2 settembre 2022
Di Guermellou Mohammed - Architetto della sicurezza del cloud, Skyhigh Security
Oggi accediamo a molti servizi di comunicazione personale cloud legittimi, come WhatsApp, sia per motivi di lavoro che personali. Tuttavia, a volte questi servizi cloud legittimi possono essere utilizzati in modo improprio e portare all'esposizione a rischio dei dati aziendali. Nel corso di questo blog, parleremo delle sfide poste dalle applicazioni web personali che aggirano la tecnologia proxy per esfiltrare i dati e iniettare malware e di come il portafoglio Security Service Edge (SSE) di Skyhigh, con Remote Browser Isolation (RBI), possa ridurre la superficie di attacco e limitare l'esposizione dei dati.
Al giorno d'oggi, le piattaforme di comunicazione sono essenziali. Queste piattaforme vengono utilizzate per rimanere in contatto con le famiglie e i colleghi e per fare nuove amicizie. Il loro utilizzo è stato accelerato dal COVID-19 e dal nuovo luogo di lavoro moderno, dove spesso lavoriamo al di fuori degli spazi dell'ufficio, dove possiamo socializzare con compagni di lavoro e amici. Lavorando esclusivamente da casa o da altri luoghi remoti, riduciamo il tempo in cui ci vediamo, e di conseguenza le tecnologie di comunicazione come WhatsApp, Signal e Telegram vengono utilizzate sia per scopi personali che lavorativi.
Nuovi rischi introdotti nel posto di lavoro moderno
WhatsApp è un'applicazione mobile molto utilizzata per la comunicazione. L'applicazione di per sé non comporta un rischio per la sicurezza delle organizzazioni, in quanto l'utente utilizza il suo dispositivo personale per accedere al servizio. Ma cosa succede quando uniamo dispositivi gestiti dall'azienda e dispositivi personali, come l'utilizzo della versione web di WhatsApp da un dispositivo gestito? Questo utilizzo sarebbe considerato un rischio per il dispositivo aziendale. Diamo un'occhiata più da vicino a come funziona il servizio WhatsApp e dove si trova il rischio.
Quando un utente accede a whatsapp.com, gli viene chiesto di associare il proprio dispositivo mobile al portale web, con il risultato che il servizio web porta le conversazioni attraverso il browser locale. Tecnicamente, il browser sul computer locale stabilisce una comunicazione sicura con il servizio web di WhatsApp. Questa comunicazione è un messaggio bidirezionale chiamato web socket. Il ruolo della tecnologia proxy è quello di proteggere il traffico web ispezionando le comunicazioni HTTP, ma non è in grado di ispezionare il contenuto delle comunicazioni web socket, come mostrato nella Figura 1.
Figura 1. Diagramma che descrive una sessione WebSocket
Una volta installata l'applicazione web di WhatsApp su un dispositivo aziendale, un utente può caricare ed esfiltrare dati aziendali sensibili. Questo rende impossibile l'applicazione della politica DLP del cloud proxy, perché i dati sono crittografati e non vengono ispezionati. Come si può vedere nella Figura 2, i dati eludono il controllo del cloud proxy.
Figura 2. I messaggi bidirezionali bypassano le ispezioni del proxy di inoltro.
Nel video dimostrativo Dati esfiltrati tramite WhatsApp, un utente cerca di condividere un documento riservato contenente informazioni sulla carta di credito utilizzando la sua e-mail personale, ma in base alla politica DLP di Cloud Proxy, le informazioni contenute nel file sono troppo sensibili per essere caricate su una casella di posta elettronica personale e quindi vengono bloccate. Quindi, per aggirare questa restrizione, l'utente tenta di copiare e incollare il contenuto del file direttamente sul browser. Come prima, viene attivata la Policy DLP del cloud proxy e il tentativo di copia viene nuovamente bloccato. In un ultimo tentativo, l'utente utilizza WhatsApp Web e accoppia il suo dispositivo. Questa volta riesce a caricare il file senza che il proxy DLP del cloud web ispezioni il contenuto.
Superare le sfide
La comprensione di questo rischio crea un dilemma per gli amministratori. Devono decidere se consentire agli utenti l'accesso a questi servizi di comunicazione mentre lavorano da casa o se bloccare WhatsApp per proteggersi da questo rischio, ostacolando la capacità dell'utente di lavorare. La soluzione ideale sarà quella di consentire all'utente di utilizzare questo servizio (o altri) mantenendo i dati aziendali al sicuro. Pertanto, le tecnologie di isolamento offriranno all'amministratore il livello di sicurezza di cui ha bisogno in ogni momento, consentendo anche agli utenti di avere meno restrizioni nell'accesso ai servizi web.
Le tecnologie di isolamento rimuovono il contenuto del sito web dall'esecuzione sul browser locale del computer dell'utente, spostandolo in una posizione remota sicura. Quindi, sul browser del computer locale viene visualizzata solo un'immagine del contenuto del sito web di destinazione. Nessuno dei contenuti potenzialmente compromessi del sito web verrà eseguito nel computer locale - riducendo automaticamente l'esposizione alla vulnerabilità del browser e il rischio di dirottamento dei cookie. Secondo la ricerca Innovation Insight for Remote Browser Isolation di Gartner (è necessaria la sottoscrizione), le organizzazioni che utilizzano tecnologie di isolamento possono ridurre la superficie di attacco del 70%. Il diagramma nella Figura 3 mostra la tecnologia Skyhigh Security Remote Browser Isolation (RBI) e il modo in cui si colloca tra il browser locale e il servizio WhatsApp.
Figura 3. Isolare WhatsApp e ispezionare prima di entrare nella comunicazione WebSocket
Il nostro video demo di WhatsApp Secured with RBI fornisce un esempio di un utente che cerca di accedere al servizio web di WhatsApp. WhatsApp web sarà aperto all'interno di un ambiente cloud di isolamento su Skyhigh Security Cloud e solo l'immagine delle conversazioni sarà inviata al browser locale. Viene stabilito un socket web tra l'ambiente cloud di isolamento e il servizio WhatsApp protetto con RBI, consentendo all'amministratore di controllare tutte le attività svolte dalla sessione di isolamento.
Punti chiave
La tecnologia di isolamento offre ai proxy web una maggiore libertà nell'applicare le azioni, anziché limitarsi a consentire e bloccare. È come nell'industria automobilistica, dove l'invenzione dei freni ha permesso un aumento sicuro della velocità delle auto. Poiché i freni possono impedire che un'auto vada troppo veloce e perda il controllo, gli ingegneri hanno sviluppato motori più potenti che possono andare a velocità più elevate, più sicuri che queste velocità possano essere controllate in modo più sicuro.
Allo stesso modo, la tecnologia di isolamento apre la porta ai controlli proxy web, rimuovendo tutta l'esecuzione dalla macchina locale a un browser isolato e sicuro. In questo modo si riduce la necessità degli amministratori di mantenere enormi elenchi di eccezioni e si offre maggiore libertà all'utente che lavora da casa. Questo approccio supporta anche i principi dell'Architettura di Sicurezza Zero Trust, in quanto non ci fidiamo del sito di destinazione o del contenuto al suo interno, ma valutiamo e rimuoviamo continuamente l'esecuzione di qualsiasi rischio potenziale dal computer aziendale a un browser sicuro e remoto.
Collegamenti utili
Torna ai blog