Темная сторона корпоративных браузеров: проверка шести утверждений

В 2022 году вокруг безопасности браузеров и корпоративных браузеров была огромная шумиха. Но хотя они заявляют, что обеспечивают «безопасность корпоративного уровня», корпоративные браузеры на самом деле далеки от совершенства. На самом деле, у них есть несколько серьезных недостатков.

Какие они и какая альтернатива? В этом блоге я проведу различие между безопасностью браузера и корпоративными браузерами, рассмотрю плюсы и минусы каждого из них и пролью некоторый свет на долги браузера, возникающие при переходе на корпоративный браузер. Читайте дальше, чтобы узнать, какие претензии выдвигают компании-производители корпоративных браузеров и могут ли они действительно их оправдать.

Браузеру требуется больше безопасности. Является ли корпоративный браузер правильным решением?

За последние пару лет в ИТ произошли некоторые тектонические сдвиги. Эти изменения сделали традиционные решения безопасности, такие как межсетевые экраны, SWG, VDI и VPN, неактуальными. Инструменты сетевой безопасности не могут проверять сложные приложения SaaS, которые становятся все более распространенными среди сотрудников. Сотрудники работают удаленно и ненавижу просматривать веб-страницы через VPN. Данные разбросаны по бесчисленным приложениям, и их сложно защитить. Виртуальные рабочие столы являются дорогими и обеспечивают плохую производительность; они являются неподходящим инструментом для доступа к веб-приложениям.

Другими словами, наиболее часто используемые инструменты корпоративной кибербезопасности становятся бесполезными. Это идеальный шторм, который заставил организации жаждать современного решения безопасности браузера, которое обеспечивает видимость, безопасность и контроль каждого веб-сеанса. 

Настоящая безопасность браузера требует рассмотрения точки зрения браузера, чтобы гарантировать, что он учитывает сквозное шифрование и процесс рендеринга. Учитывая архитектуру браузера, такое решение может быть реализовано одним из двух способов:

• Расширение браузера поверх существующего браузера (результат аналогичен EDR поверх ОС)
• Использование механизмов рендеринга Firefox или Chromium для создания нового браузера (результат аналогичен настройке ОС Linux/Android для создания нового варианта)

Что такое корпоративный браузер?

Корпоративные браузеры (также известные как «безопасные корпоративные браузеры») — это браузеры на базе Chromium (или Firefox), созданные для корпоративной среды. Они предоставляют возможности рендеринга Chrome (или Firefox). Но вместо встроенных функций Chrome/Edge они представляют собственные функции безопасности, управления и идентификации.

Корпоративные браузеры просят клиентов попрощаться с любимыми Chrome, Edge, Firefox и Safari в пользу чего-то нового и якобы более безопасного. Взамен они несут ежемесячную абонентскую плату, непростой процесс развертывания и жесткую зависимость от поставщика.

Заявления производителей корпоративных браузеров, направленные на то, чтобы убедить организации выбрать именно их, с моей точки зрения, необоснованны. В следующем разделе я остановлюсь на каждом из этих утверждений и выскажу по ним свои два киберцента.

«Полуправда часто оказывается большой ложью» – Бенджамин Франклин.

Утверждение №1: Chrome — самый уязвимый браузер

НЕПРАВДА

Это классический пример предвзятости выживания. Google — не самый уязвимый браузер, а скорее самый патченный браузер! Нулевой проект Google — лучший пример сканирования уязвимостей программного обеспечения в истории ИТ.

Большинство уязвимостей Chromium обнаружены инженерами Google, и лишь немногие из них могут быть использованы в реальных условиях. Более того, количество различных уязвимостей, необходимых для успешного использования этого браузера, резко растет. На самом деле на цифровой улице говорят, что если вы можете выполнить удаленное выполнение кода с помощью выхода из песочницы, вы можете продать его за несколько миллионов долларов.

На самом деле вам следует больше беспокоиться о продуктах, которые не раскрывают свои уязвимости. Если они их не раскрывают, они их не исправляют. Google, напротив, открыто и прозрачно говорит об уязвимостях Chromium, поддерживает его как проект с открытым исходным кодом и демонстрирует самую быструю процедуру установки исправлений в ИТ-индустрии. 

Основная истина для директоров по информационной безопасности заключается в том, что браузеры Chromium обеспечивают лучшую архитектуру безопасности в своей среде. На самом деле им следует беспокоиться об ИТ-инструментах без надлежащего раскрытия уязвимостей.

Если вы не согласны, попробуйте найти директора по информационной безопасности, который столкнулся с эксплуатацией Chrome нулевого дня, или просто попробуйте использовать Chrome самостоятельно.

Утверждение №2: Корпоративные браузеры устраняют уязвимости быстрее, чем Chrome.

ПОЧАСТНО ЛОЖЬ

У Google предсказуемый жизненный цикл выпуска программного обеспечения. Каждое обновление программного обеспечения развертывается в соответствии со следующими этапами: канареечное, бета-версия, нестабильное и стабильное. Иногда путь от написания нового фрагмента кода до его внедрения по всему миру занимает несколько недель.

