Med 80 % av nettangrepene er nettleserbårne, blir organisasjoner konstant utsatt for ulike angrep når ansatte bruker nettleseren sin. Disse inkluderer drive-by-nedlastinger, malvertising, ondsinnet kodeinjeksjon, cross site scripting og mange andre.
Som et resultat søker organisasjoner hele tiden etter effektive måter å beskytte seg mot nettbårne risikoer, trusler og angrep. Noen organisasjoner henvender seg til sikkerhetsløsninger for nettleserisolering i et forsøk på å håndtere disse angrepsvektorene. I denne artikkelen vil jeg utdype hvorfor denne tilnærmingen er utdatert og ineffektiv og argumentere for at det er bedre og sikrere nettlesersikkerhetsløsninger å vurdere.
Hva er nettleserisolasjon?
Når en bruker besøker et nettsted, vil nettleseren henter sidens filer fra en webserveren og deretter grafisk gjengir siden på enhetens skjerm. Fra et sikkerhetsperspektiv er dette en fremtredende angrepsoverflate fordi det involverer å kjøre kode fra en ukjent kilde på enheten.
Nettleserisolering er en teknologi som skiller prosessen med å laste nettsider fra brukernes fysiske enheter. På den måten kan ikke filer og kode nå brukerens enhet og operativsystem, noe som forhindrer potensielt skadelig kode fra å kjøre på en brukers enhet og reduserer risikoen for nedlasting av skadelig programvare.
Med andre ord, nettleserisolering beskytter nettleseraktivitet fra kodebaserte trusler av flytte Internett-aktivitet bort fra bedriftens lokale nettverk og infrastruktur.
Ulempene med nettleserisolering
Nettleserisoleringstilnærmingen har mange problemer, inkludert latensproblemer, brukerfrustrasjon, høye kostnader, en underordnet sikkerhetsstilling og ineffektivitet. Videre mener vi at nettleserisolering ikke lenger er relevant i dagens trussellandskap.
Noen av hovedutfordringene med nettleserisolering inkluderer:
Dårlig ventetid og brukeropplevelse
Nettleserisolering er forstyrrende for brukeren. Hvis nettleserisolasjonen ligger på en offentlig sky eller et geografisk fjerntliggende datasenter, vil sluttbrukeren vanligvis oppleve dårlig nettleserhastighet og ytelse. Videre, hver gang brukere vil starte nettleseren, må de først hoppe gjennom nettleserisolasjonsapplikasjonen. Dette kan forårsake frustrasjon, spesielt hvis applikasjonen ikke er oppdatert i samsvar med nettleseren, noe som kan føre til at enkelte nettsteder rett og slett ikke fungerer i nettleserisolasjon.
I tillegg forstyrrer isolasjonsprosessen alvorlige dynamiske webapplikasjoner, siden de er JavaScript-tunge og inkluderer mye kodegjengivelse på klientsiden. Med de fleste SaaS-applikasjoner som fungerer på den måten, er ikke nettleserisolering et relevant verktøy for sky-positive organisasjoner.
Belastende for IT-teamet
De nevnte ventetiden og kompatibilitetsproblemene bruker også mye av IT-teamets tid. IT-team er pålagt å installere og oppdatere nettleserisoleringsprogramvaren på hver endepunktenhet og deretter ta seg av alle feilene og problemene som oppstår. Denne utfordringen blir mer komplisert når det er mange ansatte å ta seg av, med fjernarbeid og når tredjepartsleverandører også bruker organisasjonens programvare.
Dette fører til at IT-team i det uendelige håndterer kompatibilitetsproblemer, nettsteder som ikke reagerer eller suboptimal surfing mens de distraherer dem fra viktigere oppgaver.
Høye kostnader
Nettleserisolering er ikke bare ubehagelig å bruke, det er også kostbart. Nettleserisoleringsløsninger krever at all organisasjonens nettrafikk rutes gjennom skyen. Denne kontinuerlige kodingen av trafikken krever betydelig båndbredde, noe som gjør prosessen med nettleserisolering ressurskrevende og dermed kostbar for selskapet. Tredjeparts offentlig skyinfrastruktur, som isolasjonstjenesten er vert for, medfører ofte ekstrakostnader som også overføres til kundene. Alt i alt gjør disse isolasjonsløsninger svært kostbare for organisasjoner å bruke.
Nettleserisolering brukes sporadisk og etterlater organisasjonen eksponert
Som forklart ovenfor er nettleserisolering dyrt og forstyrrende for brukerne. Som et resultat velger organisasjoner ofte å bruke det bare i bestemte innstillinger. For eksempel kan bedriften kreve bruken kun i team med tilgang til spesielt sensitive data eller alternativt unnta bruk av nettleserisolasjon når brukere får tilgang til kjente domener som Google, Microsoft eller AWS.
Dette er uheldig som vi har sett mange phishing-angrep som utnytter AWS- eller Microsoft-domener det siste året. Phishing-kampanjer har blitt mer sofistikerte, og noen klarer å bruke legitime domener til å spre skadelig programvare og stjele personlige data. Så når organisasjonen tillater delvis bruk av nettleserisolasjonen, forblir den utsatt for reelle, utbredte phishing-angrep.
Generelt ineffektiv mot phishing-angrep
Selv om den brukes uten avbrudd, er nettleserisolering stort sett ineffektiv mot phishing-angrep. Nettleserisolasjonslogikk er avhengig av å blokkere cyberangrep ved å forhindre ondsinnet nettkode fra å kjøre på brukerens enhet. De fleste phishing-angrep kjører imidlertid ikke våpenkode, men stjeler heller legitimasjon eller andre personlige data satt inn av intetanende brukere.
Phishing-angrep er avhengige av inndatahandlinger fra brukere på nettsteder som virker legitime. Faktisk inkluderer de fleste nettleserbårne angrep i dag en brukerinteraksjon som nettleserisolasjonen ikke kan forhindre. For å si det enkelt, phishing-angrep kjører ikke kode, så nettleserisolering er praktisk talt ubrukelig mot disse angrepene.
Dette er et stort sikkerhetshull ettersom phishing-angrep er en stor trussel og blir mer utbredt for hvert år. Forskning fra den britiske regjeringen funnet at av virksomheter som rapporterte å ha hatt brudd på nettsikkerheten eller angrep i løpet av det siste året, 83 % har vært utsatt for phishing-angrep. Geniale phishing- og skadevareangrep utgjør en alvorlig trussel som kan skade organisasjoner på mange måter: økonomiske tap, personvernlekkasjer, tap av data og mer.
Overflødig med Chromes nettstedsisolering
For å toppe det hele, viser det seg at nettleserisolering allerede er en eksisterende sikkerhetsfunksjon i Google Chrome. Funksjonen, kalt Site Isolation, er aktivert som standard i Chrome helt siden versjon 67-oppdateringen i mai 2018. Den plasserer sider fra forskjellige nettsteder i forskjellige prosesser, som hver kjører i en sandkasse som begrenser hva prosessen har lov til å gjøre. Denne isolasjonen er en spesifikk type nettleserisolasjon på klientsiden som laster nettsidene på en brukerenhet, men bruker sandboxing for å holde nettstedskode og innhold atskilt fra resten av enheten.
Forskjellen mellom de to mekanismene er at Site Isolation mangler fysisk separasjon av skadelig kode fra enheten, mens Remote Browser Isolation kjører nettstedkoden på skyinfrastruktur utenfor brukerens enhet. Denne forskjellen er imidlertid av liten betydning fordi angrepsvektorer som er i stand til å unnslippe sandkasser, og deretter angriper enheten, er relativt sjeldne.
Sårbarheter som inkluderer sandkasserømning anses som noe "høyt nivå"-angrep. De er sjeldne, krever komplisert teknologisk ekspertise, og er stadig ettertraktet av sikkerhetsforskere. Google, for eksempel, belønner betydelige pengesummer til forskere som rapporterte nevnte sårbarheter til selskapet, som en del av deres bug bounty-belønningsprogram.
Alt dette er å si at disse utnyttelsene er av så raffinement og oppfinnsomhet at de sannsynligvis kan overgå andre konvensjonelle sikkerhetsfunksjoner som Remote Browser Isolation også. Enkelt sagt, standard RBI-er vil sannsynligvis ikke blokkere dem heller.
Nettleserisolering fungerer ikke: Det er på tide med en ny æra innen nettlesersikkerhet
I dag er nettleseren et ekstremt viktig og uerstattelig arbeidsverktøy. Tidligere svarte nettleserisolering et reelt behov som er å beskytte brukere mot ondsinnet kode som lurer på nettet. Imidlertid har det endrede trusselbildet, nemlig fremveksten av phishing uten kode og bruken av isolasjon på klientsiden, gjort RBI ineffektiv og irrelevant. Isolasjon er som å svømme i en astronautdrakt – ikke særlig nyttig og veldig tyngende.
Det er på tide med en helhetlig tilnærming til nettlesersikkerhet som kan gi bedre resultater for brukere og for organisasjonens cybersikkerhetsbehov. LayerX-sikkerhet gir de positive kjerneelementene som gjorde RBI nyttig: sanntidsovervåking og styring over brukernes interaksjon på nettet og beskyttelse mot skadelig programvare. Men det viktigste er at den gir reell beskyttelse mot nettleserbårne phishing-angrep uten å forstyrre brukerens opplevelse.
En god løsning for nettlesersikkerhet må tillate brukere å bruke nettleseren sømløst og nyte fordelene når det gjelder produktivitet og effektivitet. Deretter, ved å bygge på de eksisterende sikkerhetsfunksjonene i nettleseren, gi det avgjørende ekstra laget for å blokkere de mest relevante angrepene.
