דעה | נדרשת תפיסה חדשה לאבטחת דפדפנים
טל זמיר, סמנכ"ל הטכנולוגיות בחברת Perception Point, טוען כי הדפדפן (Browser) הפך לכלי העבודה המרכזי בארגונים אך נחשב נקודת תורפה לפריצה למערכות המחשוב. ״נדרשת חשיבה מחוץ לקופסא ביצירת פתרון הגנה כולל״
ישראל דיפנס
| 08/09/2022
קרדיט תמונה: רועי גלילי דרנל
דפדפנים מלווים אותנו בחיינו האישיים והמקצועיים כבר קרוב לשלושה עשורים. למעשה, מאז המעבר לסביבת עבודה אינטרנטית, הדפדפן הפך לאחד מכלי העבודה המרכזיים – קשה לדמיין יום בחיינו בלעדיו. הפעולה הראשונה של רוב העובדים היא שימוש בדפדפן כדי לגשת לדואר אלקטרוני, לתקשר עם עמיתים, לחפש מידע, לבצע רכישה אונליין או להתעדכן בחדשות.
השימוש ההולך וגדל בפלטפורמה אחת ליישומי האינטרנט, לצד אימוץ כלים דיגיטליים, עבודה מרחוק, מעבר לענן ושימוש הולך וגובר ביישומים מבוססי אינטרנט, מושך גם את עיניהם של תוקפים שרואים בדפדפן "עקב האכילס" של הארגון.
התוקפים משתמשים באתרים זדוניים ובטכניקות שונות כדי לגרום לעובדים להזין מידע חשאי ולהוריד קבצים זדוניים על מנת לפרוץ לארגונים ולייצר לעצמם רווחים והם אינם מסתפקים בפעולות פשוטות אלא מרחיבים את ארגז הכלים שלהם באמצעות התחזות לאתרים ומותגים מוכרים.
זאת, כדי לאסוף נתונים רגישים, הורדות של תוספים (extensions) שאינם בטוחים לשימוש וכן ניצול חולשות הדפדפן כדי לגנוב סיסמאות, קבצים ועוגיות (cookies) בצורה לא מוגנת. זאת, בנוסף לאיום "מבית" - גורמים בתוך הארגון שעלולים – במודע או שלא במודע – לגרום לדליפה של מידע רגיש על נכסי הארגון דרך יישומים מבוססי ענן הפועלים בדפדפן ושאינם מוגנים כראוי.
אמנם קיימות טכניקות הגנה שונות ואמצעי מעקב וניטור של התעבורה לארגון ומחוצה לו, אך המציאות מראה שאין ביכולתן לעצור תוקפים מפני חדירה לארגונים דרך הדפדפן. כדי להתמודד עם בעיה זו, פותחו בשנים האחרונות מספר גישות חדשות להתמודדות עם הבעיה, בין השאר:
בידוד דפדפן מרוחק (Remote Browser Isolation - RBI)
לפי תפיסה זו יש ליצור מחיצה בין התוקף לבין נכסי הארגון באמצעות יצירת סביבה וירטואלית מבודדת שאינה קשורה לנכסי הארגון. ההיגיון בגישה זו ברור – אם תתבצע תקיפה, היא כביכול תשפיע אך ורק על הסביבה המרוחקת ולא תוביל לחדירה לארגון עצמו.
אולם, לגישה זו מספר חסרונות משמעותיים. ראשית, היא אינה יעילה כנגד אחת מההתקפות הידועות דרך הדפדפן – פישינג וזליגת מידע. עצם יצירת הבידוד אינה מונעת הזנה של מידע או דליפתו על ידי משתמש.
שנית, חווית המשתמש לוקה בחסר, במיוחד לאור יצירת עיכובים/איטיות בגלישה וחוסר תאימות בדפדפן. שלישית, מנהלי אבטחת המידע אינם מקבלים מידע מעמיק על התקיפות ומתקשים לבצע ניתוח שלהן.
