公司安全最容易被忽视的威胁之一是员工的支出 40% 的清醒时间 正在做。随着组织享受日益混合的劳动力带来的好处,太多的组织对用户和员工与外部系统的交互方式进行了这一关键监督。浏览网络会带来相当大的、经常被忽视的风险。
访问网页或应用程序时,设备的浏览器会从远程服务器加载代码。从零信任的角度来看,对该服务器合法性的假设引起了严重的担忧。传统的浏览器保护,例如 安全 Web 网关 (SWG) 专注于尝试通过预先构建的可疑链接列表来验证网页;这种与上下文无关的方法阻碍了真正的请求,并且常常完全错过新的攻击。
十年前 远程浏览器隔离等技术 已被引入作为下一代浏览器保护。远程浏览器隔离的作用是在站点代码到达浏览器之前加载并验证站点代码。这种方法提供更多上下文保护,从物理上将设备与硬编码威胁隔离。
下面,我们将仔细研究浏览器隔离可防御的威胁,以及组织使用它的原因。我们询问它是否能够在不断变化的威胁环境中提供足够的保护,这种威胁环境需要无缝的、组织范围内的安全性,并审查更现代、更有效的安全技术来应对浏览风险。
浏览器隔离可以防御哪些威胁?
浏览器隔离可防止机会性安全事件。以下是未受保护的最终用户面临的 6 个主要漏洞:
- 恶意广告。 这种攻击以合法的广告网络为中心。对于真正的网站运营商及其第三方广告经理来说,这些广告看起来完全正常。然而,这些广告的犯罪运营者包含了几行恶意代码。当未受保护的浏览器加载受感染的页面(可以是任何网站上的任何广告)时,一条指令会加载到您的设备上,将其连接到犯罪分子的命令和控制服务器。从这里,C2 服务器可以在后台快速、安静地下载任何内容。
- 路过式下载。 这一广泛的攻击类别描述了隐秘的恶意软件安装过程。无论您只是加载带有未修补的浏览器漏洞的网页,还是安装带有捆绑到加载程序中的恶意软件的正版软件,偷渡式下载都会利用任何小的疏忽。
- 重定向攻击。 当一封宣传某个品牌大折扣的电子邮件跳入某人的收件箱时,具有安全意识的用户会将鼠标悬停在该链接上以检查其有效性。看到以该品牌自己的网站地址开头的 URL,他们认为一切都很好。然而,重定向 URL 允许攻击者的站点被走私到最初看起来合法的地址。 7,000 年 3 月至 2022 月的 XNUMX 个月内,在近 XNUMX 封伪装成美国运通卡和 Snapchat 的网络钓鱼电子邮件中发现了这种技术。
- 点击劫持。 这是一个典型的漏洞,允许用户被欺骗点击任何非预期的链接。虚假的“下载”和关闭广告按钮比比皆是,欺骗用户产生虚假的广告收入,甚至启动恶意软件下载。
- 路径上的浏览器攻击。 中间攻击者位于站点服务器和您自己的浏览器之间,可以窃取您的 cookie 或利用 HTTP 连接来收集登录凭据,甚至更改您正在查看的 Web 内容。
- 跨站脚本: 这会导致攻击者将代码注入合法网站;当受害者加载网站时,其有效负载就会被删除。与重定向攻击的风格类似,一些跨站点脚本将恶意代码添加到受信任 URL 的末尾。当受害者的网络浏览器加载此内容时,攻击者就能够窃取登录凭据等。
浏览器隔离如何工作?
浏览器隔离技术将网页与用户自己的浏览器隔离。这可以采取多种不同的形式(请参阅下面的浏览器隔离类型),但所有这些都基于相同的一般前提。首先,网络用户的浏览活动是在隔离的环境中进行的。这可以是由云供应商控制和维护的服务器,也可以是最终用户自己的计算机内的沙箱。从那里,浏览行为被传输回用户的设备,就像他们请求的网页(或其模拟)一样。当用户提交表单、请求下载或单击链接时,请求首先传输到这个隔离的容器,在其中执行请求并评估是否存在恶意软件。
例如,用户浏览了一个看似无辜的网站,其中包含有关即将举行的行业活动的信息。然而,他们不知道的是,恶意广告活动正针对这个页面。虽然未受保护的用户面临自动恶意软件下载的风险,但隔离的容器可以保护用户免受任何将其发送到无法识别的命令和控制服务器的尝试,从而完全阻止攻击。该服务器或沙箱在非持久的基础上运行,每当用户关闭会话或浏览器超时时就会重置或删除。这消除了跨站点脚本和其他基于 JavaScript 的攻击的风险,使员工不再担心这些问题,并帮助将 Web 浏览器与公司更广泛的攻击面隔离开来。
为什么组织使用浏览器隔离?
Gartner 最近的调查发现 82% 的行业领先受访者 遍及金融、人力资源和法律行业 将继续支持远程工作。由于传统的周边安全现在分散在数百个不同的场所,不断上升的数据泄露成本证明了更好的远程保护的必要性。
防御基于 Web 的恶意软件的传统选项包括安全 Web 网关 (SWG) 等工具。该网络安全解决方案充当最终用户和他们尝试连接的页面之间的代理。不幸的是,SWG 无法实时动态识别恶意页面,从而防范恶意页面。许多网络代理和类似工具都存在浏览会话上下文失明的问题,同时忽略了真实网络目标和恶意实例之间的细节。由于所采用的方法多种多样,网络浏览器解决方案开始遭受技术堆栈膨胀的困扰。此外,这些复杂的方法仍然可能错过零日漏洞,同时不必要地阻止用户访问网站,从而降低生产力。
Web 浏览器隔离使内部网络免受任何威胁。这既提高了员工的生产力,又提高了他们的安全。
浏览器隔离的类型
浏览器隔离技术分为三大类。
#1.远程浏览器隔离
远程浏览器隔离依赖于将最终用户的浏览行为传输到隔离的云服务器。远程隔离有三种不同形式,每种形式都以不同的形式将内容发送到用户的设备。第一种是“像素推送”方法。这会看到云服务器加载网页代码,同时将用户浏览活动的视频或连续图像流式传输到最终用户的设备。
另一方面,DOM 重写会看到服务器加载网页,然后主动重写它以删除任何恶意 HTML 或 JavaScript。一旦内容被去爪,它就会被发送到最终用户的设备,由浏览器再次加载并显示。
最后一种方法涉及类似的过程,其中网页被远程加载,但内容没有被广泛重写。相反,在执行所有代码后,用户会收到矢量图形格式的网页表示。
从根本上来说,远程浏览器隔离几乎总是会在浏览过程中引入延迟。
#2.本地浏览器隔离
本地浏览器隔离的工作方式与远程浏览器隔离类似。但是,为了减少延迟,远程云服务器被替换为组织内部网络中托管的服务器。
Web 浏览器隔离几乎必须始终发生在组织现有的防火墙程序内,而不是像通过远程隔离过程那样发生在防火墙之外。该技术可以很好地适用于最高隐私级别的组织,但由于本地服务器的硬件需求昂贵,因此不适用于远程员工。此外,虽然用户知道他们的浏览不会暴露个人设备,但内部网络仍存在受到来自公共互联网的特别严重威胁的风险。
#3。客户端浏览器隔离
客户端浏览器隔离与远程浏览器隔离有很大不同。它在相同的浏览器虚拟化精神下运行,不依赖于外部服务器,而是在用户设备本身上运行。隔离方面来自两种技术之一:虚拟化或沙箱。
虚拟化描述了将一台计算机划分为多个独立虚拟机的过程。虚拟机管理程序位于计算机操作系统的正下方,可用于在主机设备和任何来宾系统之间分配硬件资源。理论上,一台虚拟机中发生的事情应该被隔离。通过使用一台虚拟机加载网页,主机可以免受最常见的 Web 浏览器威胁。
沙箱与虚拟化有一些相似之处,提供了一个可以运行应用程序的封闭虚拟环境。然而,并没有创建一个完全独立的系统。相反,沙箱是一个可以放置在操作系统上运行的应用程序周围的容器。这样做的主要好处是,每次关闭沙箱时,所有事件都不会保存,因此会被丢弃。
下一代浏览器安全性从 LayerX 开始
浏览器隔离无法实现 它曾经承诺的全面安全。该解决方案对用户体验的重大影响导致了零星的使用,组织试图依赖不完整的保护,因为员工只是选择负担较轻的浏览器体验。
替代方案也好不了多少:云访问安全代理 (CASB) 长期以来一直是业界解决浏览器漏洞的解决方案。然而,CASB 强制执行的政策仅适用于受制裁的应用程序,并且严重依赖于每个应用程序的 API。他们的集成要求有助于创建复杂、成本高昂且效率较低的安全管理形式。
LayerX 是第一个优先考虑简单性的解决方案。它统一提供远程浏览器隔离的所有优势,允许对 Web 使用、网络钓鱼和恶意软件防护进行实时治理,同时不会妨碍您的员工。抛开大规模的基础设施变化,LayerX 的解决方案致力于满足您组织的安全需求,而不是相反。
