Em 2022, houve um grande entusiasmo em torno da segurança dos navegadores e dos navegadores corporativos. Mas embora afirmem fornecer “segurança de nível empresarial”, os navegadores empresariais estão, na verdade, longe de serem perfeitos. Na verdade, eles têm algumas desvantagens críticas.

Quais são eles e qual é a alternativa? Neste blog, distinguirei entre segurança de navegador e navegadores corporativos, abordarei os prós e contras de cada um e lançarei alguma luz sobre a dívida do navegador incorrida ao migrar para um navegador corporativo. Continue lendo para ver quais afirmações são feitas por empresas de navegadores corporativos e se elas podem realmente cumpri-las.

O navegador precisa de mais segurança. Um navegador corporativo é a solução certa?

Nos últimos anos, ocorreram algumas mudanças tectônicas na TI. Essas mudanças tornaram as soluções de segurança tradicionais, como firewalls, SWGs, VDIs e VPNs, irrelevantes. As ferramentas de segurança de rede não podem inspecionar aplicações SaaS complexas, que estão se tornando predominantes na força de trabalho. Funcionários trabalham remotamente e odeio navegar através de uma VPN. Os dados estão espalhados entre inúmeras aplicações e são difíceis de proteger. Áreas de trabalho virtuais são caros e apresentam baixo desempenho; eles são a ferramenta errada para acessar aplicativos da web.

Em outras palavras, as ferramentas mais comumente usadas da pilha de segurança cibernética empresarial estão se tornando inúteis. Esta é uma tempestade perfeita que fez com que as organizações ansiassem por uma solução moderna de segurança de navegador que fornecesse visibilidade, segurança e controle em cada sessão da web. 

A verdadeira segurança do navegador requer abordar o ponto de vista do navegador, para garantir que ele leve em consideração a criptografia de ponta a ponta e o processo de renderização. Levando em consideração a arquitetura do navegador, tal solução pode ser entregue de duas maneiras:

  • Uma extensão de navegador sobre o navegador existente (o resultado é semelhante a um EDR sobre o sistema operacional)
  • Usar mecanismos de renderização Firefox ou Chromium para construir um novo navegador (o resultado é semelhante a personalizar um sistema operacional Linux/Android para criar um novo sabor)

O que é um navegador corporativo?

Navegadores empresariais (também conhecidos como “navegadores empresariais seguros”) são navegadores baseados em Chromium (ou Firefox) desenvolvidos para o ambiente corporativo. Eles fornecem recursos de renderização do Chrome (ou Firefox). Mas em vez dos recursos nativos do Chrome/Edge, eles apresentam seus próprios recursos de segurança, gerenciamento e identidade.

Os navegadores corporativos pedem aos clientes que digam adeus aos seus amados Chrome, Edge, Firefox e Safari em favor de algo novo e supostamente mais seguro. Em troca, eles incorrem em uma taxa de assinatura mensal, um processo de implantação não tão simples e uma dependência rígida do fornecedor.

As afirmações feitas pelos fornecedores de navegadores empresariais, destinadas a convencer as organizações a escolhê-los, não são válidas do meu ponto de vista. Na próxima seção me referirei a cada uma dessas afirmações e fornecerei meus dois centavos cibernéticos sobre elas.

“Meia verdade costuma ser uma grande mentira” – Benjamin Franklin

 

Alegação nº 1: o Chrome é o navegador mais vulnerável

FALSE

Este é um exemplo clássico de viés de sobrevivência. O Google não é o navegador mais vulnerável, mas sim o navegador mais corrigido! O projeto zero do Google é o melhor exemplo de verificação de vulnerabilidades de software na história da TI.

A maioria das vulnerabilidades do Chromium são descobertas pelos engenheiros do Google e apenas algumas conseguem ser exploradas em estado selvagem. Além disso, o número de vulnerabilidades distintas necessárias para explorar com sucesso este navegador está aumentando vertiginosamente. Na verdade, o que se diz nas ruas digitais é que, se você puder realizar a execução remota de código com um escape de sandbox, poderá vendê-lo por alguns milhões de dólares.

Na verdade, você deveria estar mais preocupado com produtos que não divulgam suas vulnerabilidades. Se eles não os divulgam, eles não os consertam. O Google, por outro lado, é aberto e transparente sobre as vulnerabilidades do Chromium, mantém-no como um projeto de código aberto e demonstra a rotina de patches mais rápida do setor de TI. 

A verdade subjacente para os CISOs é que os navegadores Chromium fornecem a melhor arquitetura de segurança em seu ambiente. Na verdade, são as ferramentas de TI sem a divulgação adequada de vulnerabilidades que devem se preocupar.

Se você não concordar, tente encontrar um CISO que tenha passado por uma exploração de dia zero do Chrome ou tente explorar o Chrome você mesmo.

Alegação nº 2: navegadores corporativos corrigem vulnerabilidades mais rapidamente que o Chrome

PRINCIPALMENTE FALSO

O Google tem um ciclo de vida de lançamento de software previsível. Cada atualização de software é implantada de acordo com as seguintes etapas: canário, beta, instável e estável. Às vezes, leva algumas semanas para que um novo trecho de código deixe de ser escrito e seja implantado em todo o mundo.

Alguns navegadores corporativos afirmam colocar atualizações de software em produção mais rapidamente do que o Google, o que significa que eles supostamente corrigem vulnerabilidades mais rapidamente do que o Chrome.

No entanto, vulnerabilidades impactantes são corrigidas pelo Google de maneira fora da banda, dentro de alguns dias e fora do ciclo de vida regular de lançamento do Chrome. Isso significa que, ao lidar com um tipo de vulnerabilidade que atinge o ventilador (grave, explorada em estado selvagem, etc.), o Google faz um esforço extraordinário para corrigi-la rapidamente.

Este novo trecho de código no Chromium não é rotulado como relacionado a questões de segurança e vai direto para produção. Em outras palavras, os navegadores corporativos não têm como saber se isso é significativo e quais problemas de compatibilidade podem surgir.

Meu conselho seria pedir ao seu navegador corporativo para liberar seu histórico de versões. É uma boa prática que os fornecedores de software sejam transparentes sobre seu ciclo de lançamento real.

Alegação nº 3: o código do navegador corporativo é mais seguro do que o código do navegador comercial e é imune a ataques ao navegador

TALVEZ

Qualquer software tem suas vulnerabilidades e problemas de segurança (até mesmo um navegador corporativo). A questão é: existem falhas de segurança nos navegadores padrão? A melhor maneira de responder a essa pergunta é verificar as formas que permitem a violação de navegadores comerciais. 

A resposta é fornecida por malware e software antivírus. Ambos desejam acesso ao navegador para monitorar atividades – malware para roubar senhas e software antivírus para bloquear malware. Ambos geralmente fazem isso implantando uma extensão de navegador local. Isso significa que é difícil monitorar a atividade do navegador, como o navegador está isolado em uma sandbox com acesso limitado ao restante do sistema e usa criptografia para proteger os dados. Na verdade, é suficientemente seguro no nível do código. 

Existem lacunas, mas não no nível do código. Os arquivos de dados do navegador (cookies, arquivos de senha e downloads) podem ser acessados ​​por malware. Mas isso não requer a alteração de todo o navegador. Além disso, se você tem medo de malware, sua melhor aposta é usar uma solução de proteção de endpoint. Use a ferramenta certa para o trabalho.

Para adicionar uma observação: eu pessoalmente temo que o navegador corporativo introduza mais vulnerabilidades do que aquelas que ele poderia corrigir. A razão para isso é que o Chromium é apoiado pelo Google e por um enorme ecossistema envolvido em seu projeto de código aberto. O código do Chromium apresenta um padrão incrível de linha de base de segurança. Eu temeria muito mais de um novo código que interfira no código existente e na forma de trabalho existente do que no código do Chromium.

Alegação nº 4: navegadores comerciais não fornecem recursos suficientes de governança e gerenciamento

PARCIALMENTE VERDADEIRO

Para clientes do Google Workspace, o Chrome Enterprise é gratuito e oferece recursos de gerenciamento prontos para uso. Para usuários do Office365, existem configurações gerenciadas do Edge que podem ser definidas por ferramentas de gerenciamento de dispositivos. Eles não são tão granulares quanto os navegadores corporativos, mas essas lacunas podem ser resolvidas com uma extensão de navegador corporativo.

Uma extensão de navegador corporativo (como LayerX) adiciona recursos de gerenciamento na sessão e controla várias APIs do navegador. Isso permite personalizar navegadores existentes e transformá-los em navegadores seguros de nível empresarial. Embora o navegador traga disponibilidade e confiabilidade do tráfego da web, a extensão adiciona recursos de segurança e governança.

Na verdade, isso é exatamente o que os fornecedores de navegadores permitem intencionalmente. Os navegadores gerenciados (Chrome e Edge), bem como Firefox e Safari, oferecem suporte a recursos de personalização avançados e estáveis ​​com extensões de navegador corporativo.

Alegação nº 5: as extensões não são tão poderosas quanto o navegador

IRRELEVANTE E PRINCIPALMENTE FALSO

Esta afirmação equivale a dizer que uma colher de sopa é mais poderosa que uma colher de chá. Realmente depende do que você deseja mexer.

No que diz respeito à segurança do navegador, a maioria dos casos de uso está relacionada ao conteúdo renderizado (em palavras simples – os sites que navegamos). As extensões têm a mesma acessibilidade ao conteúdo renderizado (ou seja, pós-descriptografia, código-fonte, DOM, depurador de navegador e toneladas de coisas divertidas). Isso significa que uma ferramenta mais simples que o navegador pode realizar o trabalho com menos esforço.

Recursos que uma extensão não consegue controlar já são muito bem tratados pelos fornecedores de navegadores. Google, Microsoft, Mozilla e Apple estão fazendo um trabalho incrível ao fornecer um produto SOTA com vários recursos de segurança internos. Em outras palavras, você não está comparando navegadores corporativos com uma solução de extensão, mas na verdade navegadores corporativos com a combinação Chrome + extensão.

Além disso, o poder dos navegadores empresariais é uma faca de dois gumes. Quanto mais alterações eles fizerem no Chromium, maiores serão as chances de que eles façam um fork dele, impossibilitando a atualização em prazos razoáveis. O significado disso é que os navegadores corporativos provavelmente farão o mínimo de alterações possível no código do Chromium, baseando a maior parte de sua segurança em uma extensão agrupada ou em um proxy local.

Alegação nº 6: os navegadores empresariais oferecem a mesma experiência do Chrome

MEIA VERDADE

É o Chromium que oferece uma experiência SEMELHANTE ao Chrome. A experiência não é idêntica e ninguém promete que o Google continuará compartilhando a maior parte de seu código com seus concorrentes. Com o tempo, vemos o Google adicionando recursos específicos ao Chrome que não fazem parte do Chromium.

O que os navegadores corporativos não contam

Prevejo que, além de seus benefícios exclusivos, os navegadores corporativos também terão algumas desvantagens indesejáveis ​​que levarão muitas equipes de TI às lágrimas nos próximos anos.

Essas desvantagens incluem:

  • Rotina de aplicação de patches não confiável e inconsistente: Os navegadores corporativos não publicam suas rotinas de aplicação de patches. Mas extrapolando o Brave e o Edge, pode levar pelo menos 12 horas (e até vários dias) para corrigir as vulnerabilidades de dia zero do Chromium que foram corrigidas pelo Google de maneira fora de banda.
  • Possível incompatibilidade de aplicativos: As empresas continuarão criando seus aplicativos para Chrome e Edge. Mas mesmo que hoje um navegador empresarial seja totalmente compatível, ninguém garante que amanhã será o mesmo. Qualquer código adicionado ao Chromium pode ter seus próprios problemas e bugs, o que significa que os funcionários podem não ter acesso aos aplicativos necessários para realizar seu trabalho.
  • Visibilidade parcial: Seus funcionários ainda usarão navegadores comerciais tanto quanto puderem (para trabalho ou diversão). Isso significa que você ficará com lacunas enormes, o que pode acarretar perda de dados de recursos e ameaças.
  • O pior bloqueio de fornecedor na história da segurança cibernética: Imagine que você está usando um navegador corporativo. Você está feliz com isso. No entanto, um navegador empresarial melhor tem um custo mais barato. Como você vai migrar? Todas as suas preferências, identidades, senhas e cookies são armazenados no seu navegador existente. As empresas de navegadores anunciam que todos os seus cookies são criptografados e que toda a memória está totalmente isolada. Se ele fizer o trabalho que diz, você se encontrará em uma situação de bloqueio de fornecedor.
  • Perdendo recursos gratuitos: Seus navegadores existentes vêm com recursos incríveis. O Chrome tem a melhor lista de bloqueio do setor. Edge possui o melhor serviço de isolamento local (AppGuard). O Firefox traz recursos de privacidade incríveis. A lista continua e continua. Lembre-se de que, ao usar esses navegadores, você obtém um grande valor sem nenhum custo.
  • Fricção infinita: Algum dia, algo não funcionará com o navegador corporativo. Pode ser devido a um problema do fornecedor do navegador corporativo, ao Google restringindo a capacidade de outros navegadores de usar o Chromium ou a um mero erro do funcionário. Uma coisa é certa: é mais provável que o funcionário diga “este navegador não está funcionando. É uma merda. Usar um navegador corporativo provavelmente envolverá muitos atritos com sua força de trabalho, já que poucos produtos de segurança exigem que os funcionários mudem a forma como trabalham. Mudar a forma como as pessoas trabalham é mais um fardo cultural do que um bem de segurança.
  • A luta pela identidade digital: O recurso número um do Chrome e do Edge (a cereja do bolo) é sua integração com a identidade do escritório na nuvem. Isso significa que para organizações que usam o Google Workspace, o Chrome fornece um perfil de navegador anexado à identidade do Google. Para usuários do Office365, o Edge fornece um perfil de navegador anexado à identidade da Microsoft. Isso significa que quase todas as organizações já possuem um navegador gerenciado pago (Chrome ou Edge) que funciona de maneira incrível com seu conjunto de aplicativos SaaS relevante. Mudar para outro navegador degradará essa experiência e adicionará outro serviço de identidade (desnecessário) à pilha de TI. Em vez de adicionar segurança, apenas causará confusão entre os funcionários e aumentará a sobrecarga da TI.

A alternativa segura e simples para navegadores empresariais

Há uma coisa que as empresas de navegadores empresariais acertam em cheio; o navegador é o espaço de trabalho mais importante e a fonte de visibilidade mais valiosa da organização. Na LayerX pensamos que a solução para proteger os navegadores é simples – precisamos trazer o máximo de segurança possível aos navegadores existentes.

Da mesma forma que os sistemas operacionais estão sendo protegido pela proteção de endpoint soluções (em vez de um sabor Linux reforçado) e serviços de e-mail por meio de ferramentas de segurança de e-mail (em vez de um “e-mail seguro” personalizado), uma plataforma de segurança de navegador é a solução para questões de segurança do navegador.

Usando ano extensão de navegador corporativo traz todos os recursos de segurança possíveis para o navegador, sem comprometer a experiência do usuário.