Les acteurs de la sécurité ont réalisé que le rôle prédominant du navigateur dans l’environnement d’entreprise moderne nécessite une réévaluation de la manière dont il est géré et protégé. Alors qu’il n’y a pas si longtemps, les risques liés au Web étaient encore traités par un patchwork de solutions de terminaux, de réseaux et de cloud, il est maintenant clair que la protection partielle fournie par ces solutions n’est plus suffisante. Par conséquent, de plus en plus d’équipes de sécurité se tournent maintenant vers la catégorie émergente des Plate-forme de sécurité du navigateur comme la réponse aux défis de sécurité du navigateur.
Cependant, comme cette catégorie de solutions de sécurité est encore relativement nouvelle, il n’existe pas encore d’ensemble établi de meilleures pratiques de sécurité des navigateurs, ni de critères d’évaluation communs. LayerX, la plate-forme de sécurité du navigateur User-First, répond aux besoins des équipes de sécurité avec le downable Liste de vérification de la sécurité du navigateur, qui guide ses lecteurs à travers les éléments essentiels pour choisir la meilleure solution et leur fournit une liste de contrôle exploitable à utiliser pendant le processus d’évaluation.
Le navigateur est devenu l’espace de travail central de l’entreprise moderne. En plus d’être la passerelle vers les applications SaaS sanctionnées et d’autres destinations Web non professionnelles, le navigateur est le point d’intersection entre les environnements cloud\web et les terminaux physiques ou virtuels. Cela fait du navigateur à la fois une cible pour plusieurs types d’attaques, ainsi qu’une source potentielle de fuites de données involontaires.
Certaines de ces attaques existent depuis plus d’une décennie, l’exploitation des vulnérabilités des navigateurs ou le téléchargement intempestif de fichiers malveillants, par exemple. D’autres ont récemment pris de l’ampleur parallèlement à la forte augmentation de l’adoption du SaaS, comme les utilisateurs d’ingénierie sociale avec des pages Web de phishing. D’autres encore tirent parti de l’évolution de la technologie des pages Web pour lancer des modifications sophistiquées et difficiles à détecter et abuser des fonctionnalités du navigateur pour capturer et exfiltrer des données sensibles.
La sécurité du navigateur peut être divisée en deux groupes différents : la prévention de l’exposition involontaire des données et la protection contre divers types d’activités malveillantes.
Du point de vue de la protection des donnéesune telle plate-forme applique des politiques qui garantissent que les données d’entreprise sensibles ne sont pas partagées ou téléchargées de manière non sécurisée à partir d’applications sanctionnées, ni téléchargées à partir d’appareils gérés vers des destinations Web non professionnelles.
Du point de vue de la protection contre les menacesune telle plateforme détecte et prévient trois types d’attaques :
- Attaques qui ciblent le navigateur lui-même, dans le but de compromettre l’appareil hôte ou les données qui résident dans l’application du navigateur elle-même, telles que les cookies, les mots de passe et autres.
- Attaques qui utilisent le navigateur via des informations d’identification compromises pour accéder aux données d’entreprise qui résident dans des applications SaaS autorisées et non autorisées.
- Attaques qui exploitent la page Web moderne comme vecteur d’attaque pour cibler les mots de passe des utilisateurs, via un large éventail de méthodes de phishing ou via une modification malveillante des fonctionnalités du navigateur.
Comment choisir la bonne solution
Sur quoi devez-vous vous concentrer lorsque vous choisissez la solution de sécurité du navigateur pour votre environnement ? Quelles sont les implications pratiques des différences entre les différentes offres ? Comment les méthodes de déploiement, l’architecture de la solution ou la confidentialité des utilisateurs doivent-elles être prises en compte dans la considération globale ? Comment hiérarchiser les menaces et les risques ?
Comme nous l’avons déjà dit, contrairement à d’autres solutions de sécurité, vous ne pouvez pas simplement envoyer un ping à l’un de vos pairs et lui demander ce qu’il fait. La sécurité des navigateurs est nouvelle et la sagesse de la foule reste à former. En fait, il y a de fortes chances que vos pairs se débattent maintenant avec les mêmes questions que vous.
La liste de contrôle (Télécharger les ici) décompose le titre de haut niveau « sécurité du navigateur » en petits morceaux digestibles des besoins concrets qui doivent être résolus. Ceux-ci sont présentés au lecteur en cinq piliers – déploiement, expérience utilisateur, fonctionnalités de sécurité et confidentialité des utilisateurs. Pour chaque pilier, il y a une brève description de son contexte de navigation et une explication plus détaillée de ses capacités.
Le pilier le plus important, en termes de périmètre, est bien entendu celui des fonctionnalités de sécurité, qui se décline en cinq sous-sections. Étant donné que, dans la plupart des cas, ce pilier serait le moteur initial de la poursuite de la plate-forme de sécurité du navigateur en premier lieu, il vaut la peine de les examiner plus en détail :
Le besoin d’une plate-forme de sécurité du navigateur découle généralement de l’un des éléments suivants :
— Gestion de la surface d’attaque: Réduction proactive de l’exposition du navigateur à divers types de menaces, éliminant la capacité des adversaires à les exécuter.
— Accès zéro confiance: durcissement des exigences d’authentification pour s’assurer que le nom d’utilisateur et le mot de passe ont bien été fournis par l’utilisateur légitime et n’ont pas été compromis.
— Surveillance et protection SaaS: Visibilité à 360° sur l’activité de tous les utilisateurs et l’utilisation des données dans les applications sanctionnées et non sanctionnées, ainsi que sur d’autres destinations Web non professionnelles, tout en protégeant les données de l’entreprise contre toute compromission ou perte.
— Protection contre les pages Web malveillantes: détection et prévention en temps réel de tous les adversaires de tactiques malveillantes intégrés dans la page Web moderne, y compris le phishing d’informations d’identification, le téléchargement de fichiers malveillants et le vol de données.
— Accès tiers sécurisé et BYOD: Activation de l’accès sécurisé aux ressources Web de l’entreprise à partir d’appareils non gérés de la main-d’œuvre interne ainsi que des sous-traitants et fournisseurs de services externes.
Cette liste permet à quiconque d’identifier facilement l’objectif de la recherche de la plate-forme de sécurité de son navigateur et de découvrir les capacités requises pour l’atteindre.
La liste de contrôle – Un raccourci d’évaluation simple
La partie la plus importante et la plus exploitable du guide est la liste de contrôle finale, qui fournit, pour la première fois, un résumé concis de toutes les fonctionnalités essentielles qu’une plate-forme de sécurité de navigateur doit fournir. Cette liste de contrôle rend le processus d’évaluation plus facile que jamais. Tout ce que vous avez à faire maintenant est de tester les solutions que vous avez présélectionnées et de voir laquelle obtient la meilleure note. Une fois que vous les avez tous alignés, vous pouvez prendre une décision éclairée en fonction des besoins de votre environnement, tels que vous les comprenez.
Télécharger la check-list ici.
