L’année dernière, les vulnérabilités du jour zéro ont été activement exploitées dans la nature sur de nombreux navigateurs Web majeurs.
Pour les entreprises qui permettent à leurs utilisateurs de choisir le navigateur qu’ils utilisent, cela pose un problème en raison de la fréquence de vulnérabilités. Nous avons parlé à Ofer Ben-Noon, co-fondateur et PDG de Talon Cyber Security et ancien membre des services de renseignement israéliens communauté, pour en savoir plus sur le paysage actuel des menaces et sur la manière dont les entreprises peuvent sécuriser leurs navigateurs.
BN : Comment les navigateurs Web contribuent-ils au paysage des menaces contre lesquelles les organisations doivent se protéger ?
OBN : En regardant les gros titres, il semble qu’il y ait un correctif pour une nouvelle vulnérabilité critique publié chaque semaine par les principaux éditeurs de logiciels. Celles-ci ne concernent pas uniquement les systèmes d’exploitation de votre ordinateur et de votre smartphone.
Le navigateur est l’application la plus vulnérable au monde et le deuxième logiciel le plus vulnérable au cours de l’histoire d’Internet. En fait, une nouvelle vulnérabilité critique dans Chrome a été divulguée toutes les 28 heures en 2021, et environ un quart des vulnérabilités zero-day dans la nature sont liées à Chrome. C’est extrêmement important si l’on considère le temps que nous passons dans le navigateur, à la fois au travail et dans notre vie personnelle.
Les attaquants peuvent exploiter des éléments tels que les navigateurs zero-day et non corrigés pour faire n’importe quoi, du vol de données ou exécuter à distance du code malveillant. Il existe également un risque que les groupes d’attaquants abusent des fonctionnalités du navigateur pour obtenir ce qu’ils veulent, comme voler des données, lancer des attaques d’ingénierie sociale et plus encore.
Pour ajouter à cela, la commodité est reine aujourd’hui, donc les employés installent extensions de navigateur pour faciliter leur travail et être plus productifs. Cela a conduit à une forte augmentation des extensions escrocs et malveillantes qui peuvent faire des choses comme espionner des individus, voler des données et injecter du code malveillant dans un appareil.
L’essentiel ? Les navigateurs Web étendent la surface d’attaque des organisations de plusieurs manières, et toutes créent un risque incroyablement important qui doit être traité par les équipes informatiques et de sécurité.
BN : Les navigateurs ont-ils créé un aveugle place dans la sécurité d’entreprise ? Pourquoi ?
OBN : les organisations qui autorisent les navigateurs grand public dans leurs environnements sont désavantagées du point de vue de la sécurité, car il leur manque un point de protection clé et une visibilité globale sur un tel environnement. application de travail très utilisée.
Aujourd’hui, les organisations s’appuient de plus en plus sur les applications SaaS et Web accessibles via le navigateur. Notre façon de travailler a fondamentalement changé : les gens accèdent non seulement aux applications SaaS et Web sur leurs appareils d’entreprise, mais aussi sur leurs appareils personnels.
Dans une organisation typique, vous utilisez des applications d’entreprise pour vos tâches principales. et on vous dit ce que vous devriez utiliser pour votre fonction spécifique. Malgré cela, la plupart n’exigent pas que vous utilisiez un navigateur spécifique : vous en téléchargez simplement un que vous connaissez et que vous suivez.
Avec le navigateur déconnecté de l’entreprise, les équipes de sécurité et informatiques perdent des informations précieuses en raison d’un manque de visibilité sur l’activité Web et les applications SaaS et Web qui y sont utilisées. Cela crée un risque commercial sérieux et un angle mort important sur lequel les pirates cherchent constamment à tirer parti.
BN : Pourquoi le navigateur est-il une cible si populaire que les pirates cherchent à exploiter ?
OBN : Le navigateur est la porte d’entrée de l’entreprise, là où la majorité du travail est effectuée et où les affaires sont menées. En raison de l’utilisation intensive du navigateur dans les paramètres d’entreprise, il contient une mine d’informations sensibles que les attaquants ciblent systématiquement, notamment les informations d’identification, les cookies, l’historique, les informations de remplissage automatique (telles que les cartes de crédit), l’historique des téléchargements, l’historique des recherches, etc.
Tous ces facteurs font du navigateur une cible incroyablement attrayante pour les attaquants. Comme mentionné, il s’agit de l’un des logiciels les plus vulnérables utilisés dans toute organisation, offrant aux groupes d’attaquants de nombreuses opportunités de lancer des campagnes avancées si les mesures de sécurité appropriées ne sont pas en place.
BN : À quels défis opérationnels les entreprises sont-elles confrontées lorsqu’elles tentent de sécuriser les navigateurs ?
OBN : Le défi de la sécurisation du navigateur lui-même se résume à la visibilité. Les équipes informatiques et de sécurité connaissent-elles les différents types de navigateurs utilisés dans l’ensemble de leur environnement ? Sont-ils tous à jour pour être corrigés des dernières vulnérabilités critiques ? Être capable de répondre à ces questions simples par”oui”est essentiel, mais le déploiement de correctifs à une si grande échelle est un défi pour la plupart des organisations à exécuter en temps opportun.
Bien que la sécurisation du navigateur lui-même soit sans aucun doute importante pour tout programme de sécurité, il est plus essentiel que les entreprises comprennent le risque que le navigateur soit un point d’accès historiquement non géré et vulnérable à vos applications SaaS et Web. Si vous ne fournissez pas aux employés un moyen d’accéder en toute sécurité à ces applications, cela met chaque jour en danger les données et la propriété intellectuelle de l’entreprise.
Dans les environnements où les employés peuvent choisir leur propre navigateur Web pour l’entreprise Les équipes d’utilisation, de sécurité et informatiques ont du mal à s’assurer que le travail effectué dans le navigateur est correctement défendu. Dans la réalité actuelle du travail de n’importe où, cela devient un défi croissant que les RSSI reconnaissent devoir être résolu. Historiquement, les « navigateurs sécurisés » obligeaient les employés à modifier leur façon de travailler, car il n’y avait pas d’expérience utilisateur cohérente. Cependant, avec la standardisation de Chromium, l’infrastructure de navigateur la plus populaire, la voie vers des navigateurs d’entreprise véritablement sécurisés offrant des expériences natives a enfin été franchie.
BN : Quels conseils avez-vous pour organisations qui cherchent à mieux sécuriser leurs effectifs et protéger leurs données ?
OBN : Mon conseil numéro un pour les responsables de la sécurité et des entreprises est de faire évoluer leurs programmes de sécurité pour la nouvelle ère du travail. L’avenir du travail est celui où les employés travaillent de n’importe où, c’est donc aux RSSI et aux chefs d’entreprise de s’assurer qu’ils élaborent des programmes de sécurité évolutifs qui protègent les employés, quel que soit l’endroit où ils choisissent d’effectuer leur travail.
Cela oblige les organisations à trouver la bonne combinaison de personnes, de processus et de technologies pour alimenter leurs programmes. Pour cela, une première étape clé consiste à éliminer les technologies héritées désuètes au profit de solutions innovantes qui simplifient les choses pour les équipes informatiques et de sécurité. Les affaires sont principalement menées sur des applications modernes qui ne peuvent pas être protégées de manière adéquate par des solutions héritées.
Que les RSSI aient adapté leurs programmes de sécurité à cette réalité ou non, l’avenir du travail est maintenant. Ainsi, les chefs d’entreprise doivent se demander ce qu’ils font pour faire évoluer leurs programmes de sécurité pour cette nouvelle ère du travail. S’ils ne le font pas, ils acceptent des risques importants et percutants pour leur entreprise jour après jour.
Crédit d’image : Gurudev/Shutterstock