انزوای مرورگر به یک کنترل امنیتی پیشفرض در سازمانها تبدیل میشود
مرورگر به یکی از مهمترین محیطهای عملیاتی در سازمان تبدیل شده است. کارمندان از طریق برنامههای SaaS کار میکنند، لینکهای ایمیل و چت را باز میکنند، به پورتالهای پیمانکاران دسترسی پیدا میکنند، اسناد مشترک را مرور میکنند و به سیستمهای اصلی احراز هویت میدهند، همه اینها از طریق یک نشست وب. این تمرکز فعالیت، مرورگر را به یکی از جذابترین سطوح حمله در امنیت مدرن تبدیل کرده است.
تز اصلی که اکنون در حال گسترش است این است که انزوای مرورگر در حال تبدیل شدن به یک کنترل پیشفرض است، نه یک افزونه تخصصی. منطق آن عملی است: اگر وب جایی است که کاربران باید کار کنند، محتوای وب پرخطر باید بهطور پیشفرض از نقطه پایانی دور اجرا شود. فروشندگانی مانند Zscaler مدتهاست که انزوای مرورگر از راه دور را به عنوان sandbox ابری معرفی کردهاند، در حالی که Gartner این دسته را به عنوان یک بازار شناخته شده در نظر گرفته است، نه یک تکنیک حاشیهای. این ترکیب نیاز عملیاتی و بلوغ بازار، انزوا را به جریان اصلی میکشاند.
انزوای مرورگر دقیقاً چه چیزی را تغییر میدهد
لایههای سنتی امنیت مرورگر اغلب بر فیلتر کردن، تشخیص، وصله و آموزش کاربر تمرکز دارند. این موارد همچنان مهم هستند، اما فرض میکنند که مرورگر نقطه پایانی به ارائه و اجرای محتوای بالقوه خصمانه به صورت محلی ادامه خواهد داد. انزوای مرورگر مدل اعتماد را تغییر میدهد. به جای آوردن کد وب به دستگاه کاربر، آن محتوا را در یک محیط از راه دور اجرا میکند و یک جریان نمایش ایمن یا نشست واسطهای را بازمیگرداند.
این مهم است زیرا قرار گرفتن در معرض بارگیریهای drive-by، اسکریپتهای مخرب، کیتهای بهرهبرداری و محمولههای وب ناشناخته را کاهش میدهد. هدف پیشبینی هر صفحه بد نیست. فرض این است که وب غیرقابل پیشبینی است و باید آن غیرقابل پیشبینی را در جایی امنتر مهار کرد.
چرا این کنترل اکنون مرتبطتر میشود
الگوهای کاری سازمانی باعث شده است که خطر مرورگر با مرزهای قدیمی به سختی مهار شود. کاربران بین دستگاههای مدیریت شده، زمینههای BYOD، پیمانکاران شخص ثالث و شبکههای ترکیبی حرکت میکنند. در عین حال، برنامههای وب اکنون دادهها و مجوزهایی را حمل میکنند که زمانی پشت نرمافزارهای کلاینت سنگین یا شبکههای داخلی به شدت تقسیمبندی شده قرار داشتند.
این بدان معناست که یک نشست مرورگر آلوده میتواند به یک مشکل جدی تجاری تبدیل شود، نه فقط یک مزاحمت دسکتاپ. تیمهای امنیتی با سرمایهگذاری در کنترلهای هویت، وضعیت دستگاه، دروازههای وب امن و دسترسی zero trust پاسخ دادهاند. انزوای مرورگر به طور طبیعی در این معماری جای میگیرد، زیرا مستقیماً با لایه اجرایی که بسیاری از تهدیدهای وب در آن فرود میآیند، سروکار دارد.
ابر sandbox آسانتر از پیشگیری کامل قابل توجیه است
چارچوببندی sandbox ابری Zscaler مؤثر است زیرا انزوا را برای خریداران امنیتی قابل فهم میکند. به جای وعده دستهبندی کامل هر تهدید، انزوا عواقب اشتباه را کاهش میدهد. یک سایت مشکوک، فایل ناشناخته یا دسته پرخطر را میتوان در یک کانتینر از راه دور باز کرد و از نقطه پایانی و زمینه شبکه محلی دور نگه داشت.
این جذابیت عملیاتی قوی دارد. تیمهای امنیتی دیگر نیازی ندارند فقط بین مسدود کردن و مجاز کردن یکی را انتخاب کنند. آنها یک گزینه سوم دارند: مجاز کردن با مهار. این به ویژه برای تیمهای تحقیقاتی، کاربران مالی، همکاری خارجی و نقشهایی که مرتباً با سایتها یا اسناد ناآشنا مواجه میشوند، مفید است.
چرا استفاده پیشفرض گام بعدی است
از نظر تاریخی، برخی سازمانها انزوای مرورگر را فقط برای مجموعه کوچکی از کاربران پرخطر مستقر میکردند. این کار زمانی منطقی بود که فناوری جدیدتر، گرانتر یا کمتر یکپارچه بود. اما با جهانی شدن کار مبتنی بر وب، تعریف ریسک بالا گسترش یافته است. همچنین امکان فنی استقرار انزوا با اصطکاک کمتر کاربر نیز افزایش یافته است.
حرکت به سمت استفاده پیشفرض لزوماً به این معنا نیست که هر نشست وب به یک روش کاملاً ایزوله شود. بیشتر اوقات، به این معناست که سازمانها در حال درمان انزوا به عنوان یک ابزار خطمشی استاندارد هستند. لینکهای غیرقابل اعتماد، دستهبندیهای ناشناخته، مرور شخصی، دستگاههای مدیریت نشده و جریانهای دانلود حساس میتوانند به عنوان بخشی عادی از خطمشی، اجرای از راه دور را فعال کنند، نه یک تشدید استثنایی.
انزوای مرورگر در پشته گستردهتر کجا قرار میگیرد
انزوای مرورگر جایگزینی برای حفاظت از نقطه پایانی، امنیت هویت، وصله یا کنترلهای دسترسی امن نیست. بهترین عملکرد آن به عنوان یک لایه جبرانی و مکمل است. در terms zero trust، این محدود میکند که محتوای وب فعال حتی پس از مجاز شدن کاربر برای دسترسی به آن، چه کاری میتواند انجام دهد.
همچنین برای مدلهای دسترسی پیمانکاران و اشخاص ثالث مناسب است. به جای ارسال اعتماد گسترده به دستگاههای خارجی، سازمانها میتوانند مسیرهای دسترسی مبتنی بر مرورگر با مهار قوی ارائه دهند. این میتواند نیاز به مدیریت کامل هر نقطه پایانی را کاهش دهد و در عین حال قرار گرفتن در معرض را کاهش دهد.
خریداران باید به چه نکاتی توجه کنند
سوالات عملی در مورد تجربه کاربر، دقت خطمشی و یکپارچهسازی است. اگر مرور ایزوله کند باشد یا سایتهای ضروری را خراب کند، پذیرش کاهش مییابد. اگر خطمشیها خیلی کلی باشند، تیمها بیش از حد ایزوله میکنند و اصطکاک ایجاد میشود. اگر لاگها و کنترلها با بقیه پشته امنیتی یکپارچه نشوند، تحلیلگران دید خود را از دست میدهند.
رهبران امنیتی باید آزمایش کنند که انزوا چگونه با دانلود فایل، جریانهای احراز هویت، کنترلهای کپی-پیست، چاپ، آپلود و سازگاری SaaS برخورد میکند. بهترین راهحلها باعث میشوند که مهار به جای تنبیهی، عادی به نظر برسد. هدف محافظت از کاربران بدون آموزش دور زدن سیستم است.
نکات عملی قابل اجرا
- مرورگر را به عنوان زیرساخت اصلی در نظر بگیرید: خطمشی امنیتی باید نشان دهد که چقدر فعالیت تجاری اکنون در نشستهای وب انجام میشود.
- از انزوا به عنوان گزینه سوم استفاده کنید: برای محتوای پرخطر، فقط بین مسدود کردن و مجاز کردن یکی را انتخاب نکنید. مجاز کردن با مهار اغلب بهتر است.
- با جریانهای پرخطر شروع کنید: لینکهای ناشناخته، مرور شخصی، دستگاههای مدیریت نشده و دانلودهای حساس اولین نامزدهای قوی هستند.
- اصطکاک کاربر را با دقت اندازهگیری کنید: عملکرد، سازگاری SaaS و تداوم گردش کار تعیین میکنند که آیا انزوا موفق است.
- با معماری zero trust یکپارچه کنید: انزوای مرورگر در ترکیب با هویت، وضعیت دستگاه و کنترلهای دسترسی وب امن قویترین است.
انزوای مرورگر در حال تبدیل شدن به یک کنترل پیشفرض سازمانی است، زیرا مرورگر دیگر یک کانال جانبی نیست. جایی است که کار انجام میشود. وقتی تیمهای امنیتی این واقعیت را بپذیرند، مهار از راه دور کمتر یک ویژگی تخصصی و بیشتر یک انتخاب طراحی بدیهی میشود.