Wat is een virtuele browser?
Twee van de grootste trends die de bedrijfsstrategie in 2023 aansturen zijn beveiligingsbewuste bestuurders en naleving van de regelgeving. Dit heeft geleid tot indrukwekkende vooruitgang in de veiligheidsstandpunten van hele bedrijfstakken, vooral gezien de uitdaging van nieuwe perimeterloze werkruimtes. Ondanks de vooruitgang blijft er één hardnekkige vergissing bestaan. De webbrowser speelt een cruciale rol bij innovatie en communicatie; de vrijwel onbeperkte toegang die het biedt tot het world wide web is een bron van zowel baanbrekend onderzoek als diepgewortelde kwetsbaarheden.
Een antwoord hierop is de virtuele browser. Terwijl bij een traditionele installatie de browser rechtstreeks op het lokale apparaat wordt uitgevoerd, isoleren virtuele browsers de browser in een virtuele omgeving. Vanuit het perspectief van de eindgebruiker lijkt er niet veel veranderd; hun surfgedrag blijft ongehinderd en webpagina's worden betrouwbaar geladen. In de ogen van een aanvaller kunnen hun malvertisement en door de browser gehoste payloads echter niet langer rechtstreeks op het besturingssysteem (OS) van de gebruiker worden geplaatst. Deze beschermende buffer wordt mogelijk gemaakt door de eigen architectuur van het apparaat. De meest eenvoudige vorm van virtualisatie plaatst een container rond de actieve applicatie. Alle gegevens die door deze applicatie worden gemaakt of gewijzigd, worden niet opgeslagen wanneer de gebruiker afsluit, en zijn onzichtbaar voor elk besturingssysteemonderdeel buiten de sandbox.
Opgeschaald naar een duizendkoppig bedrijfssysteem kan deze geïsoleerde browseromgeving worden verplaatst naar een externe machine. Dit kan lijken op een aangewezen server binnen de onderneming, of de cloudgebaseerde aanpak van een virtuele desktopinfrastructuuromgeving aannemen. De implementatie hiervan kan zeer complex zijn, waarbij technische teams moeten jongleren VDI-infrastructuur instellen terwijl we strijden om de online toegang voor werknemers te behouden. Aanzienlijke licenties voor clienttoegang kunnen zelfs nog zwaarder wegen op de jaarlijkse budgetten. Hoewel virtuele browsers een indrukwekkende eerste stap vormen, hebben uiteindelijk een aantal belangrijke veranderingen de browserbeveiligingsoplossingen verder ontwikkeld.
KNOP [Meer informatie over het LayerX-browserbeveiligingsplatform.]
Gebruiksscenario's voor virtuele browsers
Nu webbrowsers nog steeds geheime downloads van malware toestaan en de kosten voor datalekken ongecontroleerd stijgen, kunnen virtuele browsers een aantal belangrijke mogelijkheden bieden, die allemaal moeten worden afgestemd op uw organisatie.
Bescherming van eindgebruikers
Virtuele browsers bieden bescherming door het traditionele aanvalspad van malware te verstoren. Normaal gesproken wordt een apparaat van een eindgebruiker geauthenticeerd en wordt aangenomen dat het wordt vertrouwd door andere apparaten binnen hetzelfde netwerk. Deze veronderstelde legitimiteit betekent dat een enkele kwaadaardige webserver afdelingen kan ontwrichten, met bijkomende verstoringen die zich verspreiden van individuele gebruikersprofielen naar hele organisaties.
Drive-by-malware is een belangrijke aanval die door virtuele browsers wordt voorkomen. Een recent voorbeeld trof bezoekers van de technologieblogpagina Boing Boing. Wanneer de pagina werd geladen door een onbeveiligde browser, verscheen er een kwaadaardige pop-up. Hoewel het er niet anders uitziet dan de gemiddelde pop-upadvertentie, creëert ingebedde JavaScript vervolgens een downloadlink op de advertentie en drukt er automatisch op, zonder input van de gebruiker. Dit resulteerde in een piek in het aantal Anubis-downloads – een Trojaans paard dat gespecialiseerd is in de diefstal van bank- en creditcardgegevens.
Virtuele browsers schermen de browsertoepassing af. Dit betekent dat de app geen toegang heeft tot – en zelfs geen zicht heeft op – het onderliggende besturingssysteem en apparaat. In plaats daarvan wordt elk exemplaar van de virtuele browsersessie van een gebruiker na gebruik geïsoleerd en weggegooid.
Constante compatibiliteit
Soms hebben webgebaseerde applicaties een specifieke browserversie nodig om correct te kunnen werken. Zonder virtualisatie wordt een organisatie gedwongen te kiezen tussen het verlaten van deze app en het surfen op een zeer kwetsbaar systeem. Virtuele browsers bieden echter een veiligere vorm van interactie met op het web gehoste bronnen, terwijl ze configuratie-opties bieden om de oudere browser na te bootsen. Deze verouderde browser hoeft niet langer op de machine te worden uitgevoerd, waardoor de beveiliging tegen oudere web-app-kwetsbaarheden verder wordt versterkt.
Projecttesten
Net zoals een virtuele browser verschillende versies van een browserapplicatie kan bieden, zijn er met één druk op de knop geheel nieuwe exemplaren van verschillende browsers beschikbaar. Dit kan van cruciaal belang zijn voor webontwikkelaars die snel de compatibiliteit van hun nieuwe site of app met alle grote browsers moeten controleren. Met een virtuele browser hoeft hun apparaat niet langer vol te zitten met (of de voortdurende patching van) Chrome, Edge, Explorer, Firefox en meer. In plaats daarvan kan één oplossing worden gebruikt om eventuele bugs, optimalisaties en eigenaardigheden in verschillende gebruikersgroepen aan te pakken.
De soorten virtuele browsers
Browservirtualisatie biedt een grote mate van maatwerk, waarbij de verschillende typen de meeste bedrijfsconfiguraties bestrijken. Het proces van het draaien van een virtuele machine voor de browser kan worden opgesplitst in twee belangrijke architectuurbenaderingen. De eerste is de op zichzelf staande applicatiebenadering; De hypervisor van het apparaat wordt eerst gebruikt om een deel van de totale verwerkingskracht te segmenteren. Dit wordt gebruikt om een geheel aparte virtuele machine op te zetten, die een volledige versie van het besturingssysteem en de browserapplicatie zelf bevat. Deze virtuele machine biedt een opgeschoonde omgeving van waaruit u kunt bladeren. Sommige organisaties kiezen voor de andere grote architectuur: een virtueel apparaat. Er wordt gebruik gemaakt van dezelfde virtuele machinestructuur, maar met de nadruk op de minimale hoeveelheid OS-reproductie om alleen de browserapplicatie te kunnen draaien.
Deze twee benaderingen van virtueel browsen kunnen ook in twee verschillende configuraties worden ingezet. Bij lokale implementatie vindt het virtualisatieproces plaats op het apparaat van de eindgebruiker, met name wanneer verbinding wordt gemaakt met het bedrijfsnetwerk. Bij cloudimplementatie wordt dit geabstraheerd naar een cloudserver van derden, waardoor de virtuele browser online wordt; alle zoekopdrachten op internet vinden plaats via deze virtuele cloudbrowser. Ten slotte kunnen de specifieke modi waarmee gebruikers met de browser communiceren ook variëren van anoniem tot volledig geverifieerd.
Anoniem browsen biedt dezelfde mogelijkheden als de incognitomodus van een normale browser. Met deze aanpak wordt het tijdelijke karakter van virtuele browsesessies weerspiegeld in elk gebruikersprofiel. Cookies, browsegeschiedenis en instellingen zijn allemaal tijdelijk, waarbij bij elke sessie elk element wordt vernieuwd en verwijderd. Geauthenticeerd browsen biedt een iets gebruiksvriendelijkere ervaring, omdat browsen wordt afgestemd op het account van elke gebruiker. Hierdoor worden cookies en geschiedenissen tussen browsersessies opgeslagen, wat grotere voordelen voor de productiviteit kan opleveren.
De beperkingen van virtuele browsers
Ondanks de voordelen die virtuele browsers bieden, zijn er enkele belangrijke zwakke punten die het vermogen van de oplossing om browserbeveiligingsfouten te verhelpen ondermijnen.
