer- en beheermogelijkheden

GEDEELTELIJK WAAR

Voor Google Workspace-klanten is Chrome Enterprise gratis en biedt het kant-en-klare beheermogelijkheden. Voor Office365-gebruikers zijn er beheerde Edge-instellingen die kunnen worden ingesteld door apparaatbeheertools. Ze zijn niet zo gedetailleerd als zakelijke browsers, maar deze hiaten kunnen worden opgelost met een zakelijke browserextensie.

Een zakelijke browserextensie (zoals LaagX) voegt beheermogelijkheden tijdens sessies toe en bestuurt verschillende browser-API's. Dit maakt het mogelijk om bestaande browsers aan te passen en deze om te zetten in veilige browsers op bedrijfsniveau. Terwijl de browser de beschikbaarheid en betrouwbaarheid van webverkeer biedt, voegt de extensie daarbovenop beveiligings- en beheermogelijkheden toe.

In feite is dit precies wat browserleveranciers opzettelijk toestaan. Beheerde browsers (Chrome en Edge), evenals Firefox en Safari, ondersteunen allemaal rijke en stabiele aanpassingsmogelijkheden met zakelijke browserextensies.

Bewering #5: Extensies zijn niet zo krachtig als de browser

IRRELEVANT EN VOORAL ONWAAR

Deze bewering komt neer op het zeggen dat een eetlepel krachtiger is dan een theelepel. Het hangt er echt van af wat je wilt roeren.

Met betrekking tot browserbeveiliging hebben de meeste gebruiksscenario's betrekking op de weergegeven inhoud (in eenvoudige woorden: de websites waarnaar we surfen). Extensies hebben dezelfde toegankelijkheid tot de weergegeven inhoud (dwz postdecodering, broncode, DOM, browserdebugger en heel veel leuke dingen). Dit betekent dat een eenvoudiger hulpmiddel dan de browser de klus met minder moeite kan klaren.

Mogelijkheden die een extensie niet aankan, worden door de browserleveranciers al redelijk goed behandeld. Google, Microsoft, Mozilla en Apple doen fantastisch werk door een SOTA-product te leveren met talloze beveiligingsfuncties erin. Met andere woorden: u vergelijkt geen zakelijke browsers met een extensie-oplossing, maar eigenlijk zakelijke browsers met de combinatie Chrome+extensie.

Bovendien is de kracht van zakelijke browsers een tweesnijdend zwaard. Hoe meer wijzigingen ze aanbrengen in Chromium, hoe groter de kans is dat ze hiervan afstappen, waardoor het onmogelijk wordt om binnen een redelijk tijdsbestek te updaten. De betekenis hiervan is dat zakelijke browsers waarschijnlijk zo min mogelijk wijzigingen in de Chromium-code zullen aanbrengen, terwijl ze het grootste deel van hun beveiliging baseren op een gebundelde extensie of op een lokale proxy.

Claim #6: Enterprise-browsers bieden dezelfde ervaring als Chrome

DE HELFT VAN DE WAARHEID

Het is Chromium dat een SOORTGELIJKE ervaring biedt als Chrome. De ervaring is niet identiek en niemand belooft dat Google het grootste deel van zijn code met zijn concurrenten zal blijven delen. In de loop van de tijd zien we dat Google specifieke mogelijkheden aan Chrome toevoegt die geen onderdeel zijn van Chromium.

Wat zakelijke browsers u niet vertellen

Ik verwacht dat zakelijke browsers, naast hun unieke voordelen, ook een aantal ongewenste nadelen zullen hebben die veel IT-teams de komende jaren tot tranen zullen brengen.

Deze nadelen zijn onder meer:

• Onbetrouwbare en inconsistente patchroutine: Enterprise-browsers publiceren hun patchroutines niet. Maar extrapolerend vanuit Brave en Edge kan het minstens twaalf uur (en tot enkele dagen) duren om de zero-day-kwetsbaarheden in Chromium te patchen die buiten de band door Google zijn gepatcht.
• Mogelijke incompatibiliteit met toepassingen: Bedrijven zullen hun applicaties voor Chrome en Edge blijven bouwen. Maar zelfs als een zakelijke browser vandaag de dag volledig compatibel is, garandeert niemand dat de toekomst hetzelfde zal zijn. Elke toegevoegde code bovenop Chromium kan zijn eigen problemen en bugs met zich meebrengen, wat betekent dat werknemers mogelijk geen toegang hebben tot de applicaties die ze nodig hebben om hun werk gedaan te krijgen.
• Gedeeltelijke zichtbaarheid: Uw medewerkers zullen nog steeds zoveel mogelijk commerciële browsers gebruiken (voor werk of plezier). Dit betekent dat u enorme hiaten overhoudt, wat verlies van functiegegevens en bedreigingen met zich mee kan brengen.
• Het ergste leveranciersslot in de geschiedenis van cyberbeveiliging: Stel je voor dat je een zakelijke browser gebruikt. Je bent er blij mee. Een betere zakelijke browser komt echter tegen lagere kosten. Hoe ga je migreren? Al uw voorkeuren, identiteiten, wachtwoorden en cookies worden opgeslagen in uw bestaande browser. De browserbedrijven adverteren dat al hun cookies gecodeerd zijn en dat al het geheugen volledig geïsoleerd is. Als het doet wat het belooft, zit je in een leveranciersslot.
• Vrije mogelijkheden verliezen: Uw bestaande browsers worden geleverd met een aantal fantastische mogelijkheden. Chrome heeft de beste blokkeerlijst in de branche. Edge heeft de beste lokale isolatieservice (AppGuard). Firefox biedt ongelooflijke privacyfuncties. De lijst gaat maar door. Houd er rekening mee dat u, door deze browsers te gebruiken, kosteloos veel waar voor uw geld krijgt.
• Oneindige wrijving: Op een dag zal er iets niet werken met de zakelijke browser. Dit kan te wijten zijn aan een probleem aan de kant van de leverancier van zakelijke browsers, aan het feit dat Google de mogelijkheid van andere browsers beperkt om Chromium te gebruiken, of aan een eenvoudige fout van een medewerker. Eén ding is zeker: de medewerker zal hoogstwaarschijnlijk zeggen: “Deze browser werkt niet. Het is rot.” Het gebruik van een bedrijfsbrowser zal waarschijnlijk veel wrijving met uw personeel met zich meebrengen, aangezien maar heel weinig beveiligingsproducten werknemers vragen de manier waarop ze werken te veranderen. Het veranderen van de manier waarop mensen werken is eerder een culturele last dan een zekerheidsmiddel.
• De digitale identiteitsstrijd: Het belangrijkste kenmerk van Chrome en Edge (de kers op de taart) is hun integratie met de cloudoffice-identiteit. Dit betekent dat Chrome voor organisaties die Google Workspace gebruiken een browserprofiel geeft dat is gekoppeld aan de Google-identiteit. Voor Office365-gebruikers geeft Edge een browserprofiel dat is gekoppeld aan de Microsoft-identiteit. Dit betekent dat bijna elke organisatie al beschikt over een betaalde beheerde browser (Chrome of Edge) die verbazingwekkend werkt met de relevante SaaS-applicatiesuite. Overstappen naar een andere browser zal deze ervaring verslechteren en nog een (onnodige) identiteitsservice aan de IT-stack toevoegen. In plaats van beveiliging toe te voegen, zal dit alleen maar verwarring onder werknemers veroorzaken en de overhead op IT vergroten.

Het veilige en probleemloze alternatief voor zakelijke browsers

Er is één ding waar de zakelijke browserbedrijven precies over zijn; de browser is de belangrijkste werkruimte en de meest waardevolle zichtbaarheidsbron in de organisatie. Bij LayerX denken we dat de oplossing voor het beveiligen van de browsers eenvoudig is: we moeten zoveel mogelijk beveiliging aan bestaande browsers toevoegen.

Op dezelfde manier als besturingssystemen dat zijn beveiligd door eindpuntbescherming oplossingen (in plaats van een verharde Linux-versie) en e-maildiensten via e-mailbeveiligingstools (in plaats van een op maat gemaakte “beveiligde e-mail”), is een browserbeveiligingsplatform de oplossing voor browserbeveiligingsproblemen.

Met behulp jaar zakelijke browserextensie brengt alle mogelijke beveiligingsmogelijkheden naar de browser, zonder de gebruikerservaring in gevaar te brengen.

• Delen: