ДЕСКТОПНЫЕ и мобильные приложения так же широко используются, как и веб-браузеры, но браузеры также представляют множество потенциальных угроз безопасности, независимо от того, насколько тщательно они заблокированы. Крупные организации годами полагались на так называемые службы «изоляции браузера», чтобы справиться с этим риском, но эти инструменты часто бывают медленными и неуклюжими. В результате многим компаниям они нужны только для наиболее ответственной работы; в противном случае сотрудники будут искать обходные пути. Во вторник компания Cloudflare, занимающаяся интернет-инфраструктурой, представляет свою собственную версию - сервис, удачно названный Browser Isolation, - который, по словам компании, работает так же быстро, а иногда и быстрее, чем просмотр страниц без защиты.
Браузеры по определению - это открытая дверь. Их задача - получать данные с веб-серверов и отправлять обратно информацию. Однако это означает, что в дополнение к законным, безопасным веб-данным пользователи могут в конечном итоге загружать вредоносные программы или вредоносные вложения через браузер. Кроме того, хакеры могут находить уязвимости в собственном коде браузера и использовать их для атак.
«Браузер - это кошмар для руководителей службы информационной безопасности», - говорит генеральный директор Cloudflare Мэтью Принс. «По сути, каждый раз при запуске браузер загружает полностью чужой код и запускает его на устройстве. Браузеры отлично справляются с изолированием и контролем риска, который существует, но почти еженедельно вы будете видеть какую-то уязвимость в одном из основных браузеров, которая позволяет людям потенциально вырваться из этой песочницы ».
Сервисы изоляции браузера, такие как Cloudflare, который находится в стадии бета-тестирования с октября , защищают компьютеры, запуская браузер в контролируемом контейнере вдали от других ваших сервисов и данных. Таким образом, любой теневой код, который ваш браузер невольно пытается выполнить, на самом деле не работает на вашем компьютере и может быть помечен. Этот процесс, однако, требует времени: время для удаленной загрузки страниц, передачи их каким-либо образом на ваш компьютер, а затем обработки всех взаимодействий, связанных с просмотром веб-страниц, таких как ввод учетных данных для входа на сайт или даже простой пользовательский ввод, такой как щелчок и прокрутка. . Все это приводит к задержкам, поэтому многие службы изоляции браузеров работают так медленно и содержат ошибки.
Сервис Cloudflare является частью нового поколения облачных сервисов, которые стремятся сделать их более удобными, сглаживая все это взад и вперед. В январе 2020 года компания приобрела небольшую фирму S2 Systems, подход которой, по словам Принса, отличался от большинства существующих инструментов. Многие службы решили эту проблему, загрузив страницу в изолированной среде, а затем отправив информацию о компонентах сайта или даже о цвете каждого отдельного пикселя на компьютер пользователя для отображения. Но подход S2 вместо этого использует команды рисования, которые браузер отправляет на графический процессор компьютера в обычной ситуации просмотра. Он фиксирует их, когда страница загружается в свой облачный контейнер, а затем передает их на компьютер пользователя, чтобы процессор мог, по сути, сделать запись того, как выглядит веб-страница.
Идея состоит в том, чтобы наблюдать за просмотром в реальном времени. Поскольку ставки веб-безопасности настолько высоки, конкуренты также почувствовали необходимость улучшить изоляцию браузеров в надежде сделать инструменты более привлекательными и, в конечном итоге, более повсеместными.
«Несмотря на высокие расходы на безопасность, многие организации борются с инцидентами безопасности, связанными с веб-браузером», - говорит Мэтт Эшберн, бывший сотрудник ЦРУ и директор Совета национальной безопасности, который сейчас возглавляет стратегические инициативы в компании Authentic8, занимающейся изоляцией браузеров. «Пока разрешено двустороннее соединение компьютера с Интернетом, продвинутые злоумышленники и преступники найдут способ оставаться успешным».
Однако, как и в случае с другими инициативами в области безопасности , Cloudflare обладает достаточными возможностями для быстрого продвижения новых предложений среди огромной клиентской базы. Browser Isolation будет простым дополнением к существующему набору сервисов Cloudflare for Teams для предприятий.
Получив сервисы изоляции браузера через Cloudflare, клиенты будут доверять компании еще одну важную задачу с большим объемом данных. Это централизует еще больше данных с Cloudflare и потенциально создает больший риск, если компания когда-либо будет взломана или станет мошенником. Cloudflare заявляет, что у него есть обширные средства контроля безопасности и сторонний аудит, и компания потратила месяцы на разработку изоляции браузера, чтобы для каждого клиента был индивидуальный, отдельный облачный контейнер, чтобы минимизировать риск перекрестного заражения или единой точки отказа на Cloudflare. сеть. Но в конечном итоге Принс говорит, что бизнес-модель Cloudflare является главной гарантией.
«Мы не рекламная компания, - говорит Принс. «Мы никогда не думали о данных наших клиентов как о наших данных. Мы зарабатываем деньги, взимая плату с компаний за предоставляемые нами услуги. Если бы в какой-то момент мы когда-либо делали что-либо, используя эти данные и каким-либо образом злоупотребляя ими, это был бы самый быстрый способ потерять всю нашу клиентскую базу ».
Другие службы попытались изолировать браузер локально, чтобы организациям не приходилось доверять другим компаниям свои данные о просмотре. Саймон Кросби, который работал над изоляцией браузеров в Citrix, а затем был соучредителем фирмы Bromium, занимающейся безопасностью виртуализации, говорит, что такой подход может иметь преимущества с точки зрения скорости и надежности. Bromium, который был приобретен HP в 2017 году, использовал системный подход, изолируя просмотр веб-страниц от основной операционной системы в особых, физически различных областях процессора компьютера. Microsoft лицензировала технологию и внедрила ее в Windows 10 . Кросби говорит, что эта стратегия хорошо работает на уровне операционной системы, но, как правило, менее эффективна и безопасна при добавлении в качестве программы, работающей поверх существующей операционной системы.
Учитывая, что по крайней мере одна крупная техническая компания, поставщик интернет-услуг или поставщик VPN уже имеет доступ к данным о просмотрах своих клиентов, Кросби добавляет, что риск использования облачной службы изоляции браузера не обязательно является нарушением сделки. Организации должны думать о своих конкретных обстоятельствах, но стоит подумать о сокращении воздействия браузеров тем или иным способом.
Комментариев нет:
Отправить комментарий