מהו פתרון ה-Remote Browser Isolation ולמה צריך אותו?
כתב: גלי דילצקי, מהנדס פריסייל בחטיבת ברודקום תוכנה בנספרו.
כאשר כמעט כל המתקפות על האינטרנט מגיעות דרך ערוץ הגלישה, שכן גם מרבית מתקפות האימייל מחייבות זאת, אין ספק שחייבים להגן על ערוץ זה בצורה המיטבית ביותר, תוך דגש על חוויית משתמש טובה, ולספק אותה רמת הגנה גם בתוך הארגון וגם מחוץ לו.
הדפדפן הפך כבר מזמן להיות מערכת הפעלה משל עצמו, ורוב התחנות מריצות לפחות שני דפדפנים. למרות עדכוני גרסה רבים, התוקפים מנצלים חולשות באתרים, בדפדפנים או בגורם האנושי כדי לבצע מתקפות רבות ומתוחכמות, כשכל מה שנדרש לעתים ממשתמש הקצה זה לגלוש לאתר הלא נכון כדי לחשוף את הארגון למתקפות זדוניות. כדי לתת מענה לבעיות אלה נדרש פתרון להרחקה ובידוד גלישה.
Remote Browser Isolation – או, בקיצור, RBI – הוא פתרון אבטחת מידע, שמטרתו למנוע מאובייקטים של אתרים להגיע לתחנת הקצה, וכך להגן מפני איומים ברשת. במקום לגלוש ישירות מהמחשב, הגלישה מתבצעת דרך דפדפן מרוחק בענן. כאשר המשתמש גולש, מועברת לנקודת הקצה רק התמונה של האתר, ולא התוכן (HTML, פונטים, CSS, ג'אווה סקריפט ועוד). משמעות הדבר היא שתוכן זדוני באתרי האינטרנט לא יכול לפגוע במחשבים/שרתים הארגוניים.
הפתרון האולטימטיבי – של סימנטק
סימנטק, חטיבת אבטחת המידע של ברודקום, שמה לה לדגש לאפשר Zero Trust Browsing – הגנה מוחלטת בגלישה לכל אתרי האינטרנט, ובו בזמן לתת למשתמש הקצה חוויית גלישה מיטבית. כדי לאפשר בידוד גלישה מלא ולא חלקי, וכדי לאפשר לכל האתרים בישראל לעלות – גם לאלה המאפשרים גלישה רק מישראל – החברה הקימה דאטה סנטר בארץ.
על מנת לממש את הפתרון בתוך הארגון ניתן להעביר את התעבורה דרך אחד מהקבצים האלה: PAC, PBR, WCCP, IPSEC ועוד. עבור משתמשים מחוץ לארגון מותקן סוכן אחוד, שמעביר את כלל התעבורה ל-Getaway Cloud של פלטפורמת ה-SSE, שכולל יכולות CASB & DLP, UEBA, ZTNA ו-Proxy\RBI.
ה-Proxy מבוסס על הטכנולוגיה של בלו קואוט, עם יכולות מתקדמות לשליטה וניתוח של תעבורת הרשת, באמצעות סריקה של תוכן האתר וקבצים בצורה דינמית. זאת, על ידי מגוון מנועים מתקדמים, כולל ארגז חול מלא וכמה מנועי AV, שכוללים חקירות דינמיות של הקוד, יכולות החלת מדיניות גמישה ורחבה לפי משתמשים או קבוצות, קטגוריות גלישה ורמות סיכונים, פיירוול בענן, הגנת DNS, זיהוי והגנת Geolocation, מודיעין איומים, SSL Inspection וכמובן רכיב ה-RBI, שמאפשר מניעה מלאה של מתקפות גלישה.
הפתרון הינו מודולרי לחלוטין וכולל Proxy On-Prem\Cloud עם ניהול אחוד, שמאפשר לבחור את תצורת הפריסה בארגון על פי דרישות הלקוח – בענן, בצורה היברידית או און-פרמיס (עם RBI Cloud), כאשר יש אפשרות לשנות את התצורה בכל עת.
הדאטה סנטר בישראל – פתרונות הגלישה של סימנטק, גם הפרוקסי וגם פתרון ה-RBI, מתבססים על תשתית האינטרנט המתקדמת ביותר בעולם ונמצאים על ה-BackBone של גוגל. כל ניתובי התקשורת הנדרשים כדי לטעון אתרים עוברים על הקווים של גוגל, במקום ניתובים בין ספקיות אינטרנט בעולם.
הפתרון כולל, בין היתר:
- פתרון רשתי שאינו תלוי בגרסת מערכת ההפעלה או הדפדפן בצד הלקוח ויכול לספק באותו הפתרון, חוץ מ-RBI, גם סינון גלישה לפי קטגוריות, ניהול שימוש באפליקציות, מדיניות הורדת קבצים, הלבנה, מניעת דלף מידע ועוד.
- פתרון הגנה מפני מתקפות פישינג על ידי הפיכת אתרים שאינם מוכרים כטובים או כרעים אך מבקשים פרטי הזדהות ממשתמש הקצה – לקריאה בלבד. בכך, הפתרון מונע מתקפות פישינג שעברו את פתרון ההגנה על המייל הארגוני, או שנשלחו דרך אתרי אינטרנט ואפליקציות אחרים, כגון ג'ימייל או ווטסאפ.
- פתרון ה-SSE של סימנטק, כאשר כל אחד מהרכיבים בפתרון הוא Best Of Breed. זאת, כגון DLP, CASB, ZTNA, Web Security Gateway ופתרון ה-RBI ללא עלות נוספת.
- בסימנטק, פתרון ה-DLP יכול לעבוד גם בתוך סשן ה-RBI, ולא רק בהעלאה או הורדה של קבצים. באמצעות יכולת זו ניתן לספק DLP לא רק עבור משתמשים בתוך הארגון, אלא גם עבור משתמשים ניידים, מחוץ לו, ועדיין לספק להם מעטפת גלישה מאובטחת של RBI ולתת מענה לאתרי Web Socket כגון ווטסאפ ווב, טלגרם ו-ChatGPT.
- חוויית משתמש – חוויה שמציעה את הביצועים הטובים בשוק, מאחר שהפתרון יושב על דאטה סנטר בישראל, על גבי רשת GCP בתצורת Serverless – אותה תשתית ורשת שמריצה את יוטיוב, עם מהירות חסרת תקדים וללא בעיות לוקליזציה.
- שליטה מדויקת על תוכן האתר – הפתרון מאפשר לשלוט באופן מוחלט על פעולות המשתמש בכל סוגי האתרים, כולל אתרי Web Socket. זה כולל העתקה, הדבקה, הורדה והעלאה של קבצים (כולל סוגי קבצים), הדפסה ועוד.
- הגנה נוספת על קבצי Office – הפתרון מציע יכולת DOC Isolation מיוחדת לפתיחת מסמכים לגלישה בתוך סביבה מבודדת בענן. המטרה היא להגן על המשתמש מפני מסמכים שמכילים קודים זדוניים. בכך, הפתרון מבטיח שהמשתמש נהנה מעבודה בטוחה ומהירה בו זמנית. כאשר הוא פועל עם המסמך (בסשן ה-RBI), המערכת מבצעת סריקה אוטומטית לאיתור וחסימת תוכנות זדוניות.
- שליטה מתקדמת בהורדה של קבצים המוגנים עם סיסמה – לא רק שניתן לשלוט על העלאה והורדה של קבצים, הפתרון גם חוסם את אפשרות ההורדה של קבצים מוגני סיסמה עד שהמשתמש מספק את הסיסמה לקובץ, לצורך סריקה ובדיקה האם הקובץ מכיל קוד זדוני או איומים אחרים.