Сергей Меньшаков, 01/02/22
Многие специалисты в области информационной безопасности и технологий застали время, когда фильмы можно было взять напрокат в видеосалонах, а Интернет был не обыденностью, но совершенно новым, интересным и захватывающим явлением.
Автор: Сергей Меньшаков, инженер-пресейл направления McAfee Remote Browser Isolation
На сегодняшний день эксперты более скептично относятся ко Всемирной паутине – как к информационной свалке, изобилующей вредоносным ПО и высокими рисками.
Хорошо известно, что ни одно решение для веб-безопасности не гарантирует полную защиту на своеобразном "минном поле", которое сегодня представляет собой Интернет. Тем не менее есть новая технология, которая претендует на то, чтобы стать идеальным решением: удаленная изоляция браузера (Remote Browser Isolation [1], RBI) делает пользователей практически неуязвимыми к вебатакам.
Главное отличие этой технологии от других средств веб-безопасности заключается в том, что она не полагается на обнаружение угроз. Когда пользователь пытается перейти на сайт, решение RBI создает для загрузки запрошенного контента временный браузер в удаленном ЦОД. Затем решение RBI преобразует веб-сайт в динамический визуальный поток, который пользователь может безопасно просматривать или взаимодействовать с ним.
Рис. 1. Принцип работы удаленной изоляции браузера.
Технология Remote Browser Isolation дает возможность контролировать каждое действие пользователя, предотвращая загрузки, скачивания и даже операции копирования/вставки через локальный буфер обмена. При надлежащей настройке локальный клиент не загружает никаких элементов содержания запрошенного сайта. Соответственно, передать в клиент вредоносное ПО через Интернет невозможно. Конечно, временный браузер (инстанс) решения RBI может быть взломан, но так как он полностью изолирован от ценных ресурсов и данных организации, атака не причинит никакого вреда: как только пользователь закроет вкладку браузера на локальной машине, виртуальный браузер будет уничтожен.
Эта технология представляет собой огромную ценность, потому что современный мир решает большую часть вопросов через веб-браузеры, а обнаружение угроз становится все более трудной задачей. И хотя имеющиеся решения для веб-безопасности на основе данных о киберугрозах и средств обнаружения вредоносного ПО достаточно эффективны и развиты, но все же из-за постоянной игры с киберпреступниками в кошки-мышки эта защита никогда не будет эффективной на 100%. Хакеры часто используют угрозы нулевого дня (уязвимости, найденные злоумышленниками раньше, чем о них узнали создатели программы. – Прим. ред.) в сочетании с доменами, зарегистрированными буквально за несколько минут до атаки, специально для взлома конкретной системы. Эти методы слишком часто позволяют обойти любые меры безопасности, основанные на технологиях обнаружения. RBI – революционное решение с непревзойденной эффективностью. Но поскольку эта технология появилась более десяти лет назад, возникает закономерный вопрос: если она так хороша, почему ее уже не используют во всех компаниях мира?
Есть несколько причин, но главной из них является высокая стоимость. RBI предусматривает создание временных удаленных браузеров для всех пользователей, и любое развертывание такого рода обойдется очень дорого. На современном предприятии работает множество пользователей, и практически у всех, скорее всего, одновременно открыто несколько вкладок, каждая из которых задействует ресурсы памяти и ЦП. Обеспечение эквивалентных ресурсов в ЦОД неизбежно приведет к большим затратам. По этой причине многие решения RBI, доступные на рынке, в буквальном смысле поглощают весь бюджет, выделенный на безопасность каждого лицензированного пользователя. Хотя веб-угрозы чрезвычайно распространены, а защита RBI очень эффективна, ни одна организация не может тратить такие суммы на единственную технологию или единственный вектор атак.
Примеры применения Remote Browser Isolation
Чтобы лучше понять проблему высокой стоимости и пути ее решения, разберем два самых распространенных примера применения технологии Remote Browser Isolation.
Первый пример – работа с сайтами, категория или риски которых неизвестны, так называемая выборочная изоляция. Хакеры часто используют для доставки веб-угроз недавно зарегистрированные домены. Компании в ответ для защиты используют следующую меру: если ПО для веб-безопасности не может определить категорию сайта, доступ к нему будет заблокирован. Проблема в том, что такую категоризацию часто не проходят и многие легитимные сайты. Их неправомерная блокировка может отрицательно сказаться на работе предприятия. Управление этой политикой – очень трудоемкий процесс, кроме того она значительно затрудняет работу пользователей. RBI – идеальное решение для таких случаев, когда необходим доступ к сайтам с сохранением высокого уровня безопасности. При этом RBI применяется выборочно: доверенные сайты проверяются традиционными способами, а неизвестные или опасные домены подвергаются изоляции.
Второй пример частого применения технологии Remote Browser Isolation – различные группы пользователей с высоким риском. К ним относятся, например, руководители высшего звена, имеющие доступ к особо конфиденциальной информации – бизнес-стратегиям, интеллектуальной собственности и другим данным, которые необходимо хранить в тайне. Или ИТ-администраторы с повышенными привилегиями, последствия взлома учетных записей которых могут быть катастрофическими. В подобных ситуациях организации могут изолировать трафик только этих пользователей, включая трафик с доверенных сайтов. Этот подход называется "полная изоляция" и обычно применяется только в отношении ограниченного числа пользователей, компрометация которых представляет особо высокий риск.
Сколько стоит Remote Browser Isolation?
Мы рассмотрели два примера применения RBI – с выборочной и полной изоляцией. Теперь поговорим о стоимости этой технологии, гарантирующей полную защиту.
Давайте представим себе международную организацию Brycin International, в которой работает 10 тыс. сотрудников. Руководство Brycin выявило 400 пользователей, у которых есть доступ к критически важным данным или повышенные привилегии, – для этих пользователей требуется полная изоляция. Предположим, что розничная цена RBI составляет $100 на одного пользователя, тогда общая сумма для Brycin составит $40 тыс. С учетом повышенного риска компрометации любого из этих сотрудников затраты выглядят достаточно разумными. Теперь Brycin хочет внедрить выборочную изоляцию для остальных 9,6 тыс. пользователей. В этом случае некоторые вендоры RBI попросят приобрести полную лицензию, но большинство предложат решение для выборочной изоляции со скидкой. Представим, что это очень щедрая скидка, в размере 60%. Затраты на одного пользователя составят $40, всего $384 тыс. Итак, в целом Brycin потратит на RBI $424 тыс., то есть по $42,40 на сотрудника.
Для предприятия со штатом в 10 тыс. человек это весьма ощутимые затраты. Кроме того, они не соотносятся с реальной пользой от решения. Хотя 9,6 тыс. сотрудников на выборочной изоляции составляют 96% от всего объема пользователей, по факту RBI будет обрабатывать только малую долю их веб-трафика. Современные решения для веб-безопасности обнаруживают до 99% угроз, соответственно изолировать придется только 1% передаваемых данных. Иными словами, на основную часть персонала будет приходиться менее 20% изолированного веб-трафика. Основная его часть, чуть более 80%, будет генерироваться пользователями на полной изоляции, несмотря на то, что они составляют меньшинство в плане числа лицензий.
Итак, хотя пользователи на выборочной изоляции генерируют минимум изолированного трафика и несмотря на скидку в 60% на приобретение соответствующих лицензий, на них приходится более 90% общей стоимости решения. Соотношение затрат и эффекта просто не соответствует бюджету и целям в области безопасности большинства организаций.
Рис. 2. Диспропорциональная взаимосвязь между числом пользователей, объемом трафика и стоимостью решения RBI
McAfee Enterprise предложила решение этой проблемы, внедрив технологию удаленной изоляции браузера в рамках платформы MVISION Unified Cloud Edge [2].
McAfee Enterprise предлагает два варианта лицензий RBI: RBI for Risky Web для небезопасных веб-сайтов и Full Isolation для полной изоляции.
В RBI for Risky Web используется оригинальный алгоритм McAfee Enterprise, который автоматически активирует изоляцию браузера для любого потенциально опасного сайта. Этот наиболее востребованный режим защиты (выборочная изоляция) доступен для всех пользователей Unified Cloud Edge бесплатно. Лицензии Full Isolation можно приобрести дополнительно для пользователей, которым необходима постоянная защита RBI. Надстройка Full Isolation поддерживает создание собственных политик изоляции определенных сайтов.С учетом общего количества пользователей стоимость развертывания RBI в пересчете на каждого пользователя при таком подходе уменьшится с $42,40 до $4.
Эвристические алгоритмы антивирусов McAfee Enterprise успешно обнаруживают многие варианты вредоносного ПО нулевого дня. Встроенная шлюзовая система Gateway Anti-Malware помещает неизвестные угрозы в песочницу в режиме реального времени для анализа их поведения в эмуляционной среде. Изучив общую эффективность сочетания этих технологий, мы пришли к выводу, что платформа не может однозначно отнести к безопасному или вредоносному лишь очень малую долю веб-трафика – около 0,5%. По этой причине предоставление выборочной удаленной изоляции браузера RBI for Risky Web – затраты, которые мы можем понести, не увеличивая стоимость решения.
Технология Remote Browser Isolation – качественно новый подход к защите важнейших ресурсов от современных веб-угроз. Несмотря на огромные преимущества, высокая стоимость RBI препятствует повсеместному применению таких систем, но уже сейчас на рынке представлены решения для ее снижения.
