Was ist Browser Isolation?

Viele Cyberangriffe nutzen browserbasierte Schwachstellen und Bedrohungen aus. Aktuelle Browserentwickler versuchen, Webanwendungen zu isolieren, damit bösartiger Code nicht auf das Betriebssystem und die Kernfunktionen des Geräts zugreifen kann. Diese Ansätze verhindern einige Angriffe, aber das offene Surfen im Internet erhöht das Risiko für Unternehmen exponentiell. Browser Isolation sorgt dafür, dass alle Webaktivitäten in einer geschlossenen, virtualisierten Umgebung stattfinden, ohne dass browserbasierter Code auf andere Bereiche des Geräts zugreifen kann. Eine cloud browser isolation Strategie ist dabei weitaus sicherer als herkömmliche Methoden des Webzugriffs.

Traditionell installierten Benutzer Software auf ihren Desktops und führten Anwendungen lokal aus. Daten wurden typischerweise auf einem Netzlaufwerk gespeichert, aber die Anwendung selbst lief auf der lokalen Maschine. Mit der zunehmenden Beliebtheit des Cloud-Computings laufen viele Anwendungen jetzt remote, sodass Daten entweder lokal oder in der Cloud gespeichert werden können. Die einfachste Methode, um Anwendungen remote auszuführen, besteht darin, sie so zu programmieren, dass sie in einem Browser laufen. Viele Software-as-a-Service (SaaS)-Anwendungen nutzen daher Browser.

Sicherheitsexperten stellten fest, dass browserbasierte Anwendungen sicherer für die Benutzer waren und gleichzeitig einen ungehinderten Zugang zu den Funktionen der Anwendungen ermöglichten. Da die Benutzer mit der Navigation in einem Browser vertraut waren, verkürzten diese Anwendungen die Schulungszeit. Entwickler nutzten Browser-Steuerelemente und APIs für einfacheres Programmieren und arbeiteten mit der bestehenden Browser-Sicherheit, anstatt eigene zu erstellen.

Mit der Weiterentwicklung der Cybersicherheit entdeckten Unternehmen, dass ein Browser, der in einer virtualisierten Umgebung ausgeführt wird, die Browser-Anwendung vollständig vom zugrunde liegenden Betriebssystem des Geräts trennen kann. Während der Zugriff auf das Internet Risiken birgt, schützt ein virtualisierter Browser das Gerät des Benutzers vor gängiger Malware, da diese nicht auf das Hauptsystem zugreifen kann.

Da isolierte Browser sicherer sind als Standardinstallationen, setzen jetzt auch Regierungen isolierte Browser und virtualisierte Technologien ein, um interne Netzwerkressourcen, sensible Daten und Geschäftsgeheimnisse zu schützen. Sicherheitsexperten empfehlen einen isolierten Browseransatz für das Web-Browsing auf Maschinen, die auf sensible Netzwerkressourcen und Daten zugreifen, um das Risiko von Drive-by-Malware, Phishing und Datendiebstahl zu reduzieren.

Browser Isolation funktioniert, indem eine Web-Umgebung in einer Sandbox betrieben wird. Das bedeutet, dass der Webbrowser in seiner eigenen Umgebung ausgeführt wird, ohne mit dem Betriebssystem zu interagieren. Stellen Sie sich vor, Sie hätten eine chemische Mischung in einer Glasflasche gemacht. Selbst wenn die Reaktion Rauch oder einen schlechten Geruch erzeugt, kann sie die Umgebung außerhalb der Flasche nicht beeinflussen. Dieses Szenario ähnelt der Funktionsweise einer isolierten Browser-Umgebung.

Cloud-basierte Anwendungen wie Office 365, E-Mail (z. B. Gmail), Filme, JavaScript-basierte Spiele und andere Cloud-Aktivitäten werden in einem Browser ausgeführt, aber ausgeklügelte Bedrohungen können durch einen herkömmlichen Browser hindurchdringen und auf das zugrunde liegende Betriebssystem zugreifen. Zum Beispiel begannen Browser, die Unterstützung für Adobe Flash zu deaktivieren, als eine Schwachstelle es Angreifern ermöglichte, die Maschine eines Benutzers aus der Ferne zu steuern, indem sie einfach eine Webseite öffneten. Diese und andere Schwachstellen führten dazu, dass nach Lösungen gesucht wurde, die es den Benutzern ermöglichten, das Internet ohne das Risiko von Malware zu nutzen, die einfach durch das Öffnen einer von Angreifern kontrollierten Webseite auftritt.

Die meisten Technologien zur Browser Isolation funktionieren, indem sie Browserfunktionen und -aktivitäten auf einem entfernten Cloud-Server ausführen. Anstatt Prozesse auf einem lokalen Computer laufen zu lassen, finden alle Aktivitäten auf dem entfernten Server statt. Dadurch wird der Computer des Benutzers von allem, was in einem Browser ausgeführt wird, isoliert. Der Benutzer sieht den Browser so, als würde er auf seinem lokalen Computer laufen, aber der gesamte Code, einschließlich clientseitigem JavaScript, wird auf dem entfernten Server ausgeführt. Besucht ein Benutzer eine bösartige Webseite, können Malware und andere clientseitige bösartige Codes nicht auf das lokale Gerät und das lokale Netzwerk des Benutzers zugreifen.

Administratoren können aus drei Arten der Browser Isolation wählen, wobei jede ihre eigenen Vor- und Nachteile bietet. Jede Isolationsstrategie bietet unterschiedliche Schutzstufen und potenzielle Risiken. Im heutigen Geschäftsumfeld ist Web-Browsing ein Muss für Benutzer. Sie müssen in der Lage sein, Antworten zu finden und wichtige Informationen herunterzuladen. Leider erhöht das offene Surfen im Internet das Sicherheitsrisiko erheblich.

Die Gefahren des Internet-Browsing führten zur Entwicklung von „Web-Inhaltsfiltern“. Diese blockieren Websites im Browser des Benutzers anhand einer langen Liste gemeldeter bösartiger Websites. Diese Strategie hat jedoch mehrere Probleme: Die Liste muss kontinuierlich aktualisiert werden, um effektiv zu sein, es gibt viele falsch negative Ergebnisse bei neu erstellten bösartigen Websites, und Angreifer erstellen zahlreiche schädliche Websites, um diese Schutzmaßnahmen zu umgehen.

Ein weiteres Problem bei herkömmlichen Browser-Einstellungen sind Cookies, die auf dem lokalen Gerät gespeichert werden. Cookies enthalten oft Sitzungs-IDs und andere persönliche Informationen. Angreifer nutzen Cross-Site-Scripting (XSS), um Cookies von einer legitimen Website zu stehlen und bösartige Skripte zu verwenden, um die Cookies an ihre eigenen Webserver weiterzuleiten. Mit dem gestohlenen Cookie kann ein Angreifer dann Cookie-Stuffing und Sitzungsfixierung durchführen, was ihm schädlichen Zugriff auf Aktivitäten im Kontext der Benutzersitzung verschafft.

Browser Isolation bietet den Nutzern einen wesentlich entspannteren Zugriff auf das Internet, ohne die Sicherheit des lokalen Netzwerks zu beeinträchtigen. In den meisten Webbrowser-Umgebungen verwenden Administratoren Remote Browser Isolation. Dieser Typ ist der gebräuchlichste, aber Organisationen können zwischen drei Varianten wählen:

• Remote Browser Isolation: Die sicherste und geschützteste Methode der Remote-Browser Isolation führt alles, einschließlich der Browser-Anwendung und JavaScript, auf einem entfernten Cloud-Server aus, der keinen Zugriff auf lokale Netzwerkressourcen und Daten hat. Der Benutzer erhält nur eine Ansicht der Webseite auf seinem Gerät.
• On-Premises-Browser Isolation: Diese Strategie funktioniert wie die Remote-Browser Isolation, aber der Server befindet sich im lokalen Netzwerk. Diese Methode bietet gute Privatsphäre, gewährt jedoch Zugriff auf lokale Netzwerkressourcen über den Remote-Server. Administratoren müssen den lokalen Server in einer Sandbox isolieren, um sicherzustellen, dass Malware keinen Zugriff auf die lokalen Netzwerkressourcen und Daten erhält.
• Client-seitige Browser Isolation: Diese Variante verwendet traditionelle Virtualisierung, indem webbasierte Anwendungen in einer virtuellen Maschine isoliert werden. Der Browser und die Webanwendungen laufen innerhalb des Browsers auf herkömmliche Weise, aber das Betriebssystem und der Browser laufen in einer virtualisierten Umgebung.

Remote Browser Isolation ist die gängigste, aber einige Umgebungen verfügen nicht über eine echte Virtualisierung. In einer DOM-Mirroring-Umgebung erlauben Administratoren bestimmten Webinhalten, das lokale Gerät des Nutzers zu erreichen, was ein Risiko für fortschrittliche Bedrohungen darstellen kann. In einer vollständig isolierten Umgebung wird jedoch nur ein Stream der Benutzeroberfläche und Aktivitäten des Browsers an das lokale Gerät des Nutzers übertragen.

Neben der erhöhten Sicherheit bietet die Browser Isolation zahlreiche weitere Vorteile. Ihre anhaltende Wirksamkeit bei der Abwehr von Malware und anderen webbasierten Angriffen hat sie zur bevorzugten Strategie für viele Unternehmen gemacht, die ihren Benutzern den Zugang zum Internet ermöglichen müssen, aber eine Möglichkeit suchen, Sicherheitsrisiken zu reduzieren.

Browser Isolation bietet mehrere Vorteile:

• Schutz vor bösartigen Webseiten und Webinhalten: Da auf dem lokalen Gerät kein Code ausgeführt wird, sind client-seitige Angriffe mit JavaScript nicht möglich.
• Schutz vor bösartigen Links in Phishing-E-Mails: Wenn ein Nutzer auf einen bösartigen Link klickt, öffnet sich der Browser automatisch, und die bösartige Webseite wird geladen. Sollte ein Angreifer den Nutzer dazu verleiten, auf einen schädlichen Link zu klicken, öffnet der isolierte Browser die Seite und verhindert, dass schädlicher Code auf das lokale Gerät geladen wird.
• Schutz vor bösartigen Downloads: Wenn Nutzer eine bösartige Webseite besuchen und Software herunterladen, speichert der entfernte Server die Malware in seiner eigenen isolierten Sandbox. Bei einem Doppelangriff, der soziale Manipulation oder andere Methoden in Verbindung mit Malware verwendet, wären Angreifer nicht in der Lage, schädliche Dateien auf das lokale Gerät zu laden.
• Schutz vor bösartiger Werbung: Obwohl Werbeplattformen versuchen, bösartige Anzeigen zu verhindern, gelangen dennoch einige durch das System. Da diese Anzeigen im virtualisierten Browser auf dem entfernten Server ausgeführt werden und Isolationstechniken nutzen, können sie dem lokalen Gerät des Nutzers keinen Schaden zufügen.
• Verborgene IP-Adressen: Sollte ein Angreifer den Nutzer dazu verleiten, eine Webseite zu besuchen, würde die IP-Adresse des Nutzers offengelegt werden. Diese IP-Adresse ist normalerweise der Austrittspunkt des Unternehmensrouters, der durch einen Distributed-Denial-of-Service-(DDoS)-Angriff angegriffen werden könnte. In einer isolierten Browser-Umgebung wird dem Angreifer jedoch nur die IP-Adresse des entfernten Servers angezeigt.
• Verhinderung von Datenverlust: Da Malware nicht auf das lokale Gerät des Nutzers geladen werden kann, verbessert eine isolierte Browser-Umgebung die Strategien zur Datenverlustprävention (DLP).
• Sammlung von Nutzerverhaltensanalysen: Da alle Browser-Instanzen auf einem zentralen Cloud-Server ausgeführt werden, können Administratoren Analyse- und Überwachungstools verwenden, um Informationen über die von Nutzern besuchten und aufgerufenen Seiten zu sammeln. Diese Analysen können dabei helfen festzustellen, ob Nutzer auf Phishing- und Malware-Seiten hereinfallen, um ihnen zusätzliche Cybersicherheitsschulungen anzubieten.
• Verringerung des administrativen Aufwands: Anstatt Webinhaltsfilter zu verwenden, die Warnungen auslösen, wenn Nutzer versuchen, eine blockierte Seite aufzurufen, können Administratoren den Bedarf an Warnungen beseitigen. Sie lesen einfach Berichte und überprüfen die Nutzerverhaltensanalysen, um Nutzer zu identifizieren, die mehr Anleitung im Bereich Cybersicherheit benötigen.
• Abwehr von webbasierten Malware- und Drive-by-Angriffen: Browser-Schwachstellen machen das gesamte lokale Gerät und Netzwerk anfällig für Zero-Day-Angriffe. Mit Browser Isolation werden Malware und andere Drive-by-Angriffe von diesen Bedrohungen neutralisiert.

Browser Isolation verringert den administrativen Aufwand, indem sie eine zusätzliche Ebene der Cybersicherheit hinzufügt, die mit herkömmlicher Webinhaltsfilterung nicht erreicht werden kann. Das Zulassen von uneingeschränktem Internetzugang erhöht das Sicherheitsrisiko und öffnet das lokale Gerät für zahlreiche Bedrohungen. Wenn Nutzer im Internet surfen, vergrößern sie die Angriffsfläche der Organisation, aber Browser Isolation reduziert diese erheblich.

Browser Isolation verhindert:

• Drive-by-Downloads: Webseiten, die Malware-Downloads initialisieren, können diese nicht auf das lokale Gerät laden; sie werden nur im Speicher des entfernten Servers abgelegt.
• Malvertising: Schadcode, der in Werbeanzeigen eingebettet ist, kann Nutzer auf bösartige Webseiten umleiten oder schädliches JavaScript ausführen, das für Angriffe wie Cryptojacking verwendet wird.
• Clickjacking: Virtualisierte Browser blockieren einen Großteil des Schadcodes, der durch Werbung und Drittanbieterseiten ausgeliefert wird. Beim Clickjacking klickt der Nutzer auf ein Element einer Webseite und glaubt, dass Daten an eine legitime Seite gesendet werden, während er tatsächlich auf eine versteckte Ebene einer vom Angreifer kontrollierten Webseite klickt.
• Phishing-Weiterleitungen: Das Blockieren bösartiger Anzeigen stoppt viele Phishing-Weiterleitungen, die den Nutzern auf Webseiten angezeigt werden.
• Man-in-the-Middle-Angriffe: Der entfernte Server lädt Webseiten, sodass keine Datenübertragung zwischen der Webseite und dem lokalen Gerät des Nutzers stattfindet. Da nach dem Laden einer Webseite auf dem entfernten Server nur ein Stream der Inhalte an das Gerät des Nutzers gesendet wird, ist das Stehlen von Daten durch Man-in-the-Middle-Angriffe nicht möglich.
• Cookie-Diebstahl: Angreifer können Cross-Site-Scripting (XSS) nicht mehr nutzen, um Cookies und Sitzungs-IDs zu stehlen. Cookies werden gelöscht, wenn der Nutzer seine Sitzung beendet, sodass sie anderen Nutzern auf dem Gerät nicht zugänglich sind. Sollte das Gerät gestohlen werden, hätte der Angreifer keinen Zugriff auf Cookies und Sitzungs-IDs.

Proofpoint bietet fortschrittliche Cybersicherheitslösungen gegen Bedrohungen, indem es eine Browser Isolationsstrategie namens Proofpoint Targeted Attack Protection (TAP) verwendet. Wir nutzen eine entfernte, cloudbasierte Serverlösung, um Ihren Geschäftsnutzern – auch an Heimarbeitsplätzen – den Zugriff auf das Internet zu ermöglichen, ohne das erhöhte Risiko durch Malware und schädlichen Client-seitigen Code.

Mit der Proofpoint TAP-Strategie schützen Ihre Administratoren sensible Daten, geistiges Eigentum, wichtige Geschäftsgeheimnisse sowie andere private Dateien und Informationen vor Exfiltration. Vermeiden Sie hohe Bußgelder aufgrund von Compliance-Verstößen und reduzieren Sie Risiken, indem Sie ausgeklügelte webbasierte Angriffe blockieren, bei denen Nutzer Malware installieren und Daten an Angreifer verlieren. TAP verringert Ihre Angriffsfläche und entlastet erheblich Ihre IT-Abteilung. Mit TAP können Sie Ihren Nutzern weiterhin vollen Internetzugriff gewähren, ohne das Risiko üblicher Angriffe im Internet.