Browsers helpen beheerders phishing bestrijden
Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) stelde onlangs nog dat meer dan 90% van de succesvolle cyberaanvallen begint met een phishingmailtje. Phishing wordt steeds geavanceerder, waardoor het steeds lastiger wordt voor werknemers om valide mail en websites te onderscheiden van varianten met malafide bedoelingen. Twee ontwikkelingen kunnen deels een oplossing bieden.
De enterprise browser is een nieuwe categorie veilige browsers die uit de koker komt van enkele startups zoals Island en Talon Cyber Security. Het zijn nieuwe browsers die ook op Chromium zijn gebaseerd maar voorzien van allerlei hulpmiddelen die in de achtergrond voorkomen dat gevoelige data het bedrijf verlaten of malafide software binnenkomt. Zo zitten er restricties op het maken van schermafbeeldingen, het afdrukken van webpagina's en blokkeert verkeer naar malafide websites via URL filtering.
Enterprise browsers zijn ontworpen met alle aanbevelingen uit de Zero Trust-strategie en controleren bijvoorbeeld de patchstatus van het onderliggend OS. Elke keer dat een gebruiker databronnen binnen het bedrijf benadert, vindt een validatie plaats.
De nieuwe categorie veilige browsers staat in de belangstelling bij investeerders als veelbelovende ontwikkeling. In november sloot Talor Cyber Security een financieringsronde voor 100 miljoen dollar en in maart staken risico-investeerders 115 miljoen dollar in Island, waarmee het bedrijf slechts enkele weken nadat het uit de 'stealth'-modus kwam al een marktwaarde bereikte van 1,3 miljard dollar.
Populaire browsers beschermen
Een nadeel van deze aanpak is wel dat organisaties het gebruik van een specifieke browser moeten afdwingen. Een alternatieve aanpak die dat probleem niet kent, is browser isolation. Gebruikers kunnen dan een standaard browser gebruiken, maar de interactie met servers op afstand wordt uitgebreid gecontroleerd. Eigenlijk kent deze bescherming drie varianten, namelijk remote browser isolation, een on-premises-variant en een variant die op het apparaat van de gebruiker draait (client-side).
In alle gevallen wordt een aantal veiligheidsmaatregelen afgedwongen bij het gebruik van browsers. Zo wordt bijvoorbeeld de browsersessie compleet gewist nadat de gebruiker klaar is met de toepassing. Daarbij worden alle cookies en downloads gewist, waardoor eventuele malafide code wordt verwijderd. Maar ook tijdens het gebruik van de browser vindt een controle plaats op de activiteiten van de werknemers.
Bedreigingen buiten de deur houden
In geval van remote browser isolation worden de opschoningsoperaties uitgevoerd door een cloud service provider. Bij het opvragen van een URL, wordt het verkeer omgeleid via een server van de dienstverlener, ontdaan van verdachte code en vervolgens doorgestuurd naar degene die de pagina heeft opgevraagd zodat deze er op een normale manier mee kan werken.
Er zijn ook weer drie manieren waarop dat doorsturen kan gebeuren. In sommige gevallen wordt in feite een video van de betreffende pagina doorgestuurd, waarbij de acties die de gebruiker vervolgens onderneemt, worden uitgevoerd op de werkelijke pagina die op de server van de dienstverlener draait. Deze vorm heeft als nadeel dat er veel vertraging optreedt en niet alle elementen op de website altijd goed werken.
Een andere manier is dat de pagina wordt geschoond en getest op de remote server en opnieuw opgebouwd (DOM rewriting). Vervolgens gaat de nieuwe code naar de browser van de eindgebruiker. Deze aanpak werkt niet altijd met alle elementen die op websites worden gebruikt.
Een derde manier is dat een vectorafbeelding van de pagina die op de server van de dienstverlener wordt geopend, naar de eindgebruiker wordt gestuurd.
Vertragingen verminderen
Wanneer een organisatie kiest voor on premises of voor client-side browser isolation gebeurt in feite hetzelfde als bij remote browser isolation, alleen worden de acties uitgevoerd op een server bij de organisatie zelf. Die aanpak kan ervoor zorgen dat problemen met vertragingen wat worden beperkt. Alle activiteiten vinden plaats in een sandbox-omgeving zodat eventueel onderschepte malafide code geen toegang krijgt tot machines binnen de organisatie.
Hoewel beide strategieën - enterprise browsers en browser isolation - nadelen kennen, helpen ze wel de beheerder meer grip te krijgen op de bedreigingen die zich via de browser aandienen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee