Encryptie van webverkeer (ook wel SSL, TLS, HTTPS genoemd) is lange tijd de norm geweest voor de meeste webservices, vooral voor zakelijke SaaS-applicaties zoals Salesforce, Microsoft Outlook 365 en Skype. Om dit verkeer te helpen beschermen tegen afluisteren en mogelijke blootstelling aan gevoelige gegevens, is end-to-end-encryptie een cruciale en effectieve beveiligingsmaatregel om de risico's te verminderen.
Organisaties worden echter geconfronteerd met een veel breder scala aan bedreigingen, waaronder ransomware en andere vormen van webgebaseerde malware, datalekken en meer. Om dit aan te pakken worden beveiligingstools zoals URL-filtering, antivirus, sandbox, Data Loss Prevention (DLP), Cloud Access Security Brokers (CASB), om er maar een paar te noemen, ingezet en belast met het inspecteren van al het webverkeer.
Hoewel de meeste beveiligingsprofessionals van mening zijn dat de juiste mix van beveiligingstools hun gebruikers en organisaties veilig zal houden, verhindert een wijdverbreide praktijk genaamd ‘certificaatpinning’ dat deze tools de bescherming bieden die hen is toevertrouwd.
Wat is het vastzetten van certificaten en hoe brengt dit uw organisatie in gevaar?
Netwerkbeveiligingstools implementeren hun beveiliging door het webverkeer te inspecteren terwijl het erdoorheen stroomt. Voor versleuteld verkeer vereist dit dat ze het ontsleutelen om de zichtbaarheid te krijgen die ze nodig hebben. De meeste beveiligingstools lossen dit op door een zogenaamde SSL-inspectie uit te voeren. Zonder al te technisch te worden, willen we zeggen dat dit doorgaans gebeurt met behulp van zelfondertekende certificaten en een techniek die bekend staat als man-in-middle. Voor het grootste deel werkt dit redelijk goed, totdat ze een service tegenkomen die gebruikmaakt van certificaatpinning. Nogmaals, zonder al te diep te duiken: het vastzetten van certificaten is een mechanisme dat door webservices wordt gebruikt om man-in-the-middle-inspectie te vermijden, wat ertoe leidt dat dergelijke pogingen de verbinding verbreken en voorkomen dat gebruikers hun werk doen, wat frustratie veroorzaakt en gevolgen heeft voor de bedrijfsvoering.
De enige manier om dergelijke services mogelijk te maken is door SSL-inspectie te omzeilen, waardoor uw beveiligingsproducten onbruikbaar worden en uw gebruikers worden blootgesteld aan bedreigingen.
Hoe gebruikelijk is het gebruik van certificaatpinning? Het wordt gebruikt door alle bovengenoemde services: Salesforce, Microsoft 365 Outlook en Skype, evenals vele andere veelgebruikte zakelijke applicaties: Dropbox, Google Drive, Webex Teams, Amazon Drive, DocuSign en nog veel meer.
Beveiligingsleveranciers zijn zich zeer bewust van deze tekortkoming en hebben oplossingen bedacht die niet afhankelijk zijn van SSL-inspectie. De oplossingen zijn gebaseerd op API's en zonder al te veel in detail te treden, willen we zeggen dat ze twee zeer kritische nadelen hebben. De eerste is dat ze geen realtime bescherming bieden. Ze vertrouwen erop dat er een waarschuwing wordt verzonden door de SaaS-provider, die moet worden bekeken, geanalyseerd en pas daarna moet worden gehandeld. Dit kan minuten tot uren en soms dagen duren, waarna het doorgaans veel te laat is om een inbreuk te stoppen.
Ten tweede kan deze oplossing alleen worden toegepast op gesanctioneerde SaaS-applicaties waarvan het bedrijf op de hoogte is en waarvoor de oplossing is ingezet. Omdat meer dan 85% van de SaaS-applicaties niet goedgekeurd zijn, blijft een aanzienlijk deel van het SaaS-aanvalsoppervlak volledig onbedekt, zelfs voor waarschuwingen achteraf.
API-gebaseerde oplossingen zijn duidelijk verre van ideaal als het gaat om het leveren van de beveiliging die uw organisatie nodig heeft.
Hoe kunnen we het vastzetten van certificaten tegengaan?
Het probleem ligt in de man-in-the-middle-benadering die traditionele instrumenten gebruiken. Dit geldt voor oplossingen die worden geleverd als edge-implementeerde apparaten, fysiek of virtueel, maar ook voor door de cloud geleverde services (bijvoorbeeld cloud-SWG, CASB, SSE/SASE).
Door de implementatielocatie naar de browser zelf te verplaatsen, kunnen we deze beperking overwinnen. Omdat de browser inzicht heeft in uitgaand verkeer voordat het is gecodeerd, en in inkomend verkeer nadat het is gedecodeerd, biedt het inspecteren van verkeer op dit kruispunt het inzicht dat nodig is om bedreigingen effectief te detecteren en te blokkeren. Dit maakt volledige beveiligingsdekking mogelijk met realtime bescherming voor al het webverkeer, inclusief voor services die gebruik maken van certificaatpinning.
Het plaatsen van webbeveiliging in de browser heeft nog veel meer voordelen, waaronder verbeterde prestaties en gebruikerservaring, omdat verkeer rechtstreeks naar de bestemming kan worden gestuurd, ook inzicht in browsercomponenten zoals risicovolle extensies, en inzicht in niet-goedgekeurde gebruikersacties binnen de browser, zoals het kopiëren en plakken van gevoelige gegevens en het invoeren ervan in Gen AI-tools. Het biedt ook TCO-voordelen doordat het aantal benodigde oplossingen wordt verminderd en de behoefte aan aanvullende oplossingen zoals API-gebaseerde beveiliging wordt geëlimineerd.
LayerX Enterprise Browser Extension integreert native met elke browser, waardoor deze de meest veilige en beheerbare werkruimte wordt. Bedrijven gebruiken LayerX om hun apparaten, identiteiten, gegevens en SaaS-apps te beveiligen tegen internetbedreigingen en browserrisico's, zoals gegevenslekken via internet, SaaS-apps en GenAI Tools, kwaadaardige browserextensies, phishing, accountovernames en meer.
Vraag een demo aan van LayerX hier
