โดย Guermellou Mohammed - Cloud Security Architect, Skyhigh Security
2 กันยายน 2565 5 อ่านนาที
วันนี้เราเข้าถึงบริการสื่อสารบนคลาวด์ส่วนบุคคลที่ถูกต้องตามกฎหมายมากมาย เช่น WhatsApp เพื่อวัตถุประสงค์ในการทํางานและส่วนตัว อย่างไรก็ตาม บางครั้งบริการคลาวด์ที่ถูกต้องตามกฎหมายเหล่านั้นอาจถูกนําไปใช้ในทางที่ผิดและนําไปสู่การเปิดเผยข้อมูลขององค์กรที่มีความเสี่ยง ตลอดบล็อกนี้ เราจะพูดถึงความท้าทายของเว็บแอปพลิเคชันส่วนบุคคลที่ข้ามเทคโนโลยีพร็อกซีเพื่อกรองข้อมูลและฉีดมัลแวร์และวิธีที่ SkyhighSecurity Service Edge (เอสเอสอี) พอร์ตโฟลิโอ พร้อมด้วย Remote Browser Isolation (RBI) สามารถลดพื้นผิวการโจมตีและจํากัดการเปิดเผยข้อมูล
ทุกวันนี้แพลตฟอร์มการสื่อสารเป็นสิ่งจําเป็น แพลตฟอร์มเหล่านี้ใช้เพื่อติดต่อกับครอบครัวและเพื่อนร่วมงานและเพื่อหาเพื่อนใหม่ การใช้งานของพวกเขาถูกเร่งขึ้นโดย COVID-19 และสถานที่ทํางานสมัยใหม่ใหม่ ซึ่งเรามักจะทํางานนอกพื้นที่สํานักงาน ซึ่งเราสามารถสังสรรค์กับเพื่อนร่วมทีมและเพื่อนฝูงได้ การทํางานเฉพาะจากที่บ้านหรือจากสถานที่ห่างไกลอื่น ๆ เราลดเวลาที่เราเห็นกันและด้วยเหตุนี้เทคโนโลยีการสื่อสารเช่น WhatsApp, Signal และ Telegram จึงถูกนํามาใช้เพื่อวัตถุประสงค์ส่วนตัวและการทํางาน
ความเสี่ยงใหม่ที่นํามาใช้ในสถานที่ทํางานสมัยใหม่
WhatsApp เป็นแอปพลิเคชั่นมือถือที่ใช้กันอย่างแพร่หลายสําหรับการสื่อสาร แอปพลิเคชันด้วยตัวเองไม่ก่อให้เกิดความเสี่ยงด้านความปลอดภัยสําหรับองค์กร เนื่องจากผู้ใช้ใช้อุปกรณ์ส่วนตัวเพื่อเข้าถึงบริการ แต่เมื่อเราเชื่อมโยงอุปกรณ์ที่จัดการโดยองค์กรและอุปกรณ์ส่วนตัวเช่นการใช้ WhatsApp เวอร์ชันเว็บจากอุปกรณ์ที่มีการจัดการล่ะ การใช้งานนี้จะถือเป็นความเสี่ยงบนอุปกรณ์ขององค์กร มาดูกันดีกว่าว่าบริการ WhatsApp ทํางานอย่างไรและมีความเสี่ยงอยู่ที่ใด
เมื่อผู้ใช้เข้าถึง whatsapp.com พวกเขาจะถูกขอให้จับคู่อุปกรณ์มือถือกับเว็บพอร์ทัลส่งผลให้บริการเว็บนําการสนทนาผ่านเบราว์เซอร์ท้องถิ่น ในทางเทคนิคเบราว์เซอร์บนเครื่องท้องถิ่นสร้างการสื่อสารที่ปลอดภัยกับบริการเว็บ WhatsApp การสื่อสารนี้เป็นข้อความแบบสองทิศทางที่เรียกว่าเว็บซ็อกเก็ต บทบาทของเทคโนโลยีพร็อกซีคือการรักษาความปลอดภัยการรับส่งข้อมูลเว็บโดยการตรวจสอบการสื่อสาร HTTP แต่ไม่สามารถตรวจสอบเนื้อหาของการสื่อสารซ็อกเก็ตเว็บดังแสดงในรูปที่ 1
รูป 1. ไดอะแกรมอธิบายเซสชัน WebSocket
เมื่อติดตั้งเว็บแอปพลิเคชัน WhatsApp บนอุปกรณ์ขององค์กรแล้วผู้ใช้สามารถอัปโหลดและกรองข้อมูลที่ละเอียดอ่อนขององค์กรได้ สิ่งนี้ทําให้การบังคับใช้นโยบาย DLP พร็อกซีคลาวด์เป็นไปไม่ได้เนื่องจากข้อมูลถูกเข้ารหัสและจะไม่ถูกตรวจสอบ ดังที่คุณเห็นในรูปที่ 2 ข้อมูลจะข้ามการควบคุมพร็อกซีคลาวด์
รูป 2. ข้อความแบบสองทิศทางข้ามการตรวจสอบพร็อกซีไปข้างหน้า
ในวิดีโอสาธิต Data Exfiltrated Through WhatsApp ผู้ใช้พยายามแชร์เอกสารลับที่มีข้อมูลบัตรเครดิตโดยใช้อีเมลส่วนตัวของเขา แต่ตามนโยบาย Cloud Proxy DLP ข้อมูลที่อยู่ในไฟล์มีความละเอียดอ่อนเกินกว่าจะอัปโหลดไปยังกล่องจดหมายส่วนตัว ดังนั้นจึงถูกบล็อก จากนั้นเพื่อหลีกเลี่ยงข้อ จํากัด นี้ผู้ใช้จะพยายามคัดลอกและวางเนื้อหาของไฟล์โดยตรงบนเบราว์เซอร์ นโยบาย DLP พร็อกซีระบบคลาวด์จะถูกทริกเกอร์ และการคัดลอกที่พยายามจะถูกบล็อกอีกครั้ง ในความพยายามครั้งสุดท้ายผู้ใช้ใช้ WhatsApp Web และจับคู่อุปกรณ์ของตน คราวนี้พวกเขาสามารถอัปโหลดไฟล์ได้โดยไม่ต้องมี DLP พร็อกซีเว็บบนคลาวด์ตรวจสอบเนื้อหา
การเอาชนะความท้าทาย
การทําความเข้าใจความเสี่ยงนี้สร้างภาวะที่กลืนไม่เข้าคายไม่ออกสําหรับผู้ดูแลระบบ พวกเขาจําเป็นต้องตัดสินใจว่าจะอนุญาตให้ผู้ใช้เข้าถึงบริการสื่อสารเหล่านี้ในขณะที่ทํางานจากที่บ้านหรือบล็อก WhatsApp เพื่อป้องกันความเสี่ยงนี้ในขณะที่ขัดขวางความสามารถในการทํางานของผู้ใช้ ทางออกที่ดีที่สุดคืออนุญาตให้ผู้ใช้ใช้บริการนี้ (หรืออื่น ๆ ) ในขณะที่รักษาข้อมูลขององค์กรให้ปลอดภัย ดังนั้นเทคโนโลยีการแยกจะทําให้ผู้ดูแลระบบมีระดับความปลอดภัยที่พวกเขาต้องการตลอดเวลาในขณะเดียวกันก็ช่วยให้ผู้ใช้มีข้อ จํากัด ในการเข้าถึงบริการเว็บน้อยลง
เทคโนโลยีการแยกจะลบเนื้อหาเว็บไซต์ออกจากการดําเนินการบนเบราว์เซอร์ในเครื่องของเครื่องของผู้ใช้โดยย้ายไปยังตําแหน่งระยะไกลที่ปลอดภัย จากนั้นเฉพาะรูปภาพของเนื้อหาเว็บไซต์เป้าหมายเท่านั้นที่จะแสดงบนเบราว์เซอร์ของเครื่องท้องถิ่น เนื้อหาที่อาจถูกบุกรุกของเว็บไซต์จะไม่ถูกดําเนินการในเครื่อง – ลดการสัมผัสช่องโหว่ของเบราว์เซอร์และความเสี่ยงของการจี้คุกกี้โดยอัตโนมัติ อ้างอิงจาก Gartner'sข้อมูลเชิงลึกด้านนวัตกรรมสําหรับ Remote Browser Isolationการวิจัย (ต้องสมัครสมาชิก) องค์กรที่ใช้เทคโนโลยีการแยกสามารถลดพื้นผิวการโจมตีได้ 70 เปอร์เซ็นต์ แผนภาพในรูปที่ 3 แสดงให้เห็น Skyhigh Security Remote Browser Isolation เทคโนโลยี (RBI) และวิธีการอยู่ระหว่างเบราว์เซอร์ท้องถิ่นและบริการ WhatsApp
รูป 3. แยก WhatsApp และตรวจสอบก่อนเข้าสู่การสื่อสาร WebSocket
วิดีโอสาธิต WhatsApp Secured with RBI ของเราเป็นตัวอย่างของผู้ใช้ที่พยายามเข้าถึงบริการเว็บ WhatsApp เว็บ WhatsApp จะเปิดขึ้นภายในสภาพแวดล้อมคลาวด์แบบแยกบนSkyhigh Security คลาวด์และเฉพาะภาพของการสนทนาเท่านั้นที่จะถูกส่งไปยังเบราว์เซอร์ในเครื่อง ซ็อกเก็ตเว็บถูกสร้างขึ้นระหว่างสภาพแวดล้อมคลาวด์แยกกับบริการ WhatsApp ที่ปลอดภัยด้วย RBI ทําให้ผู้ดูแลระบบสามารถควบคุมกิจกรรมทั้งหมดที่ดําเนินการจากเซสชันการแยก
ประเด็นสําคัญ
เทคโนโลยีการแยกทําให้ผู้รับมอบฉันทะบนเว็บมีอิสระมากขึ้นในการดําเนินการแทนที่จะอนุญาตและบล็อกพวกเขา มันเหมือนกับในอุตสาหกรรมยานยนต์ที่การประดิษฐ์เบรกทําให้ความเร็วรถเพิ่มขึ้นอย่างปลอดภัย วิศวกรจึงได้พัฒนาเครื่องยนต์ที่ทรงพลังยิ่งขึ้นซึ่งสามารถวิ่งด้วยความเร็วที่สูงขึ้น และมั่นใจมากขึ้นว่าความเร็วเหล่านี้สามารถควบคุมได้อย่างปลอดภัยยิ่งขึ้น
ในทํานองเดียวกันเทคโนโลยีการแยกเปิดประตูสู่การควบคุมเว็บพร็อกซีโดยการลบการดําเนินการทั้งหมดออกจากเครื่องท้องถิ่นไปยังเบราว์เซอร์แยกที่ปลอดภัย การทําเช่นนี้ช่วยลดความต้องการของผู้ดูแลระบบในการรักษารายการข้อยกเว้นจํานวนมากและให้อิสระแก่ผู้ใช้มากขึ้นในขณะที่ทํางานจากที่บ้าน แนวทางนี้ยังสนับสนุนหลักการ Zero Trust Security Architecture เนื่องจากเราไม่เชื่อถือไซต์ปลายทางหรือเนื้อหาภายใน แต่ประเมินและลบการดําเนินการของความเสี่ยงที่อาจเกิดขึ้นจากเครื่องขององค์กรไปยังเบราว์เซอร์ที่ปลอดภัยและระยะไกลอย่างต่อเนื่อง
ลิงค์ที่มีประโยชน์
กลับไปที่บล็อก