Noong 2022, nagkaroon ng napakalaking hype sa seguridad ng browser at mga enterprise browser. Ngunit habang sinasabi nilang nagbibigay sila ng "seguridad sa antas ng enterprise", ang mga browser ng enterprise ay talagang malayo sa perpekto. Sa katunayan, mayroon silang ilang mga kritikal na downside.
Ano ang mga ito at ano ang kahalili? Sa blog na ito, tutukuyin ko ang pagkakaiba sa pagitan ng seguridad ng browser at mga browser ng enterprise, tutugunan ang mga kalamangan at kahinaan ng bawat isa, at magbibigay-liwanag sa utang ng browser na natamo kapag lumipat sa isang browser ng enterprise. Magbasa para makita kung aling mga paghahabol ang ginawa ng mga kumpanya ng browser ng enterprise at kung maaari ba talaga nilang tuparin ang mga ito.
Ang browser ay nangangailangan ng higit na seguridad. Ang isang enterprise browser ba ang tamang solusyon?
Sa nakalipas na ilang taon, nagkaroon ng ilang tectonic shift sa IT. Ang mga pagbabagong ito ay gumawa ng mga tradisyonal na solusyon sa seguridad, tulad ng mga firewall, SWG, VDI, at VPN, na hindi nauugnay. Hindi masusuri ng mga tool sa seguridad ng network ang mga kumplikadong SaaS application, na nagiging laganap sa buong workforce. Ang mga empleyado ay nagtatrabaho nang malayuan at ayaw sa pag-browse sa pamamagitan ng VPN. Ang data ay nakakalat sa pagitan ng hindi mabilang na mga application at mahirap protektahan. Mga virtual na desktop ay mahal at nagbibigay ng mahinang pagganap; ang mga ito ay ang maling tool para sa trabaho ng pag-access ng mga web application.
Sa madaling salita, ang pinakakaraniwang ginagamit na tool ng enterprise cybersecurity stack ay nagiging walang silbi. Ito ay isang perpektong bagyo na nagdulot sa mga organisasyon na manabik para sa isang modernong solusyon sa seguridad ng browser na nagbibigay ng visibility, seguridad, at kontrol sa bawat web session.
Ang tunay na seguridad ng browser ay nangangailangan ng pagtugon sa punto ng view ng browser, upang matiyak na isinasaalang-alang nito ang end-to-end na pag-encrypt at ang proseso ng pag-render. Isinasaalang-alang ang arkitektura ng browser, ang ganitong solusyon ay maaaring maihatid sa isa sa dalawang paraan:
- Isang extension ng browser sa itaas ng kasalukuyang browser (ang resulta ay katulad ng isang EDR sa itaas ng OS)
- Paggamit ng Firefox o Chromium rendering engine para bumuo ng bagong browser (ang resulta ay katulad ng pag-customize ng Linux/Android OS para gumawa ng bagong flavor)
Ano ang isang enterprise browser?
Mga enterprise browser (AKA "secure na mga enterprise browser") ay Chromium-based (o Firefox-based) na mga browser na binuo para sa enterprise environment. Nagbibigay sila ng mga kakayahan sa pag-render ng Chrome (o Firefox). Ngunit sa halip na ang mga native na feature ng Chrome/Edge, ipinakilala nila ang sarili nilang mga feature sa seguridad, pamamahala at pagkakakilanlan.
Hinihiling ng mga enterprise browser ang mga customer na magpaalam sa kanilang minamahal na Chrome, Edge, Firefox, at Safari pabor sa isang bagay na bago at di-umano'y mas secure. Bilang kapalit, nagkakaroon sila ng buwanang bayad sa subscription, hindi gaanong simpleng proseso ng pag-deploy, at mahigpit na dependency sa vendor.
Ang mga paghahabol na ginawa ng mga vendor ng browser ng enterprise, na nilayon upang kumbinsihin ang mga organisasyon na piliin ang mga ito, ay hindi wasto sa aking pananaw. Sa susunod na seksyon ay sasangguni ako sa bawat isa sa mga claim na ito at ibibigay ang aking dalawang cyber cents tungkol sa mga ito.
"Ang kalahati ng katotohanan ay madalas na isang mahusay na kasinungalingan" - Benjamin Franklin
Claim #1: Ang Chrome ang pinaka-mahina na browser
FALSE
Ito ay isang klasikong halimbawa ng survival bias. Ang Google ay hindi ang pinaka-mahina na browser, ngunit sa halip ang pinaka-patched na browser! Ang project zero ng Google ay ang pinakamahusay na halimbawa ng pag-scan sa kahinaan ng software sa kasaysayan ng IT.
Karamihan sa mga kahinaan ng Chromium ay natuklasan ng mga inhinyero ng Google at iilan lamang ang maaaring pinagsamantalahan sa ligaw. Bukod dito, ang bilang ng mga natatanging kahinaan na kinakailangan upang matagumpay na mapagsamantalahan ang browser na ito ay tumataas nang husto. Sa katunayan, ang salita sa digital na kalye ay kung magagawa mo ang remote code execution na may sandbox escape, maaari mo itong ibenta ng ilang milyong dolyar.
Mas dapat kang mag-alala tungkol sa mga produkto na hindi nagbubunyag ng kanilang mga kahinaan. Kung hindi nila isiwalat ang mga ito, hindi nila inaayos ang mga ito. Ang Google, sa kabaligtaran, ay bukas at transparent tungkol sa mga kahinaan ng Chromium, pinapanatili ito bilang isang open source na proyekto at ipinapakita ang pinakamabilis na gawain sa pag-patching sa industriya ng IT.
Ang pinagbabatayan ng katotohanan para sa mga CISO ay ang Chromium browser ay nagbibigay ng pinakamahusay na arkitektura ng seguridad sa kanilang kapaligiran. Ito talaga ang mga tool sa IT na walang wastong pagsisiwalat ng kahinaan na dapat nilang alalahanin.
Kung hindi ka sumasang-ayon, subukan at humanap ng CISO na nakaranas ng zero-day na pagsasamantala sa Chrome o subukang pagsamantalahan ang Chrome mismo.
Claim #2: Ang mga browser ng enterprise ay naglalagay ng mga kahinaan nang mas mabilis kaysa sa Chrome
KARAMIHAN MALI
Ang Google ay may predictable na software release lifecycle. Ang bawat pag-update ng software ay na-deploy ayon sa mga sumusunod na hakbang: canary, beta, unstable, at stable. Kung minsan, aabutin ng ilang linggo bago ang isang bagong piraso ng code mula sa pagkakasulat ay magiging deployed sa buong mundo.
Sinasabi ng ilang browser ng enterprise na mas mabilis nilang itulak ang mga update ng software sa produksyon kaysa sa Google, ibig sabihin, mas mabilis nilang tina-patch ang mga kahinaan kaysa sa Chrome.
Gayunpaman, ang mga maimpluwensyang kahinaan ay aktwal na na-patch ng Google sa isang out-of-band na paraan, sa loob ng mga araw at sa labas ng regular na release lifecycle ng Chrome. Nangangahulugan ito na kapag nakikitungo sa isang shit-hit-the-fan na uri ng kahinaan (malubha, pinagsamantalahan sa ligaw, atbp.), ang Google ay gumagawa ng mahusay na pagsisikap na ayusin ito sa lalong madaling panahon.
Ang bagong piraso ng code na ito sa Chromium ay hindi nilagyan ng label na nauugnay sa mga isyu sa seguridad at dumiretso ito sa produksyon. Sa madaling salita, ang mga browser ng enterprise ay walang paraan upang malaman na ito ay makabuluhan at kung aling mga isyu sa compatibility ang maaaring lumitaw.
Ang payo ko ay hilingin sa iyong enterprise browser na ilabas ang history ng bersyon nito. Magandang kasanayan para sa mga vendor ng software na maging transparent tungkol sa kanilang aktwal na ikot ng paglabas.
Claim #3: Ang code ng browser ng enterprise ay mas secure kaysa sa code ng komersyal na browser at immune sa mga pag-atake sa browser
BAKA
Ang anumang piraso ng software ay may mga kahinaan at isyu sa seguridad nito (kahit isang enterprise browser). Ang tanong ay – mayroon bang mga puwang sa seguridad sa karaniwang mga browser? Ang pinakamahusay na paraan upang sagutin ang tanong na iyon ay suriin ang mga paraan na nagbibigay-daan sa paglabag sa mga komersyal na browser.
Ang sagot ay ibinibigay ng parehong malware at antivirus software. Parehong gustong magkaroon ng access sa browser para masubaybayan ang aktibidad – malware para magnakaw ng mga password at antivirus software para harangan ang malware. Pareho itong karaniwang ginagawa sa pamamagitan ng pag-deploy ng lokal na extension ng browser. Nangangahulugan ito na mahirap subaybayan ang aktibidad ng browser, dahil nakahiwalay ang browser sa isang sandbox na may limitadong access sa iba pang bahagi ng system, at gumagamit ng encryption upang protektahan ang data. Ito ay talagang sapat na ligtas sa antas ng code.
Ang mga gaps ay umiiral, ngunit hindi sa antas ng code. Ang mga file ng data ng browser (cookies, password file, at pag-download) ay maaaring ma-access ng malware. Ngunit hindi ito nangangailangan ng pagbabago sa buong browser. Bukod pa rito, kung malware ang kinatatakutan mo, ang pinakamahusay mong mapagpipilian ay gumamit ng solusyon sa proteksyon ng endpoint. Gamitin ang tamang tool para sa trabaho.
Upang magdagdag ng isang tala sa gilid - Ako ay personal na natatakot na ang enterprise browser ay magpakilala ng higit pang mga kahinaan kaysa sa mga maaari nitong i-patch. Ang dahilan nito ay ang Chromium ay sinusuportahan ng parehong Google at isang malaking ecosystem na kasangkot sa open source na proyekto nito. Nagtatampok ang Chromium code ng kamangha-manghang pamantayan para sa baseline ng seguridad. Mas matatakot ako sa bagong code na nakakasagabal sa kasalukuyang code at sa kasalukuyang paraan ng trabaho kaysa sa Chromium code.
Claim #4: Ang mga komersyal na browser ay hindi nagbibigay ng sapat na pamamahala at mga kakayahan sa pamamahala
PARIALLY TOTOO
Para sa mga customer ng Google Workspace, libre ang Chrome Enterprise at nagbibigay ng mga out-of-the-box na kakayahan sa pamamahala. Para sa mga user ng Office365, may mga pinamamahalaang setting ng Edge na maaaring itakda ng mga tool sa pamamahala ng device. Ang mga ito ay hindi kasing butil ng mga enterprise browser, ngunit ang mga gaps na ito ay maaaring lutasin gamit ang isang enterprise browser extension.
Isang extension ng browser ng enterprise (tulad ng LayerX) ay nagdaragdag ng mga kakayahan sa pamamahala sa session at kinokontrol ang iba't ibang mga API ng browser. Nagbibigay-daan ito sa pag-customize ng mga umiiral nang browser at gawing mga secure na browser na antas ng enterprise. Habang dinadala ng browser ang availability at pagiging maaasahan ng trapiko sa web, ang extension ay nagdaragdag ng mga kakayahan sa seguridad at pamamahala sa itaas nito.
Sa katunayan, ito mismo ang sadyang pinapayagan ng mga vendor ng browser. Ang mga pinamamahalaang browser (Chrome at Edge), pati na rin ang Firefox at Safari, lahat ay sumusuporta sa mayaman at matatag na mga kakayahan sa pag-customize na may mga extension ng browser ng enterprise.
Claim #5: Ang mga extension ay hindi kasing lakas ng browser
WALANG KWENTA AT KARAMIHAN MALI
Ang paghahabol na ito ay katumbas ng pagsasabi na ang isang kutsara ay mas malakas kaysa sa isang kutsarita. Depende talaga sa gusto mong haluin.
