Internetni brskalniki danes predstavljajo enega največjih napadalnih površin. Prenove v tem, kako in kje delajo zaposleni, so varnost perimetra že presegle mejo, največja žrtev pa je brskalnik. V letu 2022 je prišlo do hitrega povečanja števila zlonamernih razširitev brskalnika, pri čemer je bilo med januarjem 4.3 in junijem 2020 ciljno usmerjenih 2022 milijona edinstvenih brskalnikov. Ti služijo kot zapisovalniki tipk, oglaševalski strežniki in ponudniki zlonamernih pridruženih povezav, kar napadalcem omogoča vzpostavitev opore v sicer zaščitenih okoljih. 

Površino za napad brskalnika olajša neposredna bližina vsakega brskalnika s preverjeno napravo končnega uporabnika. Ko uporabnik zahteva zlonamerno stran – ali pomotoma sproži zlonamerno komponento spletne strani – uporabnikov brskalnik zažene katero koli kodo, vdelano v to stran. Skoraj ni nobene ovire med brskalnikom naprave in nadaljnjimi deli širšega operacijskega sistema, kar daje napadalcem neverjetne dele nadzora, potem ko je infiltrirana samo ena naprava. 

Izolacija oddaljenega brskalnika (RBI) postavlja fizično razdaljo med končno napravo in brskalnikom. Ta pristop z zračno režo pomeni, da storitev v oblaku tretje osebe obravnava vsako zlonamerno kodo, ki je lahko zapakirana s spletno stranjo, s čimer končno zaščiti napravo končnega uporabnika – in širše omrežje podjetja – pred okužbo. 

Kljub zaščiti, ki jo obljublja oddaljena izolacija brskalnika, so bile koristi v resničnem svetu izrazito pomanjkljive. Izzivi oddaljene izolacije brskalnika so pogosto šok za končne uporabnike, tehnične omejitve pa so občasno prisilile organizacije, da se odločijo med uporabniško izkušnjo ali zaščito brskalnika. LayerX to razume varnost brskalnika so lahko več kot zaostajajoče spletne strani in pokvarjena spletna mesta.

Gumb: [Več o platformi za zaščito brskalnika LayerX]

izzivi oddaljene izolacije brskalnika

Dve vrsti izolacije oddaljenega brskalnika

Medtem ko RBI opisuje zračno obliko brskanja, ponujata potiskanje slikovnih pik in manipulacija DOM dve različni metodi za ločevanje uporabnikove naprave od zunanjih spletnih strani. Oba pristopa imata lahko izjemno močan vpliv na širšo mrežo podjetij, zaradi česar je ključnega pomena razumevanje podrobnosti in slabosti vsakega.

Pixel Pushing

'Pixel pushing' je bila prva komercialno uspešna oblika oddaljene izolacije brskalnika. Nalaganje nezaupljive spletne strani znotraj virtualnega stroja ali izoliran vsebnik, popolnoma oddaljeni brskalnik izvaja vso vsebino strani. Predstavitev vsake strani in interakcije se pretaka nazaj v uporabnikovo napravo v vektorski grafični obliki, kar omogoča spletno interakcijo, ki je čim bližje običajnemu brskanju. Ta rešitev obravnava spletna mesta z lažnim predstavljanjem z opozorilom na strani odjemalca, označuje potencialna spletna mesta in jih izda v formatu samo za branje. Na ta način je zlonamerna koda oddaljena od uporabnikove naprave, ne glede na to, ali je uporabnik pomotoma sprožil prenos ali ne. 

DOM manipulacija

Manipulacija DOM se začne skoraj na enak način: strežnik v oblaku najprej naloži spletno stran. Vendar namesto preprostega pretakanja video predstavitve uporabniku ta tehnika prevzame dejavnejšo vlogo pri varnosti brskalnika. DOM ali objektni model dokumenta se nanaša na predmete, ki sestavljajo vsak del spletne strani. Pri manipulaciji DOM brskalnik v oblaku naloži in oceni vsak element znotraj spletne strani; cilj je, da odpraviti prepoznavne podvige, zlonamerna pojavna okna in aktivna koda, kot je JavaScript. Oddaljeni brskalnik nato to kodo posreduje brskalniku končnega uporabnika, ki jo uporabi za rekonstrukcijo 'čiste' različice vsakega spletnega mesta.

