חברת Seraphic הישראלית רוצה לאבטח דפדפן - בלי צורך בדפדפן מרוחק
Seraphic נכנסת לתחום רווי בפתרונות להגנת הדפדפן דוגמאת RBI, דפדפנים מאובטחים ייעודיים ואבטחה מבוססת סשן. החברה מגינה על מנוע הג׳אווה סקריפט שהוא מערכת ההפעלה של הדפדפן וטוענת שהיא מגינה על כל גרסת דפדפן מפני Zero-Day - וללא צורך בשינוי טופולוגי ברשת הארגון
עמי רוחקס דומבה
| 13/07/2022
אריק קאשה, סמנכ"ל מכירות EMEA בחברת Seraphic | צלם: תומר שלום, סטודיו תומאס
חברת Seraphic הישראלית רוצה לעשות מהפכה בכל הקשור לעבודה מאובטחת עם דפדפן. פתרונות כאלו אינם חדשים. ישנם פתרונות בקטגוריית RBI (להלן: Remote Browser Isolation) כמו מלנו או פייר-גלאס (היום ברודקום). ישנו גם הפתרון של חברת Red Access הישראלית. פתרון נוסף הוא דפדפן מאובטח ייעודי כמו טאלון ואיילנד.
למרות הפתרונות הקיימים, חברת Seraphic טוענת לשיטת עבודה אחרת, אפקטיבית יותר בהיבט משאבים. למעשה, טוענים בחברה שהפתרון מסוגל להגן על כל דפדפן, ללא צורך בשרת מרוחק או דפדפן ייעודי ובלי להכביד על משאבי העמדה.
מגנים על מנוע הג׳אווה סקריפט בדפדפן
הפתרון של החברה מבוסס על קוד ששוקל כ-70 קילובייט בלבד, המוזרק לדפדפן בכל עמדה. מרגע ההתקנה, הדפדפן מוגן על בסיס שימוש במשאבי העמדה, כך לדברי החברה. תוסף ארגוני, ראוי לציין, פועל גם במצב אנונימי בדפדפן, כך שהעמדה מוגנת בכל מצב.
הפתרון של החברה מוגן בפטנטים, אולם בחברה יודעים להסביר כי יש קוד ג'אווה שמתקשר עם מנוע ג'אווה ושם מתבצעת ההגנה. ״דפדפן הוא למעשה מערכת הפעלה נפרדת שיושבת לך על המחשב״, אומרים בחברה. ״בתקשורת בין קוד הג'אווה למנוע, הזרקנו קוד שלנו שלוקח את המידע ומערבל אותו. הערבול של הקוד מונע מקוד זדוני לרוץ בדפדפן. לא צריך כוח מחשוב עודף , אין שינויים בטופולוגיה הארגונית.״
תוכנת הניהול של החברה עובדת בענן AWS ודרכה קובעים מדיניות אבטחה לחברה. בעוד מספר חודשים מתכננים בחברה אפשרות ניהול און פרם, ללקוחות שמעדיפים להמנע משימוש בענן.
לשאלה האם חברת Seraphic נחשפת לתוכן המידע שיוצא או נכנס לדפדפן בעמדה, מסבירים בחברה כי הם אינם חשופים לכלום. המנוע שלהם מערבל את הקוד על מנת למנוע מקוד זדוני לרוץ בדפדפן. ״אנחנו יודעים למשל לוודא שמשתמש לא לוקח את הסיסמא שלו, ומשתמש באותה סיסמא באתרים אחרים״, מסבירים בחברה.
״ככל שעברנו לענן, פתרון ה-RBI פחות התאים לנו״
על מנת לחזק לעצמי יותר את ההבנה מה היתרונות בפתרון של Seraphic, התייעצתי עם גורם ישראלי בכיר בשוק העסקי שרכש את הפתרון של החברה. לאותה חברה, היה פתרון RBI מוביל למשך מספר שנים ולאחרונה החליטו בחברה להחליף את הפתרון בזה של Seraphic. מדובר בחברה גדולה מאד בקנה מידה ישראלי.
״אנחנו עובדים עם RBI מעל חמש שנים. עם הזמן, ככל שהפעילות בענן גדלה, הפתרון פחות התאים לנו״, מסביר הגורם. ״דוגמא אחת. היינו צריכים להעלות חומר רגיש לאתר ממשלתי שדרש מאיתנו שימוש בטוקנים פיזים או כרטיס חכם. אין לזה תמיכה ב-RBI. לצורך כך, היינו צריכים להחריג, לעשות מעקף, ל-RBI, לכמה עמדות, על מנת לעשות זאת. המשמעות היא שאותן עמדות חשופות לגמרי, ללא הגנה.
״דוגמא אחרת. כאשר אתה עובד עם RBI ואתה רוצה להחריג אתר מסוים מהפתרון, אתה צריך להחריג את ה-CDN שעובד מול אותו אתר עבור כל החברה. המשמעות היא, שאם על אותו CDN יושב אתר חדשות נניח, הגלישה לאותו אתר חדשות תהיה ללא הגנה מכל עמדות החברה. ב-RBI החרגה של אתר דורשת החרגה של כל המשאבים שאותו אתר משתמש בו.
״דוגמא נוספת. אם יש לך ספק שירות מקוון (SaaS), שדורש ממך לעבוד עם גרסת דפדפן מסוימת, אתה בבעיה מול פתרון RBI. בפתרון RBI זה דפדפן מרוחק שעושה את הגלישה עבורך והוא מעדכן גרסה כל כמה חודשים על ידי ספק הפתרון. אין לך שליטה על זה. לכן, זה יוצר לך בעיות מול ספק ה-SaaS. חוסר תאימות בגרסאות דפדפן היא בעיה ב-RBI.״
״רצינו לבחון פתרונות אחרים״
״החלטנו לבחון פתרונות אחרים. ראינו דפדפן מאובטח. פתרון מדליק. עם זאת, עלתה בעיה של עדכוני אבטחה מגוגל. מרבית הדפדפנים היום מבוססים על כרום וגוגל מוציאה עדכוני אבטחה בערך פעמיים בחודש. לנו בחברה לוקח לעדכן דפדפן חודשיים. הסיבה לכך שאנחנו צריכים לבחון כל עדכון מול כלל האפליקציות המקוונות שלנו בארגון. לראות שכולן עובדות עם העדכון.
״כאשר דפדפן ייעודי מתעדכן כל שבועיים ואנחנו יודעים לעדכן כל חודשיים, יש פער זמנים גדול. אין לנו אפשרות לקחת סיכון שחלק מהאפליקציות בארגון לא יעבדו בגלל עדכון הדפדפן המאובטח. לכן הפתרון הזה פחות התאים לנו.
״המשכנו והגענו לחברת Seraphic. רצינו לראות שהם יודעים לעבוד עם גרסת כרום ישנה. עשינו POC עם כרום גרסה 80 (הגרסה העדכנית היא 103) וחולשות ידועות לגרסה 80. שכרנו גורם חיצוני שיעשה לנו PT למערכת שלהם על גרסה 80. לא הצליח.
״כל המתקפות נעצרו. יתרון נוסף שעם Seraphic אני מגן לא רק כנגד מתקפות מבחוץ, אלא כנגד ניסיונות הזלגה. כלומר, אם תוקף הצליח להכנס לרשת ומנסה להזליג מידע החוצה. הפתרון מגן מפני מתקפות XSS, חיצוניות או פנימיות.
״הפתרון של Seraphic מגן על שני וקטורים עיקריים. ראשון, זה מנוע הג׳אווה סקריפט בדפדפן. למעשה, המנוע הוא מערכת ההפעלה של הדפדפן. שני, מפני לינקים שגורמים להורדת צרופות זדוניות.
״Seraphic מתחברים למערכת ההלבנה שלנו ומעבירים את הצרופה דרכה. בנוסף, הפתרון יודע לזהות אתרי פישינג וכאלו שאינם מוצפנים (HTTP) ומונע הכנסת שם וסיסמא. הפתרון גם מזהה אם משתמש עושה שימוש בהרשאות ארגוניות להתחבר לאתרים ברשת ושולח התראה ל-SOC.
