將 Zero Trust 擴展至網際網路瀏覽器
分散式企業的最新安全性弱點
公用網際網路是組織網路風險的重要來源。使用網際網路進行工作或個人使用的員工可能面臨網路釣魚和惡意程式碼攻擊的風險,這些攻擊利用社交工程技術和瀏覽器漏洞竊取敏感性資訊或在員工的機器上執行惡意代碼。
無論他們的策略如何,大多數此類攻擊都有相同的目標:存取組織的私人網路。
多種因素(許多源自 Covid-19 疫情)導致了基於瀏覽器的威脅激增,並導致這些組織越發容易遭受這些威脅。這些因素包括:
攻擊者利用疫情引起的混亂局面來刺激惡意程式碼下載
遠端工作模糊了個人和專業網際網路使用之間的界限
遠端工作迫使員工使用未受保護或受到弱保護的個人裝置
員工透過公用網際網路存取較高比例的應用程式和資料,而非透過私人企業網路
拼湊在一起的遠端存取工具,讓遭入侵的裝置可以自由存取公司網路。
在網際網路瀏覽器中,傳統的企業周邊的安全性保護已不再涵蓋現今業務的完成方式。
基於瀏覽器的攻擊模式正在演變
網際網路一直是網路風險的來源。但是,隨著時間的推移,攻擊模式已經進化,尤其是在 COVID-19 之後以及由此導致的遠端工作激增之後。
網路釣魚嘗試正在激增
網路威脅格局中最近發生的廣泛變化之一是網路釣魚攻擊的增加。42% 的小型組織和 61% 的大型組織在已採取防護措施的情況下經歷了網路釣魚攻擊的增加。根據 FBI 網際網路犯罪投訴中心 (IC3) 的資料,隨著遠端工作的激增,網路釣魚是報告的最常見的犯罪類型,該中心收到的投訴數量是前一年的兩倍。
網路釣魚攻擊十分常見,因為它們可以有效地竊取認證。它們在不確定的環境中發揮最佳作用,在這種環境中,尋找資訊的人更容易上當受騙,例如 2018 年冬季奧林匹克的情況。COVID-19 疫情創造了理想的網路釣魚環境,因為人們會搜尋與病毒相關的新聞和資訊。
勒索軟體激增
惡意程式碼是一種惡意軟體,能夠感染電腦、其他連接網際網路的裝置,甚至是整個網路。一旦進入目標裝置或網路,惡意程式碼就可以實現各種不同的目標,從資料盜竊到勒索軟體攻擊等等。
惡意程式碼是一個廣泛的類別,各種形式的惡意程式碼隨著時間的推移而增加和減少。但是整體威脅將永遠持續存在。例如,勒索軟體傾向於與加密劫持惡意程式碼進行權衡,將其作為網路罪犯的主要攻擊手段。2020 年,由於網路罪犯利用了疫情的優勢,勒索軟體攻擊增長了 465%。
惡意程式碼通常透過網路釣魚或遭入侵的遠端存取解決方案傳遞,但它也可以內建在明顯惡意的網站中,甚至是進入在擁有者不知情的情況下遭到入侵的網站中。因此,組織必須做好準備,防範透過網際網路瀏覽器傳送的惡意程式碼。
傳統安全控制會遺漏新穎的攻擊
安全 Web 閘道 (SWG) 和 Web 代理服務是遠端裝置瀏覽網際網路時遭遇的網路風險的常見解決方案。流量會路由通過這些解決方案,後者會監控並篩選流量,以封鎖對可疑或惡意網站的造訪嘗試。這樣可以防止惡意內容到達員工的裝置。
SWG 和 Web 代理通常會使用威脅情報來識別已知威脅或違反管理員定義之原則的網站。但是,它們並非完美的解決方案。隨著攻擊者設定新網站以支援新的活動或重塑現有網站的品牌,網際網路威脅格局會不斷演變。
這意味著組織經常面臨零時差和未知威脅,而 SWG 無法有效偵測到這些威脅。管理員需要有其他方法來封鎖他們尚不知曉的威脅。
採用瀏覽器隔離
SWG 和 Web 代理的局限性意味著無法將網際網路上的每個潛在威脅都加入封鎖清單。如果沒有能力防止所有攻擊,那麼下一個最好的解決方案是將這些攻擊對組織構成的潛在風險降至最低。
瀏覽器隔離因將使用者的瀏覽工作階段與他們的裝置隔離開來而廣受歡迎——這不是在密封的容器中進行,通常在雲端,且當工作階段結束時會自動損毀。這樣,即使未知和未偵測到的威脅成功攻擊,也不會實際影響到目標裝置。
但是,瀏覽器隔離面臨的一系列獨特挑戰限制了採用。直到最近,所有瀏覽器隔離工具都使用了以下某種有缺陷的方法:
基於像素的串流:在這種方法中,瀏覽活動在雲端伺服器中進行,所述活動的摘要以像素形式串流到使用者的裝置。遺憾的是,從運算角度而言,這是昂貴的。它還需要大量頻寬,且增加了妨礙互動式 SaaS 和網際網路應用程式的延遲。
