W 2022 r. wokół bezpieczeństwa przeglądarek i przeglądarek dla przedsiębiorstw panował ogromny szum. Jednak choć twierdzą, że zapewniają „bezpieczeństwo klasy korporacyjnej”, przeglądarki korporacyjne są w rzeczywistości dalekie od doskonałości. W rzeczywistości mają kilka krytycznych wad.

Czym są i jaka jest alternatywa? W tym blogu dokonam rozróżnienia między bezpieczeństwem przeglądarek a przeglądarkami dla przedsiębiorstw, omówię zalety i wady każdego z nich oraz rzucę nieco światła na długi przeglądarki powstałe podczas migracji do przeglądarki dla przedsiębiorstw. Czytaj dalej, aby zobaczyć, jakie roszczenia zgłaszają producenci przeglądarek dla przedsiębiorstw i czy faktycznie są w stanie im sprostać.

Przeglądarka potrzebuje większego bezpieczeństwa. Czy przeglądarka dla przedsiębiorstw to właściwe rozwiązanie?

W ciągu ostatnich kilku lat w IT miały miejsce pewne przesunięcia tektoniczne. Te zmiany sprawiły, że tradycyjne rozwiązania bezpieczeństwa, takie jak zapory ogniowe, SWG, VDI i VPN, stały się nieistotne. Narzędzia bezpieczeństwa sieci nie są w stanie kontrolować złożonych aplikacji SaaS, które stają się powszechne wśród pracowników. Pracownicy pracują zdalnie i nienawidzę przeglądania przez VPN. Dane są rozproszone pomiędzy niezliczoną liczbą aplikacji i trudno je chronić. Wirtualne komputery stacjonarne są drogie i zapewniają słabą wydajność; są niewłaściwym narzędziem do uzyskiwania dostępu do aplikacji internetowych.

Innymi słowy, najczęściej używane narzędzia stosu cyberbezpieczeństwa przedsiębiorstw stają się bezużyteczne. To doskonała burza, która sprawiła, że ​​organizacje zapragnęły nowoczesnego rozwiązania w zakresie bezpieczeństwa przeglądarki, które zapewnia widoczność, bezpieczeństwo i kontrolę podczas każdej sesji internetowej. 

Prawdziwe bezpieczeństwo przeglądarki wymaga uwzględnienia punktu widzenia przeglądarki, aby upewnić się, że uwzględnia ona kompleksowe szyfrowanie i proces renderowania. Biorąc pod uwagę architekturę przeglądarki, takie rozwiązanie można dostarczyć na jeden z dwóch sposobów:

  • Rozszerzenie przeglądarki na istniejącą przeglądarkę (wynik jest podobny do EDR na systemie operacyjnym)
  • Używanie silników renderujących Firefoksa lub Chromium do zbudowania nowej przeglądarki (rezultat jest podobny do dostosowywania systemu operacyjnego Linux/Android w celu stworzenia nowego wyglądu)

Co to jest przeglądarka korporacyjna?

Przeglądarki korporacyjne (inaczej „bezpieczne przeglądarki korporacyjne”) to przeglądarki oparte na Chromium (lub Firefoksie) stworzone z myślą o środowisku korporacyjnym. Zapewniają możliwości renderowania przeglądarki Chrome (lub Firefox). Zamiast natywnych funkcji Chrome/Edge wprowadzają własne funkcje bezpieczeństwa, zarządzania i tożsamości.

Przeglądarki korporacyjne proszą klientów o pożegnanie się z ukochanymi przeglądarkami Chrome, Edge, Firefox i Safari na rzecz czegoś nowego i rzekomo bezpieczniejszego. W zamian ponoszą miesięczną opłatę subskrypcyjną, niezbyt prosty proces wdrażania i sztywną zależność od dostawcy.

Twierdzenia dostawców przeglądarek dla przedsiębiorstw, mające na celu przekonanie organizacji do ich wyboru, nie są z mojego punktu widzenia uzasadnione. W następnej sekcji odniosę się do każdego z tych twierdzeń i podzielę się z nimi swoimi trzema cybercentami.

„Pół prawdy to często wielkie kłamstwo” – Benjamin Franklin

 

Twierdzenie nr 1: Chrome jest najbardziej podatną na ataki przeglądarką

FAŁSZYWY

To klasyczny przykład błędu przetrwania. Google nie jest przeglądarką najbardziej podatną na ataki, ale przeglądarką najczęściej łataną! Projekt Zero Google’a to najlepszy przykład skanowania podatności oprogramowania w historii IT.

Większość luk w Chromium jest odkrywanych przez inżynierów Google, a tylko nielicznym udaje się wykorzystać je na wolności. Co więcej, liczba odrębnych luk wymaganych do pomyślnego wykorzystania tej przeglądarki gwałtownie rośnie. W rzeczywistości na cyfrowej ulicy mówi się, że jeśli możesz zdalnie wykonać kod za pomocą ucieczki z piaskownicy, możesz go sprzedać za kilka milionów dolarów.

