2022 年,围绕浏览器安全和企业浏览器进行了巨大的炒作。但是,尽管他们声称提供“企业级安全性”,但企业浏览器实际上远非完美。事实上,它们有一些严重的缺点。

它们是什么以及替代方案是什么?在这篇博客中,我将区分浏览器安全性和企业浏览器,讨论每种浏览器的优缺点,并阐明迁移到企业浏览器时产生的浏览器债务。请继续阅读,了解企业浏览器公司提出了哪些主张,以及他们是否能够真正兑现这些主张。

浏览器需要更高的安全性。企业浏览器是正确的解决方案吗?

在过去的几年里,IT 领域发生了一些结构性变化。这些转变使得防火墙、SWG、VDI 和 VPN 等传统安全解决方案变得无关紧要。网络安全工具无法检查复杂的 SaaS 应用程序,而这些应用程序在员工队伍中越来越普遍。 员工远程工作 并且讨厌通过 VPN 浏览。数据分散在无数应用程序之间,难以保护。 虚拟桌面 价格昂贵且性能较差;它们对于访问 Web 应用程序来说是错误的工具。

换句话说,企业网络安全堆栈中最常用的工具正在变得毫无用处。这是一场完美的风暴,使组织渴望现代浏览器安全解决方案,为每个网络会话提供可见性、安全性和控制。 

真正的浏览器安全性需要解决浏览器的观点,以确保它考虑到端到端加密和渲染过程。考虑到浏览器体系结构,可以通过以下两种方式之一提供此类解决方案:

  • 现有浏览器之上的浏览器扩展(结果类似于操作系统之上的 EDR)
  • 使用 Firefox 或 Chromium 渲染引擎构建新浏览器(结果类似于定制 Linux/Android 操作系统来创建新风格)

什么是企业浏览器?

企业浏览器(又名“安全企业浏览器”) 是为企业环境构建的基于 Chromium(或基于 Firefox)的浏览器。它们提供 Chrome(或 Firefox)渲染功能。但它们引入了自己的安全、管理和身份功能,而不是原生的 Chrome/Edge 功能。

企业浏览器要求客户告别他们喜爱的 Chrome、Edge、Firefox 和 Safari,转而使用据称更安全的新产品。作为回报,他们需要支付每月的订阅费、不那么简单的部署过程以及严格的供应商依赖性。

企业浏览器供应商提出的旨在说服组织选择它们的声明在我看来是无效的。在下一节中,我将提及这些主张中的每一项,并提供有关它们的两个网络美分。

“半真半假往往是天大的谎言”——本杰明·富兰克林

 

主张#1:Chrome 是最容易受到攻击的浏览器

FALSE

这是生存偏差的典型例子。谷歌不是最容易受到攻击的浏览器,而是补丁最多的浏览器!谷歌的零号项目是IT历史上软件漏洞扫描的最好例子。

大多数 Chromium 漏洞都是由 Google 工程师发现的,只有少数漏洞被广泛利用。此外,成功利用该浏览器所需的明显漏洞数量正在急剧增加。事实上,数字街上的说法是,如果你可以通过沙箱逃逸来执行远程代码,你可以卖到几百万美元。

实际上,您应该更担心那些不披露其漏洞的产品。如果他们不披露这些问题,他们就不会修复它们。相反,谷歌对 Chromium 的漏洞公开透明,将其维持为开源项目,并展示了 IT 行业最快的修补程序。 

对于 CISO 来说,根本事实是 Chromium 浏览器在其环境中提供了最佳的安全架构。实际上,他们应该担心的是没有适当漏洞披露的 IT 工具。

如果您不同意,请尝试找到经历过 Chrome 零日漏洞利用的 CISO,或者尝试自己利用 Chrome。

主张#2:企业浏览器修复漏洞的速度比 Chrome 更快

大多是假的

Google 拥有可预测的软件发布生命周期。每个软件更新都按照以下步骤部署:canary、beta、unstable 和 stable。有时,一段新代码从编写到在全球范围内部署需要几周的时间。

一些企业浏览器声称比谷歌更快地将软件更新推送到生产环境,这意味着它们修复漏洞的速度比 Chrome 更快。

然而,有影响的漏洞实际上是由谷歌以带外方式修复的,在几天之内且在 Chrome 的常规发布生命周期之外。这意味着,在处理严重的漏洞(严重的、在野外被利用等)时,Google 会立即做出出色的努力来修复它。

Chromium 中的这段新代码没有被标记为与安全问题相关,而是直接投入生产。换句话说,企业浏览器无法知道它的重要性以及可能会出现哪些兼容性问题。

我的建议是要求您的企业浏览器发布其版本历史记录。软件供应商对其实际发布周期保持透明是一个很好的做法。

主张#3:企业浏览器代码比商业浏览器代码更安全,并且不会受到浏览器攻击

也许

任何软件都有其漏洞和安全问题(即使是企业浏览器)。问题是 – 标准浏览器是否存在安全漏洞?回答这个问题的最佳方法是检查破坏商业浏览器的方式。 

恶意软件和防病毒软件都提供了答案。两者都希望访问浏览器来监控活动——恶意软件窃取密码,防病毒软件阻止恶意软件。两者通常都是通过部署本地浏览器扩展来实现这一点。这意味着很难监控浏览器活动, 由于浏览器是隔离的 位于对系统其余部分的访问受到限制的沙箱中,并使用加密来保护数据。实际上在代码层面已经足够安全了。 

差距确实存在,但不是在代码级别。浏览器数据文件(cookie、密码文件和下载)可能会被恶意软件访问。但这不需要更改整个浏览器。此外,如果您害怕恶意软件,那么最好的选择是使用端点保护解决方案。使用适合工作的正确工具。

补充一点——我个人担心企业浏览器会引入比它可以修补的更多的漏洞。原因是 Chromium 得到了 Google 及其开源项目涉及的庞大生态系统的支持。 Chromium 代码具有令人惊叹的安全基线标准。与 Chromium 代码相比,我更担心新代码会干扰现有代码和现有工作方式。

主张#4:商业浏览器没有提供足够的治理和管理功能

部分正确

对于 Google Workspace 客户,Chrome 企业版是免费的,并提供开箱即用的管理功能。对于 Office365 用户,可以通过设备管理工具设置托管 Edge 设置。它们不像企业浏览器那么精细,但这些差距可以通过企业浏览器扩展来解决。

企业浏览器扩展(例如 LayerX)添加会话内管理功能并控制各种浏览器 API。这使得可以自定义现有浏览器并将其转变为企业级安全浏览器。虽然浏览器带来了网络流量的可用性和可靠性,但该扩展在其之上添加了安全和治理功能。

事实上,这正是浏览器供应商故意允许的。托管浏览器(Chrome 和 Edge)以及 Firefox 和 Safari 都通过企业浏览器扩展支持丰富且稳定的自定义功能。

主张#5:扩展程序不如浏览器强大

无关紧要且大多是错误的

这种说法相当于说一汤匙比一茶匙的威力更大。这实际上取决于你想搅拌什么。

关于浏览器安全性,大多数用例都与呈现的内容有关(简单地说 - 我们浏览的网站)。扩展对渲染内容具有相同的可访问性(即解密后、源代码、DOM、浏览器调试器和大量有趣的东西)。这意味着比浏览器更简单的工具可以更轻松地完成工作。

浏览器供应商已经很好地处理了扩展程序无法处理的功能。 Google、Microsoft、Mozilla 和 Apple 在提供具有大量安全功能的 SOTA 产品方面做了令人难以置信的工作。换句话说,您不是在比较企业浏览器与扩展解决方案,而是实际上在比较企业浏览器与 Chrome+扩展组合。

此外,企业浏览器的力量是一把双刃剑。他们对 Chromium 进行的更改越多,他们从 Chromium 中分叉的可能性就越大,从而无法在合理的时间范围内进行更新。这意味着企业浏览器可能会对 Chromium 代码进行尽可能少的更改,同时将大部分安全性基于捆绑扩展或本地代理。

