越来越多的安全决策者已经意识到浏览器是抵御多种网络威胁的最终前线。这种洞察力促使他们将浏览器隔离解决方案添加到其安全堆栈中。然而,我们最近目睹了越来越多的安全专业人员放弃这些解决方案并转向安全浏览器扩展。这些较新的解决方案被认为是保护浏览器攻击面的更好替代方案。

在本文中,我们将分析这一趋势并尝试解释这种方法背后的基本原理。首先,我们将回顾每种方法提供的不同功能。然后,我们将展示安全的浏览器扩展可以解决更广泛的网络威胁。它使现代员工能够充分利用浏览器的生产力潜力,而浏览器隔离方法的风险覆盖范围则更加有限。浏览器隔离还会降低浏览用户体验,使其与现代面向浏览器的工作环境不匹配。 

让我们首先简要回顾一下什么是浏览器隔离及其工作原理。

浏览器隔离 101:针对端点威胁的严密防护

浏览器隔离解决方案为浏览器运行提供了一个虚拟环境。这意味着在解决方案检查其行为并确保其确实是良性的之前,下载的代码不允许在实际计算机上运行。 这种方法在减轻浏览器漏洞和恶意软件文件下载的影响方面非常有效。 即使利用成功并且恶意软件被下载,它们也不会到达实际机器。

很容易看出,就其直接价值主张而言,浏览器隔离是传统端点保护的自然发展。在过去的十年里,为了安全执行易受攻击的进程而使用本地沙箱,甚至是专门创建的虚拟机的概念已经以各种形式实现。这使得采用浏览器隔离成为强化现有 EDR\NGAV 保护的自然“深度防御”步骤。 

今天的工作区不再是端点,而是浏览器本身 

然而,随着时间的推移,组织逐渐意识到这种方法可能不够好。这主要有两个原因:

  • 资源消耗:所有沙箱解决方案(包括浏览器隔离)都因贪婪的 CPU 消耗而臭名昭著,这不可避免地会降低受保护机器的性能。事实上,这是领先端点保护供应商放弃这种方法的主要原因。
  • 部分覆盖:虽然浏览器隔离可以针对端点威胁提供完善的保护,但对于广泛的网络风险几乎没有提供任何保护。 

让我们进一步详细说明该主题。

浏览器隔离努力应对现代基于 Web 的企业的安全性和生产力挑战 

十年前,员工主要使用本地主机上的数据文件。但如今,浏览器已成为企业环境中的主要工作空间。这一变化是根据现代浏览器提供广泛的安全功能以及对用户体验的坚定承诺而发生的。部署浏览器隔离解决方案会对计算机资源造成负载,从而直接导致浏览器性能下降。基本的经验法则之一是,任何妨碍员工工作的安全控制迟早都会被禁用。这就是当今浏览器隔离解决方案所发生的情况。

此外,网络风险是由浏览器传递的任何类型的威胁:网络钓鱼和其他类型的恶意网页、通过泄露的凭据恶意访问 SaaS 应用程序以及基于浏览器的数据泄漏。然而, 浏览器隔离解决方案只能部分且有限地查看网页内容。 他们对 SaaS 应用程序的可见性仅限于主机名级别的基本发现,无法洞察用户身份或实际使用情况。在监控网页本身的实际行为方面,他们只能看到预渲染的 HTML 代码。在执行方面,浏览器隔离解决方案缺乏可配置的粒度。它们仅限于粗略的控制,例如禁用浏览事件,例如跨每个目的地或应用程序的粘贴或屏幕捕获,这使得它们由于所带来的生产力中断而变得无效。 

问题在于,这些网络风险正日益成为企业威胁格局的主导部分。虽然浏览器隔离解决方案可能擅长抵御恶意软件攻击,但它们对组织无法再忽视的各种攻击几乎没有什么作用。

与这些解决方案相反,安全浏览器扩展方法可以完全解决这些威胁。让我们理解为什么会这样:

安全浏览器扩展 101:每个浏览事件的深度会话检查

与任何其他扩展一样,安全浏览器扩展安装在商业浏览器之上。从他们的浏览器位置,他们可以对浏览会话中的每个事件进行精细的可见性和控制。这使他们能够根据用户本身以及访问的网页的行为在整个网络会话中提供持续的监控、风险分析和策略执行。

此方法通过以下方式非常有效地防止网络传播的威胁:

安全浏览器扩展与网络钓鱼和其他恶意网页 

当网页在浏览器中逐渐构建时,安全浏览器扩展可以看到实际呈现的网页。有了这种可见性,他们就可以检测网络钓鱼、恶意软件下载和恶意数据捕获的早期迹象。检测到这些迹象后,安全浏览器扩展可以完全终止会话或禁用页面本身内的风险。

安全浏览器扩展与对 SaaS 和 Web 应用程序的恶意访问 

以同样的方式,安全浏览器扩展可以查看网页,也可以查看用户及其活动。借助这种可见性,它可以持续监控用户在 SaaS 应用程序中的行为,分析其基线行为,检测是否存在可能意味着帐户被接管的行为偏差,并在检测到此类情况后阻止用户访问该应用程序。

安全浏览器扩展与基于浏览器的数据泄漏

安全浏览器扩展对每个浏览事件的可见性使其能够非常有效地防止数据泄露。 “共享”、“下载”或“屏幕捕获”等操作可能会受到限制或禁止。以类似的方式,可以轻松控制和防止将敏感信息粘贴或输入到 GenAI 工具(例如 ChatGPT)中(了解有关 GenAI 真实数据暴露风险的更多信息) 关于这份最新报告).

基本原理:保护暴露的浏览器攻击面而不是强化现有的端点保护

从浏览器隔离转向安全浏览器扩展背后的原因很容易理解。大多数组织不会在其浏览器上安装超过一种安全解决方案。在选择解决方案时,选择能够解决各种当前无人值守威胁的解决方案比添加另一个端点保护层更有意义。 

确实,与浏览器隔离工具相比,安全浏览器扩展对零日攻击提供的保护较少。然而,应该指出的是,这些漏洞正在成为一种相当不常见的现象。即使发生了,它们毕竟也被当今的 EDR\NGAV 解决方案所覆盖。这一切都归结为在现有差距的解决方案和针对已基本覆盖的威胁的额外预防措施之间进行选择。这确实是理所当然的。