Tungkol sa seguridad ng browser, karamihan sa mga kaso ng paggamit ay nauugnay sa nai-render na nilalaman (sa simpleng salita – ang mga website na aming bina-browse). Ang mga extension ay may parehong accessibility sa nai-render na nilalaman (ibig sabihin, post decryption, source code, DOM, browser debugger, at toneladang nakakatuwang bagay). Nangangahulugan ito na ang isang mas simpleng tool kaysa sa browser ay maaaring magawa ang trabaho nang mas kaunting pagsisikap.
Ang mga kakayahan na hindi kayang hawakan ng isang extension ay tinatrato nang mabuti ng mga vendor ng browser. Ang Google, Microsoft, Mozilla, at Apple ay gumagawa ng isang hindi kapani-paniwalang trabaho sa pagbibigay ng isang produkto ng SOTA na may mga toneladang tampok ng seguridad sa loob. Sa madaling salita, hindi mo inihahambing ang mga browser ng enterprise kumpara sa isang solusyon sa extension, ngunit ang totoo ay ang mga browser ng enterprise kumpara sa combo ng Chrome+extension.
Bilang karagdagan, ang kapangyarihan ng mga browser ng enterprise ay isang tabak na may dalawang talim. Kung mas maraming pagbabago ang ginagawa nila sa Chromium, mas mataas ang posibilidad na matanggal sila rito, na ginagawang imposibleng mag-update sa mga makatwirang time frame. Ang kahulugan nito ay ang mga browser ng enterprise ay malamang na gumawa ng kaunting pagbabago hangga't maaari sa Chromium code, habang ibinabatay ang karamihan sa kanilang seguridad sa isang bundle na extension o sa isang lokal na proxy.
Claim #6: Nagbibigay ang mga browser ng enterprise ng parehong karanasan gaya ng Chrome
HALF THE TRUTH
Ang Chromium ang nagbibigay ng KATULAD na karanasan sa Chrome. Hindi magkapareho ang karanasan at walang nangangako na patuloy na ibabahagi ng Google ang karamihan sa code nito sa mga kakumpitensya nito. Sa paglipas ng panahon, nakikita namin ang Google na nagdaragdag ng mga partikular na kakayahan sa Chrome na hindi bahagi ng Chromium.
Anong mga enterprise browser ang hindi sasabihin sa iyo
Inaasahan ko na, bilang karagdagan sa kanilang mga natatanging benepisyo, ang mga browser ng enterprise ay magkakaroon din ng ilang hindi kanais-nais na mga downsides na magpapaluha sa maraming IT team sa mga darating na taon.
Kabilang sa mga downside na ito ang:
- Hindi mapagkakatiwalaan at hindi pare-parehong gawain sa pag-patch: Hindi ini-publish ng mga browser ng enterprise ang kanilang mga gawain sa pag-patching. Ngunit sa pag-extrapolate mula sa Brave at Edge, maaaring tumagal sila ng hindi bababa sa 12 oras (at hanggang ilang araw) upang i-patch ang mga zero-day na kahinaan ng Chromium na na-patch ng Google sa isang out-of-band na paraan.
- Potensyal na hindi pagkakatugma ng application: Patuloy na bubuo ng mga kumpanya ang kanilang mga application para sa Chrome at Edge. Ngunit kahit na ngayon ang isang enterprise browser ay ganap na tugma, walang sinuman ang nagsisiguro na bukas ay magiging pareho. Anumang idinagdag na code sa itaas ng Chromium ay maaaring magkaroon ng sarili nitong mga isyu at bug, ibig sabihin, maaaring walang access ang mga empleyado sa mga application na kailangan nila para magawa ang kanilang trabaho.
- Bahagyang visibility: Ang iyong mga empleyado ay gagamit pa rin ng mga komersyal na browser hangga't kaya nila (para sa trabaho o masaya). Nangangahulugan ito na maiiwan ka ng napakalaking gaps, na maaaring magsama ng pagkawala ng data at pagbabanta ng tampok.
- Ang pinakamasamang vendor lock sa kasaysayan ng cyber security: Isipin na gumagamit ka ng isang enterprise browser. Masaya ka dito. Gayunpaman, ang isang mas mahusay na browser ng enterprise ay dumating sa mas murang halaga. Paano ka lilipat? Ang lahat ng iyong mga kagustuhan, pagkakakilanlan, password, at cookies ay naka-imbak sa loob ng iyong kasalukuyang browser. Ang mga kumpanya ng browser ay nag-a-advertise na ang lahat ng kanilang cookies ay naka-encrypt at ang lahat ng memorya ay ganap na nakahiwalay. Kung gagawin nito ang trabahong sinasabi nito, makikita mo ang iyong sarili sa isang lock ng vendor.
- Pagkawala ng mga libreng kakayahan: Ang iyong mga umiiral na browser ay may ilang kamangha-manghang mga kakayahan. Ang Chrome ang may pinakamahusay na blocklist sa industriya. Ang Edge ay may pinakamahusay na lokal na serbisyo sa paghihiwalay (AppGuard). Ang Firefox ay nagdadala ng hindi kapani-paniwalang mga tampok sa privacy. Ang listahan ay nagpapatuloy. Tandaan na sa paggamit ng mga browser na iyon, nakakakuha ka ng malaking halaga nang walang bayad.
- Walang katapusang alitan: Sa ibang araw, may hindi gagana sa enterprise browser. Maaaring dahil ito sa isang problema sa panig ng vendor ng browser ng enterprise, paghihigpit ng Google sa kakayahan ng ibang mga browser na gumamit ng Chromium, o isang pagkakamali lamang ng empleyado. Isang bagay ang tiyak – malamang na sabihin ng empleyado na “hindi gumagana ang browser na ito. Nakakainis.” Ang paggamit ng isang enterprise browser ay malamang na magsasangkot ng maraming alitan sa iyong workforce dahil napakakaunting mga produkto ng seguridad ang humihiling sa mga empleyado na baguhin ang paraan ng kanilang pagtatrabaho. Ang pagbabago sa paraan ng pagtatrabaho ng mga tao ay higit pa sa isang kultural na pasanin kaysa sa isang asset ng seguridad.
- Ang pakikibaka ng digital identity: Ang numero unong feature ng Chrome at Edge (ang icing on the cake) ay ang kanilang integration sa cloud office identity. Ibig sabihin, para sa mga organisasyong gumagamit ng Google Workspace, nagbibigay ang Chrome ng profile sa browser na naka-attach sa pagkakakilanlan ng Google. Para sa mga user ng Office365, nagbibigay ang Edge ng profile ng browser na naka-attach sa pagkakakilanlan ng Microsoft. Nangangahulugan ito na halos lahat ng organisasyon sa labas ay nag-e-enjoy na sa isang binabayarang pinamamahalaang browser (maaaring Chrome o Edge) na gumagana nang kamangha-mangha kasama ang nauugnay nitong SaaS application suite. Ang paglipat sa ibang browser ay magpapababa sa karanasang ito at magdagdag ng isa pang (hindi kailangan) na serbisyo ng pagkakakilanlan sa IT stack. Sa halip na magdagdag ng seguridad, magdudulot lamang ito ng kalituhan sa mga empleyado at tataas ang overhead sa IT.
Ang ligtas at walang alitan na alternatibo sa mga browser ng enterprise
May isang bagay na pinagtutuunan ng pansin ng mga kumpanya ng browser ng enterprise; ang browser ay ang pinakamahalagang workspace at ang pinakamahalagang pagmumulan ng visibility sa organisasyon. Sa LayerX, iniisip namin na ang solusyon para sa pag-secure ng mga browser ay simple – kailangan naming magdala ng mas maraming seguridad hangga't maaari sa mga kasalukuyang browser.
Ang parehong paraan na ang mga operating system ay pagiging sinigurado ng endpoint na proteksyon mga solusyon (sa halip na isang matigas na lasa ng Linux) at mga serbisyo ng email sa pamamagitan ng mga tool sa seguridad ng email (sa halip na isang naka-customize na "secure na email"), isang platform ng seguridad ng browser ang solusyon para sa mga alalahanin sa seguridad ng browser.
Gamit ang isang extension ng browser ng enterprise dinadala ang lahat ng posibleng kakayahan sa seguridad sa browser, nang hindi nakompromiso ang karanasan ng user.
