Търсене
Close this search box.

Заинтересованите страни в сферата на сигурността осъзнаха, че важната роля, която браузърът играе в съвременната корпоративна среда, изисква преоценка на начина, по който той се управлява и защитава. Въпреки че не толкова отдавна рисковете, свързани с уеб, все още се преодоляваха чрез смесица от решения за крайни точки, мрежи и облаци, вече е ясно, че частичната защита, която тези решения осигуряваха, вече не е достатъчна. Ето защо все повече екипи по сигурността вече се обръщат към нововъзникващата категория специално създадени корпоративни браузъри като отговор на предизвикателствата пред сигурността на браузъра.

Тъй като обаче тази категория решения за сигурност е все още сравнително нова, все още няма установен набор от най-добри практики за сигурност на браузърите, нито общи критерии за оценка.

LayerX, разширението за корпоративни браузъри, ориентирано към потребителите, отговаря на нуждата на екипите по сигурността с наръчника за купувачи на корпоративни браузъри, който превежда читателите си през основните моменти при избора на най-доброто решение и им предоставя приложим контролен списък, който да използват по време на процеса на оценка.

Браузърът е най-важният работен интерфейс и най-целенасочената повърхност за атаки

Браузърът се е превърнал в основното работно пространство в съвременното предприятие. Освен че е входна врата към санкционирани SaaS приложения и други некорпоративни уеб дестинации, браузърът е пресечната точка между облачните среди и физическите или виртуалните крайни точки. Това превръща браузъра както в мишена за различни видове атаки, така и в потенциален източник на непреднамерено изтичане на данни.

Някои от тези атаки съществуват от повече от десетилетие – например използването на уязвимости в браузъра или изтеглянето на злонамерени файлове чрез драйвбай. Други набират скорост напоследък, заедно с рязкото нарастване на броя на SaaS, като например социалното инженерство на потребителите с фишинг уебстраници. Още други използват еволюцията в технологията на уебстраниците, за да стартират сложни и трудни за откриване модификации и злоупотреба с функциите на браузъра с цел улавяне и екфилтриране на чувствителни данни.

Сигурност на браузъра 101 – Какво трябва да защитим?

Сигурността на браузъра може да бъде разделена на две различни групи: предотвратяване на непреднамерено излагане на данни и защита от различни видове злонамерена дейност.

От гледна точка на защитата на данните, корпоративният браузър налага политики, които гарантират, че чувствителните корпоративни данни не се споделят или изтеглят по несигурен начин от санкционирани приложения, нито се качват от управлявани устройства към некорпоративни уеб дестинации.

От гледна точка на защитата от заплахи корпоративният браузър открива и предотвратява три вида атаки:

  • Атаки, насочени към самия браузър, с цел компрометиране на хост устройството или данните, които се намират в самото приложение на браузъра, като например бисквитки, пароли и други.
  • Атаки, които използват браузъра чрез компрометирани идентификационни данни за достъп до корпоративни данни, които се намират както в санкционирани, така и в несанкционирани SaaS приложения.
  • Атаки, които използват съвременната уебстраница като вектор на атака, за да се насочат към паролите на потребителите чрез широк спектър от фишинг методи или чрез злонамерена модификация на функциите на браузъра.

Как да изберем правилното решение

На какво трябва да обърнете внимание, когато избирате решение за корпоративен браузър за вашата среда? Какви са практическите последици от разликите между различните предложения? Как трябва да се претеглят методите за внедряване, архитектурата на решението или поверителността на потребителите при цялостното разглеждане? Как трябва да се приоритизират заплахите и рисковете?

Както сме казвали и преди – за разлика от други решения за сигурност, не можете просто да пипнете някой от колегите си и да попитате какво прави той или тя. Корпоративните браузъри са нови и мъдростта на тълпата тепърва ще се формира. Всъщност има голяма вероятност вашите колеги сега да се борят със същите въпроси, с които и вие.

Определящ наръчник на купувача на корпоративен браузър – какво представлява и как да го използвате

Ръководството за купувача разбива заглавието на високо ниво „сигурност на браузъра“ на малки и лесно смилаеми части от конкретните нужди, които трябва да бъдат решени. Те са поднесени на читателя в пет стълба – внедряване, потребителско изживяване, функционалности за сигурност и поверителност на потребителите. За всеки стълб има кратко описание на контекста на браузъра и по-подробно обяснение на неговите възможности.

Най-значимият по обхват стълб, разбира се, е този на функционалностите за сигурност, който е разделен на пет подраздела. Тъй като в повечето случаи този стълб би бил първоначалният двигател за преследване на платформа за сигурност на браузъра на първо място, си струва да ги разгледаме по-подробно:

Enterprise Browser Deep Dive

Нуждата от корпоративен браузър обикновено възниква в резултат на едно от следните неща:

  • Управление на повърхността на атаката: Проактивно намаляване на излагането на браузъра на различни видове заплахи, като се елиминира възможността на противниците да ги осъществят.
  • Достъп с нулево доверие: Засилване на изискванията за удостоверяване, за да се гарантира, че потребителското име и паролата наистина са предоставени от легитимния потребител и не са компрометирани.
  • Мониторинг и защита на SaaS: 360-градусова видимост на всички дейности на потребителите и използването на данни в рамките на санкционирани и несанкционирани приложения, както и в други некорпоративни уеб дестинации, като същевременно се предпазват корпоративните данни от компрометиране или загуба.
  • Защита срещу злонамерени уеб страници: Откриване и предотвратяване в реално време на всички злонамерени тактики, които противниците вграждат в съвременните уеб страници, включително фишинг на идентификационни данни, изтегляне на злонамерени файлове и кражба на данни.
  • Сигурен достъп на трети страни и BYOD: Осигуряване на сигурен достъп до корпоративни уеб ресурси от неуправлявани устройства както на вътрешните служители, така и на външни изпълнители и доставчици на услуги.

Ръководство на купувача – пряк път за оценка

Най-важната и приложима част в ръководството е заключителният контролен списък, който за първи път предоставя кратко обобщение на всички основни възможности, които трябва да предоставя един корпоративен браузър. Този контролен списък прави процеса на оценяване по-лесен от всякога. Всичко, което трябва да направите сега, е да тествате решенията, които сте включили в краткия списък, спрямо него и да видите кое от тях е получило най-висока оценка. След като ги подредите всички, можете да вземете информирано решение въз основа на нуждите на вашата среда, както ги разбирате.

Изтеглете Ръководството на купувача тук. `(English)

 

 

Източник: The Hacker News

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
12 декември 2024

Ключове за разбиране на MDR, EDR, NDR, XDR (ЧАС...

Еволюция на решенията за откриване и реагиране (DR) През последното...
12 декември 2024

Пионерът в симетричната криптография се насочва...

Бъдещето, в което се използват квантови изчисления, не е далеч, но ...
Бъдете социални
Още по темата
12/12/2024

Пионерът в симетричната кри...

Бъдещето, в което се използват квантови...
04/12/2024

Домейните за разработчици н...

Домейните „pages.dev“ и „workers.dev“ на Cloudflare,...
27/11/2024

AWS разпространява актуализ...

Amazon Web Services (AWS) обяви актуализации...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!