דפדפן ארגוני (Enterprise Browser)
לפי תפיסה זו יש למעשה ליצור דפדפן חדש – כלומר, להרגיל את המשתמש שהוא צריך להשתמש באפליקציה חדשה ולא להסתמך על הדפדפנים המוכרים. דפדפנים אלו מותאמים לצרכי אבטחה מראש. לצערנו, גם לגישה זו חסרונות בולטים. הדפדפנים המיוחדים האלו לא יהנו מיכולות של Google Chrome שאינן חלק מ-Chromium.
הדפדפנים לא יקבלו עדכוני אבטחה בקצב הדומה לזה של ה - Chrome, מה שמגדיל את זמן החשיפה של חולשות דפדפן.
לא ניתן לנהל את הדפדפן באופן סטנדרטי על ידי כלי ניהול ארגוניים של Google ו-Microsoft וכלים אחרים שנבנו במיוחד עבור Chrome/Edge.
הם אינם נותנים מענה אמיתי למתקפות המשמעותיות ביותר דוגמת פישינג והורדת קבצים זדוניים כגון נוזקות כופר (ransomware) אלא אם חוסמים לגמרי הורדות, אפשרות שאינה מעשית בפועל.
לדפדפנים אלו אין באמת יכולות בידוד חזקות - מתקפה מוצלחת על הדפדפן יכולה להוביל להשתלטות מלאה על המחשב והמידע בו ולאפשר לתוקף גישה בלתי מוגבלת לרשת הארגונית.
לאור החסרונות הללו, נראה כי יש צורך בחשיבה מחוץ לקופסה – פתרון שישלב בין היתרונות של הטכנולוגיות האחרות, תוך צמצום החסרונות של כל גישה.
כלומר, כלי שידע לבצע בידוד של התוקף מנכסי הארגון, תוך שמירה על חווית המשתמש ויאפשר שימוש בדפדפנים המוכרים לכל עובד, מבלי לוותר על איכות האבטחה ובעיקר – שיספק הגנה כוללת מפני כל התקיפות הקיימות כנגד הדפדפן.
לאור זאת, יש לשנות את התפיסה הקיימת ולהביא לשינוי של ממש בהגנה מפני התקפות המבוצעות דרך הדפדפנים הסטנדרטיים, כגון Chrome ו-Edge. הפתרון המוצע הוא שילוב של שלוש טכניקות הגנה במוצר אחד – יצירת בידוד בין התוקף לסביבת העבודה, זיהוי התקיפות באמצעות מנועי סריקה ייחודיים וכן טיפול והכלה שלהן.
באמצעות גישה זו, הארגון מוגן מפני איומי פישינג, נוזקות, מתקפות כופרה, התקפות מתקדמות ועוד, מבלי שהמשתמש יצטרך להתאים עצמו לדפדפן חדש, שכן הפתרון מותאם בצורה מלאה לדפדפנים הפופולריים בשוק.
מעבר לכך, אימוץ פתרון זה מאפשר גלישה חופשית ובטוחה באתרים שונים ובאפליקציות בעלות ממשק מבוסס דפדפן כדי למנוע התקפות מפני גורמים חיצוניים וכמו כן מאפשר למשתמשים לגשת לנכסי הארגון מנקודות קצה לא-מנוהלות בצורה מאובטחת.
ארגונים חייבים להכיר בעובדה כי דפדפנים עלולים להיות נקודת תורפה מרכזית בארגון ושעליהם לנהל את סיכוני האבטחה הקשורים לגלישה באינטרנט בצורה מקיפה.
שימוש נכון והטמעת כלים מתאימים יכולים להפחית את הסיכון לפגיעה על ידי תוקפים וכן למנוע אובדן מידע רגיש של הארגון. זאת, מבלי להתפשר על חווית המשתמש, מהירות הגלישה, או על גישה לאפליקציות SaaS בהן העובדים משתמשים ביום.
