0
0
O navegador da web tem sido o sumidouro de segurança da infraestrutura corporativa. Embora o e-mail seja frequentemente citado como o ponto de entrada mais comum, o malware geralmente entra pelo navegador e é mais difícil de prevenir. Phishing, ataques drive-by, ransomware, injeções de SQL, man-in-the-middle (MitM) e outras explorações aproveitam a interface de usuário do navegador e a enorme superfície de ataque, além da credulidade da maioria dos usuários finais.
É este último item – humanos – que é o problema, e precisamos ser protegidos contra nós mesmos. Isso é especialmente verdadeiro à medida que os aplicativos SaaS crescem em uso, sem mencionar que cada peça de hardware parece vir com um servidor web (e, portanto, um navegador) para configurá-lo. Esses casos de uso são auxiliados e incentivados pelo número crescente de funcionários que trabalham em casa que dependem de mais aplicativos baseados em navegador, graças à pandemia.
Sim, os navegadores da web têm configurações de segurança para proteger sua privacidade e permitir que você navegue em sites de forma mais anônima. Esta não é realmente uma solução satisfatória porque essas configurações normalmente resultarão em mais frustração do usuário. Ativar as configurações de segurança impedirá que seus usuários realizem negócios em muitos sites, bloqueando pop-ups necessários para navegar em algum site comercial, impedindo que os formulários coletem informações importantes ou tornando sua sessão de navegação miserável de alguma outra forma.
Brave, DuckDuckGo, RAV Online Security da ReasonLabs e outros têm navegadores mais seguros com foco no consumidor, mas não são apropriados para empresas. Eles são o que eu chamaria de navegadores “mais seguros” ou “mais privados”. Alguns fornecedores levaram a sério as recomendações do Global Privacy Control e desenvolveram suas próprias extensões de navegador que ajudam a proteger sua privacidade individual. Todos esses navegadores são melhores, mas ainda não são bons o suficiente para uso comercial.
Em vez disso, é necessário um tipo diferente de ferramenta para gerenciar uma coleção inteira de navegadores. Embora alguns produtos de segurança corporativa abordem a segurança do navegador, como gateways da Web seguros, execução de um navegador em uma área de trabalho virtual ou uso de um serviço de endpoint gerenciado, eles não se concentram na experiência total de navegação e não podem impedir muitos dos vetores de ameaças potenciais . Entre no navegador seguro, que está disponível em uma variedade de configurações que podem ajudar os gerentes de TI a ter um controle melhor para impedir que invasores se instalem em nossas redes.
Analisamos quatro navegadores em uma variedade de configurações:
- Navegador de acesso à Web Appaegis Enterprise
- TalonWork da Talon Cyber Security
- Segurança avançada do navegador do ponto de percepção
- Silo de Authentic8
A Island tem um produto, mas se recusou a participar. Todos esses produtos são desenvolvidos com base no navegador Chromium do Google. Por causa de sua onipresença, os navegadores corporativos seguros têm uma coleção de recursos obrigatórios e exigentes se forem considerados seriamente.[ Obtenha insights de especialistas para dominar a complexidade da nuvem no CIO’s Future of Cloud Summit em 8 de novembro – Inscreva-se hoje! ]
Dicas para avaliar navegadores seguros
Antes de iniciar uma avaliação, você precisa entender como esses navegadores funcionam e como eles serão gerenciados. Primeiro, eles exigem uma coleção robusta e granular de controles de segurança para poder trabalhar com a coleção mais ampla possível de sites e serviços em nuvem. Isso precisa acontecer a partir de uma plataforma de gerenciamento central que possa aplicar uma coleção de regras e políticas semelhantes a firewalls em toda a população de usuários. Isso inclui várias categorias amplas:
- Habilite o MFA no início de qualquer sessão do navegador por padrão.
- Lide com controles de isolamento com relação à sessão do usuário e para isolar qualquer aplicativo de infecção cruzada. Isso significa controlar a movimentação de dados entre o navegador, seu endpoint específico e o aplicativo ou aplicativos da Web envolvidos.
- Controle o acesso a determinados destinos da Web, seja para permitir ou bloquear esse acesso.
- Detecte malware para bloquear phishing, man-in-the-browser e outros ataques.
- Aplique controles de prevenção contra perda de dados, que incluem configurações do navegador, como bloqueio de anúncios, filtragem de URL e domínio, bloqueio de impressão, operações de recortar e colar e compartilhamento de tela. Esses controles também devem ser capazes de gerenciar as extensões do navegador de forma que um usuário não possa substituí-las ou contorná-las.
- Habilite uma variedade de ferramentas de registro para auxiliar na correção ou reconstrução em caso de ataques ou destruição de dados.
- Habilite a navegação anônima para os momentos em que isso for necessário, como proteger os viajantes quando estiverem em locais mais totalitários.
- Habilite um espaço de armazenamento de arquivos protegido e seguro que pode ser compartilhado entre uma equipe de colaboradores.
Em segundo lugar, qualquer navegador precisa se integrar a produtos de segurança existentes, como gerenciamento de identidade, postura de segurança de aplicativos em nuvem, logon único (SSO) e VPNs. Isso é muito software para se trabalhar, com certeza, mas as empresas não querem reinventar essas rodas. Por exemplo, o Talon se integra à proteção contra malware Falcon da Crowdstrike e todas as quatro ferramentas se integram a vários provedores de identidade via SAML ou, em alguns casos, OAuth.
