Podobně jako sama scenérie hrozeb se i webové brány během let změnily. Dnes webové brány zajišťují mnohem více než jen dodržování předpisů a zásad personálního oddělení – organizace se spoléhají na webové brány při potlačování internetových hrozeb.
Přestože jsou zde webové brány desítky let a stále se vyvíjejí, nejsou, co se týče ochrany před hackery a malwarem, neprůstřelné – nepřiměřené spoléhání na ně přináší riziko pro data, uživatele, zákazníky, organizace i firemní pověst.
Guy Guzner, výkonný ředitel a spoluzakladatel firmy Fireglass, vysvětluje, proč webové brány nejsou neprůstřelné.
- Filtrování adres URL je vždy pozadu
Každou sekundu vzniká více než 500 nových webů, což generuje velké množství domén a zvyšuje to šanci, že něco z toho nebude zachyceno bezpečnostními kontrolami.
K tomu se přidává fakt, že mnoho adres URL, které útočníci používají, se aktivuje jen podle jejich cílů, mají krátkou životnost (méně než 24 hodin) a používají se pro ně dynamické domény, jež je těžší blokovat než ty statické.
- Blokování nekategorizovaných webů není řešení
Blokování nekategorizovaných webů dramaticky snižuje produktivitu koncových uživatelů. Nejenže to je nesnesitelné pro koncové uživatele, ale bezpečnostní týmy musejí řešit příval tiketů podpory pro uživatele, kteří oprávněně potřebují přístup k informacím, jež webové brány nejsou schopny klasifikovat.
Tato konfigurace vede k „peklu pravidel a zásad,“ kde končí bezpečnostní týmy, když musejí udržovat rostoucí – a skutečně bolestivé – množství zásad a pravidel.
- Dokonce i „bezpečné“ weby nakazí své návštěvníky
Přesvědčení, že se infekce vyskytují jen na webech, které jsou v kategorii podezřelých nebo škodlivých, je naprosto mylné. Společnost Forcepoint (dříve Websense) naopak odhaduje, že se 85 procent infekcí šíří přes legitimní a „bezpečné weby“.
Takzvané bezpečné weby se často používají k distribuci škodlivého obsahu z dalších zdrojů, nad kterými mají malou nebo vůbec žádnou kontrolu.
Dobrým příkladem může být malvertizing, kde dochází k injektáži škodlivé reklamy do legitimních internetových inzertních sítí, jejichž reklamu zobrazují vydavatelé, kteří nevědí, zda jsou reklamy škodlivé.
Dalším příkladem pak je, když útočníci využívají zranitelná místa samotných webů, aby přes ně distribuovali škodlivý obsah. Stalo se to při kompromitaci widgetu „Forbes Thought of the Day,“ pomocí kterého se čínští útočníci zaměřili na americké dodavatele pro ministerstvo obrany.
- Škodlivé soubory projdou webovými bránami
Přestože některé webové brány obsahují antivirové stroje a další služby pro skenování souborů, jsou při detekci malwaru méně účinné. Antivirové skenery zjistí jen 20 až 30 procent škodlivého kódu.
Využití sandboxů je také neefektivní, protože to vyžaduje čas na spuštění a analýzu souborů. Aby se zabránilo narušení uživatelské zkušenosti, webové brány často předávají soubory uživatelům, zatímco sandboxy dokončují jejich analýzu na pozadí, což je praxe nazývaná „2nd time prevention“ a v podstatě to znamená, že jsou uživatelé vystaveni útokům.
- Webové brány nedokážou neutralizovat malware v infikovaných počítačích
Pro webové brány je velmi těžké rozlišovat mezi legitimními a škodlivými přenosy či detekovat a neutralizovat malware v infikovaných počítačích. Ve skutečnosti je nyní dobře známé, že po infekci koncového bodu mohou zůstat útoky APT neodhaleny po dobu týdnů, či dokonce měsíců.
Nedávný výzkum zjistil, že 80 procent webových bran nedokázalo blokovat škodlivé odchozí přenosy. Trojské koně se vzdáleným přístupem (RAT, Remote Access Trojans) představují další jasný příklad toho, jak webové brány nedokážou zjistit a zastavit škodlivé přenosy.
Tento příspěvek vyšel v Security Worldu 2/2018. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU