Zabezpečené webové prohlížeče optimalizované pro firemní použití

Webový prohlížeč už dlouho představuje bezpečnostní žumpu podnikové infrastruktury. Přestože se e-mail často uvádí jako nejběžnější vstupní bod, pronikne malware mnohdy právě přes prohlížeč a obrana je v takovém případě obtížnější.

Phishing, útoky drive-by, ransomware, injektáž SQL, útoky MITM (Man-In-The-Middle) a další způsoby ataků – ty všechny využívají výhody chatrného uživatelského rozhraní browseru, obrovského útočného prostoru a naivity většiny koncových uživatelů.

Je to právě poslední položka – lidé –, která představuje největší problém. Jinými slovy, potřebujeme ochranu před námi samotnými.

Platí to zejména proto, že využívání aplikací SaaS roste, nemluvě o tom, že snad každý kus hardwaru se dodává s vlastním webovým serverem pro jeho konfiguraci, takže je nutný prohlížeč.

Tyto případy použití se kvůli pandemii rozšiřují o rostoucí počet zaměstnanců pracujících z domova, jejichž činnost závisí na mnoha aplikacích zpřístupněných právě přes prohlížeče.

Ano, webové prohlížeče mají nastavení zabezpečení, které chrání vaše soukromí a umožňují vám procházet weby anonymně. To ale ve skutečnosti není moc uspokojivé řešení, protože tato nastavení obvykle vedou k větší frustraci uživatelů.

Zapnutí bezpečnostních prvků totiž vašim uživatelům zabrání pracovat s mnoha weby. Například zablokování vyskakovacích oken může přerušit navigaci či jiné funkce, formuláře přestanou zaznamenávat důležité informace nebo bude vaše práce s prohlížečem nějakým jiným způsobem neuspokojivá.

Brave, DuckDuckGo, RAV Online Security a další patří mezi bezpečnější prohlížeče zaměřené na spotřebitele, ale nejsou vhodné pro podnikové nasazení. Jsou spíše tím, co by se dalo  nazvat jako „bezpečnější“ prohlížeče nabízející „více soukromí“.

Někteří dodavatelé si vzali k srdci doporučení specifikace GPC (Global Privacy Control) a vyvinuli svá vlastní rozšíření prohlížeče, jež pomáhají chránit vaše individuální soukromí. Všechny tyto prohlížeče jsou určitě lepší než tradiční rozšířené browsery, ale stále nejsou dost dobré pro firemní použití.

Ke správě celé kolekce prohlížeče je potřeba jiný typ nástrojů. Přestože některé podnikové bezpečnostní produkty souvisejí se zabezpečením práce s prohlížečem – např. brány pro zabezpečení webu (SWG, Secure Web Gateways) a spouštění prohlížeče ve virtuálním desktopu nebo používání služby spravovaných koncových bodů – nezaměřují se na celkovou zkušenost práce s prohlížečem a nedokážou zastavit mnoho potenciálních způsobů útoků.

Naštěstí existují zabezpečené prohlížeče dostupné v různých konfiguracích, které mohou pomoci správcům IT získat lepší pozici při obraně před snahou útočníků dostat se do našich sítí.

Podívali jsme se na čtyři prohlížeče v různých konfiguracích:

• Enterprise Web Access Browser od společnosti Appaegis
• TalonWork od společnosti Talon Cyber Security
• Advanced Browser Security od společnosti Perception Point
• Silo od společnosti Authentic8

Takový produkt má i firma Island, ale do přehledu si nepřála být zařazená. Všechny tyto produkty jsou postavené nad prohlížečem Google Chromium. Kvůli potřebě jejich všudypřítomnosti musejí mít zabezpečené podnikové prohlížeče povinnou sbírku funkcí, aby to mělo smysl.

Tipy pro posouzení

Než začnete s posuzováním, musíte porozumět tomu, jak tyto prohlížeče fungují a jak se uskutečňuje jejich správa.

Za prvé je potřebná robustní a podrobná sada bezpečnostních nastavení, aby mohly fungovat s co nejširší sadou webů a cloudových služeb.

To se musí dít z centrální platformy správy, která může aplikovat sadu pravidel a zásad podobných firewallu pro všechny uživatele. Zahrnuje to několik širokých kategorií:

• Zapnutí vícefaktorové autentizace na začátku jakékoli relace prohlížeče ve výchozím nastavení.
• Implementace principu izolace uživatelské relace pro všechny aplikace, aby nemohlo docházet ke vzájemnému infikování. To znamená kontrolu nad pohybem dat mezi prohlížečem, vaším konkrétním koncovým bodem a příslušnou aplikací či webovou aplikací.
• Řízení přístupu ke konkrétním webovým adresám, ať už ve smyslu povolení či blokování přístupu.
• Detekce malwaru, blokace phishingu, útoků MITB a dalších útoků.
• Opatření na ochranu proti únikům dat, která zahrnují nastavení prohlížeče, jako je blokování reklam, filtrování URL a domény, blokování tisku, funkce kopírování a vložení a sdílení obrazovky. Tato nastavení by měla umět spravovat rozšíření prohlížeče takovým způsobem, aby je uživatel nemohl vypnout ani obejít.
• Zpřístupnění řady nástrojů pro protokolování, které pomáhají při nápravě či rekonstrukci v případě útoků a poškození dat.
• Zapnutí anonymního prohlížení pro případy, kdy je to potřeba, jako je například ochrana mobilních uživatelů v lokalitách s totalitními režimy.
• Zapnutí chráněného a zabezpečeného úložného prostoru pro soubory, který lze sdílet s týmem spolupracovníků.

Za druhé, každý prohlížeč musí umožňovat integraci s používanými bezpečnostními produkty, jako je např. správa identity, zabezpečení cloudových aplikací, jednotné přihlašování (SSO) a sítě VPN.

To je samozřejmě velké množství softwaru, ale podniky nechtějí v každém takovém případě znovu vynalézat kolo. Například Talon nabízí integraci s antimalwarovou ochranou Crowdstrike Falcon a všechny čtyři nástroje nabízejí integraci s různými poskytovateli identit přes SAML a v některých případech i OAuth.

Dále musí být prohlížeč dostupný v několika různých možnostech balení. První je podpora „tlustých“ klientů Windows a MacOS (což znamená, že obvykle používají virtuální stroj k oddělení od zbytku prostředí desktopu).

Všimněte si, že jen pár těchto produktů nabízí další podporu pro klienty Android, iOS a Linux.

Tyto prohlížeče musejí mít také „tenkého klienta“, který může běžet ze spravované cloudové služby, a rozšíření prohlížeče, jež může přidat některé z jeho bezpečnostních funkcí k tomu, co v současné době používáte ve svém prostředí desktopu či v mobilním zařízení.

Přehledová tabulka ukazuje dostupnost pro jednotlivé dodavatele. Ani jeden z nich nepokrývá úplně všechno, takže musíte rozumět nedostatkům i případným škodlivým následkům, které by to mohlo mít.

Přestože všechny tyto produkty jsou upravené verze Chrome, obvykle využívají linuxové virtuální stroje. To by mohl být problém, pokud se snažíte používat webový obsah, který není přátelský k linuxové platformě, jako např. některé streamovací služby.

Dobrá zpráva je, že se zabezpečené prohlížeče vyrovnávají standardním prohlížečům desktopových počítačů a nejnovějším verzím prohlížeče Chrome, jak je vidět z výsledků webu HTML5test.com.

Největším problémem pro implementaci těchto prohlížečů bude personál a podpora. Začíná to integrací s dalšími firemními produkty zabezpečení a vyškolením uživatelů pro práci s webem v rámci nového a snad bezpečnějšího režimu.

Bude to představovat významnou zátěž pro vaše vlastní interní zdroje, které budou muset obsloužit různé požadavky na lince technické podpory od zmatených nebo frustrovaných uživatelů, když budou zažívat neočekávané výsledky při svém používání prohlížeče.

Během testů autor narazil na několik problémů a měl potíže získat včasné odpovědi od všech čtyř dodavatelů.

A nakonec je zde cena. Můžete očekávat platby asi deset dolarů měsíčně za uživatele v případě předplatného a případně množstevní slevy. Ale jen jeden dodavatel, Appaegis, má úplnou transparentnost cen.

