Wat is een Zero Trust-browser?

In het streven naar verbeterde operationele efficiëntie, snelle time-to-market en strikte naleving van klantverwachtingen is digitale transformatie de drijvende kracht achter de Vierde Industriële Revolutie. 

Terwijl organisaties en hun consumenten hiervan de vruchten plukken, heeft de digitale transformatie geleid tot een fundamentele verschuiving binnen bedrijfstakken en arbeidskrachten. Het steeds meer hybride personeelsbestand en de grootschalige cloudintegratie van vandaag hebben de browser in een positie van primair belang gebracht. Wat ooit slechts een mechanisme was voor het weergeven van tekst op het scherm, is nu de mediarijke toegangspoort tussen eindgebruikers en de diepten van de wereld wijde web. 

Vanaf de begindagen van de digitale transformatie werd het al snel duidelijk dat er een nieuwe vorm van cyberbeveiliging nodig was, aangezien organisaties te kampen hadden met het plotseling uiteenvallen van de traditionele perimeter. Deze teloorgang van de perimeter heeft de weg vrijgemaakt voor een nieuwe vorm van veiligheid. In plaats van uit te gaan van de betrouwbaarheid van hele netwerken, hanteert Zero Trust het algemene ethos van nooit vertrouwen – altijd verifiëren. Deze aanpak zou zich op elke laag van de interactie met eindgebruikers moeten richten, waardoor elke vorm van impliciet vertrouwen wordt geëlimineerd dat cybercriminelen anders zouden kunnen kapen. 

Ondanks de wijdverbreide adoptie van het zero trust-model in digitaal gedreven ondernemingen, is er echter een belangrijke zwakte ontstaan ​​in de implementatie ervan. Het alomtegenwoordige toezicht op de cruciale rol van de browser in de moderne werkruimte heeft geleid tot een bedreigingslandschap dat de concurrentie ver achter zich heeft gelaten. traditionele browserbeveiliging. 

De browser is een geheel uniek interactiepunt tussen on-premises omgevingen, bedrijfsbronnen en volledig niet-geverifieerde servers van derden. Met onvoldoende browserbescherming zijn eindgebruikers gedwongen aan te nemen dat webservers van derden volledig veilig zijn. Wanneer deze browser een webpagina opvraagt, wordt er eenvoudigweg op vertrouwd dat de hostingserver goedaardig is; dit enkele toezicht heeft ertoe bijgedragen dat de winsten uit cybercriminaliteit ver voorbij die van de mondiale drugshandel zijn gestegen.

Traditionele browserbeveiliging plaatst gebruikers in een verlies-verliespositie. In plaats van beveiliging zo eenvoudig in te zetten als de 'zero trust'-filosofie, blijven organisaties vertrouwen op complexe, kronkelende stapels tools die de gebruikerservaring belemmeren en beveiligingsteams vertragen.

Een zero trust browser ondersteunt dynamische, contextuele risicobeoordeling, waardoor gebruikers en beveiligingsteams de vruchten kunnen plukken van een hogere productiviteit met minder risico.

KNOP [Meer informatie over het LayerX-browserbeveiligingsplatform]

Principes van Zero Trust-beveiliging

Zero trust is in zijn hoogtijdagen. Okta's meest recente 'State of Zero Trust Security'-rapport, leverancier van IAM-oplossingen, beschrijft hoe meer dan de helft van de marktleiders momenteel een grote stap richting zero trust ondergaat. Dit betekent een grote sprong ten opzichte van de slechts 24% in het vorige rapport van slechts een jaar eerder, en een aanzienlijke vooruitgang vanaf het allereerste begin.

In 2004 vertoonde de perimetergebaseerde benadering van veiligheid al scheuren; wat ooit het standaard beveiligingsbeleid was, begon al te kraken onder het gewicht van de cloudtechnologie. Bijna twintig jaar later beginnen organisaties hun veiligheid te definiëren aan de hand van het concept dat aanvankelijk 'deperimeterisatie' werd genoemd. Het oorspronkelijke idee werd gedefinieerd door de meerdere niveaus van beveiligingscontroles, waaronder authenticatie en encryptie. Tegenwoordig is dit geëvolueerd naar vijf belangrijke Zero Trust-beveiligingsprincipes:

#1. Minste privilege

Het eerste en meest bepalende onderdeel van zero trust is het principe van de minste privileges. Gebruikerstoegang is beperkt tot een ‘net genoeg toegang’-model, waarbij werknemers slechts zoveel toegang krijgen als ze nodig hebben voor de dagelijkse werkzaamheden. Hierna volgt just-in-time toegang, die toegang verleent wanneer dat nodig is en deze kort daarna snel ongedaan maakt. Samen minimaliseert dit de blootstelling van gebruikers aan gevoelige delen van een netwerk.

#2. Toegangscontrole van apparaten

Hoewel gebruikerstoegang wordt gedefinieerd door de minste privileges, vereist zero trust-netwerkbeveiliging een strikte mate van zichtbaarheid over de aangesloten apparaten. In een notendop probeert apparaattoegangscontrole het aantal verbonden apparaten, de legitimiteit daarvan en hun authenticatiestatus te monitoren. 

#3. Elke verbinding beëindigen

Elke individuele verbinding vertegenwoordigt een nieuwe kans voor aanvallers om onopgemerkt binnen te glippen. Zero trust-oplossingen volgen niet alleen een gestroomlijnde benadering van uitgaande verbindingen, maar richten zich verder op de gedetailleerde componenten van elke uitgaande en inkomende link. Inline-architectuur maakt de inspectie en verificatie van zelfs gecodeerd verkeer in realtime mogelijk, waardoor eindgebruikers worden beschermd tegen gekaapte interne accounts. 

#4. Contextgebaseerd beleid

Bij het beoordelen van kwade bedoelingen in het echte leven, is een groot deel van het juridische proces het doorzoeken van de fijne details. Het ouderwetse beleid werkte via een 'Most Wanted'-systeem, waarbij gevestigde bedreigingen werden geïdentificeerd via handtekeningen – nieuwe cybercriminelen werden ongecontroleerd gelaten. Het betrouwbaar identificeren en voorkomen van een aanval vereist een grondig contextueel inzicht. Zero trust wil dit bewerkstelligen via adaptief beleid: gebruikersidentiteit, locatie en apparaat worden allemaal gemeten aan de hand van de inhoud of applicatie die wordt opgevraagd. 

#5. Het aanvalsoppervlak verkleinen

Volgens een zero trust-aanpak maken gebruikers rechtstreeks verbinding met apps en bronnen, in plaats van met grotere netwerken. Deze directe architectuur helpt het oppervlak waarlangs aanvallers zich zijdelings kunnen verplaatsen te verkleinen, terwijl ook wordt voorkomen dat malware voet aan de grond krijgt in andere bronnen. 

Het cumulatieve totaal van alle vijf de principes draagt ​​bij aan een drastisch gestroomlijnd aanvalsoppervlak.

Waarom is Zero Trust-browsen belangrijk?

Zero trust-oplossingen hebben enorme vooruitgang geboekt bij het beveiligen van de architectuur van apps, API’s en authenticatieprocessen. Een van de belangrijkste hoekstenen van de hedendaagse productiviteit van werknemers is echter de webbrowser. Werknemers besteden het grootste deel van hun werktijd aan het onderzoeken en delen van ideeën via webbrowsers, maar dit wordt vaak over het hoofd gezien door bredere zero-trust-initiatieven. Het aandrijfmechanisme van surfen op het web is inherent riskant, omdat de eindgebruiker communiceert en informatie deelt met een volledig niet-geverifieerde externe server. 

Surfen op internet is een essentieel onderdeel van de productiviteit geworden, vooral dankzij de recente grootschalige verschuivingen in de gewoonten van werknemers. Nu bedrijven steeds mondiaaler worden, zijn teams snel veranderd in aantal en geografische locaties. Hoewel dit ongekende innovatie en het delen van ideeën met minder grenzen mogelijk maakt, heeft het de veiligheidsperimeter tot een absoluut breekpunt gebracht. 