 

Leta 2018 je Gartner Insights objavil svoje prvo poročilo s podrobnostmi o potencialu izolacije oddaljenega brskalnika. Z naslovom Čas je, da svoje uporabnike izolirate od internetne greznice, so industrije izkoristile priložnost za popolno zaščito pred lažnim predstavljanjem, zero-day in zlonamerno programsko opremo. Od takrat pa se je RBI zaradi številnih ključnih izzivov znašel v močno omejenem izvajanju. Spodaj je razčlenitev nekaterih edinstvenih omejitev obeh pristopov, od neverjetno visokih zakasnitev do spiralnih proračunov.

Izzivi manipulacije DOM

Manipulacija DOM predstavlja nekoliko novejši pristop k RBI, ki poskuša rešiti težave s potiskanjem pikslov. Vendar rekonstruktivni proces uvaja nekaj lastnih vprašanj.

Varnostna vprašanja

Čeprav lahko manipulacija z DOM popolnoma izbriše spletno stran, ki je naložena s koristjo, obstaja prevladujoča grožnja skritih napadov. Napačna identifikacija kode spletnega mesta kot nezlonamerne je možna z naprednimi napadi, ki svoj koristni tovor skrijejo pod alternativnimi oblikami. Zahvaljujoč arhitekturi rekonstrukcije DOM se lahko koda, ki se skriva pod krinko vsebine spletnega mesta, ki ni zlonamerna – še posebej razširjena pri napadih z lažnim predstavljanjem – še vedno prenese na lokalno napravo končnega uporabnika. Povezovanje naprave z javnim internetom, tudi kljub trdemu procesu rekonstrukcije perimetra, še naprej predstavlja grožnjo ničelnemu zaupanju.

Omejena zvestoba

Poleg pomislekov glede ničelnega zaupanja poskusi upodabljanja DOM za boj proti resnim vplivom potiskanja slikovnih pik na uporabniško izkušnjo niso bili tako uspešni, kot je bilo obljubljeno. V procesu aktivnega odstranjevanja zlonamernih elementov prepisovanje celotnih spletnih strani pogosto popolnoma uniči dinamične strani. Vsako mesto z nenavadno arhitekturo bo prav tako pokvarilo proces obnove. Glede na to, da JavaScript na strani odjemalca sestavlja vedno več sodobnih spletnih mest, je produktivnost zaposlenih negativno prizadeta zaradi bolj omejene funkcionalnosti brskalnika. Poleg tega so poročali, da ima upodabljanje DOM težave pri podpiranju aplikacij za produktivnost v celotnem podjetju, kot sta Office 365 in Googlov G Suite. Posledično kopičenje zahtevkov za IT lahko prisili organizacijo, da se hitro opusti vseh razvojnih korakov v smeri razširjene varnosti brskalnika. 

Izzivi potiskanja slikovnih pik

Čeprav to ohranja popolno zračno režo med napravo in kakršnimi koli zunanjimi spletnimi strežniki, ima precejšnje stroške za uporabniško izkušnjo in kot tako zaščito. 

Mobilna podpora

Visoke zahteve glede pasovne širine potiskanja slikovnih pik naredijo skoraj nemogoče izvajanje v mnogih današnjih mobilnih napravah. Ker pametni telefoni postajajo prevladujoč način interakcije zaposlenih s spletom, pomanjkanje zaščite ni ostalo neopaženo s strani zlonamernih akterjev. Na primer, v letu 2022 so raziskovalci zaznali naraščajoče stopnje zlonamerne programske opreme za mobilne naprave in razširitev brskalnika za IoS in Android. Posebej zaskrbljujoče so bile aplikacije, obremenjene z zlonamerno programsko opremo, pri čemer se večkratni kršitelji ponašajo z več kot 10 milijoni prenosov; ti statistični podatki poudarjajo pomen zaščite pri brskanju za vsako napravo.

Nizka ločljivost

Visoke zahteve po pretočnem videu v skoraj realnem času vodijo do potiskanja slikovnih pik, ki naravno gravitira h kakovosti videa nižje gostote. Čeprav to morda ni takoj očitno pri strojni opremi nižjega cenovnega razreda, zasloni z visoko DPI povečajo nekoliko nižjo ločljivost. Končni uporabniki se pogosto pritožujejo nad kakovostjo pisave, ki je lahko videti neizostrena in nejasna. 

Varnostna vprašanja

Medtem ko se morda zdi, da potiskanje slikovnih pik predstavlja veliko bolj neprebojen pristop k varnosti, lahko njegove resne posledice za uporabniško izkušnjo dejansko vidijo, da "varen brskalnik" škoduje splošni varnosti podjetja. Da bi se izognili težavam s končnim uporabnikom, nekatera podjetja potrebujejo rešitev samo v oddelkih, ki se osredotočajo na zelo občutljive podatke; ali tehniko uporabite samo na spletnih straneh, za katere domnevate, da so posebej tvegane. Ne glede na pristop se temelj zračne reže pri potiskanju slikovnih pik takoj preluknja, če se uporablja samo občasno. 