Некоторые корпоративные браузеры утверждают, что выпускают обновления программного обеспечения быстрее, чем Google, а это означает, что они якобы исправляют уязвимости быстрее, чем Chrome.

Однако серьезные уязвимости на самом деле исправляются Google внепланово, в течение нескольких дней и вне обычного жизненного цикла выпуска Chrome. Это означает, что, имея дело с уязвимостью типа «дерьмо попало в вентилятор» (серьезной, эксплуатируемой в дикой природе и т. д.), Google прилагает огромные усилия, чтобы исправить ее в кратчайшие сроки.

Этот новый фрагмент кода в Chromium не помечен как связанный с проблемами безопасности и сразу поступает в производство. Другими словами, корпоративные браузеры не имеют возможности узнать, насколько это важно и какие проблемы совместимости могут возникнуть.

Я бы посоветовал попросить ваш корпоративный браузер опубликовать историю версий. Хорошей практикой для поставщиков программного обеспечения является прозрачность фактического цикла выпуска.

Утверждение №3. Код корпоративного браузера более безопасен, чем код коммерческого браузера, и невосприимчив к атакам на браузер.

МОЖЕТ БЫТЬ

Любое программное обеспечение имеет свои уязвимости и проблемы с безопасностью (даже корпоративный браузер). Вопрос в том, есть ли бреши в безопасности в стандартных браузерах? Лучший способ ответить на этот вопрос — проверить способы взлома коммерческих браузеров. 

Ответ дают как вредоносное ПО, так и антивирусное программное обеспечение. Оба хотят получить доступ к браузеру для мониторинга активности: вредоносное ПО для кражи паролей, а антивирусное программное обеспечение для блокировки вредоносного ПО. Оба обычно делают это путем развертывания расширения локального браузера. Это означает, что сложно отслеживать активность браузера, поскольку браузер изолирован в «песочнице» с ограниченным доступом к остальной части системы и использует шифрование для защиты данных. На самом деле он достаточно безопасен на уровне кода. 

Пробелы существуют, но не на уровне кода. Файлы данных браузера (файлы cookie, файлы паролей и загрузки) могут быть доступны вредоносному ПО. Но для этого не требуется менять весь браузер. Кроме того, если вы боитесь вредоносного ПО, лучше всего использовать решение для защиты конечных точек. Используйте правильный инструмент для работы.

Добавлю еще одно примечание: лично я опасаюсь, что корпоративный браузер создаст больше уязвимостей, чем те, которые он может исправить. Причина этого в том, что Chromium поддерживается как Google, так и огромной экосистемой, участвующей в его проекте с открытым исходным кодом. Код Chromium представляет собой потрясающий стандарт базовой безопасности. Я бы гораздо больше боялся нового кода, который мешает существующему коду и существующему способу работы, чем кода Chromium.

Претензия №4: Коммерческие браузеры не предоставляют достаточных возможностей управления и управления.

ЧАСТИЧНО ПРАВДА

Для клиентов Google Workspace Chrome Enterprise бесплатен и предоставляет готовые возможности управления. Для пользователей Office365 существуют управляемые параметры Edge, которые можно установить с помощью инструментов управления устройствами. Они не так детализированы, как корпоративные браузеры, но эти пробелы можно устранить с помощью расширения корпоративного браузера.

Расширение корпоративного браузера (например, Layerx) добавляет возможности управления в ходе сеанса и контролирует различные API браузера. Это позволяет настраивать существующие браузеры и превращать их в безопасные браузеры корпоративного уровня. Хотя браузер обеспечивает доступность и надежность веб-трафика, расширение добавляет к нему возможности безопасности и управления.

На самом деле, это именно то, что производители браузеров намеренно допускают. Управляемые браузеры (Chrome и Edge), а также Firefox и Safari поддерживают широкие и стабильные возможности настройки с помощью корпоративных расширений браузера.

Утверждение №5: Расширения не так мощны, как браузер.

НЕОТВЕТСТВЕННО И ПОЧАСТЬЮ ЛОЖНО

Это утверждение эквивалентно утверждению, что столовая ложка более эффективна, чем чайная. Это действительно зависит от того, что вы хотите перемешать.

Что касается безопасности браузера, большинство вариантов использования связаны с отображаемым контентом (простыми словами — веб-сайтами, которые мы просматриваем). Расширения имеют одинаковый доступ к отображаемому контенту (т.е. расшифровка сообщений, исходный код, DOM, отладчик браузера и множество интересных вещей). Это означает, что более простой инструмент, чем браузер, может выполнить работу с меньшими усилиями.

Возможности, с которыми расширение не может справиться, уже достаточно хорошо рассматриваются производителями браузеров. Google, Microsoft, Mozilla и Apple проделывают невероятную работу по созданию продукта SOTA с множеством функций безопасности внутри. Другими словами, вы сравниваете не корпоративные браузеры с решением расширения, а на самом деле корпоративные браузеры с комбинацией Chrome + расширение.

Кроме того, мощь корпоративных браузеров — это палка о двух концах. Чем больше изменений они вносят в Chromium, тем выше вероятность того, что они создадут его ответвление, что делает невозможным их обновление в разумные сроки. Смысл этого в том, что корпоративные браузеры, скорее всего, будут вносить как можно меньше изменений в код Chromium, в то время как большая часть их безопасности основывается на встроенном расширении или локальном прокси-сервере.

Утверждение №6. Корпоративные браузеры предоставляют те же возможности, что и Chrome.

ПОЛОВИНА ПРАВДЫ

Именно Chromium обеспечивает ПОХОЖИЕ на Chrome возможности. Опыт не идентичен, и никто не обещает, что Google продолжит делиться большей частью своего кода с конкурентами. Со временем мы видим, как Google добавляет в Chrome определенные возможности, которые не являются частью Chromium.

О чем корпоративные браузеры вам не расскажут

Я ожидаю, что, помимо своих уникальных преимуществ, корпоративные браузеры также будут иметь некоторые нежелательные недостатки, которые в ближайшие годы доведут до слез многие ИТ-команды.

К этим недостаткам можно отнести:

• Ненадежная и непоследовательная процедура установки исправлений: Корпоративные браузеры не публикуют свои процедуры исправлений. Но, экстраполируя данные Brave и Edge, им может потребоваться не менее 12 часов (а то и несколько дней), чтобы исправить уязвимости нулевого дня в Chromium, которые были исправлены Google внеплановым способом.
• Возможная несовместимость приложений: Компании продолжат создавать свои приложения для Chrome и Edge. Но даже если сегодня корпоративный браузер полностью совместим, никто не гарантирует, что завтра будет таким же. Любой добавленный код поверх Chromium может иметь свои проблемы и ошибки, а это означает, что сотрудники могут не иметь доступа к приложениям, необходимым для выполнения их работы.
• Частичная видимость: Ваши сотрудники по-прежнему будут использовать коммерческие браузеры столько, сколько смогут (как для работы, так и для развлечения). Это означает, что у вас останутся огромные пробелы, которые могут повлечь за собой потерю данных и угрозы.
• Худший вендорный замок в истории кибербезопасности: Представьте, что вы используете корпоративный браузер. Вы довольны этим. Однако лучший корпоративный браузер обходится дешевле. Как вы будете мигрировать? Все ваши предпочтения, личные данные, пароли и файлы cookie хранятся в вашем существующем браузере. Компании-браузеры заявляют, что все их файлы cookie зашифрованы и вся память полностью изолирована. Если он выполняет заявленную работу, то вы окажетесь в ловушке поставщика.
• Потеря свободных возможностей: Ваши существующие браузеры обладают удивительными возможностями. У Chrome лучший черный список в отрасли. Edge имеет лучший сервис локальной изоляции (AppGuard). Firefox предлагает невероятные функции конфиденциальности. У этого списка нет конца. Имейте в виду, что, используя эти браузеры, вы получаете большую выгоду бесплатно.
• Бесконечное трение: Когда-нибудь что-то не будет работать с корпоративным браузером. Это может быть связано с проблемой на стороне поставщика корпоративного браузера, ограничением Google возможности использования Chromium другими браузерами или простой ошибкой сотрудника. Одно можно сказать наверняка: сотрудник, скорее всего, скажет: «Этот браузер не работает. Это отстой». Использование корпоративного браузера, скорее всего, повлечет за собой серьезные разногласия с вашими сотрудниками, поскольку очень немногие продукты безопасности требуют от сотрудников изменить способ их работы. Изменение способа работы людей является скорее культурным бременем, чем средством обеспечения безопасности.
• Борьба за цифровую идентичность: Особенностью номер один Chrome и Edge (вишенка на торте) является их интеграция с облачным офисом. Это означает, что организациям, использующим Google Workspace, Chrome предоставляет профиль браузера, привязанный к удостоверению Google. Для пользователей Office365 Edge предоставляет профиль браузера, привязанный к удостоверению Microsoft. Это означает, что почти каждая организация уже имеет платный управляемый браузер (Chrome или Edge), который прекрасно работает с соответствующим пакетом приложений SaaS. Переход на другой браузер ухудшит качество работы и добавит в ИТ-стек еще одну (ненужную) службу идентификации. Вместо повышения безопасности это только вызовет путаницу среди сотрудников и увеличит накладные расходы на ИТ.

Безопасная и удобная альтернатива корпоративным браузерам.

Есть одна вещь, в которой производители корпоративных браузеров уделяют особое внимание; Браузер — это самое важное рабочее пространство и самый ценный источник информации об организации. В LayerX мы считаем, что решение для обеспечения безопасности браузеров простое – нам нужно обеспечить как можно большую безопасность существующих браузеров.

Точно так же, как операционные системы защищено защитой конечных точек решения (вместо усиленной версии Linux) и службы электронной почты с помощью инструментов безопасности электронной почты (вместо настраиваемой «безопасной электронной почты»), платформа безопасности браузера является решением проблем безопасности браузера.

Использование год расширение корпоративного браузера предоставляет браузеру все возможные возможности безопасности, не ставя под угрозу удобство работы пользователя.

• Поделиться: