Ang pag-encrypt ng trapiko sa web (AKA SSL, TLS, HTTPS) ay matagal nang naging pamantayan para sa karamihan ng mga serbisyo sa web, lalo na para sa mga corporate na SaaS application gaya ng Salesforce, Microsoft Outlook 365, at Skype. Upang makatulong na protektahan ang trapikong ito mula sa eavesdropping at potensyal na sensitibong pagkakalantad ng data, ang end-to-end na pag-encrypt ay isang kritikal at epektibong hakbang sa seguridad para sa pagbabawas ng panganib.
Ang mga organisasyon, gayunpaman, ay nahaharap sa mas malawak na hanay ng mga banta, kabilang ang ransomware at iba pang mga anyo ng web-borne malware, mga paglabag sa data at higit pa. Upang matugunan ito, ang mga tool sa seguridad tulad ng pag-filter ng URL, anti virus, sandbox, Data Loss Prevention (DLP), Cloud Access Security Brokers (CASB), upang pangalanan ang ilan, ay ini-deploy at inilalagay sa pamamahala sa pag-inspeksyon sa lahat ng trapiko sa web.
Bagama't nararamdaman ng karamihan sa mga propesyonal sa seguridad na ang tamang halo ng mga tool sa seguridad ay magpapanatiling ligtas sa kanilang mga user at organisasyon, isang malawak na laganap na kasanayan na tinatawag na "certificate pinning" ang pumipigil sa mga tool na ito na maihatid ang proteksyon na ipinagkatiwala sa kanila.
Ano ang certificate pinning at paano nito inilalagay sa panganib ang iyong organisasyon?
Ang mga tool sa seguridad ng network ay nagpapatupad ng kanilang mga proteksyon sa pamamagitan ng pag-inspeksyon sa trapiko sa web habang dumadaloy ito sa kanila. Para sa naka-encrypt na trapiko, kailangan nilang i-decrypt ito upang makuha ang visibility na kailangan nila. Karamihan sa mga tool sa seguridad ay nilulutas ito sa pamamagitan ng pagsasagawa ng tinatawag na SSL inspeksyon. Nang hindi masyadong teknikal, sasabihin lang natin na karaniwang ginagawa ito gamit ang mga self-signed certificate at isang technique na kilala bilang man-in-middle. Para sa karamihan, ito ay gumagana nang maayos, hanggang sa makatagpo sila ng isang serbisyo gamit ang pag-pin ng certificate. Muli, nang hindi masyadong malalim ang pagsisid, ang pagpi-pin ng certificate ay isang mekanismo na ginagamit ng mga serbisyo sa web upang maiwasan ang man-in-the-middle na inspeksyon, na nagiging sanhi ng anumang mga pagtatangka na wakasan ang koneksyon at pigilan ang mga user na gawin ang kanilang mga trabaho, na nagdudulot ng pagkabigo at nakakaapekto sa negosyo.
Ang tanging paraan upang paganahin ang mga naturang serbisyo ay ang pag-bypass ng SSL Inspection, na ginagawang walang silbi ang iyong mga produkto sa seguridad at iniiwan ang iyong mga user na nalantad sa mga banta.
Gaano kadalas ang paggamit ng pagpi-pin ng sertipiko? Ginagamit ito ng lahat ng serbisyong binanggit sa itaas: Salesforce, Microsoft 365 Outlook, at Skype, pati na rin ng maraming iba pang karaniwang ginagamit na mga application ng negosyo: Dropbox, Google Drive, Webex Teams, Amazon Drive, DocuSign, at marami pa.
Alam na alam ng mga security vendor ang pagkukulang na ito at nakagawa sila ng mga solusyon na hindi umaasa sa SSL inspeksyon. Ang mga solusyon ay batay sa API, at nang hindi naglalagay ng masyadong maraming detalye, sasabihin lang namin na mayroon silang dalawang napaka-kritikal na disbentaha. Ang una ay hindi sila nagbibigay ng real-time na proteksyon. Umaasa sila sa isang alertong ipapadala mula sa provider ng SaaS na kailangang tingnan, pag-aralan at pagkatapos lamang ay kumilos. Maaaring tumagal ito kahit saan mula sa minuto hanggang oras at kung minsan ay mga araw, kung saan kadalasang huli na upang ihinto ang isang paglabag.
Pangalawa, ang solusyon na ito ay maaari lamang ilapat sa mga sinang-ayunan na SaaS application na alam ng kumpanya at kung saan na-deploy ang solusyon. Sa higit sa 85% ng mga application ng SaaS na hindi sinanction, nag-iiwan ito ng malaking bahagi ng surface ng pag-atake ng SaaS na ganap na natuklasan kahit na para sa mga alerto pagkatapos ng katotohanan.
Ang mga solusyon na nakabatay sa API ay malinaw na malayo sa mainam sa paghahatid ng seguridad na kailangan ng iyong organisasyon.
Paano natin malalampasan ang certificate pinning?
Ang problema ay nakasalalay sa man-in-the middle approach na ginagamit ng mga tradisyunal na tool. Totoo ito para sa mga solusyon na inihatid bilang mga edge-deployed appliances, pisikal o virtual, pati na rin ang mga serbisyong inihahatid sa cloud (hal. cloud SWG, CASB, SSE/SASE).
Sa pamamagitan ng paglipat ng lokasyon ng deployment sa mismong browser, nalalampasan namin ang limitasyong ito. Dahil ang browser ay may visibility sa papalabas na trapiko bago ito ma-encrypt, at papasok na trapiko pagkatapos nitong ma-decrypt, ang pag-inspeksyon sa trapiko sa puntong ito ng intersection ay nagbibigay-daan sa insight na kailangan upang epektibong matukoy at ma-block ang mga pagbabanta. Nagbibigay-daan ito sa kumpletong saklaw ng seguridad na may real time na proteksyon para sa lahat ng trapiko sa web, kabilang ang para sa mga serbisyong gumagamit ng pag-pin ng certificate.
Ang paglalagay ng web security sa loob ng browser ay may maraming iba pang mga benepisyo, kabilang ang pinahusay na pagganap at karanasan ng user, dahil ang trapiko ay maaaring direktang ipadala sa destinasyon nito, pati na rin ang visibility sa mga bahagi ng browser tulad ng mga mapanganib na extension, at visibility sa mga hindi sinasadyang pagkilos ng user sa loob ng browser tulad ng pagkopya-paste ng sensitibong data pati na rin ang pagpasok nito sa mga tool ng Gen AI. Nagbibigay din ito ng mga benepisyo ng TCO sa pamamagitan ng pagbabawas ng bilang ng mga solusyon na kailangan at pag-aalis ng pangangailangan para sa mga karagdagang solusyon tulad ng API-base na seguridad.
Ang LayerX Enterprise Browser Extension ay native na sumasama sa anumang browser, na ginagawa itong pinaka-secure at napapamahalaang workspace. Ginagamit ng mga negosyo ang LayerX para i-secure ang kanilang mga device, pagkakakilanlan, data, at SaaS app mula sa mga banta na dala ng web at mga panganib sa pagba-browse, gaya ng pagtagas ng data sa web, SaaS app at GenAI Tools, mga nakakahamak na extension ng browser, phishing, pagkuha ng account, at higit pa.
Humiling ng demo ng LayerX dito