Dit werd meteen duidelijk in de cybercriminaliteitsstatistieken, waarbij phishing-aanvallen explosief toenamen. Tijdens de verschillende lockdowns en Covid-angsten zijn in totaal 61% van de grote organisaties en 42% van alle kleinere organisaties, zou daarvan een merkbare toename ervaren. Het FBI Internet Crime Complaint Center (IC3) had te maken met een verdubbeling van het aantal gemelde phishing-misdaden dan het jaar daarvoor, waardoor social engineering-aanvallen plotseling een van de meest voorkomende (en winstgevende) in zijn soort zijn geworden. De webbrowser is een bijzonder handig hulpmiddel bij phishing-aanvallen dankzij de talloze mogelijkheden om een ​​nietsvermoedende werknemer te misleiden. In 2022 was er bijvoorbeeld de opkomst van de Browser-in-the-Browser-aanval. Hierbij wordt een webpagina gebruikt om de website en de inhoud van een legitiem inlog- of betalingsscherm na te bootsen. Door alleen maar een echte site te simuleren, kunnen zelfs beveiligingsbewuste werknemers worden misleid om bedrijfsgeheimen te delen.

Bij hun pogingen om adequate productiviteitstools voor thuiswerken samen te stellen, hebben veel bedrijven enkele van de kernpijlers van zero-trust over het hoofd gezien. Sommige tools voor externe toegang bieden een gecompromitteerd apparaat bijvoorbeeld ongekende toegang tot het bedrijfsnetwerk, wat in strijd is met het beleid van de minste privileges. Deze aanvalsvector zorgde voor een incident dat de helft van de brandstofvoorraden in het oosten van de VS stopzette, waarbij een enkel gecompromitteerd VPN-account ervoor zorgde dat ransomware de operaties doorbrak. Traditionele beveiligingstechnologieën – die vóór de pandemie al overbelast waren – werden plotseling grotendeels ongeschikt voor hun doel, omdat geïsoleerde werknemers niet langer de bescherming genoten van het lokale netwerk van de organisatie. 

Veilige browseroplossingen

De huidige pogingen om de risico's van het surfen op het openbare internet te ondermijnen, kunnen grofweg in drie verschillende benaderingen worden onderverdeeld. 

Browserbeveiligingsextensie

In tegenstelling tot sommige technieken voor browserisolatie, bieden browserextensies volledige compatibiliteit met zowel het web- als het zakelijke ecosysteem. Door gebruik te maken van de bestaande browser krijgen gebruikers ook een browse-ervaring met vrijwel geen negatieve invloed op de laadtijden. In het bredere landschap van de complexiteit van beveiligingsoplossingen kan het beheren van tientallen plug-ins om een ​​uniforme bescherming tot stand te brengen lastig zijn. Niet alle uitbreidingen zijn gemaakt volgens dezelfde normen, en een klein percentage riskeert een slecht ontwerp waardoor het aanvalsoppervlak nog groter wordt.

Het is pas sinds kort dat browserbeveiligingsextensies hun volledige potentieel beginnen te ontsluiten. Samenhangende beveiligingsuitbreidingen erkennen dat, door authenticatie en toegangsbeperkingen dichter bij het apparaat van de eindgebruiker te plaatsen, het voor organisaties mogelijk wordt om een ​​extra beveiligingslaag toe te voegen. Door alleen goedgekeurde browsers en applicaties toegang te geven tot interne bronnen, worden gecompromitteerde inloggegevens een veel zwakkere bedreiging. Bovendien kan op extensies gebaseerde bedreigingsanalyse dieper ingaan op elk onderdeel van de site, waarbij browsergebaseerde analyse latentievrije bescherming biedt. Ten slotte zorgt een focus op snelle onboarding en offboarding voor browserbeveiliging die gelijke tred houdt met uw algehele organisatie en een beveiligingsbeleid ondersteunt dat nooit struikelt. 

Browserisolatie

Browserisolatie beschermt de eindgebruiker en hun apparaat door het browseproces weg te abstraheren. Browserisolatie op afstand biedt bijvoorbeeld een veilige cloudserver van derden voor de daadwerkelijke uitvoering van webpagina-inhoud. Dit wordt vervolgens als grafische interface teruggestuurd naar het apparaat van de gebruiker. Door deze fysieke isolatie kan de gebruiker nog steeds op internet surfen zoals gewoonlijk, terwijl actief wordt voorkomen dat malware en heimelijke downloadprocessen het apparaat zelf bereiken. 

Net als bij een virtuele browser bevat isolatie van extern browsen elke bedreiging binnen een cloudinfrastructuur van derden. Een belangrijk nadeel van dit proces is de latentie die tijdens het browseproces wordt geïntroduceerd. Trage laadtijden zijn een krachtig afschrikmiddel en leiden er zelfs toe dat groepen eindgebruikers ervoor kiezen om helemaal af te zien van bescherming. 

Enterprise-browser

Enterprise-browsers zijn speciale hulpmiddelen voor surfen op internet; in plaats van de gratis browsers die worden aangeboden door Google, Mozilla en Microsoft, worden deze browsers volledig door de organisatie zelf beheerd en beheerd. Deze oplossingen bieden vrijwel perfect inzicht in het apparaat en de surfgewoonten van elke werknemer, en bieden essentiële realtime informatie over de acties die vóór en na de inbreuk zijn ondernomen. Authenticatie kan dichter bij het browseproces worden geïmplementeerd, met een strenger beveiligingsniveau.

Terwijl een zakelijke browser lijkt veelbelovend, zijn ze vaak niet zo veilig als commerciële browsers, die profiteren van geautomatiseerde update- en patchprocessen. Enterprise-browsers hebben daarentegen te kampen met een langer patchproces voor kwetsbaarheden. Een ander probleem waar organisaties mee te maken hebben, is de wijdverbreide leverancierslock. Dit creëert een bedrijfsbrede afhankelijkheid van één leverancier en maakt het daarom moeilijk om de volledige reikwijdte van alle vereisten vanuit een veilige browser te behouden. Als zodanig kunnen gegevensverlies en complexiteit grote zorgen opleveren bij de overstap tussen leveranciers. 

Bescherm uw browsen met LayerX

De reden voor de voortdurend ontoereikende reikwijdte van de huidige oplossingen is de wankelende toren van beveiligingsbenaderingen waarop browserbeveiliging is gebaseerd. Concepten van zero-trust werden in het bredere beveiligingslandschap geïntroduceerd lang voordat de browser de dominante kracht van productiviteit en innovatie werd. Het belang van een werkelijk naadloze beveiligingsoplossing wordt onderstreept door de realiteit van de hedendaagse, perimeterloze, hybride werkruimtes. Hierdoor zijn bedrijfsinformatie en -bronnen buiten de directe controle van elk intern IT- en beveiligingsteam komen te staan. Als gevolg hiervan hebben bedrijven tegenwoordig uitgebreide en speciaal gebouwde browserbescherming nodig. 

Als primeur in de sector heeft LayerX de gebruiker voorop gesteld op het gebied van browserbeveiliging. Zonder de gebruikerservaring te schaden, biedt LayerX's meerlaagse benadering van browserbescherming realtime, zeer gedetailleerd inzicht in gebruikersactiviteiten en -risico's. Met de extensie geïmplementeerd op elk exemplaar van de browserkrijgen alle niet-zakelijke locaties volledige transparantie; het maakt het ook mogelijk dat onbeheerde apparaten volledig veilige toegang krijgen tot bedrijfsgegevens. Sensoren op de extensie verzamelen alle browse-gebeurtenissen, functies, gebruikersgedrag en webpagina-activiteit. Tegelijkertijd bevindt zich net onder de sensor een handhavingsfunctie. Dit initieert en beëindigt browseracties, waarbij code in een actieve webpagina wordt geïnjecteerd om het risico daarin te bepalen. Dit heeft geen waarneembare impact op de ervaring van de eindgebruiker of op legitieme browse-activiteit, terwijl het dynamische bescherming dichtbij het eindpunt biedt. 

Terwijl de browserextensie het dichtst bij de eindgebruiker staat, zorgt de Plexus Engine voor de diepgaande sessieanalyse. Zowel in de browser als in de cloud houdt Plexus rekening met elke contextuele functie bij het bepalen van het risico op phishing, het inbrengen van malware en meer. Door browserwijzigingen, gebruikersacties en paginagedrag te monitoren, worden al deze gegevens gecombineerd met de LayerX Threat Intel-database. De volledige risicocontext van elke browsergebeurtenis is nu vindbaar en afdwingbaar gemaakt.

Van daaruit worden alle gegevens naar de beheerconsole gestreamd. Deze gebruikersinterface maakt het beheer en volgen van beleid mogelijk. Het is deze grondigheid van gedetailleerd tot macro die LayerX in staat stelt bescherming te bieden, zelfs in het geval van accountinbreuken en cookiediefstal.