Zabezpečené podnikové prohlížeče

Zdroj: Foundry

• Enterprise Web Access Browser

Prohlížeč Appaegis Enterprise Web Access Browser nabízí spravovaného klienta pro systémy Windows a Mac, který běží jako instance Linux Chrome Dev 101 uvnitř vašeho současného lokálního prohlížeče, ale v chráněném prostředí.

Nabízí širokou řadu zásad, přístupových rolí a aplikací, které jsou nakonfigurované podobně jako firewall. Vícefaktorová autentizace (MFA) je dostupná, ale není zapnutá ve výchozím nastavení.

Vytváří také protokoly o přístupu uživatelů, aplikací a dalších podrobnostech a nabízí zabezpečené připojení SSH a RDP z prohlížeče. Má hlavní informační a řídicí panel, který velmi připomíná nástroj SSO pro spuštění chráněných webových aplikací.

Ceny jsou veřejné a společnost Appaegis nabízí bezplatné i placené varianty. Ceny začínají na deseti dolarech za uživatele měsíčně s množstevními slevami.

K dispozici je integrace API pro služby správy identit Okta a Azure AD i různé trezory pro klíče na platformách AWS, Azure, HashiCorp a Keeper. Prohlížeč získal nejvyšší skóre ze všech zabezpečených prohlížečů na webu HTML5test: 526.

• Silo

Společnost Authentic8 nabízí zabezpečený prohlížeč již více než osm let a nadále ho zlepšuje a rozšiřuje svou nabídku služeb.

Dokáže poskytnout obousměrnou plnou izolaci i integraci do zavedených pracovních postupů a poskytuje širokou řadu bezpečnostních zásad, které nabízejí detailní kontrolu nad ochranou vašich aplikací a dat.

Má hlavní informační a řídicí panel, který velmi připomíná nástroj SSO pro spuštění chráněných webových aplikací.

Silo nabízí dvě různé možnosti stahovaných klientů: tlustý klient a tenký klient. Oba lze spravovat centrálně a přes připojení API – obojí spustí linuxovou relaci Chrome Dev 101.0.4951.49.

Prohlížeč získal na webu HTML5Test skóre 474 (a rozšíření dostalo 476). Přestože dodavatel neodhalil specifika cen, jsou dostupné dva tarify: za každého uživatele, nebo za dobu využívání v hodinách.

• Advanced Browser Security

Společnost Perception Point koupila Hysolate a začlenila získané funkce do své produktové řady Advanced Browser Security. Software má funkci „rentgenu“, která automaticky otevírá jakékoli přílohy v režimu karantény s různými verzemi aplikace Microsoft Word za účelem detekce potenciálních hrozeb.

Probíhá to téměř v reálném čase – v řádu sekund. Software se nabízí jako bezplatný tlustý klient pro systémy Mac a Windows a jako spravovaný prohlížeč nebo rozšíření s cenou od pěti dolarů za uživatele měsíčně s možností množstevních slev.

Řada softwarových zásad není tak velká jako v případě Authentic8.Skóre získané z testu HTML5Test (přes Chrome 104 na Linuxu) je 474. Na autorově počítači Mac byly problémy se stabilitou a software se musel nainstalovat znovu.

Klient pro Mac nepodporuje prohlížení žádného chráněného obsahu včetně všech filmů na Netflixu.

• TalonWork

Browser TalonWork má pouze podobu tlustého klienta pro platformy Windows a Mac. Dostupnost finálních verzí pro platformy Android a iOS se očekává v nejbližší době. Má plně spravovanou sadu funkcí, která zahrnuje funkce prevence úniku dat, rozsáhlé protokolování a velké množství zásad a pravidel.

Stejně jako u některých dalších prohlížečů můžete pro spouštění aplikací nakonfigurovat hlavní jednotné přihlášení (jako SSO). Zkontroluje stav koncového bodu, zda používá nejnovější verzi operačního systému, a zjistí riziková rozšíření prohlížeče a omezené adresy URL, které můžete zadat.

Společnost ceny nezveřejňuje. Skóre testu HTML5Test bylo 476 při spuštění na chráněném klientu MacOS Chrome 105.