Flere og flere sikkerhetsbeslutningstakere har innsett at nettleseren er den ultimate frontlinjen mot flere cybertrusler. Denne innsikten har ført til at de har lagt til nettleserisolasjonsløsninger i sikkerhetsstakkene sine. Imidlertid har vi i det siste vært vitne til en økende trend med sikkerhetseksperter som beveger seg bort fra disse løsningene og mot Secure Browser-utvidelser. Disse nyere løsningene oppfattes som et bedre alternativ for å sikre nettleserens angrepsoverflate.

I denne artikkelen skal vi analysere denne trenden og prøve å forklare begrunnelsen bak denne tilnærmingen. Først vil vi gjennomgå de forskjellige egenskapene hver tilnærming tilbyr. Deretter viser vi at en sikker nettleserutvidelse adresserer et langt bredere spekter av nettbårne trusler. Det gjør det mulig for den moderne arbeidsstyrken å utnytte nettlesernes produktivitetspotensial fullt ut, mens nettleserisoleringstilnærmingen er langt mer begrenset i risikodekning. Nettleserisolering forringer også nettleseropplevelsen på en måte som gjør den ikke samsvarer med det moderne nettleserorienterte arbeidsmiljøet. 

La oss starte med en kort oppsummering av hva nettleserisolasjon er og hvordan det fungerer.

Nettleserisolasjon 101: Lufttett beskyttelse mot endepunktstrusler

Nettleserisoleringsløsninger gir et virtuelt miljø for nettlesere å kjøre i. Dette betyr at nedlastet kode ikke er tillatt å kjøre på selve maskinen før løsningen undersøker oppførselen og sikrer at den faktisk er godartet. Denne tilnærmingen er ekstremt effektiv for å redusere virkningen av nettleserutnyttelser og nedlasting av skadelige filer. Selv om utnyttelsen var vellykket og skadelig programvare ble lastet ned, når ingen av dem selve maskinen.

Det er lett å se at med tanke på dets direkte verdiforslag, er nettleserisolering en naturlig fremgang av tradisjonell endepunktbeskyttelse. Konseptet med å ha en lokal sandkasse, eller til og med en med hensikt opprettet virtuell maskin, for sikker utførelse av utnyttelsesutsatte prosesser, har blitt implementert i ulike former gjennom det siste tiåret. Dette har gjort bruken av nettleserisolering til et naturlig "dybdeforsvar"-trinn for å herde den eksisterende EDR\NGAV-beskyttelsen. 

Dagens arbeidsområde er ikke lenger endepunktet, men selve nettleseren 

Men etter hvert som tiden har gått, har organisasjoner innsett at denne tilnærmingen kanskje ikke er god nok. Dette skyldes to hovedårsaker:

  • Ressursforbruk: Alle sandkasseløsninger, inkludert nettleserisolering, er beryktet kjent for grådig CPU-forbruk, som uunngåelig forringer den beskyttede maskinens ytelse. Faktisk er dette hovedårsaken til at denne tilnærmingen har blitt forlatt av ledende leverandører av endepunktbeskyttelse.
  • Delvis dekning: Mens nettleserisolering gir god beskyttelse mot endepunktstrusler, gir den liten eller ingen beskyttelse mot det brede landskapet av nettbårne risikoer. 

La oss utdype temaet litt mer.

Nettleserisolering sliter med å møte sikkerhets- og produktivitetsutfordringene til den moderne nettbaserte bedriften 

For et tiår siden jobbet ansatte stort sett med datafiler på den lokale verten. Men i dag har nettleseren tatt over som det dominerende arbeidsområdet i bedriftsmiljøet. Denne endringen skjedde i samsvar med moderne nettlesere som tilbyr et bredt spekter av sikkerhetsfunksjoner, samt en urokkelig forpliktelse til brukeropplevelse. Utplassering av en nettleserisolasjonsløsning skaper en belastning på maskinens ressurser som direkte fører til dårligere nettleserytelse. En av de essensielle tommelfingerreglene er at enhver sikkerhetskontroll som kommer i veien for ansatte som utfører arbeidet, vil bli deaktivert, før eller siden. Dette er hva som skjer med nettleserisolasjonsløsninger i dag.

I tillegg er nettbårne risikoer enhver type trussel som leveres av nettleseren: phishing og andre typer ondsinnede nettsider, ondsinnet tilgang til SaaS-applikasjoner via kompromittert legitimasjon og nettleserbasert datalekkasje. Derimot, Nettleserisolasjonsløsninger har kun delvis og begrenset innsyn i nettsidenes innhold. Synligheten deres i SaaS-apper er begrenset til grunnleggende oppdagelse på vertsnavnnivå, uten innsikt i brukeridentitet eller faktisk bruk. Når det gjelder å overvåke den faktiske oppførselen til selve nettsiden, har de kun synlighet i den forhåndsrenderte HTML-koden. Og når det gjelder håndhevelse, mangler nettleserisolasjonsløsninger konfigurerbar granularitet. De er begrenset til grove kontroller, for eksempel å deaktivere en nettleserhendelse som lim inn eller skjermdump på tvers av alle destinasjoner eller apper, noe som gjør dem ineffektive på grunn av produktivitetsforstyrrelsen de medfører. 

Problemet er at disse nettbårne risikoene i økende grad blir en dominerende del av bedriftens trussellandskap. Og selv om nettleserisolasjonsløsninger kan utmerke seg mot skadelig programvare, tilbyr de lite mot et bredt spekter av angrep som organisasjoner ikke lenger har råd til å ignorere.

I motsetning til disse løsningene, adresserer den sikre nettleserutvidelsen disse truslene fullt ut. La oss forstå hvorfor det er:

Secure Browser Extension 101: Deep Session Inspeksjon av hver nettleserhendelse

Sikre nettleserutvidelser installeres på toppen av en kommersiell nettleser, som alle andre utvidelser. Fra nettleserplasseringen har de detaljert synlighet og kontroll over hver hendelse i nettleserøkten. Dette gjør dem i stand til å tilby kontinuerlig overvåking, risikoanalyse og håndheving av retningslinjer gjennom hele nettøkten, basert på oppførselen til både brukeren selv og den besøkte nettsiden.

Denne tilnærmingen er ekstremt effektiv for å forhindre nettbårne trusler på følgende måte:

Sikker nettleserutvidelse vs. phishing og andre ondsinnede nettsider 

Sikre nettleserutvidelser har innsyn i den faktiske gjengitte nettsiden når den gradvis bygges opp i nettleseren. Bevæpnet med denne synligheten kan de oppdage tidlige tegn på nettfisking, nedlasting av skadelig programvare og ondsinnet datafangst. Ved oppdagelse av disse tegnene kan den sikre nettleserutvidelsen enten avslutte økten helt eller deaktivere risikoen på selve siden.

Sikker nettleserutvidelse vs. skadelig tilgang til SaaS og nettapper 

På samme måte som en sikker nettleserutvidelse har synlighet på nettsiden, har den også synlighet til brukeren og dens aktivitet. Med denne synligheten kan den kontinuerlig overvåke brukerens atferd i SaaS-apper, profilere grunnlinjeadferden deres, oppdage når det er et avvik fra denne atferden som kan innebære en kontoovertakelse, og ved slik deteksjon blokkere brukeren fra å få tilgang til appen.

Sikker nettleserutvidelse kontra nettleserbasert datalekkasje

Synligheten til den sikre nettleserutvidelsen i hver nettleserhendelse gjør den ekstremt effektiv mot datalekkasje. Handlinger som «del», «last ned» eller «skjermdump» kan begrenses eller utestenges. På lignende måte kan liming eller skriving av sensitiv informasjon inn i GenAI-verktøy, som ChatGPT, enkelt kontrolleres og forhindres (finn ut mer om GenAIs sanne dataeksponeringsrisiko på denne siste rapporten).

Begrunnelsen: Beskytt den utsatte nettleserangrepsoverflaten i stedet for å herde den eksisterende endepunktbeskyttelsen

Det er lett å forstå begrunnelsen bak skiftet fra nettleserisolasjon til sikre nettleserutvidelser. De fleste organisasjoner vil ikke installere mer enn én sikkerhetsløsning på nettleserne sine. Når du velger løsningen, er det mer fornuftig å velge en som adresserer et bredt spekter av uovervåkede trusler, i stedet for å legge til et nytt endepunktsbeskyttelseslag. 

Det er sant at sikre nettleserutvidelser gir mindre beskyttelse mot nulldagers utnyttelser sammenlignet med nettleserisolasjonsverktøy. Imidlertid bør det bemerkes at disse utnyttelsene er i ferd med å bli et ganske uvanlig fenomen. Selv ved forekomst er de tross alt ganske dekket av dagens EDR\NGAV-løsninger. Det hele koker ned til å velge mellom en løsning for et eksisterende gap og en ekstra forholdsregel mot en trussel som allerede stort sett er dekket. Det er virkelig en no-brainer.