Estensione di Zero Trust al browser Internet

L'ultima vulnerabilità di sicurezza dell'impresa distribuita

L'Internet pubblico è una fonte significativa di rischi informatici per qualunque organizzazione. I dipendenti che utilizzano Internet per lavoro o per scopi personali rischiano di essere esposti ad attacchi di phishing e malware, che utilizzano tecniche di social engineering e lo sfruttamento delle vulnerabilità del browser per rubare informazioni sensibili o eseguire codice maligno sul computer di un dipendente.

A prescindere dalla tattica, la maggior parte di questi attacchi ha lo stesso obiettivo: accedere alla rete privata dell'organizzazione.

Una serie di fattori, molti dei quali derivanti dalla pandemia di Covid-19, ha causato un aumento delle minacce basate sui browser, rendendo le aziende più vulnerabili a determinati tipi di attacchi. Tra questi fattori troviamo i seguenti:

• Gli aggressori sfruttano la confusione indotta dalla pandemia per stimolare il download di malware

• Il lavoro a distanza rende sempre più confusa la linea di demarcazione tra uso personale e professionale di Internet.

• Il lavoro a distanza obbliga i dipendenti a utilizzare dispositivi personali non protetti o protetti male

• I dipendenti accedono a una percentuale maggiore di applicazioni e dati tramite Internet pubblico, piuttosto che tramite una rete aziendale privata

• Strumenti di accesso da remoto improvvisati che consentono ai dispositivi compromessi di accedere senza limitazioni alle reti aziendali.

Le protezioni di sicurezza del perimetro aziendale tradizionale non sono più all'altezza del nuovo modo di fare business, ovvero all'interno di un browser Internet.

I modelli di attacco basati sui browser si stanno evolvendo

Internet è sempre stata una fonte di rischi informatici. Tuttavia, nel corso del tempo, i modelli di attacco si sono evoluti, soprattutto sulla scia del COVID-19 e del conseguente aumento del lavoro a distanza.

I tentativi di phishing sono in aumento

Uno dei cambiamenti più recenti e di più ampia portata nel panorama delle minacce informatiche è l'aumento degli attacchi di phishing.Il 42% delle piccole aziende e il 61% di quelle di grandi dimensioni ha registrato un aumento degli attacchi di phishing durante il periodo di quarantena.Secondo il Internet Crime Complaint Center (IC3) dell'FBI, il phishing è stato il tipo di reato più comune segnalato in concomitanza con l'aumento del lavoro a distanza. L'IC3 ha ricevuto un numero di segnalazioni doppio rispetto all'anno precedente.

Gli attacchi di phishing sono diffusi perché sono estremamente efficaci per il furto delle credenziali.Funzionano meglio in un ambiente di incertezza, dove le persone in cerca di informazioni sono più propense a cadere nelle truffe, come nel caso delle Olimpiadi invernali 2018.La pandemia di COVID-19 ha creato un ambiente ideale per il phishing, in quanto le persone cercano senza sosta notizie e informazioni relative al virus.

Il ransomware è in aumento

Il malware è un software dannoso che infetta computer, altri dispositivi connessi a Internet e persino intere reti.Una volta entrato in un dispositivo o in una rete, il malware può raggiungere una serie di obiettivi diversi, che vanno dal furto di dati agli attacchi ransomware .

Il malware è una categoria ampia e le varie forme di malware vengono più o meno utilizzate nel corso tempo. La minaccia complessiva, però, è destinata a permanere. Ad esempio, i ransomware tendono a essere sostituiti da minacce malware di cryptojacking come vettore di attacco dominante per i criminali informatici. Nel 2020, gli attacchi ransomware sono cresciuti del 465% poiché i criminali informatici hanno approfittato della pandemia.

Le minacce informatiche sono spesso diffuse tramite phishing o soluzioni di accesso remoto compromesse, ma possono anche essere integrate in un sito web palesemente dannoso o addirittura in un sito che è stato compromesso all'insaputa del suo proprietario. Per questo motivo, le aziende devono essere pronte a difendersi dalle minacce informatiche diffuse attraverso il browser Internet.

I controlli di sicurezza tradizionali non riescono a intercettare i nuovi attacchi

I gateway web sicuri (SWG) e i servizi proxy web sono soluzioni comuni ai rischi informatici della navigazione in Internet per i dispositivi remoti.Il traffico viene instradato attraverso queste soluzioni, che lo monitorano e lo filtrano per bloccare i tentativi di visita a siti sospetti o dannosi.In questo modo si evita che contenuti dannosi raggiungano il dispositivo del dipendente.

Gli SWG e i web proxy fruiscono abitualmente della threat intelligence che identifica le minacce note o i siti che violano i criteri definiti dagli amministratori. Tuttavia, essi non costituiscono una soluzione perfetta. Il panorama delle minacce su Internet è in continua evoluzione, in quanto gli aggressori creano nuovi siti web per supportare nuove campagne o per "riconfezionare" i siti esistenti.

Ciò significa che le organizzazioni devono spesso affrontare minacce zero-day e sconosciute, che gli SWG non sono in grado di rilevare. Gli amministratori hanno bisogno di ulteriori metodi per bloccare le minacce di cui non sono ancora a conoscenza.

L'adozione della browser isolation

Le limitazioni degli SWG e dei web proxy rendono impraticabile il blocco di ogni potenziale minaccia su Internet. Senza la possibilità di prevenire tutti gli attacchi, la soluzione migliore consiste nel ridurre al minimo il rischio potenziale che questi attacchi rappresentano.

Isolamento del browser ha guadagnato una certa popolarità per isolare la sessione di navigazione degli utenti dal loro dispositivo - invece di avvenire in container sigillati, spesso nel cloud, che vengono automaticamente distrutti al termine della sessione.In questo modo, è possibile impedire anche gli attacchi sferrati con successo da parte di minacce sconosciute e non rilevate di danneggiare effettivamente il dispositivo preso a bersaglio.

Tuttavia, la tecnica dell'isolamento del browser pone una serie di ostacoli specifici che ne limitano l'adozione. Fino a poco tempo fa, tutti gli strumenti di isolamento dei browser utilizzavano uno dei seguenti metodi, per loro natura non esenti da falle:

• Streaming pixel-based: con questo metodo, l'attività di navigazione si svolge in un server cloud, e un feed di questa attività viene trasmesso sotto forma di pixel al dispositivo dell'utente.Questo metodo, purtroppo, è piuttosto costoso dal punto di vista computazionale.Richiede inoltre una grande quantità di larghezza di banda e aggiunge latenza, cosa che interferisce con le applicazioni interattiva SaaS e Internet.

• Code-stripping: in questo approccio, il browser remoto elimina il malware dall'esperienza del sito web e trasmette del codice "ripulito" all'utente finale.Tuttavia, questo approccio spesso interrompe del tutto l'esperienza del sito web, e può non cogliere le vulnerabilità zero-day.

• Locale: con l'approccio locale, la navigazione avviene su una macchina virtuale locale isolata dal resto del sistema operativo del dispositivo.Purtroppo, questo approccio rallenta i dispositivi, non è applicabile a quelli mobili ed è difficile da implementare a livello aziendale.

A causa delle difficoltà incontrate da questi tool di isolamento del browser, le organizzazioni spesso limitano la loro implementazione a uno specifico sottoinsieme di dipendenti o a una serie di siti ritenuti ad alto rischio. Se da un lato questa opzione fornisce una protezione parziale, dall'altro lascia notevoli lacune in termini di sicurezza.

Ogni dipendente di una data organizzazione è una potenziale vittima di un attacco malware, e i criminali informatici possono prendere di mira esplicitamente chi non è protetto dall'isolamento del browser. Inoltre, limitare l'isolamento del browser a siti specifici presuppone che l'organizzazione sia in grado di identificare con precisione tutti i siti potenzialmente a rischio presenti su Internet. In realtà, le minacce informatiche possono essere veicolate su supporti "affidabili", come i file condivisi su Google Docs o OneDrive.

L'isolamento del browser è un approccio promettente per proteggere e consentire l'uso di Internet, ma allo stato attuale le innovazioni non sono state ancora in grado di fornire una soluzione completa. Questo corrispondeva al vero fino al momento in cui il protocollo Zero Trust non è stata esteso ai browser di Internet.

Browser Isolation con Zero Trust

In alternativa alle tecnologie di isolamento del browser sopra elencate, un approccio "Zero Trust" applica i principi del protocollo Zero Trust a tutte le attività Internet dei dipendenti. Ciò significa che che ogni singola sessione di navigazione, e ogni parte del codice di un sito web, viene trattata come non attendibile per impostazione predefinita. Viceversa, ogni singolo utente e dispositivo che naviga nei dati delle applicazioni web viene considerato per definizione non affidabile.

Abbiamo stabilito che le tradizionali tecniche di browser isolation rendono questo livello di rigore pressoché irrealizzabile nella pratica. I metodi tradizionali o sono troppo macchinosi per essere utilizzati in via continuativo, o non sono abbastanza precisi nel bloccare le minacce, o entrambe le cose.

Per proteggere ogni dipendente da ogni minaccia online, una soluzione di isolamento del browser deve essere dotata delle seguenti caratteristiche:

• Elevata affidabilità: i siti web e le applicazioni basate su browser moderni possono essere complessi, e possono "sfondare" alcune soluzioni di isolamento del browser.Una soluzione di isolamento Zero Trust deve consentire agli utenti di visitare qualsiasi sito su Internet e di usufruire della medesima esperienza cliente che avrebbero su un browser locale.

• Latenza minima: le soluzioni tradizionali per la navigazione remota sono lente, e inviano all'utente una versione piuttosto macchinosa di una pagina data web.Una moderna soluzione di navigazione Zero Trust deve incorrere in una latenza minima, e offrire prestazioni e reattività elevate.

• Elevato rapporto costi/benefici: la navigazione Zero Trust è più efficace quando viene implementata per tutti i dipendenti e i siti di una data organizzazione.Ciò richiede una soluzione con un buon rapporto costi/benefici, e che sia scalabile.

• Controllo granulare: una soluzione di isolamento del browser deve fornire agli amministratori un controllo più granulare sui dati in uso e sulle attività all'interno del browser. Tra queste attività figurano la stampa, il copia/incolla e la compilazione di moduli. In questo modo, è possibile minimizzare ulteriormente il cyber risk.

Quando si tratta di individuare il provider corretto per questo genere di servizio, esistono numerose best practice e requisiti da considerare. I seguenti aspetti chiave dell'isolamento del browser possono contribuire a un'implementazione più efficace, efficiente e performante di questa tecnologia:

• Uso di una rete perimetrale di grandi dimensioni: piuttosto che ospitare l'isolamento del browser in un numero limitato di datacenter del cloud pubblico, è opportuno dislocarlo su una rete perimetrale globale che sia vicina agli utenti finali in ogni punto. Questo è necessario per ridurre al minimo la latenza.Cloudflare si avvale di una rete periferica di oltre 250 città, con l'isolamento del browser in esecuzione su ciascun server di ciascun datacenter.

• Trasmissione dei soli comandi stream draw: piuttosto che cercare di analizzare il codice del sito web, l'isolamento del browser deve inviare comandi draw leggeri ai dispositivi degli utenti finali, consentendo loro di caricare e interagire con i siti in modo accurato senza caricare alcun codice.Cloudflare adotta proprio questo approccio con la sua tecnologia Network Vector Rendering.

• Utilizzare la tecnologia nativa del browser: i browser remoti che utilizzano la tecnologia già integrata nelle applicazioni di navigazione dei più comuni dispositivi endpoint sono più affidabili nel ricostruire con accuratezza tutti i tipi di siti.Cloudflare lavora con questa tecnologia, e in particolare con il browser Chromium, ampiamente utilizzato, che trasmette comandi draw leggeri piuttosto che flussi di pixel o codice destrutturato.

• Cloud computing di nuova generazione: è necessario evitare che l'isolamento del browser in remoto sia ospitato nel cloud pubblico, che trasmette i costi del cloud agli utenti e genera latenza.Inoltre è opportuno sfruttare le efficienti tecniche di serverless computing, che migliorano la virtualizzazione e la containerizzazione eliminando l'orchestrazione e la gestione delle risorse server sottostanti, consentendone uno sfruttamento più razionale.L'orchestrazione e la gestione efficienti delle risorse dei server da parte di Cloudflare riduce la latenza per l'utente finale, offrendo un aumento della velocità doppio rispetto ai browser in remoto tradizionali.

Cloudflare utilizza un'enorme rete globale e un approccio brevettato all'isolamento del browser per fornire un'esperienza di navigazione Zero Trust senza compromessi in termini di prestazioni.In questo modo, le aziende potranno provare in prima persona il vero valore di questa soluzione tecnologica.

Questo articolo fa parte di una serie sulle ultime tendenze e argomenti che hanno un impatto sui decisori tecnologici di oggi.

Punti chiave

Dopo aver letto questo articolo sarai in grado di capire:

• In che modo un browser Internet aumenta l'esposizione agli attacchi informatici

• Quali tecniche utilizzano gli aggressori all'interno del browser

• Le tendenze recenti nei vettori di attacco

• Come mitigare il rischio utilizzando l'isolamento del browser di Zero Trust

RISORSE CORRELATE

• Whitepaper: Problemi comuni di isolamento del browser e come risolverli

• Cos'è Browser Isolation?

• Cloudflare Browser Isolation