Właściwie powinieneś bardziej martwić się produktami, które nie ujawniają swoich luk. Jeśli ich nie ujawnią, nie naprawią ich. Wręcz przeciwnie, Google otwarcie i przejrzyście mówi o lukach Chromium, utrzymuje go jako projekt open source i demonstruje najszybszą procedurę łatania w branży IT. 

Podstawową prawdą dla CISO jest to, że przeglądarki Chromium zapewniają najlepszą architekturę bezpieczeństwa w swoim środowisku. Właściwie to narzędzia IT bez odpowiedniego ujawnienia luk w zabezpieczeniach powinny się martwić.

Jeśli się nie zgadzasz, spróbuj znaleźć CISO, który doświadczył exploita zero-day w przeglądarce Chrome, lub po prostu spróbuj samodzielnie wykorzystać przeglądarkę Chrome.

Twierdzenie nr 2: Przeglądarki korporacyjne łatają luki szybciej niż Chrome

W WIĘKSZOŚCI FAŁSZYWE

Google ma przewidywalny cykl życia wydań oprogramowania. Każda aktualizacja oprogramowania jest wdrażana według następujących kroków: canary, beta, niestabilna i stabilna. Czasami przejście nowego fragmentu kodu od napisania do wdrożenia na całym świecie zajmuje kilka tygodni.

Niektóre przeglądarki dla przedsiębiorstw twierdzą, że wypychają aktualizacje oprogramowania do wersji produkcyjnej szybciej niż Google, co oznacza, że ​​rzekomo łatają luki w zabezpieczeniach szybciej niż Chrome.

Jednak istotne luki w zabezpieczeniach są w rzeczywistości łatane przez Google poza pasmem, w ciągu kilku dni i poza normalnym cyklem wydawniczym przeglądarki Chrome. Oznacza to, że w przypadku luki typu, która może uderzyć w fana (poważna, wykorzystywana w środowisku naturalnym itp.), Google dokłada wszelkich starań, aby ją błyskawicznie naprawić.

Ten nowy fragment kodu w Chromium nie jest oznaczony jako związany z kwestiami bezpieczeństwa i trafia bezpośrednio do produkcji. Innymi słowy, przeglądarki korporacyjne nie mają możliwości sprawdzenia, czy jest to istotne i jakie mogą wystąpić problemy ze zgodnością.

Radzę poprosić przeglądarkę korporacyjną o udostępnienie historii wersji. Dobrą praktyką jest, aby dostawcy oprogramowania zachowywali przejrzystość w zakresie faktycznego cyklu wydawniczego.

Twierdzenie nr 3: Kod przeglądarki korporacyjnej jest bezpieczniejszy niż kod przeglądarki komercyjnej i jest odporny na ataki na przeglądarkę

MOŻE

Każde oprogramowanie ma swoje luki i problemy z bezpieczeństwem (nawet przeglądarka korporacyjna). Pytanie brzmi – czy w standardowych przeglądarkach występują luki w zabezpieczeniach? Najlepszym sposobem, aby odpowiedzieć na to pytanie, jest sprawdzenie sposobów umożliwiających włamanie się do przeglądarek komercyjnych. 

Odpowiedzi dostarcza zarówno złośliwe oprogramowanie, jak i oprogramowanie antywirusowe. Obydwa chcą mieć dostęp do przeglądarki w celu monitorowania aktywności – złośliwego oprogramowania do kradzieży haseł i oprogramowania antywirusowego do blokowania złośliwego oprogramowania. Obydwa zwykle robią to poprzez wdrożenie lokalnego rozszerzenia przeglądarki. Oznacza to, że trudno jest monitorować aktywność przeglądarki, ponieważ przeglądarka jest odizolowana w piaskownicy z ograniczonym dostępem do reszty systemu i wykorzystuje szyfrowanie w celu ochrony danych. Właściwie jest wystarczająco bezpieczny na poziomie kodu. 

Istnieją luki, ale nie na poziomie kodu. Złośliwe oprogramowanie może uzyskać dostęp do plików danych przeglądarki (plików cookie, plików haseł i plików do pobrania). Nie wymaga to jednak zmiany całej przeglądarki. Ponadto, jeśli boisz się złośliwego oprogramowania, najlepszym rozwiązaniem będzie skorzystanie z rozwiązania do ochrony punktów końcowych. Użyj odpowiedniego narzędzia do danego zadania.

Na marginesie – osobiście obawiałbym się, że przeglądarka korporacyjna wprowadzi więcej luk niż tych, które będzie w stanie załatać. Powodem tego jest to, że Chromium jest wspierany zarówno przez Google, jak i ogromny ekosystem zaangażowany w jego projekt open source. Kod Chromium oferuje niesamowity standard podstawowego bezpieczeństwa. Dużo bardziej obawiałbym się nowego kodu, który ingeruje w istniejący kod i dotychczasowy sposób pracy, niż kodu Chromium.

Twierdzenie nr 4: Przeglądarki komercyjne nie zapewniają wystarczających możliwości zarządzania i zarządzania

CZĘŚCIOWO PRAWDA

Dla klientów Google Workspace Chrome Enterprise jest bezpłatny i zapewnia gotowe do użycia funkcje zarządzania. W przypadku użytkowników Office365 dostępne są zarządzane ustawienia Edge, które można skonfigurować za pomocą narzędzi do zarządzania urządzeniami. Nie są tak szczegółowe jak przeglądarki korporacyjne, ale te luki można wypełnić za pomocą rozszerzenia przeglądarki korporacyjnej.

Rozszerzenie przeglądarki korporacyjnej (takie jak LayerX) dodaje możliwości zarządzania w trakcie sesji i kontroluje różne interfejsy API przeglądarki. Umożliwia to dostosowywanie istniejących przeglądarek i przekształcanie ich w bezpieczne przeglądarki klasy korporacyjnej. Chociaż przeglądarka zapewnia dostępność i niezawodność ruchu internetowego, rozszerzenie dodaje do tego funkcje bezpieczeństwa i zarządzania.

W rzeczywistości jest to dokładnie to, na co celowo pozwalają dostawcy przeglądarek. Zarządzane przeglądarki (Chrome i Edge), a także Firefox i Safari obsługują bogate i stabilne możliwości dostosowywania dzięki rozszerzeniom przeglądarek dla przedsiębiorstw.

Twierdzenie nr 5: Rozszerzenia nie są tak potężne jak przeglądarka

NIEistotne i przeważnie fałszywe

Twierdzenie to jest równoznaczne ze stwierdzeniem, że łyżka stołowa ma większą moc niż łyżeczka. To naprawdę zależy od tego, co chcesz wymieszać.

Jeśli chodzi o bezpieczeństwo przeglądarki, większość przypadków użycia dotyczy renderowanej treści (w skrócie – stron internetowych, które przeglądamy). Rozszerzenia mają taką samą dostępność renderowanej treści (tj. deszyfrowanie końcowe, kod źródłowy, DOM, debuger przeglądarki i mnóstwo ciekawych rzeczy). Oznacza to, że prostsze narzędzie niż przeglądarka może wykonać to zadanie przy mniejszym wysiłku.

Możliwości, z którymi rozszerzenie nie jest w stanie sobie poradzić, są już całkiem dobrze traktowane przez dostawców przeglądarek. Google, Microsoft, Mozilla i Apple wykonują niesamowitą robotę, dostarczając produkt SOTA z mnóstwem funkcji bezpieczeństwa. Innymi słowy, nie porównujesz przeglądarek dla przedsiębiorstw z rozwiązaniem rozszerzeń, ale w rzeczywistości przeglądarki dla przedsiębiorstw z kombinacją Chrome + rozszerzenie.

Ponadto siła przeglądarek korporacyjnych jest mieczem obosiecznym. Im więcej zmian wprowadzą w Chromium, tym większe jest ryzyko, że z niego rozwidlą się, co uniemożliwi aktualizację w rozsądnych ramach czasowych. Oznacza to, że przeglądarki korporacyjne prawdopodobnie wprowadzą jak najmniej zmian w kodzie Chromium, opierając większość swoich zabezpieczeń na dołączonym rozszerzeniu lub lokalnym serwerze proxy.

Twierdzenie nr 6: Przeglądarki korporacyjne zapewniają takie same wrażenia jak Chrome

PÓŁ PRAWDY

To Chromium zapewnia PODOBNE wrażenia jak Chrome. Doświadczenia nie są identyczne i nikt nie obiecuje, że Google będzie nadal udostępniał większość swojego kodu swoim konkurentom. Z biegiem czasu Google dodaje do przeglądarki Chrome określone funkcje, które nie są częścią Chromium.

Czego nie powiedzą Ci przeglądarki korporacyjne

Przewiduję, że oprócz wyjątkowych zalet przeglądarki dla przedsiębiorstw będą miały również pewne niepożądane wady, które w nadchodzących latach doprowadzą do łez wiele zespołów IT.

Do tych wad należą:

  • Nierzetelna i niespójna procedura łatania: Przeglądarki korporacyjne nie publikują procedur łatania. Jednak ekstrapolując wyniki Brave i Edge, załatanie luk typu zero-day w Chromium, które zostały załatane przez Google poza pasmem, może zająć im co najmniej 12 godzin (a nawet kilka dni).
  • Potencjalna niezgodność aplikacji: Firmy będą nadal tworzyć swoje aplikacje dla przeglądarek Chrome i Edge. Ale nawet jeśli dzisiaj przeglądarka dla przedsiębiorstw jest w pełni kompatybilna, nikt nie gwarantuje, że jutro będzie tak samo. Każdy kod dodany do Chromium może mieć własne problemy i błędy, co oznacza, że ​​pracownicy mogą nie mieć dostępu do aplikacji potrzebnych do wykonywania pracy.
  • Częściowa widoczność: Twoi pracownicy będą nadal korzystać z komercyjnych przeglądarek tak często, jak to możliwe (w pracy lub dla rozrywki). Oznacza to, że pozostaną ogromne luki, które mogą wiązać się z utratą danych funkcji i zagrożeniami.
  • Najgorsza blokada dostawcy w historii cyberbezpieczeństwa: Wyobraź sobie, że używasz przeglądarki korporacyjnej. Jesteś z tego zadowolony. Lepsza przeglądarka dla przedsiębiorstw jest jednak tańsza. Jak będziesz migrować? Wszystkie Twoje preferencje, tożsamości, hasła i pliki cookie są przechowywane w Twojej istniejącej przeglądarce. Firmy przeglądarkowe reklamują, że wszystkie ich pliki cookie są szyfrowane, a cała pamięć jest w pełni izolowana. Jeśli wykona to, co mówi, oznacza to, że znajdziesz się w blokadzie dostawcy.
  • Utrata bezpłatnych możliwości: Twoje istniejące przeglądarki oferują niesamowite możliwości. Chrome ma najlepszą listę zablokowanych w branży. Edge ma najlepszą usługę izolacji lokalnej (AppGuard). Firefox oferuje niesamowite funkcje prywatności. Lista jest długa. Pamiętaj, że korzystając z tych przeglądarek, zyskujesz wielką wartość bez żadnych kosztów.
  • Nieskończone tarcie: Któregoś dnia coś nie będzie działać z przeglądarką korporacyjną. Może to być spowodowane problemem po stronie dostawcy przeglądarki dla przedsiębiorstw, ograniczeniem przez Google możliwości korzystania z Chromium przez inne przeglądarki lub zwykłym błędem pracownika. Jedno jest pewne – pracownik najprawdopodobniej powie „ta przeglądarka nie działa. To do bani. Korzystanie z przeglądarki korporacyjnej prawdopodobnie będzie wiązać się z wieloma tarciami wśród pracowników, ponieważ bardzo niewiele produktów zabezpieczających wymaga od pracowników zmiany sposobu pracy. Zmiana sposobu, w jaki ludzie pracują, jest raczej obciążeniem kulturowym niż korzyścią dla bezpieczeństwa.
  • Walka o tożsamość cyfrową: Cechą numer jeden Chrome i Edge (wisienką na torcie) jest ich integracja z tożsamością biura w chmurze. Oznacza to, że dla organizacji korzystających z Google Workspace Chrome udostępnia profil przeglądarki powiązany z tożsamością Google. Użytkownikom Office365 Edge udostępnia profil przeglądarki dołączony do tożsamości Microsoft. Oznacza to, że prawie każda organizacja korzysta już z płatnej zarządzanej przeglądarki (Chrome lub Edge), która doskonale współpracuje z odpowiednim pakietem aplikacji SaaS. Przejście na inną przeglądarkę pogorszy to doświadczenie i doda kolejną (niepotrzebną) usługę tożsamości do stosu IT. Zamiast zwiększać bezpieczeństwo, spowoduje to jedynie zamieszanie wśród pracowników i zwiększy obciążenie IT.

Bezpieczna i bezproblemowa alternatywa dla przeglądarek korporacyjnych

Jest jedna rzecz, w której producenci przeglądarek dla przedsiębiorstw są precyzyjni; przeglądarka jest najważniejszym obszarem pracy i najcenniejszym źródłem widoczności w organizacji. W LayerX uważamy, że rozwiązanie zabezpieczenia przeglądarek jest proste – musimy zapewnić jak najwięcej bezpieczeństwa istniejącym przeglądarkom.

W ten sam sposób, w jaki działają systemy operacyjne zabezpieczone przez ochronę punktów końcowych rozwiązań (zamiast wzmocnionej wersji Linuksa) i usług poczty e-mail za pomocą narzędzi bezpieczeństwa poczty e-mail (zamiast dostosowanej „bezpiecznej poczty e-mail”), platforma bezpieczeństwa przeglądarki jest rozwiązaniem problemów związanych z bezpieczeństwem przeglądarki.

Korzystanie z rozszerzenie przeglądarki korporacyjnej zapewnia przeglądarce wszystkie możliwe funkcje bezpieczeństwa, bez uszczerbku dla wygody użytkownika.