״לסיכום, ככל שהתחלנו להשתמש יותר בענן, פתרון RBI פחות התאים לנו. הפתרון של דפדפן מאובטח ייעודי בעייתי עבורנו בגלל מחזורי עדכון מהירים מידי. Seraphic פתרו לנו את האתגר של הגנה על דפדפנים בגרסאות ישנות ואת נושא השימוש בטוקנים או כרטיסים חכמים. כמו כן, אתה מקבל הגנה לכל אפליקציה פנימית מבוססת דפדפן. יש לנו מאות כאלו בארגון.״
Seraphic נכנסת לתחום רווי בפתרונות להגנת הדפדפן דוגמאת RBI, דפדפנים מאובטחים ייעודיים ואבטחה מבוססת סשן. החברה מגינה על מנוע הג׳אווה סקריפט שהוא מערכת ההפעלה של הדפדפן וטוענת שהיא מגינה על כל גרסת דפדפן מפני Zero-Day - וללא צורך בשינוי טופולוגי ברשת הארגון
אריק קאשה, סמנכ"ל מכירות EMEA בחברת Seraphic | צלם: תומר שלום, סטודיו תומאס
חברת Seraphic הישראלית רוצה לעשות מהפכה בכל הקשור לעבודה מאובטחת עם דפדפן. פתרונות כאלו אינם חדשים. ישנם פתרונות בקטגוריית RBI (להלן: Remote Browser Isolation) כמו מלנו או פייר-גלאס (היום ברודקום). ישנו גם הפתרון של חברת Red Access הישראלית. פתרון נוסף הוא דפדפן מאובטח ייעודי כמו טאלון ואיילנד.
למרות הפתרונות הקיימים, חברת Seraphic טוענת לשיטת עבודה אחרת, אפקטיבית יותר בהיבט משאבים. למעשה, טוענים בחברה שהפתרון מסוגל להגן על כל דפדפן, ללא צורך בשרת מרוחק או דפדפן ייעודי ובלי להכביד על משאבי העמדה.
מגנים על מנוע הג׳אווה סקריפט בדפדפן
הפתרון של החברה מבוסס על קוד ששוקל כ-70 קילובייט בלבד, המוזרק לדפדפן בכל עמדה. מרגע ההתקנה, הדפדפן מוגן על בסיס שימוש במשאבי העמדה, כך לדברי החברה. תוסף ארגוני, ראוי לציין, פועל גם במצב אנונימי בדפדפן, כך שהעמדה מוגנת בכל מצב.
הפתרון של החברה מוגן בפטנטים, אולם בחברה יודעים להסביר כי יש קוד ג'אווה שמתקשר עם מנוע ג'אווה ושם מתבצעת ההגנה. ״דפדפן הוא למעשה מערכת הפעלה נפרדת שיושבת לך על המחשב״, אומרים בחברה. ״בתקשורת בין קוד הג'אווה למנוע, הזרקנו קוד שלנו שלוקח את המידע ומערבל אותו. הערבול של הקוד מונע מקוד זדוני לרוץ בדפדפן. לא צריך כוח מחשוב עודף , אין שינויים בטופולוגיה הארגונית.״
תוכנת הניהול של החברה עובדת בענן AWS ודרכה קובעים מדיניות אבטחה לחברה. בעוד מספר חודשים מתכננים בחברה אפשרות ניהול און פרם, ללקוחות שמעדיפים להמנע משימוש בענן.
לשאלה האם חברת Seraphic נחשפת לתוכן המידע שיוצא או נכנס לדפדפן בעמדה, מסבירים בחברה כי הם אינם חשופים לכלום. המנוע שלהם מערבל את הקוד על מנת למנוע מקוד זדוני לרוץ בדפדפן. ״אנחנו יודעים למשל לוודא שמשתמש לא לוקח את הסיסמא שלו, ומשתמש באותה סיסמא באתרים אחרים״, מסבירים בחברה.
״ככל שעברנו לענן, פתרון ה-RBI פחות התאים לנו״
על מנת לחזק לעצמי יותר את ההבנה מה היתרונות בפתרון של Seraphic, התייעצתי עם גורם ישראלי בכיר בשוק העסקי שרכש את הפתרון של החברה. לאותה חברה, היה פתרון RBI מוביל למשך מספר שנים ולאחרונה החליטו בחברה להחליף את הפתרון בזה של Seraphic. מדובר בחברה גדולה מאד בקנה מידה ישראלי.
״אנחנו עובדים עם RBI מעל חמש שנים. עם הזמן, ככל שהפעילות בענן גדלה, הפתרון פחות התאים לנו״, מסביר הגורם. ״דוגמא אחת. היינו צריכים להעלות חומר רגיש לאתר ממשלתי שדרש מאיתנו שימוש בטוקנים פיזים או כרטיס חכם. אין לזה תמיכה ב-RBI. לצורך כך, היינו צריכים להחריג, לעשות מעקף, ל-RBI, לכמה עמדות, על מנת לעשות זאת. המשמעות היא שאותן עמדות חשופות לגמרי, ללא הגנה.