Em seguida, o navegador deve vir em várias opções de empacotamento diferentes. O primeiro é oferecer suporte a clientes “espessos” do Windows e do MacOS (o que significa que eles normalmente usam uma máquina virtual para separá-lo do restante da área de trabalho). Observe que poucos desses produtos oferecem suporte adicional para clientes Android, iOS ou Linux. Esses navegadores também precisam ter um “thin client” que possa ser executado a partir de um serviço de nuvem gerenciado e uma extensão de navegador que possa adicionar alguns de seus recursos de segurança ao que você está executando atualmente em seu desktop ou dispositivo móvel. Nosso gráfico de resumo lista qual fornecedor faz qual opção. Nenhum fornecedor cobre todas essas situações completamente, portanto, você deve entender as lacunas e em que danos potenciais isso pode se traduzir.
Embora todos esses produtos executem versões criadas do Chrome, eles normalmente empregam máquinas virtuais Linux. Isso pode ser um problema se você estiver tentando executar conteúdo da Web que não seja compatível com Linux, como alguns serviços de streaming. A boa notícia é que os navegadores seguros estão próximos da paridade com um navegador de desktop padrão e rodam próximos às versões mais atuais do Chrome, graças aos resultados relatados pelo site HTML5test.com.
O maior problema para implementar esses navegadores será a equipe e o suporte. Isso começa com a integração em seus outros produtos de segurança e integração e treinamento de seus usuários sobre como navegar na Web sob o regime mais recente e, esperançosamente, mais seguro. Isso será uma carga significativa em seus próprios recursos de suporte interno para lidar com as várias chamadas de linha de ajuda de usuários confusos ou frustrados quando encontrarem resultados inesperados em sua experiência de navegação. Encontramos vários problemas durante nossos testes e tivemos problemas para obter respostas oportunas de todos os quatro fornecedores.
Por fim, há o preço. Espere pagar algo em torno de US $ 10/mês/usuário pelas opções de assinatura, com descontos por quantidade disponíveis. Apenas um fornecedor, Appaegis, tem total transparência de preços.
Navegadores da Web seguros comparados
Navegador de acesso à Web corporativo da Appaegis
O Appaegis Enterprise Web Access Browser oferece um cliente Windows e Mac gerenciado que executa uma instância do Linux Chrome Dev 101 dentro do seu navegador local existente, mas em um ambiente protegido. Ele possui uma ampla coleção de políticas, funções de acesso e aplicativos configurados de forma semelhante a um firewall. A autenticação multifator (MFA) é uma opção, mas não habilitada por padrão. Ele também coleta logs de acesso do usuário, aplicativos e outros detalhes e oferece SSH e RDP protegidos do navegador. Ele possui um painel principal que se parece muito com uma ferramenta de SSO para iniciar seus aplicativos da Web protegidos.
O preço é público e a Appaegis oferece versões gratuitas e pagas, esta última a partir de US$ 10/mês/usuário com descontos por quantidade. Há integração de API com os serviços de gerenciamento de identidade Okta e Azure AD e vários cofres de chaves na AWS, Azure, HashiCorp e Keeper. O navegador obteve a pontuação mais alta de qualquer navegador seguro no site HTML5test de 526.
Silo de Authentic8
A Authentic8 está no ramo de navegadores seguros há mais de oito anos e continua aprimorando seus produtos e ampliando suas ofertas de serviços. Ele pode fornecer isolamento completo bidirecional e integrá-lo aos seus fluxos de trabalho existentes e fornecer uma ampla coleção de políticas de segurança que oferecem controle refinado sobre a proteção de seus aplicativos e dados. Ele possui um painel principal que se parece muito com uma ferramenta de SSO para iniciar seus aplicativos da Web protegidos.
Silo oferece dois downloads de clientes diferentes: cliente espesso e cliente fino . Ambos podem ser gerenciados centralmente e por meio de uma conexão de API, todos iniciando sessões baseadas em Linux executando o Chrome Dev 101.0.4951.49. O navegador recebeu uma pontuação de 474 (e a extensão obteve 476) do HTML5Test. Embora o fornecedor não tenha revelado detalhes de preços, dois planos estão disponíveis: por usuário ou por consumo por hora.
Segurança avançada do navegador do ponto de percepção
A Perception Point adquiriu a Hysolate e incorporou seus recursos em sua linha de produtos Advanced Browser Security . O software possui um recurso de “raio-x” que detona automaticamente quaisquer anexos em uma sandbox executando várias versões do Microsoft Word para detectar possíveis ameaças. Isso acontece quase em tempo real – uma questão de segundos. O software vem como um cliente grosso gratuito para Mac e Windows ou como um navegador gerenciado ou extensão que está disponível a partir de US$ 5/usuário/mês, com descontos por quantidade disponíveis.
O fornecedor construiu uma demonstração online de seu painel aqui . A coleção de políticas de software não é tão rica quanto a que está disponível no Authentic8. Ele recebeu uma pontuação de 474 do HTML5Test, executando o Chrome 104 no Linux. Tivemos problemas de estabilidade em nosso Mac e tivemos que reinstalar o software. Seu cliente Mac não suporta a visualização de nenhum conteúdo protegido, incluindo todos os filmes da Netflix.
TalonWork da Talon Cyber Security
O TalonWork vem apenas como uma versão de cliente espesso e inclui Windows e Mac. Android e iOS são esperados ainda este ano. Ele possui um conjunto completo de recursos gerenciados que inclui recursos de prevenção contra perda de dados, registro extensivo e muitas políticas e conjuntos de regras. Como alguns dos outros, você pode configurar um login principal como uma ferramenta de SSO para iniciar seus aplicativos. Ele examinará a postura do endpoint para garantir que ele esteja executando a versão mais recente do sistema operacional e identificará extensões de navegador arriscadas ou URLs restritas que você pode especificar. A empresa não revela preços. A pontuação do HTML5Test foi de 476, sendo executado em um cliente MacOS Chrome 105 protegido.
FONTE: CSO ONLINE