The Dark Side of Enterprise Browsers: Fact-Checking 6 of their claims

2022 var det en enorm hype kring webbläsarsäkerhet och företagswebbläsare. Men även om de hävdar att de tillhandahåller "företagssäkerhet", är företagswebbläsare faktiskt långt ifrån perfekta. Faktum är att de har några kritiska nackdelar.

Vad är de och vad är alternativet? I den här bloggen kommer jag att skilja mellan webbläsarsäkerhet och företagswebbläsare, ta upp fördelarna och nackdelarna med var och en och belysa webbläsarens skulder som uppstår vid migrering till en företagswebbläsare. Läs vidare för att se vilka påståenden som görs av företagswebbläsarföretag och om de faktiskt kan leva upp till dem.

Webbläsaren behöver mer säkerhet. Är en företagswebbläsare rätt lösning?

Under de senaste åren har det skett några tektoniska förändringar inom IT. Dessa förändringar gjorde traditionella säkerhetslösningar, som brandväggar, SWG:er, VDI:er och VPN:er, irrelevanta. Nätverkssäkerhetsverktyg kan inte inspektera komplexa SaaS-applikationer, som blir vanliga i hela arbetsstyrkan. Anställda arbetar på distans och hatar att surfa via ett VPN. Data är utspridda mellan otaliga applikationer och är svåra att skydda. Virtuella stationära datorer är dyra och ger dålig prestanda; de är fel verktyg för jobbet att komma åt webbapplikationer.

Med andra ord, de mest använda verktygen i företagets cybersäkerhetsstack håller på att bli oanvändbara. Detta är en perfekt storm som fick organisationer att längta efter en modern webbläsarsäkerhetslösning som ger synlighet, säkerhet och kontroll i varje webbsession. 

Verklig webbläsarsäkerhet kräver att man tar hänsyn till webbläsarens synvinkel, för att säkerställa att den tar hänsyn till end-to-end-kryptering och renderingsprocessen. Med hänsyn till webbläsararkitekturen kan en sådan lösning levereras på ett av två sätt:

• En webbläsartillägg ovanpå den befintliga webbläsaren (resultatet liknar en EDR ovanpå operativsystemet)
• Använda Firefox eller Chromium-renderingsmotorer för att bygga en ny webbläsare (resultatet liknar att anpassa ett Linux/Android OS för att skapa en ny smak)

Vad är en företagswebbläsare?

Företagswebbläsare (AKA "säkra företagswebbläsare") är Chromium-baserade (eller Firefox-baserade) webbläsare som är byggda för företagsmiljön. De tillhandahåller Chrome (eller Firefox) renderingsmöjligheter. Men istället för de inbyggda Chrome/Edge-funktionerna introducerar de sina egna säkerhets-, hanterings- och identitetsfunktioner.

Företagswebbläsare ber kunder att säga adjö till sina älskade Chrome, Edge, Firefox och Safari till förmån för något nytt och påstås säkrare. I gengäld får de en månatlig prenumerationsavgift, en inte så enkel implementeringsprocess och ett stelbent leverantörsberoende.

Påståendena från företagswebbläsarleverantörer, avsedda att övertyga organisationer att välja dem, är inte giltiga ur min synvinkel. I nästa avsnitt kommer jag att hänvisa till vart och ett av dessa påståenden och ge mina två cybercent om dem.

"En halv sanning är ofta en stor lögn" - Benjamin Franklin

Påstående #1: Chrome är den mest sårbara webbläsaren

FALSK

Detta är ett klassiskt exempel på överlevnadsbias. Google är inte den mest sårbara webbläsaren, utan snarare den mest patchade webbläsaren! Googles projekt noll är det bästa exemplet på sårbarhetsskanning av mjukvara i IT-historien.

De flesta Chromium-sårbarheter upptäcks av Googles ingenjörer och endast ett fåtal kan någonsin utnyttjas i naturen. Dessutom ökar antalet distinkta sårbarheter som krävs för att framgångsrikt utnyttja den här webbläsaren brant. Faktum är att ordet på den digitala gatan är att om du kan utföra fjärrkodexekvering med en sandlådeflykt kan du sälja den för några miljoner dollar.