主张#6:企业浏览器提供与 Chrome 相同的体验

一半是事实

Chromium 提供了与 Chrome 类似的体验。这种体验并不完全相同,也没有人承诺谷歌将继续与竞争对手共享其大部分代码。随着时间的推移,我们看到 Google 在 Chrome 中添加了 Chromium 之外的特定功能。

企业浏览器不会告诉您什么

我预计,除了其独特的优势之外,企业浏览器还会有一些不受欢迎的缺点,这些缺点将在未来几年让许多 IT 团队流泪。

这些缺点包括:

  • 不可靠且不一致的修补程序: 企业浏览器不会发布其修补例程。但从 Brave 和 Edge 推断,他们可能需要至少 12 小时(最多几天)才能修补 Google 以带外方式修补的 Chromium 零日漏洞。
  • 潜在的应用程序不兼容: 公司将继续为 Chrome 和 Edge 构建应用程序。但即使今天企业浏览器完全兼容,也没有人能保证明天也会一样。在 Chromium 之上添加的任何代码都可能有其自身的问题和错误,这意味着员工可能无法访问完成工作所需的应用程序。
  • 部分可见性: 您的员工仍会尽可能多地使用商业浏览器(无论是工作还是娱乐)。这意味着您将留下巨大的空白,这可能会导致功能数据丢失和威胁。
  • 网络安全史上最糟糕的供应商锁: 想象一下您正在使用企业浏览器。你对此感到满意。然而,更好的企业浏览器的成本更便宜。您将如何迁移?您的所有偏好、身份、密码和 cookie 都存储在您现有的浏览器中。浏览器公司宣称他们的所有 cookie 都经过加密,并且所有内存都是完全隔离的。如果它完成了它所说的工作,那么您就会发现自己陷入了供应商锁定之中。
  • 失去自由能力: 您现有的浏览器具有一些令人惊叹的功能。 Chrome 拥有业界最好的阻止列表。 Edge 拥有最好的本地隔离服务(AppGuard)。 Firefox 带来了令人难以置信的隐私功能。这样的例子不胜枚举。请记住,通过使用这些浏览器,您可以免费获得巨大的价值。
  • 无限摩擦力: 有一天,有些东西将无法在企业浏览器上运行。这可能是由于企业浏览器供应商方面的问题、谷歌限制其他浏览器使用 Chromium 的能力,或者仅仅是员工的错误。有一点是肯定的——员工最有可能说“这个浏览器不能工作。太糟糕了。”使用企业浏览器可能会与您的员工产生很多摩擦,因为很少有安全产品要求员工改变他们的工作方式。改变人们的工作方式更多的是一种文化负担,而不是一种安全资产。
  • 数字身份之争: Chrome 和 Edge 的第一大功能(锦上添花)是它们与云办公身份的集成。这意味着,对于使用 Google Workspace 的组织,Chrome 会提供附加到 Google 身份的浏览器配置文件。对于 Office365 用户,Edge 提供附加到 Microsoft 身份的浏览器配置文件。这意味着几乎每个组织都已经在使用付费托管浏览器(Chrome 或 Edge),该浏览器与其相关的 SaaS 应用程序套件完美配合。迁移到另一个浏览器会降低这种体验,并向 IT 堆栈添加另一个(不需要的)身份服务。它不会增加安全性,只会导致员工混乱并增加 IT 开销。

企业浏览器的安全且顺畅的替代方案

企业浏览器公司非常关注一件事:浏览器是组织中最重要的工作空间和最有价值的可见性来源。在 LayerX,我们认为保护浏览器安全的解决方案很简单——我们需要为现有浏览器带来尽可能多的安全性。

就像操作系统一样 由端点保护保护 解决方案(而不是强化的 Linux 风格)和通过电子邮件安全工具(而不是定制的“安全电子邮件”)提供的电子邮件服务,浏览器安全平台是浏览器安全问题的解决方案。

使用一年 企业浏览器扩展 为浏览器带来所有可能的安全功能,而不影响用户体验。