הכותב משמש כסמנכ"ל הטכנולוגיות בחברת Perception Point.
טל זמיר, סמנכ"ל הטכנולוגיות בחברת Perception Point, טוען כי הדפדפן (Browser) הפך לכלי העבודה המרכזי בארגונים אך נחשב נקודת תורפה לפריצה למערכות המחשוב. ״נדרשת חשיבה מחוץ לקופסא ביצירת פתרון הגנה כולל״
קרדיט תמונה: רועי גלילי דרנל
דפדפנים מלווים אותנו בחיינו האישיים והמקצועיים כבר קרוב לשלושה עשורים. למעשה, מאז המעבר לסביבת עבודה אינטרנטית, הדפדפן הפך לאחד מכלי העבודה המרכזיים – קשה לדמיין יום בחיינו בלעדיו. הפעולה הראשונה של רוב העובדים היא שימוש בדפדפן כדי לגשת לדואר אלקטרוני, לתקשר עם עמיתים, לחפש מידע, לבצע רכישה אונליין או להתעדכן בחדשות.
השימוש ההולך וגדל בפלטפורמה אחת ליישומי האינטרנט, לצד אימוץ כלים דיגיטליים, עבודה מרחוק, מעבר לענן ושימוש הולך וגובר ביישומים מבוססי אינטרנט, מושך גם את עיניהם של תוקפים שרואים בדפדפן "עקב האכילס" של הארגון.
התוקפים משתמשים באתרים זדוניים ובטכניקות שונות כדי לגרום לעובדים להזין מידע חשאי ולהוריד קבצים זדוניים על מנת לפרוץ לארגונים ולייצר לעצמם רווחים והם אינם מסתפקים בפעולות פשוטות אלא מרחיבים את ארגז הכלים שלהם באמצעות התחזות לאתרים ומותגים מוכרים.
זאת, כדי לאסוף נתונים רגישים, הורדות של תוספים (extensions) שאינם בטוחים לשימוש וכן ניצול חולשות הדפדפן כדי לגנוב סיסמאות, קבצים ועוגיות (cookies) בצורה לא מוגנת. זאת, בנוסף לאיום "מבית" - גורמים בתוך הארגון שעלולים – במודע או שלא במודע – לגרום לדליפה של מידע רגיש על נכסי הארגון דרך יישומים מבוססי ענן הפועלים בדפדפן ושאינם מוגנים כראוי.
אמנם קיימות טכניקות הגנה שונות ואמצעי מעקב וניטור של התעבורה לארגון ומחוצה לו, אך המציאות מראה שאין ביכולתן לעצור תוקפים מפני חדירה לארגונים דרך הדפדפן. כדי להתמודד עם בעיה זו, פותחו בשנים האחרונות מספר גישות חדשות להתמודדות עם הבעיה, בין השאר:
בידוד דפדפן מרוחק (Remote Browser Isolation - RBI)
לפי תפיסה זו יש ליצור מחיצה בין התוקף לבין נכסי הארגון באמצעות יצירת סביבה וירטואלית מבודדת שאינה קשורה לנכסי הארגון. ההיגיון בגישה זו ברור – אם תתבצע תקיפה, היא כביכול תשפיע אך ורק על הסביבה המרוחקת ולא תוביל לחדירה לארגון עצמו.
אולם, לגישה זו מספר חסרונות משמעותיים. ראשית, היא אינה יעילה כנגד אחת מההתקפות הידועות דרך הדפדפן – פישינג וזליגת מידע. עצם יצירת הבידוד אינה מונעת הזנה של מידע או דליפתו על ידי משתמש.
שנית, חווית המשתמש לוקה בחסר, במיוחד לאור יצירת עיכובים/איטיות בגלישה וחוסר תאימות בדפדפן. שלישית, מנהלי אבטחת המידע אינם מקבלים מידע מעמיק על התקיפות ומתקשים לבצע ניתוח שלהן.
