Контрольований вебконтент від Zscaler

В епоху, коли кожен клік у мережі може приховувати небезпеку, а популярність хмарних SaaS додатків зростає з кожним днем, необхідно забезпечити, щоб передача чутливої інформації через інтернет відбувалася приватно, без змін, втрат або крадіжки. Шифрування SSL/TLS стало основним методом захисту та було широко прийняте як на клієнтській, так і на серверній стороні для забезпечення конфіденційності обміну даними. Воно застосовується у більшості SaaS та інших інтернет-додатків, які використовують вебдоступ. Всі основні браузери та провайдери вебконтенту сьогодні здійснюють безпечний обмін даними через інтернет за допомогою протоколу HTTPS, який є HTTP через TLS/SSL. Водночас, аналізуючи ситуацію в ретроспективі, варто зазначити, що HTTPS може використовуватися не тільки для шифрування конфіденційних даних для безпечного обміну через інтернет, а й для приховування загроз.

Згідно з Google's Transparency Report, більше ніж 94% вебсторінок, до яких отримують доступ через браузер Chrome, використовують HTTPS. За даними Zscaler Threat Labs, кількість зашифрованих загроз зросла на 87% за рік, що підкреслює нагальну потребу у впровадженні надійних заходів безпеки.

Оскільки більшість трафіку є зашифрованим з використанням TLS, важливо, щоб вбудовані рішення безпеки, а саме Secure Service Edges (SSE), використовували техніки SSL-інспекції, що дозволяють організаціям сканувати та застосовувати політики для забезпечення відсутності загроз у мережевому трафіку та запобігання спробам витоку конфіденційних даних.

Переваги SSL-інспекції

Впровадження SSL-інспекції в рішення SASE дає організаціям змогу захищати кінцевих користувачів, клієнтів та дані, надаючи можливість:

• Перешкоджати шляхом виконання вбудованого сканування компрометації переданих даних для виявлення прихованого зловмисного програмного забезпечення та інших шкідливих навантажень.
• Здійснювати моніторинг і контроль за передачею конфіденційних і чутливих даних з організації шляхом впровадження детальних політик DLP.
• Дотримуватися вимог регуляторних стандартів, щоб уникнути ризиків для конфіденційної інформації з боку співробітників.
• Підтримувати багаторівневу стратегію захисту, яка забезпечує безпеку всієї організації.

Хоча на перший погляд кожна організація повинна здійснювати SSL-інспекцію, насправді підприємства часто стикаються з труднощами під час її впровадження.

Потенційні труднощі під час впровадження SSL/TLS-інспекції

1. Тестування та валідація: Впровадження SSL-інспекції вимагає ретельного тестування та валідації для забезпечення сумісності вебсайтів та їх функціональності, що є складним завданням для великих підприємств.
2. Складнощі в ІТ-інфраструктурі: Проведення SSL/TLS-інспекції в комплексних середовищах може викликати труднощі, які пов'язані з інфраструктурою PKI, необхідною для виконання SSL-інспекції, або з впровадженням потрібних сертифікатів на кінцевих пристроях користувачів.
3. Вимоги щодо відповідності та регулювання: У різних країнах існують специфічні норми, що забороняють SSL/TLS-інспекцію вебтранзакцій користувачів для захисту їхньої конфіденційності. Хоча ці положення спрямовані на захист приватності користувачів, вони, на жаль, дозволяють існувати зашифрованим загрозам та створювати потенційну небезпеку.
4. Конфігурації TLS/SSL: Налаштування TLS на вебсайтах для обходу SSL/TLS-інспекції включають використання нестандартних шифрів, підтримку старих версій SSL/TLS та зашифровану інформацію про сервер (SNI) в TLS 1.3 тощо.

Ці труднощі можуть або змусити організацію відмовитися від впровадження TLS-інспекції, або спричинити значні затримки в її реалізації, що зробить організацію вразливою до зашифрованих загроз протягом тривалого часу.

Альтернатива інспекції через ізоляцію браузера в хмарі

Існує два підходи до безпеки:

• Безпека через вбудоване сканування: У цьому випадку кожен пакет даних перехоплюється, розшифровується, сканується та застосовуються політики. Корисне навантаження перевіряється та порівнюється з підписами, шаблонами або поведінковими ознаками для виявлення та блокування загроз.
• Безпека через ізоляцію: Інший підхід до безпеки – ізоляція. У цьому випадку контент не сканується на предмет виявлення загроз, а користувачам надається безпечне ізольоване середовище для доступу до контенту на їхній вибір. Контент, навіть якщо він безпечний, залишається ізольованим і не потрапляє на кінцеві пристрої користувача або в корпоративну мережу.

Ізоляція браузера в хмарі відповідає другому підходу до безпеки. Вона дає організаціям змогу відокремити користувачів від потенційно небезпечного контенту в інтернеті, завантажуючи вебсторінки на віддалений браузер, що працює на одному з численних дата-центрів Zscaler по всьому світу, та транслюючи віддзеркалений контент до браузера користувача. Реальний контент вебсторінки завжди залишається в ізольованому браузері на хмарі Zscaler і не потрапляє на комп'ютер користувача або в корпоративну мережу.

Крім відмежування вебконтенту на віддаленому браузері та створення бар'єру між користувачем і вебсторінкою, використання браузера в хмарі дає змогу організаціям застосовувати додаткові заходи контролю для запобігання витоку даних і забезпечення безпечної обробки вебконтенту.

Деякі з основних видів контролю витоку даних, які дозволяє здійснити ізоляція браузера:

• Контроль передачі файлів (завантаження і передача даних).
• Контроль буфера обміну.
• Контроль друку.
• Контроль доступу до вебсторінки в режимі «тільки для читання».

Деякі з основних можливостей захисту від загроз, які пропонує ізоляція браузера:

• Перегляд документів Office та PDF у відокремленому середовищі.
• Завантаження захищених спрощених PDF-версій документів, що оброблялись в ізольованому середовищі.
• Досягнення рівня 3 CDR за допомогою передачі файлів через окремі канали зв'язку, що не пов'язані з основним робочим процесом або системою.
• Подання файлів до пісочниці через окремий канал зв'язку, поза основним робочим процесом, для їхнього аналізу та ізоляції від основної системи.

Сучасні загрози змінюють підхід до кібербезпеки і впровадження SSL-інспекції в рішення SASE стає необхідною умовою захисту конфіденційної інформації, проте у сьогоденні воно все ще стикається з труднощами та вимагає тривалого часу. Ізоляція браузера в хмарі не є альтернативою повноцінній вбудованій SSL-інспекції, але може стати важливим перехідним етапом, дозволяючи організаціям мінімізувати ризики, поки вони впроваджують більш складні методи аналізу трафіку.