Почему лидеры в области безопасности переходят от изоляции браузеров к решениям по расширению безопасности браузеров?

Все больше и больше лиц, принимающих решения в области безопасности, приходят к пониманию того, что браузер является основным средством борьбы с многочисленными киберугрозами. Это понимание побудило их добавить решения для изоляции браузера в свои стеки безопасности. Однако в последнее время мы стали свидетелями растущей тенденции, когда специалисты по безопасности отходят от этих решений и переходят к расширениям безопасного браузера. Эти новые решения воспринимаются как лучшая альтернатива для защиты поверхности атаки браузера.

В этой статье мы проанализируем эту тенденцию и попытаемся объяснить причину такого подхода. Сначала мы рассмотрим различные возможности, которые предлагает каждый подход. Затем мы покажем, что безопасное расширение браузера устраняет гораздо более широкий спектр веб-угроз. Это позволяет современным работникам полностью использовать потенциал производительности своих браузеров, в то время как подход к изоляции браузера гораздо более ограничен в плане покрытия рисков. Изоляция браузера также ухудшает качество работы пользователя в Интернете, что делает его несоответствующим современной рабочей среде, ориентированной на браузер. 

Начнем с краткого обзора того, что такое изоляция браузера и как она работает.

Изоляция браузера 101: надежная защита от угроз на конечных точках

Решения по изоляции браузера предоставляют виртуальную среду для работы браузеров. Это означает, что загруженный код не может выполняться на реальном компьютере до тех пор, пока решение не проверит его поведение и не убедится, что он действительно безопасен. Этот подход чрезвычайно эффективен для смягчения воздействия эксплойтов браузера и загрузки вредоносных файлов. Даже если эксплуатация прошла успешно и вредоносное ПО было загружено, ни одно из них не достигает реальной машины.

Легко заметить, что с точки зрения прямой выгоды изоляция браузера является естественным развитием традиционной защиты конечных точек. Идея наличия локальной песочницы или даже специально созданной виртуальной машины для безопасного выполнения процессов, подверженных эксплойтам, реализовывалась в различных формах на протяжении последнего десятилетия. Это сделало изоляцию браузера естественным шагом «глубокоэшелонированной защиты» для усиления существующей защиты EDR\NGAV. 

Сегодняшнее рабочее пространство — это уже не конечная точка, а сам браузер 

Однако со временем организации пришли к пониманию того, что этот подход может оказаться недостаточно хорошим. Это связано с двумя основными причинами:

• Потребление ресурсов: Все решения для песочницы, включая изоляцию браузера, печально известны своим жадным потреблением ресурсов ЦП, что неизбежно снижает производительность защищаемой машины. Фактически, это основная причина, по которой ведущие поставщики средств защиты конечных точек отказались от этого подхода.

• Частичное покрытие: Хотя изоляция браузера обеспечивает надежную защиту от угроз на конечных точках, она практически не обеспечивает защиту от широкого спектра веб-рисков. 

Давайте подробнее остановимся на теме.

Изоляция браузера не позволяет решить проблемы безопасности и производительности современного веб-предприятия 

Десять лет назад сотрудники в основном работали с файлами данных на локальном хосте. Но сегодня браузер стал преобладающим рабочим пространством в корпоративной среде. Это изменение произошло в соответствии с современными браузерами, предлагающими широкий спектр функций безопасности, а также непоколебимую приверженность пользовательскому опыту. Развертывание решения для изоляции браузера создает нагрузку на ресурсы компьютера, что напрямую приводит к снижению производительности браузера. Одно из основных практических правил заключается в том, что любой контроль безопасности, мешающий сотрудникам выполнять свою работу, рано или поздно будет отключен. Именно это сегодня происходит с решениями для изоляции браузера.

Кроме того, веб-риски — это любые типы угроз, исходящие от браузера: фишинг и другие типы вредоносных веб-страниц, злонамеренный доступ к приложениям SaaS через скомпрометированные учетные данные и утечка данных через браузер. Однако, Решения для изоляции браузера обеспечивают лишь частичную и ограниченную видимость содержимого веб-страниц. Их видимость в SaaS-приложениях ограничивается базовым обнаружением на уровне имени хоста, без каких-либо сведений о личности пользователя или фактическом использовании. Что касается мониторинга фактического поведения самой веб-страницы, они видят только предварительно обработанный HTML-код. Что касается обеспечения соблюдения требований, решениям по изоляции браузера не хватает настраиваемой детализации. Они ограничены грубыми элементами управления, такими как отключение событий просмотра, таких как вставка или снимок экрана, для каждого пункта назначения или приложения, что делает их неэффективными из-за нарушения производительности, которое они влекут за собой. 

Проблема в том, что эти веб-риски все чаще становятся доминирующей частью ландшафта корпоративных угроз. И хотя решения по изоляции браузера могут преуспеть в борьбе с эксплойтами вредоносных программ, они мало что предлагают против широкого спектра атак, которые организации больше не могут себе позволить игнорировать.

В отличие от этих решений, безопасный подход к расширениям браузера полностью устраняет эти угрозы. Давайте разберемся, почему это так:

Расширение безопасного браузера 101: глубокая проверка сеанса каждого события просмотра

Расширения безопасного браузера устанавливаются поверх коммерческого браузера, как и любое другое расширение. Из своего местоположения в браузере они имеют детальную видимость и контроль над каждым событием в течение сеанса просмотра. Это позволяет им обеспечивать непрерывный мониторинг, анализ рисков и применение политик на протяжении всего веб-сеанса, основываясь на поведении как самого пользователя, так и посещаемой веб-страницы.

Этот подход чрезвычайно эффективен для предотвращения веб-угроз следующим образом:

Расширение Secure Browser против фишинга и других вредоносных веб-страниц 

Безопасные расширения браузера позволяют видеть реальную отображаемую веб-страницу по мере ее постепенного создания в браузере. Благодаря такой прозрачности они могут обнаружить ранние признаки фишинга, загрузки вредоносного ПО и захвата вредоносных данных. При обнаружении этих признаков безопасное расширение браузера может либо полностью завершить сеанс, либо отключить риск на самой странице.

Расширение безопасного браузера против злонамеренного доступа к SaaS и веб-приложениям 

Точно так же безопасное расширение браузера обеспечивает видимость веб-страницы, а также пользователя и его действий. Благодаря такой видимости он может постоянно отслеживать поведение пользователя в приложениях SaaS, профилировать его базовое поведение, обнаруживать отклонения от этого поведения, которые могут подразумевать захват учетной записи, и при таком обнаружении блокировать пользователю доступ к приложению.

Безопасное расширение браузера против утечки данных из браузера

Видимость расширения безопасного браузера для каждого события просмотра делает его чрезвычайно эффективным против утечки данных. Такие действия, как «поделиться», «загрузить» или «снимок экрана», могут быть ограничены или запрещены. Аналогичным образом можно легко контролировать и предотвращать вставку или ввод конфиденциальной информации в инструменты GenAI, такие как ChatGPT (узнайте больше об истинном раскрытии данных GenAI. Риск в этом последнем отчете).

Обоснование: защитить открытую поверхность атаки браузера, а не усиливать существующую защиту конечных точек.

Легко понять причину перехода от изоляции браузера к безопасным расширениям браузера. Большинство организаций не будут устанавливать более одного решения безопасности в своих браузерах. При выборе решения разумнее выбрать то, которое устраняет широкий спектр ныне необслуживаемых угроз, а не добавлять еще один уровень защиты конечных точек. 

Это правда, что безопасные расширения браузера обеспечивают меньшую защиту от эксплойтов нулевого дня по сравнению с инструментами изоляции браузера. Однако следует отметить, что подобные эксплойты становятся довольно редким явлением. Даже в случае их возникновения они вполне покрываются сегодняшними решениями EDR\NGAV. Все сводится к выбору между решением существующего пробела и дополнительной мерой предосторожности против угрозы, которая уже в основном устранена. Это действительно несложно.

• Поделиться: