Cada vez mais tomadores de decisão de segurança perceberam que o navegador é a linha de frente definitiva contra diversas ameaças cibernéticas. Esse insight os levou a adicionar soluções de isolamento de navegador às suas pilhas de segurança. No entanto, temos testemunhado recentemente uma tendência crescente de profissionais de segurança que estão se afastando dessas soluções e adotando extensões do Secure Browser. Essas soluções mais recentes são percebidas como uma alternativa melhor para proteger a superfície de ataque do navegador.

Neste artigo analisaremos esta tendência e tentaremos explicar a lógica por trás desta abordagem. Primeiro, revisaremos os diferentes recursos que cada abordagem oferece. Em seguida, mostraremos que uma extensão de navegador segura aborda uma gama muito mais ampla de ameaças transmitidas pela Web. Ela permite que a força de trabalho moderna aproveite totalmente o potencial de produtividade dos seus navegadores, enquanto a abordagem de isolamento do navegador é muito mais limitada na sua cobertura de riscos. O isolamento do navegador também degrada a experiência de navegação do usuário de uma maneira que a torna incompatível com o ambiente de trabalho moderno orientado ao navegador. 

Vamos começar com uma breve recapitulação sobre o que é o isolamento do navegador e como ele funciona.

Isolamento de navegador 101: proteção hermética contra ameaças de endpoint

As soluções de isolamento de navegador fornecem um ambiente virtual para a execução dos navegadores. Isso significa que o código baixado não tem permissão para ser executado na máquina real antes que a solução examine seu comportamento e garanta que ele seja realmente benigno. Essa abordagem é extremamente eficaz para mitigar o impacto das explorações do navegador e do download de arquivos de malware. Mesmo que a exploração tenha sido bem-sucedida e o malware tenha sido baixado, nenhum deles atinge a máquina real.

É fácil ver que, em termos de proposta de valor direta, o isolamento do navegador é uma progressão natural da proteção tradicional de endpoint. O conceito de ter uma sandbox local, ou mesmo uma máquina virtual criada propositadamente, para execução segura de processos propensos a explorações, foi implementado de várias formas ao longo da última década. Isso tornou a adoção do isolamento do navegador uma etapa natural de “defesa profunda” para fortalecer a proteção EDR\NGAV existente. 

O espaço de trabalho de hoje não é mais o ponto final, mas o próprio navegador 

No entanto, com o passar do tempo, as organizações perceberam que esta abordagem pode não ser boa o suficiente. Isto se deve a dois motivos principais:

  • Consumo de recursos: todas as soluções sandbox, incluindo o isolamento do navegador, são notoriamente conhecidas pelo consumo ganancioso de CPU, o que inevitavelmente degrada o desempenho da máquina protegida. Na verdade, esta é a principal razão pela qual esta abordagem foi abandonada pelos principais fornecedores de proteção de terminais.
  • Cobertura parcial: embora o isolamento do navegador ofereça proteção sólida contra ameaças de endpoint, ele oferece pouca ou nenhuma proteção contra o amplo cenário de riscos transmitidos pela Web. 

Vamos aprofundar um pouco mais o assunto.

O isolamento do navegador se esforça para enfrentar os desafios de segurança e produtividade da empresa moderna baseada na Web 

Há uma década, os funcionários trabalhavam principalmente com arquivos de dados no host local. Mas hoje, o navegador assumiu o espaço de trabalho predominante no ambiente corporativo. Essa mudança ocorreu de acordo com os navegadores modernos que oferecem uma ampla gama de recursos de segurança, bem como um compromisso inabalável com a experiência do usuário. A implantação de uma solução de isolamento de navegador cria uma carga nos recursos da máquina que leva diretamente a um pior desempenho do navegador. Uma das regras básicas é que qualquer controle de segurança que atrapalhe o trabalho dos funcionários será desativado, mais cedo ou mais tarde. Isso é o que está acontecendo hoje com as soluções de isolamento de navegador.

Além disso, os riscos transmitidos pela Web são qualquer tipo de ameaça transmitida pelo navegador: phishing e outros tipos de páginas da Web maliciosas, acesso malicioso a aplicativos SaaS por meio de credenciais comprometidas e vazamento de dados baseados no navegador. No entanto, as soluções de isolamento de navegador têm visibilidade apenas parcial e limitada do conteúdo das páginas da web. Sua visibilidade em aplicativos SaaS é limitada à descoberta básica no nível do nome do host, sem insights sobre a identidade do usuário ou o uso real. Em termos de monitoramento do comportamento real da própria página web, eles têm visibilidade apenas no código HTML pré-renderizado. E em termos de aplicação, as soluções de isolamento de navegador carecem de granularidade configurável. Eles estão limitados a controles rudimentares, como desabilitar um evento de navegação, como colar ou capturar tela em todos os destinos ou aplicativos, o que os torna ineficazes devido à interrupção de produtividade que acarretam. 

O problema é que esses riscos transmitidos pela Web estão se tornando cada vez mais uma parte dominante do cenário de ameaças empresariais. E embora as soluções de isolamento de navegador possam ser excelentes contra explorações de malware, elas oferecem pouco contra uma ampla gama de ataques que as organizações não podem mais ignorar.

Ao contrário dessas soluções, a abordagem de extensão de navegador segura aborda totalmente essas ameaças. Vamos entender por que isso acontece:

Extensão de navegador seguro 101: inspeção profunda da sessão de cada evento de navegação

Extensões de navegador seguras são instaladas em um navegador comercial, como qualquer outra extensão. A partir da localização do navegador, eles têm visibilidade granular e controle de todos os eventos da sessão de navegação. Isso permite que eles forneçam monitoramento contínuo, análise de risco e aplicação de políticas durante toda a sessão da web, com base no comportamento do próprio usuário e da página visitada.

Esta abordagem é extremamente eficaz na prevenção de ameaças transmitidas pela Web da seguinte maneira:

Extensão de navegador seguro versus phishing e outras páginas da Web maliciosas 

As extensões seguras do navegador têm visibilidade da página da web renderizada real à medida que ela é construída gradualmente no navegador. Armados com essa visibilidade, eles podem detectar sinais precoces de phishing, download de malware e captura de dados maliciosos. Após a detecção desses sinais, a extensão segura do navegador pode encerrar a sessão completamente ou desativar o risco na própria página.

Extensão de navegador seguro versus acesso malicioso a SaaS e aplicativos da Web 

Da mesma forma que uma extensão de navegador segura tem visibilidade da página da web, ela também tem visibilidade do usuário e de sua atividade. Com essa visibilidade, ele pode monitorar continuamente o comportamento do usuário em aplicativos SaaS, traçar o perfil de seu comportamento básico, detectar sempre que houver um desvio desse comportamento que possa implicar uma tomada de conta e, após tal detecção, bloquear o acesso do usuário ao aplicativo.

Extensão de navegador seguro vs. vazamento de dados baseado em navegador

A visibilidade da extensão segura do navegador em cada evento de navegação a torna extremamente eficaz contra vazamento de dados. Ações como ‘compartilhar’, ‘baixar’ ou ‘captura de tela’ podem ser limitadas ou banidas. De maneira semelhante, colar ou digitar informações confidenciais em ferramentas GenAI, como ChatGPT, pode ser facilmente controlado e evitado (saiba mais sobre o verdadeiro risco de exposição de dados do GenAI neste último relatório).

A justificativa: proteger a superfície exposta ao ataque do navegador em vez de fortalecer a proteção de endpoint existente

É fácil entender o raciocínio por trás da mudança do isolamento do navegador para extensões seguras do navegador. A maioria das organizações não instala mais de uma solução de segurança em seus navegadores. Ao escolher a solução, faz mais sentido escolher uma que aborde uma ampla gama de ameaças atualmente não atendidas, em vez de adicionar outra camada de proteção de endpoint. 

É verdade que extensões seguras de navegador oferecem menos proteção contra explorações de dia zero em comparação com ferramentas de isolamento de navegador. No entanto, deve-se notar que essas explorações estão se tornando um fenômeno bastante incomum. Mesmo quando ocorrem, eles são razoavelmente cobertos pelas soluções EDR\NGAV atuais. Tudo se resume a escolher entre uma solução para uma lacuna existente e uma precaução adicional contra uma ameaça que já está praticamente coberta. É realmente um acéfalo.