Browser-Isolierung: Eine wichtige neue Web-Sicherheitsschicht

Die Bedrohungslandschaft verändert sich mit außerordentlicher Geschwindigkeit. Laut einer aktuellen Analyse von Palo Alto Networks werden täglich etwa 200.000 neue Domains ins Netz gestellt, von denen 70 % bösartig, verdächtig oder "nicht sicher für die Arbeit" sind. [1] Hinzu kommt, dass viele von ihnen nur ein paar Stunden existieren, bevor sie verschwinden und durch andere ersetzt werden. In dieser sich schnell verändernden Umgebung kann keine einzelne Sicherheitslösung vor allen Bedrohungen schützen. Deshalb ist die Browser-Isolierung so wichtig: Sie bietet eine zusätzliche Sicherheitsebene zum Blockieren von Malware und bösartigen Links und hilft Ihnen, Ihre Mitarbeiter und digitalen Werte weitaus effektiver zu schützen.

Keine einzelne Sicherheitstechnologie kann zu 100 % wirksam sein

Um Internetnutzer vor Phishing- und anderen Angriffen zu schützen, erstellen Sicherheitsanbieter in der Regel Profile von Websites, um Anzeichen dafür zu erkennen, dass sie bösartig oder verdächtig sein könnten. Aber es ist für jedes Sicherheitsprodukt unmöglich, alle potenziell bösartigen Websites zu identifizieren, wenn jeden Tag Hunderttausende von ihnen auftauchen und ebenso schnell wieder verschwinden.

Verschärfend kommt hinzu, dass eine schnell wachsende Phishing-as-a-Service-Branche entstanden ist, wie ein aktueller Bericht von Cyren zeigt. Diese Cyberkriminellen haben es einfach gemacht, Phishing-Websites und -Kampagnen für nur 50 bis 80 US-Dollar pro Monat zu starten, indem sie ausgeklügelte Vorlagen verwenden, die sich als Plattformen wie Sharepoint, Office 365 und LinkedIn ausgeben. Allein in der ersten Jahreshälfte 2019 fand Cyren über 5.000 neue Phishing-Kits. [2] Wie Duncan Mills, Senior Product Marketing Manager bei Mimecast, anmerkt, "demokratisieren sie die webbasierte Cyberkriminalität und machen es für jeden einfach, einen Phishing-Angriff zu starten. Das Problem wird noch dadurch verschlimmert, dass sie mit einer sehr hohen Rate auf diese neuen Domains ausgerollt werden.

Darüber hinaus, so Mills, verfügen höherwertige Phishing-Kits und -Dienste über mehr eingebaute Taktiken, um die Erkennung zu umgehen. "Sie hosten zum Beispiel Office 365-Phishing-Seiten auf Azure, so dass ihre Seiten ein gültiges Microsoft SSL-Zertifikat vorweisen. Und sie verwenden Kodierungstechniken, um Wörter und Logos zu verschleiern, die auf Phishing hinweisen. So ändern sie vielleicht ein paar Pixel in einem PayPal-Logo, damit es einen anderen Fingerabdruck zeigt," weil sie wissen, dass Sicherheitsunternehmen Websites mit verdächtigen PayPal-Logos kennzeichnen.

Die besten Sicherheitsanbieter kennen diese Techniken und können Sie vor den meisten bösartigen Websites schützen, den meisten der Zeit. Aber die Techniken der Kriminellen entwickeln sich ständig weiter, und selbst ein einziger Angriff kann verheerende Folgen haben. So sind beispielsweise Kontoübernahmen im Zusammenhang mit Phishing-Seiten inzwischen häufig in ausgeklügelte mehrstufige Spear-Phishing-Angriffe integriert. Wenn Angreifer erst einmal in Ihr Netzwerk eingedrungen sind, gehen sie schnell vor: Laut einer aktuellen Studie von CrowdStrike brechen sie im Durchschnitt in weniger als 2 Stunden aus und verschaffen sich den tieferen Zugang, den sie benötigen, um sich seitlich im Netzwerk zu bewegen. [3]

Mills weist auf ein weiteres Problem hin: Die letzte Stufe der Malware-Erkennung umfasst in der Regel das Sandboxing. Bei der Sandboxing-Methode kann es jedoch Minuten dauern, bis entschieden ist, ob ein Stück Code sicher ist. Web-Benutzer können nicht so lange warten, daher stellen Web-Sicherheitssysteme den Benutzern normalerweise eine Datei zur Verfügung, die dann von gescannt wird . Wenn es sich um Malware handelt, ist "Patient Null" bereits infiziert. Moderne Ransomware kann in nur drei Sekunden mit der Verschlüsselung von Dateien beginnen, so dass Sie in dem Moment, in dem sie erkannt wird, bereits einen ernsten Vorfall haben können. Es ist schwierig, darauf zu reagieren, selbst wenn Sie zu den wenigen Unternehmen gehören, die über das nötige Sicherheitswissen verfügen.

Was die Browser-Isolierung bewirkt und wie sie funktioniert

Sicherheitsexperten sind sich seit langem darüber im Klaren, dass keine einzelne Technologie jemals unfehlbar sein wird: Aus diesem Grund haben sie sich bei der Absicherung ihrer Umgebungen auf die Schichtenbildung verlassen.

Diese neue Ebene der Web-Sicherheit zielt darauf ab, eine unüberbrückbare Lücke zwischen der Browsing-Sitzung des Benutzers und dem Rest Ihrer IT-Umgebung zu schaffen, damit Angriffe nicht übertreten, Benutzer kompromittieren und Ihre Systeme infiltrieren können.

Einige Lösungen zur Browser-Isolierung arbeiten auf der Client-Seite, oft unter Verwendung einer Form der Virtualisierung. Bei diesen Lösungen müssen Sie den Client-Code verwalten, und Sie könnten sich Sorgen machen, dass Sie keine echte physische Isolierung erhalten, da das riskante Browsing immer noch auf demselben Gerät stattfindet.

Wie der Gartner-Bericht 2018 feststellt, bietet der Remote-Browser-Betrieb auf der Grundlage serverseitiger Lösungen eine stärkere Isolierung. In diesem Szenario findet die gesamte Browseraktivität auf einem entfernten Server statt, der physisch vom Benutzer entfernt ist - und dort verbleiben auch potenziell bösartige herunterladbare Inhalte. Alles, was auf das Gerät des Benutzers übertragen wird, sind die Pixel oder andere Anweisungen, die erforderlich sind, um die gleiche Anzeige zu präsentieren, die der Benutzer sehen würde, wenn er einen lokalen Browser verwenden würde. Die Tastatur- und Mausbewegungen des Benutzers werden zur Ausführung an den Server zurückgesendet.

Frühe serverseitige Lösungen, die auf Virtualisierung setzen, waren oft teuer und schwer zu skalieren. Einige neuere Lösungen nutzen stattdessen die Containerisierung, wodurch sie einfacher und kostengünstiger in großem Umfang eingesetzt werden können.

Es gibt noch eine weitere wichtige Entscheidung zu treffen: Soll die Browser-Isolierung auf eigenen Servern oder Geräten implementiert oder als Service erworben werden? Wie bei anderen IT-Anwendungen und zunehmend auch bei Sicherheitsdiensten wie E-Mail und Web-Gateways bietet das SaaS-Modell überzeugende Vorteile. Die Anfangskosten sind niedriger. Cloud-basierte SaaS-Infrastrukturen lassen sich sehr gut skalieren, so dass es einfacher ist, die Browser-Isolierung überall dort einzuführen, wo Sie sie benötigen. IT-Organisationen können das Anwendungsmanagement auslagern. Außerdem ist der Anbieter für die Leistungsgarantie verantwortlich. Indem sie diese Verpflichtung einhalten, überwinden sie ein traditionelles Problem beim Remote-Browsing: die Leistung. [5]

Überlegungen zur Auswahl einer Lösung

Natürlich sollten Sie die von Ihnen in Betracht gezogene Browser-Isolationstechnologie und die Benutzererfahrung testen. Dabei sollten Sie sich einige Fragen stellen:

Ist die Lösung zur Browser-Isolierung gut in Ihre bestehende E-Mail- und Web-Sicherheit integriert? Können Sie zum Beispiel gemeinsame Richtlinien verwenden und diese über ein gemeinsames Dashboard verwalten? Können Sie eine Website schreibgeschützt machen, so dass Benutzer nicht einmal ihre Anmeldedaten auf potenziell unsicheren Websites eingeben können?

Ist sie flexibel? Können Sie die Kompromisse zwischen Komplexität, Benutzerfreundlichkeit, Kosten und Schutz genau steuern? Können Sie mithilfe von Richtlinien und Risikobewertungen steuern, welche Arten von Websites und Benutzern je nach Risikotoleranz die Browser-Isolierung verwenden müssen?

Ist sie effizient? Einige Produkte erfordern große Bandbreiten. Protokolle und Kodierungstechniken können einen großen Unterschied ausmachen. Wie Mills bemerkt, ist beispielsweise die X.264-Videostream-Kodierung außergewöhnlich effizient (weshalb sie von YouTube, Facebook und Vimeo verwendet wird). Laut Mills kann X.264 in Kombination mit gut konzipierten, leichtgewichtigen Streaming-Protokollen tatsächlich weniger Bandbreite für die Anzeige einiger Websites über Remote-Browsing verbrauchen, als wenn sie direkt über einen lokalen Browser aufgerufen würden.

Fördert dies eine einfachere und kostengünstigere Untersuchung von Vorfällen? Können Sie sich problemlos einen Überblick über die Zielinhalte verschaffen, die über den isolierten Browser ausgeführt werden? Können Sie diese Inhalte aus der Ferne untersuchen, ohne eine eigene isolierte Testumgebung erstellen und verwalten zu müssen?

Die Quintessenz

Der beste Weg, webbasierte bösartige Inhalte von Ihrem Netzwerk fernzuhalten, besteht darin, sie von den Benutzern fernzuhalten. Cloud-basierte Browser-Isolierungsdienste helfen Ihnen dabei, indem sie bösartige Inhalte auf dem Server eines anderen Anbieters halten. Die besten containerbasierten Lösungen von heute sind effizient, kostengünstig, flexibel und einfach zu verwalten und bieten eine wichtige zusätzliche Sicherheitsebene zur Ergänzung sicherer Web- und E-Mail-Gateways.

[1] " Neu registrierte Domains: Böswilliger Missbrauch durch böswillige Akteure ," Palo Alto Networks

[2] " Ausweichendes Phishing, angetrieben durch Phishing-as-a-Service ," Cyren

[3] " Was ist Netzwerk-Seitenverkehr? ," CrowdStrike

[4] " Innovation Insight for Remote Browser Isolation ," Gartner Inc.

[5] " Das Versprechen der Browser-Isolierung: Ein Allheilmittel mit einem UX-Problem? ," Computer Business Review