Автор: Дмитрий Мажарцев, директор по информационной безопасности Яндекс Браузера для организаций
На первый взгляд, с точки зрения информационной безопасности, эта тенденция не сулит ничего хорошего. Традиционно браузер остается слепым пятном и источником рисков для сотрудников ИБ-служб, поскольку:
Однако, все это справедливо для ситуаций, когда использование браузера в организации слабо контролируется. Если у службы ИБ есть возможность конфигурировать браузер, то описанные выше риски не просто значительно снижаются, но и сам браузер (особенно если это специальный корпоративный браузер с дополнительной защитной функциональностью) из проблемы ИБ превращается в дополнительный защитный инструмент. Рассмотрим, как это работает.
Как почти любое другое корпоративное приложение, браузер может стать целью или звеном в сложной атаке злоумышленников: фишинговые ссылки открываются в браузере, вредоносные файлы на компьютер жертвы загружаются через браузер, вредоносный код может исполняться прямо в браузере в результате срабатывания эксплойта или в результате исполнения кода при обработке вредоносной страницы.
Большинство современных браузеров (и потребительских, и корпоративных) предлагают встроенную защиту от фишинга и вредоносного кода, но было бы наивно полагаться только на эти инструменты, потому что их эффективность напрямую зависит от полноты и актуальности базы знаний разработчиков браузера о киберугрозах. Такая функциональность в лучшем случае может дополнить существующие в организации средства защиты информации, но точно не заменить их.
Вне зависимости от степени надежности браузера, от кибератак можно защититься, правильно его конфигурируя. Например, создавая черные и белые списки веб-страниц и, если браузер поддерживает такую функциональность, применив политики фильтрации контента. Так, можно запретить посещение сайтов для взрослых, социальных сетей, загрузку развлекательного контента – уже только эти действия существенно снизят риск перехода по вредоносной ссылке и последующего заражения.
Поверхность атаки сократится, если запретить в браузере исполнение определенного кода. Например, работу JIT-компилятора, ускоряющего исполнение JavaScript. Злоумышленники нередко используют уязвимости в JIT-компиляторах для атак на современные Chromium-браузеры, поэтому разумным шагом может быть запрет работы компилятора на недоверенных сайтах.
Если проинструктировать браузер вообще не обрабатывать код JavaScript, то поверхность атаки сократится еще больше. Но этот способ нужно применять с осторожностью, поскольку почти все современные сайты используют JavaScript, и полный запрет может привести к их недоступности. Этой функцией можно управлять, определив список доверенных ресурсов, на которых исполнение JavaScript возможно, или, наоборот, определить список сайтов, где его точно нельзя запускать.
От атак через расширения можно защититься, настроив браузер таким образом, чтобы он автоматически отключал расширение, запросившее доступ к дополнительным браузерным API, которые не требовались при установке. Такое событие может свидетельствовать о нежелательном изменении поведения расширения, которое, вероятно, угрожает безопасности данных.
Наконец, если браузер умеет взаимодействовать с корпоративными системам безопасности для мониторинга или реагирования (SIEM и IRP/SOAR), то:
В связи с "переездом" в веб важных бизнес-приложений, все больше конфиденциальной информации обрабатывается в браузерах, поэтому важно контролировать этот процесс. Для данной задачи существуют отдельные DLP-решения, но они сталкиваются с проблемами:
При этом браузер, если в нем есть возможность сделать соответствующие настройки, способен решить все три проблемы.
Если браузер поддерживает интеграцию с внешними DLP-системами и позволяет ограничить на списке "защищаемых" веб-ресурсов такую функциональность, как, например, запись экрана, копирование в буфер обмена, сохранение веб-страниц в файловую систему устройства, загрузку данных на определенные URL и т.п., то DLP-систему можно разгрузить, отправляя в нее только те данные, которые считаются защищаемыми, – чтобы она сканировала не весь трафик, а только его "защищаемую" часть. Вдобавок можно компенсировать отсутствие DLP-клиента для менее распространенных настольных или всех мобильных платформ: браузер может взять эту роль на себя. Например, мобильный Яндекс Браузер для организаций может быть использован именно так.
Но даже если у браузера нет продвинутых функций, его все равно можно использовать в качестве дополнительной защиты от утечки. В некоторых современных браузерах на базе Chromium есть политики, позволяющие ограничить доступ к аудио- и видеопотокам для сайтов, которые используют WebRTC, например недоверенные системы ВКС. Настройка этих политик позволяет обеспечить некоторую степень защиты от утечки.
Если браузер может работать с SIEM, то события безопасности, связанные со срабатыванием DLP-политик, помогут службе ИБ распознать утечку еще до того как она произошла и принять соответствующие меры.
По-настоящему контролируемый и безопасный браузер – единый браузер. То есть такой, у которого в ИТ-инфраструктуре организации нет альтернатив. Это условная формула, соблюдение которой наделяет смыслом любое рассуждение о том, как превратить браузер из проблемы безопасности в ее инструмент. Если настройки инфраструктуры организации разрешают доступ к критически важным системам из неконтролируемых браузеров, то все риски, связанные с использованием этого ПО, сохраняются в полном объеме. Причина понятна – сохраняется вероятность того, что сотрудники случайно или намеренно смогут обойти действующие в организации политики защиты информации. Поэтому важно настроить доступ к внутренним корпоративным ресурсам так, чтобы он был возможен только из того браузера, который контролируется ИТ- и ИБ-службами. Для этого требуется два действия:
Эти действия позволят отсечь возможность подключения к корпоративным ресурсам из недоверенных браузеров и снизить риск утечки или кибератаки.
Когда браузер в организации один (и он позволяет делать соответствующие настройки), доступ к внутренним ресурсам можно дополнительно гранулировать. Например, выделить перечень внутренних ресурсов, доступ к которым есть только у сотрудников определенных отделов. Если браузер поддерживает DLP-функциональность, то и ее можно кастомизировать под потребности конкретного отдела или сотрудника – то есть определить, кто к какой информации может иметь доступ и что с ней может делать.
Браузер способен собирать информацию об окружении, в котором он работает, и это тоже может стать условием для предоставления или непредоставления доступа – что особенно важно, поскольку множество организаций (например, в ретейле и банковской сфере) имеют разветвленную сеть филиалов, большое количество линейного персонала, подрядчиков и удаленных сотрудников, значительное количество которых не всегда подключается к корпоративным системам с устройств, проверенных корпоративной ИБ-службой.
В этой ситуации браузер может стать своего рода сенсором, помогающим установить соответствие уровня безопасности конкретного устройства нормам кибергигиены и корпоративным политикам. Используется ли на нем антивирус, обновлен ли он, установлены ли последние обновления безопасности ОС, есть ли защита диска шифрованием, установлено ли какое-либо запрещенное ПО (например, средства для удаленного администрирования), используется ли наиболее свежая версия браузера и не нарушена ли целостность его кода – на эти вопросы может ответить браузер, и на основе этих данных может быть либо предоставлен доступ к критическим ресурсам, либо нет.
Важно, чтобы используемый в организации браузер сохранял свою функциональность и возможность изменения конфигураций даже в тех сегментах, где подключение к Интернету ограничено или отсутствует вовсе. Такие сегменты часто считаются более защищенными ввиду затрудненного доступа извне, однако на самом деле риски безопасности, связанные с необновленным ПО, управлением доступом и утечками данных сохраняются и требуют внимания.
Для такой функциональности необходимо, чтобы инструменты конфигурации браузера могли быть развернуты в формате on-premise. Недавно мы реализовали это для Консоли управления Яндекс Браузера для организаций.
Иными словами, при наличии необходимых настроек, браузер способен обеспечить доступ к важным внутренним корпоративным ресурсам только из доверенного окружения и существенно снизить таким образом риск компрометации данных.
Миграция бизнес-приложений в веб-формат не только упрощает и удешевляет развертывание ИТ-инфраструктур (особенно в организациях с филиалами), но и приносит свои риски информационной безопасности. Один из них заключается в том, что периметр, в котором хранятся и обрабатываются корпоративные данные, размывается и гранулируется. В связи с этим классическая модель информационной безопасности, основанная на четком определении границ защищаемого периметра, начинает работать не так оптимально, как прежде.
В этой ситуации браузер становится инструментом, потенциально способным обеспечить безопасный доступ к данным и их обработке, где бы они ни хранились. Однако это реально лишь в случае, когда у ИТ- и ИБ-служб есть развитые возможности конфигурировать браузер и контролировать обработку информации в нем. Именно на этот фактор организациям следует в первую очередь обращать внимание при выборе корпоративного браузера.