Splošni izzivi izolacije oddaljenega brskalnika

Poleg posebnih posebnosti potiskanja slikovnih pik in rekonstrukcije DOM obstaja nekaj temeljnih izzivov, ki jih RBI še ni premagal. 

Visoka latenca

Med postopkom brskanja se promet brskanja vsakega uporabnika najprej preusmeri na izbrani sistem rešitve, ki temelji na oblaku. Ne glede na to, ali to gostuje v javnem oblaku ali geografsko omejenem omrežju podjetja, ima fizična razdalja večjo vlogo pri časih nalaganja. Ta dodatna razdalja, zahtevana od teh podatkovnih paketov, se morda zdi poljubna, vendar je težava še večja, če jo postavimo v širši kontekst podjetja, ki se zaveda varnosti. Varni spletni prehodi in drugi strežniki proxy redko gostujejo v istih podatkovnih centrih kot rešitev RBI, kar vodi do neučinkovitega in frustrirajočega brskanja.

Visoka poraba pasovne širine

Nenehno pretakanje videoposnetkov v izolaciji brskalnika je zelo lačno pasovne širine. Za tiste, ki se trudijo ustrezno povečati svoje omrežne vire, lahko varnostna rešitev hitro preobremeni omrežje. Od zakasnitve do občasnih izpadov je nezanesljiva povezava ena od gonilnih sil za nepopolno zaščito RBI. 

Visoki stroški

Z računalniškega vidika sta obe obliki RBI zelo intenzivni. Neprekinjeno kodiranje video tokov in poglobljena rekonstrukcija kode strani, ki se pojavi pri vsakem novem zavihku, zahteva nekaj vrhunske strojne opreme. Stroški se prenesejo na stranke, kar ima za posledico neenotno zaščito ob visokih finančnih stroških.

Zaščitite se pred tveganji pri brskanju z LayerX

Zavedajoč se razširjenih težav, s katerimi se sooča RBI, LayerX nagovarja vsakega z zavezanostjo k resnično uporabniku prijazni zaščiti brskalnika. 

Naša lahka razširitev brskalnika za podjetja je jedro naše platforme bandwidth-light. S postavitvijo senzorjev na sam rob omrežja je mogoče vsak posamezen dogodek brskanja in funkcijo spletne strani oceniti v realnem času. V središču zaščite končnega uporabnika je naš motor Plexus. Analiza, ki jo ponuja to orodje za strojno učenje, temelji na pristopu z dvema motorjema. Dogodki, ki jih zbere razširitev, se nenehno vnašajo v ta program, pri čemer se vsak dogodek analizira glede na politike uveljavljanja v vašem podjetju. 

Poleg lastne tolerance vaše organizacije do tveganja se analiza groženj poveča s podatki iz zbirke podatkov LayerX Threat Intel. S kontekstom zelo razdrobljenih podatkov o uporabnikih – in nenehno prilagajajočih se širših obveščevalnih podatkov o grožnjah – ta pripravljen sistem omogoča natančno odkrivanje zlonamerne kode. To je preusmerjeno nazaj v sistem proaktivnega uveljavljanja razširitve. Komponente Enforcer uporabljajo vstavljanje in spreminjanje kode za nevtralizacijo kode z visokim tveganjem – preden je brskalnik izpostavljen. 

To zaščitno dejanje se zgodi brez zakasnitve. Razmišljajte o tem kot o naravnem razvoju manipulacije DOM – namesto aktivnega prepisovanja celih strani kode, naš zelo osredotočen pristop omogoča zaščito brez zakasnitve. Če ni nobenih groženj, lahko uporabnik preprosto nadaljuje z brskanjem kot običajno.

LayerX daleč presega preprosto analizo spletnih strani; s poudarkom na kohezivni zaščiti v vseh napravah uporabniški podatki, ki gredo v njeno zaščito, prav tako omogočajo varnostnim ekipam, da po potrebi poostrijo varnostne politike. Vsi dogodki na ravni senzorjev so združeni in obdelani v konzoli za upravljanje, kar ponuja vpogled na naslednjo raven upravljanih in neupravljanih naprav ter tveganj, s katerimi se soočajo. Ta pogled na varnost podjetja na terenu omogoča varnostnim skupinam, da prilagodijo svoje dejavnosti in politike dostopa z veliko večjo natančnostjo, kar vodi do povečane varnostne drže, ki daleč presega izolacijo brskalnika.