Secure web browsers for the enterprise compared: How to pick the right one
Der Webbrowser war lange Zeit das Sicherheitsloch der Unternehmensinfrastruktur. Während E-Mails oft als häufigster Einstiegspunkt genannt werden, dringt Malware oft über den Browser ein und ist schwieriger zu verhindern. Phishing, Drive-by-Angriffe, Ransomware, SQL-Injections, Man-in-the-Middle (MitM) und andere Exploits nutzen alle die knarrende Benutzeroberfläche und die riesige Angriffsfläche des Browsers sowie die Leichtgläubigkeit der meisten Endbenutzer.
Es ist dieser letzte Gegenstand – Menschen – das ist das Problem, und wir müssen vor uns selbst geschützt werden. Dies gilt insbesondere, da die Nutzung von SaaS-Anwendungen zunimmt, ganz zu schweigen davon, dass jede Hardware mit einem Webserver (und daher einem Browser) zur Konfiguration geliefert wird. Diese Anwendungsfälle werden unterstützt und unterstützt durch die steigende Zahl von Mitarbeitern, die von zu Hause aus arbeiten und dank der Pandemie auf mehr browserbasierte Apps angewiesen sind.
Ja, Webbrowser verfügen über Sicherheitseinstellungen, um Ihre Privatsphäre zu schützen und Ihnen ein anonymeres Surfen auf Websites zu ermöglichen. Dies ist keine wirklich zufriedenstellende Lösung, da diese Einstellungen normalerweise zu mehr Frustration bei den Benutzern führen. Wenn Sie die Sicherheitseinstellungen erhöhen, werden Ihre Benutzer auf vielen Websites daran gehindert, Geschäfte zu tätigen, indem sie entweder Popups blockieren, die zum Navigieren auf einer Geschäftswebsite erforderlich sind, Formulare daran hindern, wichtige Informationen zu sammeln, oder Ihre Browsersitzung auf andere Weise unglücklich machen.
Brave, DuckDuckGo, RAV Online Security von ReasonLabs und andere haben sicherere, verbraucherorientierte Browser, aber diese sind nicht für Unternehmen geeignet. Sie sind das, was ich „sicherere“ oder „privatere“ Browser nennen würde. Einige Anbieter haben sich die Empfehlungen der Global Privacy Control zu Herzen genommen und eigene Browsererweiterungen entwickelt, die dabei helfen, Ihre individuelle Privatsphäre zu schützen. Alle diese Browser sind besser, aber immer noch nicht gut genug für geschäftliche Zwecke.
Stattdessen wird eine andere Art von Tool benötigt, um eine ganze Browsersammlung zu verwalten. Während einige Sicherheitsprodukte für Unternehmen die Browsersicherheit berühren, z. B. sichere Web-Gateways, das Ausführen eines Browsers auf einem virtuellen Desktop oder die Verwendung eines verwalteten Endpunktdienstes, konzentrieren sie sich nicht auf das gesamte Surferlebnis und können viele der potenziellen Bedrohungsvektoren nicht stoppen . Geben Sie den sicheren Browser ein, der in einer Vielzahl von Konfigurationen verfügbar ist, die IT-Managern dabei helfen können, Angreifer besser daran zu hindern, in unsere Netzwerke einzudringen.
Wir haben uns vier Browser in verschiedenen Konfigurationen angesehen:
- Appaegis Enterprise Web Access-Browser
- TalonWork von Talon Cyber Security
- Erweiterte Browsersicherheit von Perception Point
- Silo von Authentic8
Island hat ein Produkt, lehnte aber eine Teilnahme ab. Alle diese Produkte bauen auf dem Chromium-Browser von Google auf. Aufgrund ihrer Allgegenwärtigkeit haben sichere Enterprise-Browser eine anspruchsvolle Feature-Sammlung, die man haben muss, wenn sie ernsthaft in Betracht gezogen werden sollen.
Tipps zur Bewertung sicherer Webbrowser
Bevor Sie mit einer Bewertung beginnen, müssen Sie verstehen, wie diese Browser funktionieren und wie sie verwaltet werden. Erstens benötigen sie eine robuste und granulare Sammlung von Sicherheitskontrollen, um mit der größtmöglichen Sammlung von Websites und Cloud-Diensten arbeiten zu können. Dies muss von einer zentralen Verwaltungsplattform aus geschehen, die eine Sammlung von Firewall-ähnlichen Regeln und Richtlinien auf die gesamte Benutzerpopulation anwenden kann. Dies umfasst mehrere große Kategorien:
- Aktivieren Sie MFA standardmäßig zu Beginn jeder Browsersitzung.
- Behandeln Sie Isolationskontrollen sowohl in Bezug auf die Sitzung des Benutzers als auch, um jede Anwendung vor Kreuzinfektionen zu isolieren. Dies bedeutet, die Bewegung von Daten zwischen dem Browser, Ihrem speziellen Endpunkt und der beteiligten Webanwendung oder den beteiligten Anwendungen zu kontrollieren.
- Steuern Sie den Zugriff auf bestimmte Webziele, um diesen Zugriff entweder zuzulassen oder zu blockieren.
- Erkennen Sie Malware, um Phishing-, Man-in-the-Browser- und andere Angriffe zu blockieren.
- Wenden Sie Steuerelemente zur Verhinderung von Datenverlust an, die Browsereinstellungen wie Werbeblockierung, URL- und Domänenfilterung, Druckblockierung, Ausschneiden-und-Einfügen-Vorgänge und Bildschirmfreigabe umfassen. Diese Steuerelemente sollten auch in der Lage sein, Ihre Browsererweiterungen so zu verwalten, dass ein Benutzer sie nicht außer Kraft setzen oder umgehen kann.
- Aktivieren Sie eine Vielzahl von Protokollierungstools, um bei Angriffen oder Datenzerstörung bei der Behebung oder Wiederherstellung zu helfen.
- Aktivieren Sie anonymes Surfen für Zeiten, in denen dies erforderlich ist, z. B. um Reisende zu schützen, wenn sie sich an totalitäreren Orten befinden.
- Ermöglichen Sie einen geschützten und sicheren Dateispeicherplatz, der von einem Team von Mitarbeitern gemeinsam genutzt werden kann.
Zweitens muss jeder Browser in vorhandene Sicherheitsprodukte wie Identitätsmanagement, Sicherheitsstatus von Cloud-Anwendungen, Single Sign-On (SSO) und VPNs integriert werden. Das ist natürlich eine Menge Software, mit der man arbeiten kann, aber Unternehmen wollen diese Räder nicht neu erfinden. Beispielsweise lässt sich Talon in den Falcon-Malware-Schutz von Crowdstrike integrieren, und alle vier Tools integrieren sich mit verschiedenen Identitätsanbietern über SAML oder in einigen Fällen OAuth.
Als nächstes muss der Browser in mehreren verschiedenen Verpackungsoptionen erhältlich sein. Erstens müssen sowohl Windows- als auch MacOS-„Thick“-Clients unterstützt werden (was bedeutet, dass sie normalerweise eine virtuelle Maschine verwenden, um sie vom Rest Ihres Desktops zu trennen). Beachten Sie, dass nur wenige dieser Produkte zusätzliche Unterstützung für Android-, iOS- oder Linux-Clients bieten. Diese Browser müssen auch über einen „Thin Client“ verfügen, der von einem verwalteten Cloud-Dienst ausgeführt werden kann, und eine Browsererweiterung, die einige ihrer Sicherheitsfunktionen zu dem hinzufügen kann, was Sie derzeit auf Ihrem Desktop oder Mobilgerät ausführen. Unsere zusammenfassende Tabelle listet auf, welcher Anbieter welche Option anbietet. Kein Anbieter deckt alle diese Situationen vollständig ab, daher müssen Sie die Lücken und die potenziellen Schäden verstehen, die sich daraus ergeben könnten.
Während alle diese Produkte präparierte Chrome-Versionen ausführen, verwenden sie normalerweise virtuelle Linux-Maschinen. Das könnte ein Problem sein, wenn Sie versuchen, Webinhalte auszuführen, die nicht Linux-freundlich sind, wie z. B. einige Streaming-Dienste. Die gute Nachricht ist, dass die sicheren Browser dank der von der Website HTML5test.com gemeldeten Ergebnisse nahezu gleichwertig mit einem Standard-Desktop-Browser sind und nahezu mit den aktuellsten Chrome-Versionen ausgeführt werden.
Das größte Problem bei der Implementierung dieser Browser wird die Personalausstattung und der Support sein. Dies beginnt mit der Integration in Ihre anderen Sicherheitsprodukte und dem Onboarding und Training Ihrer Benutzer, wie sie unter dem neueren und hoffentlich sichereren Regime im Internet surfen. Dies stellt eine erhebliche Belastung für Ihre eigenen internen Support-Ressourcen dar, um die verschiedenen Helpline-Anrufe von verwirrten oder frustrierten Benutzern zu bearbeiten, wenn sie auf unerwartete Ergebnisse ihrer Browser-Erfahrung stoßen. Wir sind während unserer Tests auf mehrere Probleme gestoßen und hatten Probleme, zeitnahe Antworten von allen vier Anbietern zu erhalten.
Schließlich gibt es noch den Preis. Erwarten Sie, dass Sie für Abonnementoptionen etwa 10 US-Dollar pro Monat und Benutzer zahlen müssen, wobei Mengenrabatte verfügbar sind. Nur ein Anbieter, Appaegis, hat vollständige Preistransparenz.
Sichere Webbrowser im Vergleich
Enterprise Web Access Browser von Appaegis
Appaegis Enterprise Web Access Browser bietet einen verwalteten Windows- und Mac-Client, der eine Instanz von Linux Chrome Dev 101 in Ihrem vorhandenen lokalen Browser, jedoch in einer geschützten Umgebung, ausführt. Es verfügt über eine breite Sammlung von Richtlinien, Zugriffsrollen und Anwendungen, die ähnlich wie eine Firewall konfiguriert sind. Multi-Faktor-Authentifizierung (MFA) ist eine Option, aber standardmäßig nicht aktiviert. Es sammelt auch Protokolle über Benutzerzugriff, Anwendungen und andere Details und bietet sicheres SSH und RDP vom Browser aus. Es verfügt über ein Haupt-Dashboard, das einem SSO-Tool zum Starten Ihrer geschützten Webanwendungen sehr ähnlich sieht.
Die Preisgestaltung ist öffentlich und Appaegis bietet kostenlose und kostenpflichtige Versionen an, letztere beginnen bei 10 $/Monat/Benutzer mit Mengenrabatten. Es gibt eine API-Integration mit Identitätsverwaltungsdiensten von Okta und Azure AD sowie mit CloudFormation von AWS. Der Browser erzielte auf der HTML5-Testseite mit 526 die höchste Punktzahl aller sicheren Browser.
Silo von Authentic8
Authentic8 ist seit mehr als acht Jahren im Geschäft mit sicheren Browsern tätig und arbeitet kontinuierlich daran, sein Produkt zu verbessern und sein Dienstleistungsangebot zu erweitern. Es kann eine vollständige Zwei-Wege-Isolierung bieten und es in Ihre bestehenden Arbeitsabläufe integrieren und eine breite Sammlung von Sicherheitsrichtlinien bereitstellen, die eine feinkörnige Kontrolle über den Schutz Ihrer Anwendungen und Ihrer Daten bieten. Es verfügt über ein Haupt-Dashboard, das einem SSO-Tool zum Starten Ihrer geschützten Webanwendungen sehr ähnlich sieht.
Silo bietet zwei verschiedene Client-Downloads an: Thick Client und Thin Client. Beide können zentral und über eine API-Verbindung verwaltet werden, die alle Linux-basierte Sitzungen mit Chrome Dev 101.0.4951.49 starten. Der Browser erhielt von HTML5Test eine Punktzahl von 474 (und die Erweiterung erhielt 476). Obwohl der Anbieter keine Preisangaben gemacht hat, sind zwei Pläne verfügbar: pro Benutzer oder pro stündlicher Nutzung.
Erweiterte Browsersicherheit von Perception Point
Perception Point hat Hysolate übernommen und seine Funktionen in seine Advanced Browser Security-Produktlinie integriert. Die Software verfügt über eine „Xray“-Funktion, die automatisch alle Anhänge in einer Sandbox detoniert, auf der verschiedene Versionen von Microsoft Word ausgeführt werden, um potenzielle Bedrohungen zu erkennen. Dies geschieht nahezu in Echtzeit – eine Sache von Sekunden. Die Software ist entweder als kostenloser Thick Client für Mac und Windows oder als verwalteter Browser oder Erweiterung erhältlich, die ab 5 $/Benutzer/Monat mit Mengenrabatten erhältlich ist.
Der Anbieter hat hier eine Online-Demo seines Dashboards erstellt. Die Sammlung von Softwarerichtlinien ist nicht so umfangreich wie die von Authentic8. Es erhielt eine Punktzahl von 474 von HTML5Test mit Chrome 104 unter Linux. Wir hatten Stabilitätsprobleme auf unserem Mac und mussten die Software neu installieren. Der Mac-Client unterstützt keine Anzeige geschützter Inhalte, einschließlich aller Netflix-Filme.
TalonWork von Talon Cyber Security
TalonWork ist nur eine Thick-Client-Version und umfasst Windows und Mac. Android und iOS werden noch in diesem Jahr erwartet. Es verfügt über einen vollständig verwalteten Funktionssatz, der Funktionen zur Verhinderung von Datenverlust, umfangreiche Protokollierung und zahlreiche Richtlinien und Regelsätze umfasst. Wie bei einigen anderen können Sie eine Hauptanmeldung wie ein SSO-Tool einrichten, um Ihre Apps zu starten. Es untersucht den Status des Endpunkts, um sicherzustellen, dass die neueste Betriebssystemversion ausgeführt wird, und identifiziert riskante Browsererweiterungen oder eingeschränkte URLs, die Sie angeben können. Preise gibt das Unternehmen nicht bekannt. Der HTML5Test-Score betrug 476 und wurde auf einem geschützten MacOS Chrome 105-Client ausgeführt.
Copyright © 2022 IDG Communications, Inc.