В умовах домінування нових типів облікових записів, середовищ та методів атак у сучасному ландшафті загроз, лідери з кібербезпеки приділяють значну увагу захисту доступів, щоб максимально убезпечити свої підприємства. Однак існує суттєва прогалина в безпеці, яку активно використовують зловмисники для викрадення конфіденційних даних. І, як не дивно, вона криється у найпоширенішому корпоративному додатку всіх часів — веббраузері.

У сучасному світі, де все частіше використовують хмарні технології, браузери слугують порталом для доступу до найбільш важливих активів компанії та зберігають конфіденційну інформацію, таку як облікові дані користувачів і файли cookie, що робить їх основною мішенню для зловмисників. Проте, за іронією долі, безпека браузерів зрідка потрапляє до списку пріоритетів команд безпеки, що робить підприємства вразливими до атак.

Здавалося б, така проста на перший погляд практика — або її відсутність — пояснюється насамперед тим, що організації продовжують використовувати для корпоративних потреб браузери, орієнтовані на споживача. Створені для зручності, а не для захисту, ці браузери надають доступ, але не захищають його, і їм бракує контролю та видимості, необхідних командам безпеки для зменшення потенційних інцидентів безпеки. Це наражає організації на різні вразливості через браузер до і після автентифікації, такі як перехоплення файлів cookie, атаки шкідливого програмного забезпечення на некеровані кінцеві точки та несанкціонований доступ користувачів, що призводить до витоку даних.

У дедалі складнішому ІТ-світі браузери, від'єднанні від широкої наскрізної інфраструктури безпеки облікових даних, становлять величезну загрозу для підприємств. Наприклад, ідентифікаційні дані працівників та їхні дії в середовищі браузера часто залишаються прихованими від служб безпеки. Це "ахіллесова п'ята", яка дозволяє зловмисникам непомітно викрадати конфіденційні дані.

Тому керівники служб безпеки потребують рішення, яке б інтегрувало фундаментальну стратегію захисту облікових даних у середовище браузера та на різних рівнях з наявною інфраструктурою, щоб ефективно збалансувати безпеку підприємства та продуктивність персоналу.

Захист корпоративного веббраузера за допомогою підходу, орієнтованого на облікові записи

У міру того, як організації мігрують до хмарних технологій і зростає кількість працівників, веббраузери стають невіддільною частиною корпоративних процесів. Від співробітників до сторонніх постачальників — всі використовують браузер для доступу до конфіденційних корпоративних ресурсів, необхідних для виконання своєї роботи.
Але разом з доступом приходить і ризик, а його зменшення вимагає глибокої видимості кінцевого користувача і контролю безпеки, які традиційні браузери не можуть забезпечити. Додатковим ризиком є те, що працівники часто використовують той самий робочий браузер для доступу до своїх персональних даних у хмарних консолях. Це може створити більше можливостей для порушень, проникнення інсайдерів та атак шкідливого програмного забезпечення.
Навіть для організацій, які мають стратегію управління доступом до облікових даних (IAM) та спеціальні рішення для управління привілейованим доступом (PAM), вразливості в браузерах можуть легко наражати їх на потенційні загрози та зломи.
Нижче наведено декілька поширених можливостей браузерів, які в корпоративному середовищі можуть становити серйозну загрозу безпеці: ● Дозволяють користувачам встановлювати неперевірені розширення, які можуть таємно завантажувати дані на сервери, контрольовані зловмисниками. ● Надають працівникам підприємства вбудовані інструменти для обходу превентивних засобів контролю, запроваджених організацією. ● Надають користувачам можливості зберігати паролі до всіх своїх додатків — робочих і особистих — у вбудованих менеджерах паролів, які схильні до зломів.
Без належного захисту зловмисники можуть використовувати ті самі базові функції, що призначені для зручного перегляду вебсторінок, задля здійснення зловмисних дій. Яскравим прикладом є перехоплення файлів cookie, коли зловмисники викрадають, підробляють, змінюють файли cookie з вебсесій користувачів, або маніпулюють ними, щоб отримати несанкціонований доступ до конфіденційних ресурсів. Це відносно простий вектор атаки після автентифікації, в якому суб'єкт загрози робить три кроки: ● Діє як самозванець, щоб перехопити файли cookie після того, як сеанс було автентифіковано. ● Відтворює файл cookie в сеансі, щоб обійти багатофакторну автентифікацію (MFA). ● Перехоплює поточні сеанси для крадіжки даних, переміщення в інші сеанси та підвищення привілеїв для порушення роботи.
Суть полягає в тому, що підприємствам потрібна комплексна стратегія захисту облікових записів, заснована на інтелектуальному контролі привілеїв, яка виходить за рамки кінцевих точок і поширюється на браузери, щоб захистити облікові дані кожного співробітника, який має доступ до самого центру вашого підприємства.
Отже, що потрібно для інтеграції браузерів з ширшою інфраструктурою безпеки?
Проста відповідь полягає в тому, щоб поширити на браузери підхід на основі облікових даних, який використовується для всього іншого. Це дало б ІТ-командам можливість гарантувати, що всі ідентифікаційні дані працівників — співробітників, постачальників і віддалених працівників — відповідають практикам, толерантним до ризиків, керуючись принципами найменших привілеїв (PoLP) і доступу "just-in-time" (JIT).

Подолання сучасного ландшафту загроз за допомогою корпоративного браузера, орієнтованого на облікові дані

Справжню цінність корпоративного браузера можна реалізувати в поєднанні з наявною інфраструктурою безпеки. Наприклад, корпоративні браузери можуть запобігти перехопленню файлів cookie, зберігаючи їх на захищених серверах. Це дозволяє організаціям тримати конфіденційні дані поза досяжністю зловмисників, водночас вебсесії, дані та облікові записи користувачів залишаються захищеними.

Корпоративні браузери також повинні мати вбудовані засоби керування, які можуть розширювати доступ до привілейованих цілей за допомогою вбудованої інтеграції, щоб дозволити командам безпеки відстежувати дії кінцевих користувачів у сеансах браузера з високим рівнем ризику, впроваджувати перегляд на основі політик і запобігати зловживанню конфіденційними корпоративними даними.

Працюючи разом з іншими рішеннями поглибленого захисту, такими як MFA, єдиний вхід (SSO) і моніторинг сеансів, корпоративні браузери можуть: ● Захищати облікові записи, кінцеві точки, паролі та доступ від атак до та після автентифікації. ● Надавати користувачам безпечний доступ до своїх ресурсів і додатків. ● Уніфікувати засоби контролю безпеки доступів, забезпечуючи конфіденційність для кожного з облікових записів на кожній кінцевій точці.

Подолання браузерних силосів, щоб збалансувати безпеку та продуктивність

У той час як традиційні браузери здебільшого є ізольованими і не пристосованими для розвʼязання проблем, пов'язаних із сучасними загрозами, орієнтованими на облікові дані, корпоративні браузери самі по собі можуть погіршити роботу користувачів через свої обмежувальні елементи керування.

Для забезпечення оптимального рівня веббезпеки та безперешкодної роботи співробітників корпоративний браузер і ваші поточні рішення для захисту повинні працювати разом, щоб прокласти шлях до системи безпеки на основі ідентифікаційних даних, яка здатна запобігти сучасним атакам.