Du borde faktiskt vara mer orolig för produkter som inte avslöjar sina sårbarheter. Om de inte avslöjar dem, fixar de dem inte. Google är tvärtom öppet och transparent om Chromiums sårbarheter, upprätthåller det som ett projekt med öppen källkod och visar den snabbaste patchningsrutinen i IT-branschen. 

Den underliggande sanningen för CISO:er är att Chromium-webbläsare ger den bästa säkerhetsarkitekturen i sin miljö. Det är faktiskt IT-verktygen utan korrekt avslöjande av sårbarhet de bör oroa sig för.

Om du inte håller med, försök att hitta en CISO som upplevde en Chrome noll-day exploatering eller bara försök att utnyttja Chrome själv.

Påstående #2: Företagswebbläsare korrigerar sårbarheter snabbare än Chrome

MEST FALKT

Google har en förutsägbar livscykel för programvaruversioner. Varje programuppdatering distribueras enligt följande steg: kanariefågel, beta, instabil och stabil. Ibland tar det några veckor för en ny kod att gå från att skrivas till att distribueras över hela världen.

Vissa företagswebbläsare hävdar att de driver programuppdateringar till produktion snabbare än Google, vilket innebär att de påstås korrigera sårbarheter snabbare än Chrome.

Effektiva sårbarheter korrigeras dock faktiskt av Google på ett out-of-band sätt, inom några dagar och utanför Chromes vanliga utgivningslivscykel. Detta innebär att när man hanterar en shit-hit-the-fan typ av sårbarhet (allvarlig, utnyttjad i det vilda, etc.), gör Google en enastående ansträngning för att fixa det på nolltid.

Den här nya kodbiten i Chromium är inte märkt som relaterad till säkerhetsproblem och den går direkt till produktion. Med andra ord, företagswebbläsare har inget sätt att veta att det är betydande och vilka kompatibilitetsproblem som kan uppstå.

Mitt råd skulle vara att be din företagswebbläsare att släppa sin versionshistorik. Det är god praxis för programvaruleverantörer att vara transparenta om sin faktiska utgivningscykel.

Påstående #3: Webbläsarkod för företag är säkrare än kommersiell webbläsarkod och är immun mot attacker på webbläsaren

KANSKE

Varje mjukvara har sina sårbarheter och säkerhetsproblem (även en företagswebbläsare). Frågan är – finns det säkerhetsluckor i vanliga webbläsare? Det bästa sättet att besvara den frågan är att kontrollera de sätt som möjliggör intrång i kommersiella webbläsare. 

Svaret tillhandahålls av både skadlig programvara och antivirusprogram. Båda vill ha tillgång till webbläsaren för att övervaka aktivitet – skadlig programvara för att stjäla lösenord och antivirusprogram för att blockera skadlig programvara. Båda gör vanligtvis detta genom att distribuera ett lokalt webbläsartillägg. Detta innebär att det är svårt att övervaka webbläsaraktivitet, eftersom webbläsaren är isolerad i en sandlåda med begränsad tillgång till resten av systemet, och använder kryptering för att skydda data. Det är faktiskt tillräckligt säkert på kodnivå. 

Det finns luckor, men inte på kodnivån. Webbläsardatafiler (cookies, lösenordsfiler och nedladdningar) kan nås av skadlig programvara. Men detta kräver inte att du ändrar hela webbläsaren. Dessutom, om skadlig programvara är det du är rädd för, är din bästa insats att använda en slutpunktsskyddslösning. Använd rätt verktyg för jobbet.

För att lägga till en sidoanteckning – jag skulle personligen frukta att företagswebbläsaren kommer att introducera fler sårbarheter än de den skulle kunna korrigera. Anledningen till detta är att Chromium stöds av både Google och ett enormt ekosystem som är involverat i dess open source-projekt. Chromium-koden har en fantastisk standard för säkerhetsbaslinje. Jag skulle frukta mycket mer från ny kod som stör den befintliga koden och det befintliga arbetssättet än för Chromium-koden.

Påstående #4: Kommersiella webbläsare ger inte tillräckliga styrnings- och förvaltningsmöjligheter

DELVIS SANT

För Google Workspace-kunder är Chrome Enterprise gratis och erbjuder direkta hanteringsmöjligheter. För Office365-användare finns det hanterade Edge-inställningar som kan ställas in av enhetshanteringsverktyg. De är inte lika detaljerade som företagswebbläsare, men dessa luckor kan lösas med ett företagswebbläsartillägg.

Ett företagswebbläsartillägg (som t.ex LayerX) lägger till hanteringsfunktioner under sessioner och styr olika webbläsar-API:er. Detta gör det möjligt att anpassa befintliga webbläsare och förvandla dem till säkra webbläsare av företagsklass. Medan webbläsaren ger tillgängligheten och tillförlitligheten för webbtrafik, lägger tillägget till säkerhet och förvaltningsmöjligheter utöver det.

I själva verket är detta exakt vad webbläsarleverantörer avsiktligt tillåter. Hanterade webbläsare (Chrome och Edge), såväl som Firefox och Safari, stöder alla rika och stabila anpassningsmöjligheter med webbläsartillägg för företag.

Påstående #5: Tillägg är inte lika kraftfulla som webbläsaren

IRRELEVANT OCH FÖRSTADEN FALSK

Detta påstående motsvarar att säga att en matsked är mer kraftfull än en tesked. Det beror verkligen på vad du vill röra om.

När det gäller webbläsarsäkerhet är de flesta användningsfall relaterade till det renderade innehållet (i enkla ord – de webbplatser vi surfar till). Tillägg har samma tillgänglighet till det renderade innehållet (dvs. postdekryptering, källkod, DOM, webbläsarfelsökning och massor av roliga saker). Detta innebär att ett enklare verktyg än webbläsaren kan få jobbet gjort med mindre ansträngning.

Funktioner som ett tillägg inte kan hantera behandlas redan ganska bra av webbläsarleverantörerna. Google, Microsoft, Mozilla och Apple gör ett otroligt jobb med att tillhandahålla en SOTA-produkt med massor av säkerhetsfunktioner inuti. Med andra ord, du jämför inte företagswebbläsare vs. en tilläggslösning, utan faktiskt företagswebbläsare vs Chrome+tilläggskombinationen.

Dessutom är kraften i företagswebbläsare ett tveeggat svärd. Ju fler förändringar de gör i Chromium, desto större är chansen att de kommer att tappa det, vilket gör dem omöjliga att uppdatera inom rimliga tidsramar. Innebörden av detta är att företagswebbläsare sannolikt kommer att göra så små ändringar som möjligt i Chromium-koden, samtidigt som de baserar det mesta av sin säkerhet på ett medföljande tillägg eller på en lokal proxy.

Påstående #6: Företagswebbläsare ger samma upplevelse som Chrome

HALVSANNINGEN

Det är Chromium som ger en LIKNANDE upplevelse som Chrome. Upplevelsen är inte identisk och ingen lovar att Google kommer att fortsätta dela det mesta av sin kod med sina konkurrenter. Med tiden ser vi att Google lägger till specifika funktioner i Chrome som inte är en del av Chromium.

Vad företagswebbläsare inte kommer att berätta för dig

Jag förväntar mig att företagswebbläsare, förutom sina unika fördelar, också kommer att ha några ovälkomna nackdelar som kommer att få många IT-team att gråta under de kommande åren.

Dessa nackdelar inkluderar:

• Otillförlitlig och inkonsekvent patchningsrutin: Företagswebbläsare publicerar inte sina patchningsrutiner. Men om man extrapolerar från Brave och Edge, kan det ta dem minst 12 timmar (och upp till flera dagar) att korrigera Chromium zero-day sårbarheter som korrigerades av Google på ett out-of-band sätt.
• Potentiell applikationsinkompatibilitet: Företag kommer att fortsätta bygga sina applikationer för Chrome och Edge. Men även om en företagswebbläsare idag är helt kompatibel, garanterar ingen att morgondagen blir densamma. All tillagd kod ovanpå Chromium kan ha sina egna problem och buggar, vilket innebär att anställda kanske inte har tillgång till de applikationer de behöver för att få sitt arbete gjort.
• Delvis synlighet: Dina anställda kommer fortfarande att använda kommersiella webbläsare så mycket de kan (antingen för jobbet eller för nöjes skull). Detta innebär att du kommer att lämnas med enorma luckor, vilket kan innebära förlust av data och hot.
• Det värsta leverantörslåset i cybersäkerhetens historia: Föreställ dig att du använder en företagswebbläsare. Du är nöjd med det. En bättre företagswebbläsare kommer dock till en billigare kostnad. Hur kommer du att migrera? Alla dina inställningar, identiteter, lösenord och cookies lagras i din befintliga webbläsare. Webbläsarföretagen annonserar att alla deras cookies är krypterade och att allt minne är helt isolerat. Om den gör jobbet den säger att den gör, kommer du att hamna i ett leverantörslås.
• Förlorar gratis kapacitet: Dina befintliga webbläsare kommer med fantastiska funktioner. Chrome har den bästa blockeringslistan i branschen. Edge har den bästa lokala isoleringstjänsten (AppGuard). Firefox ger otroliga sekretessfunktioner. Listan fortsätter och fortsätter. Tänk på att genom att använda dessa webbläsare får du stort värde utan kostnad.
• Oändlig friktion: Någon gång kommer något inte att fungera med företagswebbläsaren. Det kan bero på ett problem på företagswebbläsarens leverantörssida, att Google begränsar möjligheten för andra webbläsare att använda Chromium eller ett rent anställd misstag. En sak är säker – den anställde är mest sannolikt att säga "den här webbläsaren fungerar inte. Det suger." Att använda en företagswebbläsare kommer sannolikt att innebära en hel del friktion med din personal eftersom väldigt få säkerhetsprodukter ber anställda att ändra sitt sätt att arbeta. Att förändra människors sätt att arbeta är mer en kulturell börda än en säkerhetstillgång.
• Kampen om digital identitet: Den främsta funktionen hos Chrome och Edge (grädden på moset) är deras integration med molnkontorets identitet. Detta innebär att för organisationer som använder Google Workspace ger Chrome en webbläsarprofil kopplad till Googles identitet. För Office365-användare ger Edge en webbläsarprofil kopplad till Microsoft-identiteten. Detta innebär att nästan alla organisationer där ute redan har en betald hanterad webbläsare (antingen Chrome eller Edge) som fungerar fantastiskt med dess relevanta SaaS-programsvit. Att flytta till en annan webbläsare kommer att försämra denna upplevelse och lägga till ytterligare en (onödig) identitetstjänst till IT-stacken. Istället för att lägga till säkerhet kommer det bara att skapa förvirring bland anställda och öka IT-kostnaderna.

Det säkra och friktionsfria alternativet till företagswebbläsare

Det finns en sak som företagswebbläsarföretagen är spot-on om; webbläsaren är den viktigaste arbetsytan och den mest värdefulla synlighetskällan i organisationen. På LayerX tycker vi att lösningen för att säkra webbläsarna är enkel – vi måste tillföra så mycket säkerhet som möjligt till befintliga webbläsare.

På samma sätt som operativsystem är säkras med ändpunktsskydd lösningar (istället för en härdad Linux-smak) och e-posttjänster med e-postsäkerhetsverktyg (istället för en anpassad "säker e-post"), är en webbläsarsäkerhetsplattform lösningen för webbläsarsäkerhetsproblem.

Använda en företags webbläsartillägg ger webbläsaren alla möjliga säkerhetsfunktioner utan att kompromissa med användarupplevelsen.

• Dela med sig: