BLOG – In de stroom security-initiatieven om identiteiten, omgevingen, endpoints en applicaties te beschermen, zien we een aspect over het hoofd. De meest gebruikte bedrijfsapplicatie aller tijden, de webbrowser, krijgt nauwelijks aandacht van security-specialisten. Waarschijnlijk omdat de browser zo’n vertrouwd en doorontwikkeld middel is. Maar we gebruiken consumenten-tools voor zakelijke doeleinden en bij elke andere applicaties zouden we daar iets van vinden.
Browsers zijn in de huidige cloud-first-omgevingen de toegangspoort tot kritieke bedrijfsmiddelen en bevatten vaak gevoelige informatie, zoals gebruikersgegevens en cookies, waardoor ze een interessant doelwit zijn voor aanvallers. Toch staat browserbeveiliging zelden op de prioriteitenlijst van security-teams. Ze dekken de risico’s af met andere middelen. Vaak effectief, maar is het voldoende?
Browsers zijn gemaakt voor gemak in plaats van bescherming. Hierbij maken we nauwelijks onderscheid tussen consumenten en zakelijke gebruikers. Ze bieden hierdoor minder controle en zichtbaarheid die security-teams nodig hebben om potentiële beveiligingsrisico’s te beperken. We proberen allerlei browsergerelateerde kwetsbaarheden, zoals cookie hijacking, malware-aanvallen op onbeheerde endpoints en ongeautoriseerde gebruikerstoegang tegen te gaan op andere punten in een it-omgeving. De browsers zijn losgekoppeld van een brede end-to-end-infrastructuur voor identiteitsbeveiliging, waardoor de identiteiten van werknemers en hun acties binnen browseromgevingen vaak verborgen blijven voor beveiligingsteams. Er is geen zicht op wat ermee gebeurt.
Bedrijfsbronnen
Van werknemers tot externe leveranciers, iedereen gebruikt een browser om toegang te krijgen tot de vertrouwelijke bedrijfsbronnen die nodig zijn om het werk te doen. Vaak gaat dit dus met een browser die niet de goede bescherming biedt en ook nog gebruikt wordt om persoonlijke cloud-omgevingen te benaderen. Zelfs organisaties met een iam (identity and access management)-strategie en speciale pam (privileged access management)-oplossingen zijn door kwetsbaarheden in de browser gemakkelijk bloot te stellen aan potentiële bedreigingen en kwetsbaarheden.
Browsers zijn gemaakt voor gemak in plaats van bescherming
Onder de risico’s vallen niet-geverifieerde extensies die (zonder het te weten) gegevens kunnen uploaden naar onbekende servers, het installeren van tools om preventieve controles te omzeilen en het opslaan van wachtwoorden. Het is dus van belang om een allesomvattende identity security-strategie inclusief endpoints en browsers op te zetten op basis van intelligente privilegecontroles om elke identiteit met toegang tot de kern van een onderneming te beveiligen.
Het eenvoudige antwoord zou zijn om de identiteitsgebaseerde aanpak die voor al het andere wordt gebruikt uit te breiden naar browsers. Dit geeft it-teams het overzicht om ervoor te zorgen dat alle identiteiten van werknemers, leveranciers en externe medewerkers zich houden aan risicotolerante praktijken, geleid door de principes van least privilege– en just-in-time-toegang. Maar is het zo eenvoudig?
Gekaapt
Een zakelijke browser kan veel toegevoegde waarde hebben als deze wordt gecombineerd met een bestaande beveiligingsinfrastructuur. Een ‘bedrijfsbrowser’ kan bijvoorbeeld voorkomen dat cookies worden gekaapt door ze op te slaan op beveiligde servers. Hierdoor kunnen organisaties gevoelige gegevens buiten het bereik van aanvallers houden, zodat websessies, gegevens en accounts van gebruikers beschermd blijven.
Maar een nieuwe browser introduceren, terwijl iedereen gewend is aan zijn Edge, Chrome, Safari of Firefox, of een van de vele andere? Lastig, tenzij we het simpel maken. Een zakelijke browser moet dezelfde gebruikerservaring bieden die we gewend zijn. Onder de motorkap moet de beveiliging zitten, maar de look & feel en functionaliteit moeten herkenbaar zijn. Via policies is af te dwingen dat gebruikers niet alsnog uitwijken naar een standaard-consumentenbrowser.
Onder die motorkap moeten bedrijfsbrowsers worden geleverd met ingebouwde besturingselementen die de toegang tot privileged data en systemen kunnen uitbreiden met behulp van native integratie. Zo kunnen gebruikers met de juiste rechten hun werk kunnen blijven doen, en kunnen beveiligingsteams de activiteiten van eindgebruikers binnen browsersessies met een hoog risico controleren, het browsen op basis van policies afdwingen en misbruik van vertrouwelijke bedrijfsgegevens voorkomen.
Door samen te werken met andere defense-in-depth-oplossingen zoals multi-factorauthenticatie, single sign-on en sessiemonitoring, kunnen bedrijfsbrowsers een vergelijkbare en snelle ervaring bieden terwijl identiteiten, endpoints, wachtwoorden en referenties worden beveiligd tegen pre- en post-authenticatieaanvallen.
Missen
Onze vertrouwde browsers zijn niet gebouwd voor zakelijk gebruik. Ze staan te veel op zichzelf en missen maatregelen met het oog op identiteitsgerichte bedreigingen. Voor optimale beveiliging en een naadloze gebruikerservaring moeten een zakelijke browser en de huidige beveiligingsoplossingen samenwerken om te zorgen voor een identiteitsgebaseerde beveiligingsoplossing waarmee moderne aanvallen zijn te voorkomen.
Ik ken iemand die die omgekeerde waterfles apparaten verkocht, die je zoveel zag op kantoren. Als je zo met water geld kan verdienen, dan zat je goed. Misschien nu datzelfde voor webbrowsers. Want natuurlijk verkoopt Cyberark die zooi. Voor slechts enkele tientallen euro’s per maand browse jij al veilig het internet op. Schrijf je nu in voor een gratis bangmaak gesprek bij Cyberark !
https://techpulse.be/nieuws/467413/na-18-jaar-0-0-0-0-day-in-browsers-eindelijk-opgelost/
Voorbij een 18 jaar oude bug waar alleen MAC en LINUX systemen kwetsbaar voor zijn wijst Bart in zijn rol van WC-eend op het fenomeen dat het ontsluiten en delen van informatie middels de browser centraal staat.
Dat is een (SOA) architectuur keus die voortkomt uit alle ellende met gedistribueerde fat clients en de daarbij behorende datalekken. Want een toegangsportaal dat gebruikers naar de informatie brengt in plaats van data naar de gebruiker heeft voordelen. Zo wordt het bijvoorbeeld makkelijker om conform wetgeving de toegang tot bepaalde informatie te loggen.
Een audit wringt misschien met de privacy van de gebruiker omdat nieuwsgierigheid geen rechtmatige reden is want de principes van least privilege zijn leuk op papier maar de werkelijkheid gaat om een controle. Want beschermen van het middel tot toegang versus toegang tot de informatie blijkt niet de browser het probleem.