״דוגמא אחרת. כאשר אתה עובד עם RBI ואתה רוצה להחריג אתר מסוים מהפתרון, אתה צריך להחריג את ה-CDN שעובד מול אותו אתר עבור כל החברה. המשמעות היא, שאם על אותו CDN יושב אתר חדשות נניח, הגלישה לאותו אתר חדשות תהיה ללא הגנה מכל עמדות החברה. ב-RBI החרגה של אתר דורשת החרגה של כל המשאבים שאותו אתר משתמש בו.
״דוגמא נוספת. אם יש לך ספק שירות מקוון (SaaS), שדורש ממך לעבוד עם גרסת דפדפן מסוימת, אתה בבעיה מול פתרון RBI. בפתרון RBI זה דפדפן מרוחק שעושה את הגלישה עבורך והוא מעדכן גרסה כל כמה חודשים על ידי ספק הפתרון. אין לך שליטה על זה. לכן, זה יוצר לך בעיות מול ספק ה-SaaS. חוסר תאימות בגרסאות דפדפן היא בעיה ב-RBI.״
״רצינו לבחון פתרונות אחרים״
״החלטנו לבחון פתרונות אחרים. ראינו דפדפן מאובטח. פתרון מדליק. עם זאת, עלתה בעיה של עדכוני אבטחה מגוגל. מרבית הדפדפנים היום מבוססים על כרום וגוגל מוציאה עדכוני אבטחה בערך פעמיים בחודש. לנו בחברה לוקח לעדכן דפדפן חודשיים. הסיבה לכך שאנחנו צריכים לבחון כל עדכון מול כלל האפליקציות המקוונות שלנו בארגון. לראות שכולן עובדות עם העדכון.
״כאשר דפדפן ייעודי מתעדכן כל שבועיים ואנחנו יודעים לעדכן כל חודשיים, יש פער זמנים גדול. אין לנו אפשרות לקחת סיכון שחלק מהאפליקציות בארגון לא יעבדו בגלל עדכון הדפדפן המאובטח. לכן הפתרון הזה פחות התאים לנו.
״המשכנו והגענו לחברת Seraphic. רצינו לראות שהם יודעים לעבוד עם גרסת כרום ישנה. עשינו POC עם כרום גרסה 80 (הגרסה העדכנית היא 103) וחולשות ידועות לגרסה 80. שכרנו גורם חיצוני שיעשה לנו PT למערכת שלהם על גרסה 80. לא הצליח.
״כל המתקפות נעצרו. יתרון נוסף שעם Seraphic אני מגן לא רק כנגד מתקפות מבחוץ, אלא כנגד ניסיונות הזלגה. כלומר, אם תוקף הצליח להכנס לרשת ומנסה להזליג מידע החוצה. הפתרון מגן מפני מתקפות XSS, חיצוניות או פנימיות.
״הפתרון של Seraphic מגן על שני וקטורים עיקריים. ראשון, זה מנוע הג׳אווה סקריפט בדפדפן. למעשה, המנוע הוא מערכת ההפעלה של הדפדפן. שני, מפני לינקים שגורמים להורדת צרופות זדוניות.
״Seraphic מתחברים למערכת ההלבנה שלנו ומעבירים את הצרופה דרכה. בנוסף, הפתרון יודע לזהות אתרי פישינג וכאלו שאינם מוצפנים (HTTP) ומונע הכנסת שם וסיסמא. הפתרון גם מזהה אם משתמש עושה שימוש בהרשאות ארגוניות להתחבר לאתרים ברשת ושולח התראה ל-SOC.
״לסיכום, ככל שהתחלנו להשתמש יותר בענן, פתרון RBI פחות התאים לנו. הפתרון של דפדפן מאובטח ייעודי בעייתי עבורנו בגלל מחזורי עדכון מהירים מידי. Seraphic פתרו לנו את האתגר של הגנה על דפדפנים בגרסאות ישנות ואת נושא השימוש בטוקנים או כרטיסים חכמים. כמו כן, אתה מקבל הגנה לכל אפליקציה פנימית מבוססת דפדפן. יש לנו מאות כאלו בארגון.״