代碼移除:在這種方法中,遠端瀏覽器將惡意程式碼從網站體驗中移除,並將「潔淨」的代碼傳遞給終端使用者。但是這種方法經常會完全破壞網站體驗,且可能會遺漏零時差漏洞。
本機:使用本機方法,在與裝置作業系統的其餘部分分隔開的本機虛擬機器上進行瀏覽。遺憾的是,這種方法會降低裝置速度,不適用於行動裝置,且很難在整個組織內部署。
由於這些可用的瀏覽器隔離工具面臨挑戰,組織通常將其實作限制為一部分員工或一組高風險網站。雖然這確實提供了部分保護,但也會留下顯著的安全漏洞。
組織內的每個員工都是惡意程式碼攻擊的潛在受害者,網路罪犯可能會明確地針對那些不受瀏覽器隔離保護的人。此外,將瀏覽器隔離限制在特定網站的做法,假定了組織能夠準確識別網際網路上每個潛在的有風險網站。而實際上,惡意程式碼可能透過「受信任」媒體(例如 Google Docs 或 OneDrive 上的共用檔案)傳遞。
瀏覽器隔離是保護和實現網際網路使用的一種有前途的方法,但創新尚未提供全面的解決方案。這種狀況一直持續到 Zero Trust 擴展到網際網路瀏覽器。
零信任瀏覽器隔離
除了上面列出的瀏覽器隔離技術外,Zero Trust 瀏覽器隔離方法將 Zero Trust 原則套用至所有員工的網際網路活動,這意味著預設情況下,每個瀏覽工作階段和每段網站代碼都被視為不可信任。反過來,預設情況下,每個瀏覽 Web 應用程式資料的使用者和裝置也被視為不可信任。
我們已經確定,傳統的瀏覽器隔離在實踐中無法實現這樣的嚴格程度。傳統的瀏覽器隔離方法要麼太笨重,無法一直使用,要麼在阻止威脅方面不夠準確,或者兩者兼而有之。
為了保護每位員工免受每一種線上威脅,瀏覽器隔離必須具備:
高可靠性:現代網站和基於瀏覽器的應用程式可能很複雜,可能會破壞某些瀏覽器隔離解決方案。Zero Trust 瀏覽器隔離應該允許使用者造訪網際網路上的任何網站,並擁有與本機瀏覽器相同的體驗。
最小延遲:傳統的遠端瀏覽解決方案很慢,並向使用者傳送笨重版本的網頁。現代化的 Zero Trust 瀏覽解決方案應承受最小的延遲,並提供高效能和回應能力。
成本效益:當為組織內的所有員工和網站部署時,Zero Trust 瀏覽最有效率。這需要符合成本效益且可擴充的解決方案。
細項控制:瀏覽器隔離解決方案應該可以讓管理員更精細地控制使用中的資料和瀏覽器內活動,例如列印、複製/貼上和填寫表單,從而進一步將網路風險降至最低。
在確定合作的 Zero Trust 瀏覽器隔離廠商時,需要牢記許多最佳做法策略和要求。瀏覽器隔離的以下關鍵方面有助於實現更成功、高效和高性能的技術實作:
使用大型邊緣網路:不要在有限數量的公有雲端資料中心中託管瀏覽器隔離,而是在靠近終端使用者的全球邊緣網路上進行託管,以將延遲降至最低。Cloudflare 可在超過 250 個城市的邊緣網路上執行,在每個資料中心的每部伺服器上執行瀏覽器隔離。
僅串流繪製命令:瀏覽器隔離不應試圖清理網站代碼,而應向終端使用者裝置傳送輕量級繪製命令,使他們能夠在不載入任何代碼的情況下準確地載入網站並與之互動。Cloudflare 正是透過網路向量呈現技術而採用這種方法。
使用原生瀏覽器技術: 使用已經內建於常見端點裝置瀏覽應用程式中的技術的遠端瀏覽器,在準確重建各種網站時更為可靠。Cloudflare 與原生瀏覽器技術(尤其是廣泛使用的 Chromium 瀏覽器)合作,後者能夠傳輸輕量級繪製命令,而不是傳輸像素串流或解構代碼。
新一代雲端運算:避免在公有雲端中託管的遠端瀏覽器隔離,這會將雲端成本傳遞給使用者並增加延遲。使用高效的無伺服器運算技術,透過消除底層伺服器資源的協調和管理來改進虛擬化和容器化,以更有效地使用這些資源。Cloudflare 對伺服器資源的高效協調和管理可減少終端使用者延遲,並提供比傳統遠端瀏覽器快一倍的速度。
Cloudflare 利用龐大的全球網路和專利的瀏覽器隔離方法,提供 Zero Trust 瀏覽體驗,而無需折損效能。透過這種方式,組織將能夠體驗到瀏覽器隔離的真正價值。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
重點
閱讀本文後,您將能夠瞭解:
網際網路瀏覽器如何增加對網路攻擊的暴露
攻擊者在瀏覽器中使用哪些技術
攻擊媒介的最新趨勢
如何使用 Zero Trust 瀏覽器隔離來降低風險