2 de setembro de 2022
Por Guermellou Mohammed - Arquiteto de segurança na nuvem, Skyhigh Security
Atualmente, acedemos a muitos serviços legítimos de comunicação pessoal na nuvem, como o WhatsApp, tanto para fins profissionais como pessoais. No entanto, por vezes, esses serviços de nuvem legítimos podem ser mal utilizados e levar a uma exposição de risco dos dados empresariais. Ao longo deste blogue, iremos discutir os desafios das aplicações web pessoais que contornam a tecnologia proxy para exfiltrar dados e injetar malware e como o portfólio Security Service Edge (SSE) da Skyhigh, com Remote Browser Isolation (RBI), pode reduzir a superfície de ataque e limitar a exposição dos dados.
Atualmente, as plataformas de comunicação são essenciais. Estas plataformas são utilizadas para se manter ligado à família e aos colegas e para fazer novos amigos. A sua utilização foi acelerada pela COVID-19 e pelo novo local de trabalho moderno, onde trabalhamos frequentemente fora dos espaços de escritório, onde podemos socializar com colegas de equipa e amigos. Trabalhando exclusivamente a partir de casa ou de outros locais remotos, reduzimos o tempo em que nos vemos uns aos outros e, consequentemente, tecnologias de comunicação como o WhatsApp, o Signal e o Telegram estão a ser utilizadas tanto para fins pessoais como profissionais.
Novos riscos introduzidos no local de trabalho moderno
O WhatsApp é uma aplicação móvel muito utilizada para comunicação. A aplicação por si só não representa um risco de segurança para as organizações, uma vez que o utilizador utiliza o seu dispositivo pessoal para aceder ao serviço. Mas e quando fazemos a ponte entre dispositivos geridos pela empresa e dispositivos pessoais, como utilizar a versão Web do WhatsApp a partir de um dispositivo gerido? Esta utilização seria considerada um risco para o dispositivo empresarial. Vamos analisar mais detalhadamente como funciona o serviço WhatsApp e onde reside o risco.
Quando um utilizador acede ao whatsapp.com, é-lhe pedido que emparelhe o seu dispositivo móvel com o portal Web, o que faz com que o serviço Web traga as conversas através do browser local. Tecnicamente, o browser no computador local estabelece uma comunicação segura com o serviço Web do WhatsApp. Esta comunicação é uma mensagem bidirecional denominada Web socket. A função da tecnologia de proxy é proteger o tráfego Web inspeccionando as comunicações HTTP, mas não pode inspecionar o conteúdo das comunicações de socket Web, como mostra a Figura 1.
Figura 1. Diagrama que descreve uma sessão WebSocket
Assim que a aplicação Web do WhatsApp estiver instalada num dispositivo empresarial, um utilizador pode carregar e exfiltrar dados empresariais sensíveis. Isto impossibilita a aplicação da política DLP de proxy na nuvem porque os dados são encriptados e não serão inspeccionados. Como pode ver na Figura 2, os dados contornam o controlo do proxy na nuvem.
Figura 2. As mensagens bidireccionais contornam as inspecções do proxy de reencaminhamento
No vídeo de demonstração Data Exfiltrated Through WhatsApp, um utilizador tenta partilhar um documento confidencial contendo informações de cartão de crédito utilizando o seu e-mail pessoal, mas com base na política DLP do Cloud Proxy, as informações contidas no ficheiro são demasiado sensíveis para serem carregadas para uma caixa de correio pessoal e, por isso, são bloqueadas. Depois, para contornar esta restrição, o utilizador tenta copiar e colar o conteúdo do ficheiro diretamente no browser. Tal como anteriormente, a política DLP do proxy da nuvem é accionada e a tentativa de cópia é novamente bloqueada. Numa última tentativa, o utilizador utiliza o WhatsApp Web e emparelha o seu dispositivo. Desta vez, consegue carregar o ficheiro sem que o DLP do proxy Web na nuvem inspeccione o conteúdo.
Superar os desafios
A compreensão deste risco cria um dilema para os administradores. Têm de decidir se devem permitir que os utilizadores acedam a estes serviços de comunicação enquanto trabalham a partir de casa ou se devem bloquear o WhatsApp para se protegerem contra este risco, dificultando a capacidade de trabalho do utilizador. A solução ideal será permitir que o utilizador utilize este serviço (ou outros), mantendo os dados empresariais seguros. Por conseguinte, as tecnologias de isolamento proporcionarão aos administradores o nível de segurança de que necessitam em todos os momentos, ao mesmo tempo que permitem aos utilizadores menos restrições no acesso aos serviços Web.
As tecnologias de isolamento impedem que o conteúdo do site seja executado no browser local do computador do utilizador, movendo-o para uma localização remota segura. Depois, apenas uma imagem do conteúdo do sítio Web alvo é apresentada no browser do computador local. Nenhum dos conteúdos potencialmente comprometidos do sítio Web será executado no computador local, reduzindo automaticamente a exposição à vulnerabilidade do navegador e o risco de sequestro de cookies. De acordo com a pesquisa Innovation Insight for Remote Browser Isolation da Gartner (subscrição obrigatória), as organizações que utilizam tecnologias de isolamento podem reduzir a superfície de ataque em 70%. O diagrama na Figura 3 demonstra a tecnologia Skyhigh Security Remote Browser Isolation (RBI) e como esta se situa entre o browser local e o serviço WhatsApp.
Figura 3. Isole o WhatsApp e inspeccione-o antes de entrar na comunicação WebSocket
O nosso vídeo de demonstração do WhatsApp Secured with RBI apresenta um exemplo de um utilizador que tenta aceder ao serviço Web do WhatsApp. O WhatsApp web será aberto dentro de um ambiente de nuvem de isolamento em Skyhigh Security Cloud e apenas a imagem das conversas será enviada para o navegador local. Um soquete da Web é estabelecido entre o ambiente de nuvem de isolamento e o serviço do WhatsApp protegido com RBI, permitindo que o administrador controle todas as atividades realizadas na sessão de isolamento.
Principais conclusões
A tecnologia de isolamento dá aos proxies Web mais liberdade para aplicar acções em vez de apenas as permitir e bloquear. É como na indústria automóvel, onde a invenção dos travões permitiu um aumento seguro da velocidade dos automóveis. Como os travões podem impedir que um carro vá demasiado depressa e perca o controlo, os engenheiros desenvolveram motores mais potentes que podem ir a velocidades mais elevadas, mais confiantes de que essas velocidades podem ser controladas com mais segurança.
Do mesmo modo, a tecnologia de isolamento abre a porta aos controlos proxy da Web, removendo toda a execução da máquina local para um browser seguro e isolado. Desta forma, reduz-se a necessidade de os administradores manterem enormes listas de excepções e dá-se mais liberdade ao utilizador quando trabalha a partir de casa. Esta abordagem também suporta os princípios da Arquitetura de Segurança de Confiança Zero, uma vez que não confiamos no site de destino ou no seu conteúdo, mas avaliamos e removemos continuamente a execução de qualquer risco potencial da máquina empresarial para um browser seguro e remoto.
Ligações úteis
Voltar aos blogues