דפדפן ארגוני (Enterprise Browser)
לפי תפיסה זו יש למעשה ליצור דפדפן חדש – כלומר, להרגיל את המשתמש שהוא צריך להשתמש באפליקציה חדשה ולא להסתמך על הדפדפנים המוכרים. דפדפנים אלו מותאמים לצרכי אבטחה מראש. לצערנו, גם לגישה זו חסרונות בולטים. הדפדפנים המיוחדים האלו לא יהנו מיכולות של Google Chrome שאינן חלק מ-Chromium.
הדפדפנים לא יקבלו עדכוני אבטחה בקצב הדומה לזה של ה - Chrome, מה שמגדיל את זמן החשיפה של חולשות דפדפן.
לא ניתן לנהל את הדפדפן באופן סטנדרטי על ידי כלי ניהול ארגוניים של Google ו-Microsoft וכלים אחרים שנבנו במיוחד עבור Chrome/Edge.
הם אינם נותנים מענה אמיתי למתקפות המשמעותיות ביותר דוגמת פישינג והורדת קבצים זדוניים כגון נוזקות כופר (ransomware) אלא אם חוסמים לגמרי הורדות, אפשרות שאינה מעשית בפועל.
לדפדפנים אלו אין באמת יכולות בידוד חזקות - מתקפה מוצלחת על הדפדפן יכולה להוביל להשתלטות מלאה על המחשב והמידע בו ולאפשר לתוקף גישה בלתי מוגבלת לרשת הארגונית.
לאור החסרונות הללו, נראה כי יש צורך בחשיבה מחוץ לקופסה – פתרון שישלב בין היתרונות של הטכנולוגיות האחרות, תוך צמצום החסרונות של כל גישה.
כלומר, כלי שידע לבצע בידוד של התוקף מנכסי הארגון, תוך שמירה על חווית המשתמש ויאפשר שימוש בדפדפנים המוכרים לכל עובד, מבלי לוותר על איכות האבטחה ובעיקר – שיספק הגנה כוללת מפני כל התקיפות הקיימות כנגד הדפדפן.
לאור זאת, יש לשנות את התפיסה הקיימת ולהביא לשינוי של ממש בהגנה מפני התקפות המבוצעות דרך הדפדפנים הסטנדרטיים, כגון Chrome ו-Edge. הפתרון המוצע הוא שילוב של שלוש טכניקות הגנה במוצר אחד – יצירת בידוד בין התוקף לסביבת העבודה, זיהוי התקיפות באמצעות מנועי סריקה ייחודיים וכן טיפול והכלה שלהן.
באמצעות גישה זו, הארגון מוגן מפני איומי פישינג, נוזקות, מתקפות כופרה, התקפות מתקדמות ועוד, מבלי שהמשתמש יצטרך להתאים עצמו לדפדפן חדש, שכן הפתרון מותאם בצורה מלאה לדפדפנים הפופולריים בשוק.
מעבר לכך, אימוץ פתרון זה מאפשר גלישה חופשית ובטוחה באתרים שונים ובאפליקציות בעלות ממשק מבוסס דפדפן כדי למנוע התקפות מפני גורמים חיצוניים וכמו כן מאפשר למשתמשים לגשת לנכסי הארגון מנקודות קצה לא-מנוהלות בצורה מאובטחת.
ארגונים חייבים להכיר בעובדה כי דפדפנים עלולים להיות נקודת תורפה מרכזית בארגון ושעליהם לנהל את סיכוני האבטחה הקשורים לגלישה באינטרנט בצורה מקיפה.
שימוש נכון והטמעת כלים מתאימים יכולים להפחית את הסיכון לפגיעה על ידי תוקפים וכן למנוע אובדן מידע רגיש של הארגון. זאת, מבלי להתפשר על חווית המשתמש, מהירות הגלישה, או על גישה לאפליקציות SaaS בהן העובדים משתמשים ביום.
הכותב משמש כסמנכ"ל הטכנולוגיות בחברת Perception Point.