Fragmentarische bescherming
Virtuele browsers isoleren alleen websites en de inhoud die daarin wordt aangeboden. Apparaten van eindgebruikers lopen nog steeds het risico door een hele reeks andere kwetsbaarheden in webapps, naast niet-vertrouwde bestanden die naar hun e-mailinbox worden verzonden. Om dit aan te pakken kunnen virtuele browsers worden geïmplementeerd in combinatie met andere e-mail- en downloadbeveiligingsoplossingen, hoewel een dergelijke aanpak kan resulteren in enorm ingewikkelde tech-stacks die snel uit de hand lopen.
Beschadigde gebruikerservaring
Naast de fragmentarische bescherming verminderen virtuele browsers ook de gebruikerservaring. Dit is doorgaans een groter probleem bij cloudgebaseerde virtuele webbrowsers dankzij de extra stappen die worden genomen om gebruikers met internet te verbinden. Datapakketten moeten nu aanzienlijk verder reizen, en een toch al zwakke breedbandverbinding kan er echt moeite mee hebben. Dit wordt versterkt wanneer werknemers realtime videostreaming nodig hebben tijdens werkgesprekken; de vertraging kan soms zo ontwrichtend zijn dat werknemers de verlies-verlies-keuze moeten maken tussen productiviteit en veiligheid.
Introductie van nieuwe kwetsbaarheden
Ten slotte kunnen virtuele browsers de oorzaak zijn van gloednieuwe beveiligingsfouten. In theorie is malware die van een virtuele machine naar het eigen apparaat van de host kan springen, onmogelijk. Helaas gaat deze theorie er naïef van uit dat het hypervisorprogramma van de virtuele machine immuun is voor alle softwarefouten. Het afgelopen jaar zijn er talloze exploits geweest die het tegendeel aantonen, zoals de ESXi Hypervisor van VMware, die fouten bevat die niet alleen de hostschijf in gevaar kunnen brengen, maar ook elke andere machine die op de server draait. Voor cloudgebaseerde browsers wordt het verkeer ook moeilijker te monitoren, dankzij het feit dat deze browsers gevoelige informatie buiten de onderneming zelf opslaan. Afhankelijk van waar de cloudprovider is gevestigd, kan dit zelfs gevolgen hebben voor de naleving van de regelgeving.
Virtuele browser versus externe webbrowser
Virtuele browsers lijken qua uiterlijk op de externe webbrowser; beide zijn bedoeld om het apparaat van een eindgebruiker te scheiden van de niet-vertrouwde servers van het openbare internet. Virtuele browsers werken op virtuele machines, die in wezen volledig afzonderlijke machines zijn die werken op de bronnen van één apparaat. Externe webbrowsers bieden daarentegen cloudgebaseerde containers. Wanneer ze in gebruik zijn, stuurt het apparaat van de eindgebruiker eenvoudigweg een stroom visuele gegevens door van en naar de toegewezen container. Terwijl virtuele browsers het gehele interactieve browserplatform reconstrueren, browserisolatie op afstand (RBI) voert de code uit op cloudservers van derden en produceert alleen een grafische weergave van het gedrag van de gebruiker.
De lagere technische intensiteit van internetsurfen op afstand maakt het een inherent meer schaalbare en flexibele benadering van veilig browsen. Virtuele browsers vereisen aanzienlijke opstarttijden, waarbij de wachttijd voor zware processen toeneemt. terwijl RBI enkele belangrijke voordelen biedt ten opzichte van virtueel browsen, het volgende tijdperk van browserbeveiliging evolutie is hier.
Bescherm uw browsen met LayerX
LayerX biedt een samenhangend, gebruikersgericht beveiligingsplatform in de vorm van een lichtgewicht browserextensie. De diepe granulariteit die wordt geboden door deze eindpuntbenadering geeft een beter inzicht in de browserbeveiliging dan ooit tevoren: bekijk elke gebeurtenis, actie en bedreiging. Realtime gebruikers- en websitegedrag wordt ingevoerd in de Plexus Engine, die traditionele aanvalsherkenning combineert met geavanceerde informatie voor realtime dreigingsanalyse. Deze analyse keert terug naar de extensie, waar handhaverscripts elke beoogde browseraanval neutraliseren zonder impact op de eindgebruikerservaring.
Bekijk ten slotte alle gebeurtenisanalyses in de beheerconsole. Stimuleer ondernemingsbreed beleid als reactie op informatie ter plaatse en maak de sprong naar de webbrowserbeveiliging van morgen.
