Търсене
Close this search box.

Pъководство за купувачите на корпоративни браузъри

Заинтересованите страни в сферата на сигурността осъзнаха, че важната роля, която браузърът играе в съвременната корпоративна среда, изисква преоценка на начина, по който той се управлява и защитава. Въпреки че не толкова отдавна рисковете, свързани с уеб, все още се преодоляваха чрез смесица от решения за крайни точки, мрежи и облаци, вече е ясно, че частичната защита, която тези решения осигуряваха, вече не е достатъчна. Ето защо все повече екипи по сигурността вече се обръщат към нововъзникващата категория специално създадени корпоративни браузъри като отговор на предизвикателствата пред сигурността на браузъра.

Тъй като обаче тази категория решения за сигурност е все още сравнително нова, все още няма установен набор от най-добри практики за сигурност на браузърите, нито общи критерии за оценка.

LayerX, разширението за корпоративни браузъри, ориентирано към потребителите, отговаря на нуждата на екипите по сигурността с наръчника за купувачи на корпоративни браузъри, който превежда читателите си през основните моменти при избора на най-доброто решение и им предоставя приложим контролен списък, който да използват по време на процеса на оценка.

Браузърът е най-важният работен интерфейс и най-целенасочената повърхност за атаки

Браузърът се е превърнал в основното работно пространство в съвременното предприятие. Освен че е входна врата към санкционирани SaaS приложения и други некорпоративни уеб дестинации, браузърът е пресечната точка между облачните среди и физическите или виртуалните крайни точки. Това превръща браузъра както в мишена за различни видове атаки, така и в потенциален източник на непреднамерено изтичане на данни.

Някои от тези атаки съществуват от повече от десетилетие – например използването на уязвимости в браузъра или изтеглянето на злонамерени файлове чрез драйвбай. Други набират скорост напоследък, заедно с рязкото нарастване на броя на SaaS, като например социалното инженерство на потребителите с фишинг уебстраници. Още други използват еволюцията в технологията на уебстраниците, за да стартират сложни и трудни за откриване модификации и злоупотреба с функциите на браузъра с цел улавяне и екфилтриране на чувствителни данни.

Сигурност на браузъра 101 – Какво трябва да защитим?

Сигурността на браузъра може да бъде разделена на две различни групи: предотвратяване на непреднамерено излагане на данни и защита от различни видове злонамерена дейност.

От гледна точка на защитата на данните, корпоративният браузър налага политики, които гарантират, че чувствителните корпоративни данни не се споделят или изтеглят по несигурен начин от санкционирани приложения, нито се качват от управлявани устройства към некорпоративни уеб дестинации.

От гледна точка на защитата от заплахи корпоративният браузър открива и предотвратява три вида атаки:

  • Атаки, насочени към самия браузър, с цел компрометиране на хост устройството или данните, които се намират в самото приложение на браузъра, като например бисквитки, пароли и други.
  • Атаки, които използват браузъра чрез компрометирани идентификационни данни за достъп до корпоративни данни, които се намират както в санкционирани, така и в несанкционирани SaaS приложения.
  • Атаки, които използват съвременната уебстраница като вектор на атака, за да се насочат към паролите на потребителите чрез широк спектър от фишинг методи или чрез злонамерена модификация на функциите на браузъра.

Как да изберем правилното решение

На какво трябва да обърнете внимание, когато избирате решение за корпоративен браузър за вашата среда? Какви са практическите последици от разликите между различните предложения? Как трябва да се претеглят методите за внедряване, архитектурата на решението или поверителността на потребителите при цялостното разглеждане? Как трябва да се приоритизират заплахите и рисковете?

Както сме казвали и преди – за разлика от други решения за сигурност, не можете просто да пипнете някой от колегите си и да попитате какво прави той или тя. Корпоративните браузъри са нови и мъдростта на тълпата тепърва ще се формира. Всъщност има голяма вероятност вашите колеги сега да се борят със същите въпроси, с които и вие.

Определящ наръчник на купувача на корпоративен браузър – какво представлява и как да го използвате

Ръководството за купувача разбива заглавието на високо ниво „сигурност на браузъра“ на малки и лесно смилаеми части от конкретните нужди, които трябва да бъдат решени. Те са поднесени на читателя в пет стълба – внедряване, потребителско изживяване, функционалности за сигурност и поверителност на потребителите. За всеки стълб има кратко описание на контекста на браузъра и по-подробно обяснение на неговите възможности.

Най-значимият по обхват стълб, разбира се, е този на функционалностите за сигурност, който е разделен на пет подраздела. Тъй като в повечето случаи този стълб би бил първоначалният двигател за преследване на платформа за сигурност на браузъра на първо място, си струва да ги разгледаме по-подробно:

Enterprise Browser Deep Dive

Нуждата от корпоративен браузър обикновено възниква в резултат на едно от следните неща:

  • Управление на повърхността на атаката: Проактивно намаляване на излагането на браузъра на различни видове заплахи, като се елиминира възможността на противниците да ги осъществят.
  • Достъп с нулево доверие: Засилване на изискванията за удостоверяване, за да се гарантира, че потребителското име и паролата наистина са предоставени от легитимния потребител и не са компрометирани.
  • Мониторинг и защита на SaaS: 360-градусова видимост на всички дейности на потребителите и използването на данни в рамките на санкционирани и несанкционирани приложения, както и в други некорпоративни уеб дестинации, като същевременно се предпазват корпоративните данни от компрометиране или загуба.
  • Защита срещу злонамерени уеб страници: Откриване и предотвратяване в реално време на всички злонамерени тактики, които противниците вграждат в съвременните уеб страници, включително фишинг на идентификационни данни, изтегляне на злонамерени файлове и кражба на данни.
  • Сигурен достъп на трети страни и BYOD: Осигуряване на сигурен достъп до корпоративни уеб ресурси от неуправлявани устройства както на вътрешните служители, така и на външни изпълнители и доставчици на услуги.

Ръководство на купувача – пряк път за оценка

Най-важната и приложима част в ръководството е заключителният контролен списък, който за първи път предоставя кратко обобщение на всички основни възможности, които трябва да предоставя един корпоративен браузър. Този контролен списък прави процеса на оценяване по-лесен от всякога. Всичко, което трябва да направите сега, е да тествате решенията, които сте включили в краткия списък, спрямо него и да видите кое от тях е получило най-висока оценка. След като ги подредите всички, можете да вземете информирано решение въз основа на нуждите на вашата среда, както ги разбирате.

Изтеглете Ръководството на купувача тук. `(English)

 

 

Източник: The Hacker News

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
Бъдете социални
Още по темата
26/03/2024

Случаят AnyDesk: Какви стъ...

На 2 февруари популярният инструмент за...
16/03/2024

(Пре)представете си управле...

Докато организациите търсят решения за защита...
07/03/2024

Клиентите на Atlassian тряб...

CISO на Atlassian предупреждава клиентите на...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!