2 سبتمبر 2022
بقلم غيرميلو محمد - مهندس أمن السحابة ، Skyhigh Security
نصل اليوم إلى العديد من خدمات الاتصالات السحابية الشخصية المشروعة ، مثل WhatsApp ، لأغراض العمل والأغراض الشخصية. ومع ذلك ، في بعض الأحيان يمكن إساءة استخدام هذه الخدمات السحابية المشروعة وتؤدي إلى التعرض لمخاطر بيانات الشركة. خلال هذه المدونة ، سنناقش التحديات مع تطبيقات الويب الشخصية التي تتجاوز تقنية الوكيل لاستخراج البيانات وحقن البرامج الضارة وكيف أن SkyhighSecurity Service Edge (SSE) محفظة ، مع Remote Browser Isolation (RBI) ، يمكن أن يقلل من سطح الهجوم ويحد من التعرض للبيانات.
في هذه الأيام ، تعد منصات الاتصال ضرورية. تستخدم هذه المنصات للبقاء على اتصال مع العائلات والزملاء وتكوين صداقات جديدة. تم تسريع استخدامها بسبب COVID-19 ومكان العمل الحديث الجديد ، حيث نعمل غالبا خارج المساحات المكتبية ، حيث يمكننا الاختلاط مع زملائنا في الفريق والأصدقاء. من خلال العمل حصريا من المنزل أو من مواقع بعيدة أخرى ، نقوم بتقليل الوقت الذي نرى فيه بعضنا البعض ، ونتيجة لذلك يتم استخدام تقنيات الاتصالات مثل WhatsApp و Signal و Telegram للأغراض الشخصية وأغراض العمل.
مخاطر جديدة أدخلت في مكان العمل الحديث
WhatsApp هو تطبيق جوال يستخدم على نطاق واسع للاتصال. لا يجلب التطبيق في حد ذاته مخاطر أمنية للمؤسسات ، حيث يستخدم المستخدم جهازه الشخصي للوصول إلى الخدمة. ولكن ماذا عن ربط الأجهزة المدارة من قبل الشركة والأجهزة الشخصية ، مثل استخدام إصدار الويب من WhatsApp من جهاز مدار؟ يعتبر هذا الاستخدام خطرا على جهاز الشركة. دعونا نلقي نظرة فاحصة على كيفية عمل خدمة WhatsApp وأين تكمن المخاطر.
عندما يصل المستخدم إلى whatsapp.com ، يطلب منه إقران أجهزته المحمولة ببوابة الويب ، مما يؤدي إلى قيام خدمة الويب بجلب المحادثات من خلال المتصفح المحلي. من الناحية الفنية ، ينشئ المتصفح الموجود على الجهاز المحلي اتصالا آمنا بخدمة الويب WhatsApp. هذا الاتصال عبارة عن رسالة ثنائية الاتجاه تسمى مقبس الويب. يتمثل دور تقنية الوكيل في تأمين حركة مرور الويب عن طريق فحص اتصالات HTTP ، ولكن لا يمكنها فحص محتوى اتصالات مقبس الويب ، كما هو موضح في الشكل 1.
الشكل 1. رسم تخطيطي يصف جلسة عمل WebSocket
بمجرد تثبيت تطبيق الويب WhatsApp على جهاز الشركة ، يمكن للمستخدم بعد ذلك تحميل بيانات الشركة الحساسة واستخراجها. هذا يجعل فرض سياسة DLP للوكيل السحابي مستحيلا لأن البيانات مشفرة ولن يتم فحصها. كما ترى في الشكل 2 ، تتجاوز البيانات التحكم في وكيل السحابة.
الشكل 2. تتجاوز الرسائل ثنائية الاتجاه عمليات فحص الوكيل الأمامي
في الفيديو التوضيحي للبيانات التي تم اختراقها من خلال WhatsApp ، يحاول المستخدم مشاركة مستند سري يحتوي على معلومات بطاقة الائتمان باستخدام بريده الإلكتروني الشخصي ، ولكن بناء على سياسة Cloud Proxy DLP ، تكون المعلومات الموجودة في الملف حساسة للغاية بحيث لا يمكن تحميلها إلى صندوق بريد شخصي ، وبالتالي يتم حظرها. بعد ذلك ، لتجاوز هذا التقييد ، يحاول المستخدم بعد ذلك نسخ محتوى الملف ولصقه مباشرة على المتصفح. كما هو الحال من قبل، يتم تشغيل نهج DLP للوكيل السحابي، ويتم حظر النسخة التي تمت محاولة نسخها مرة أخرى. في المحاولة الأخيرة ، يستخدم المستخدم WhatsApp Web ويقرن أجهزته. هذه المرة يمكنهم تحميل الملف دون أن يقوم وكيل الويب السحابي DLP بفحص المحتوى.
التغلب على التحديات
إن فهم هذا الخطر يخلق معضلة للمسؤولين. يجب أن يقرروا ما إذا كانوا سيسمحون للمستخدمين بالوصول إلى خدمات الاتصال هذه أثناء العمل من المنزل أو حظر WhatsApp للتأمين ضد هذا الخطر مع إعاقة قدرة المستخدم على العمل. سيكون الحل المثالي هو السماح للمستخدم باستخدام هذه الخدمة (أو غيرها) مع الحفاظ على أمان بيانات الشركة. لذلك ، ستجلب تقنيات العزل للمشرف مستوى الأمان الذي يحتاجه في جميع الأوقات ، مع السماح للمستخدمين أيضا بقيود أقل في الوصول إلى خدمات الويب.
تعمل تقنيات العزل على إزالة محتوى موقع الويب من التنفيذ على المستعرض المحلي لجهاز المستخدم عن طريق نقله إلى موقع بعيد آمن. بعد ذلك ، يتم عرض صورة فقط لمحتوى موقع الويب الهدف على متصفح الجهاز المحلي. لن يتم تنفيذ أي من محتوى موقع الويب الذي يحتمل اختراقه في الجهاز المحلي - مما يقلل تلقائيا من تعرض ضعف المتصفح وخطر اختطاف ملفات تعريف الارتباط. وفقا لجارتنررؤية الابتكار ل Remote Browser Isolationالبحث (الاشتراك مطلوب) ، يمكن للمؤسسات التي تستخدم تقنيات العزل تقليل سطح الهجوم بنسبة 70 بالمائة. يوضح الشكل 3 Skyhigh Security Remote Browser Isolation تقنية (RBI) وكيفية وضعها بين المتصفح المحلي وخدمة WhatsApp.
الشكل 3. عزل WhatsApp وفحصه قبل الدخول في اتصال WebSocket
يوفر الفيديو التجريبي ل WhatsApp الآمن مع RBI مثالا على مستخدم يحاول الوصول إلى خدمة الويب WhatsApp. سيتم فتح WhatsApp web داخل بيئة سحابية معزولة على Skyhigh Security سحابة وسيتم إرسال صورة المحادثات فقط إلى المتصفح المحلي. يتم إنشاء مقبس ويب بين بيئة سحابة العزل مع خدمة WhatsApp المؤمنة باستخدام RBI مما يسمح للمسؤول بالتحكم في جميع الأنشطة التي يتم إجراؤها من جلسة العزل.
الماخذ الرئيسية
توفر تقنية العزل لبروكسيات الويب مزيدا من الحرية لتطبيق الإجراءات بدلا من مجرد السماح بها وحظرها. إنه كما هو الحال في صناعة السيارات ، حيث سمح اختراع الفرامل بزيادة آمنة في سرعة السيارة. نظرا لأن الفرامل يمكن أن تحكم السيارة من السير بسرعة كبيرة وفقدان السيطرة ، فقد طور المهندسون محركات أكثر قوة يمكنها السير بسرعات أعلى ، وأكثر ثقة في إمكانية التحكم في هذه السرعات بأمان أكبر.
وبالمثل ، تفتح تقنية العزل الباب أمام عناصر التحكم في وكيل الويب ، عن طريق إزالة كل التنفيذ من الجهاز المحلي إلى متصفح معزول آمن. يؤدي القيام بذلك إلى تقليل حاجة المسؤولين إلى الاحتفاظ بقوائم استثناءات ضخمة ويمنح المزيد من الحرية للمستخدم أثناء العمل من المنزل. يدعم هذا النهج أيضا مبادئ بنية أمان الثقة المعدومة ، حيث لا نثق في الموقع الوجهة أو المحتوى الموجود فيه ، ولكننا نقيم باستمرار ونزيل تنفيذ أي مخاطر محتملة من جهاز الشركة إلى متصفح آمن وبعيد.
روابط مفيدة
العودة إلى المدونات