扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
过去几年,主流Web浏览器供应商一直在努力开发新的改进的安全功能来帮助推广其最新浏览器版本,抢占市场份额,特别是在企业领域。
但是,这种趋势似乎已经戛然而止,因为在最新版本的Mozilla Firefox和谷歌Chrome中,安全创新并不是焦点。而最新版本的微软IE浏览器IE 11也没有可圈可点的新的安全功能,只是更新了安全做法。
那么,现在是怎么回事?供应商对安全性这么低的关注度,是否意味着浏览器已经绝对安全?在本文中,我们将从IE 11安全性来探讨当前Web浏览器年安全成熟度,Web浏览器安全的未来发展以及企业应该怎么做来保持安全。
IE 11:浏览器安全措施已经趋于稳定?
由于缺乏新的安全功能,最新版本IE浏览器IE 11已经饱受批评。很多人表示,缺乏新功能是因为浏览器安全技术已经趋于稳定。然而,尽管缺乏新的安全功能,IE 11提供了一些改进的安全做法。
例如,为了降低IE 11对Web Graphics Library三维图形标准的支持所带来的风险以及抵御基于WebGL的攻击,微软向其图形驱动程序增加了客户端沙箱技术。如果攻击者找到一种方法来通过 WebGL注入恶意代码,攻击者将无法破坏系统的其余部分。此外,现在Enhanced Protected Mode和AppContainer在默认情况下属于开启状态,以防止网页读取或写入到操作系统受保护的部分。还有一些新的组策略安全相关的设置。对于隐 私观念比较强的企业,浏览器设置中的Do Not Track可以用来阻止网站跟踪用户。
在笔者看来,最佳安全做法仍然是使用最新版本的软件以及保持更新。尽管IE 11并没有新的安全功能,但企业还是应该升级以及利用IE 11中提供的额外的安全措施。
关于Web浏览器安全性的真相
然而,没有应用程序是100%安全。作为通往互联网的网关和首选应用接口,浏览器和插件生态系统(特别是Java)仍然是那些试图攻击企业或窃取企业数据的攻击者的头号目标。
毫无疑问,现在的浏览器远远比早期版本更安全。地址空间布局随机化和数据执行保护等缓解技术已经解决和成功阻止了常见的攻击媒介(例如缓冲区溢出)。
然而,改进的安全性只会迫使网络犯罪分子去别处寻找突破点。很多攻击现在正在花时间和资源来开发基于社会工程学的攻击,以诱骗受害者安装恶意代码。这也是很多最新浏览器安全功能被设计为阻止用户点击已知恶意网站或者从风险来源下载内容的原因之一。
保护最薄弱的环节
在企业防御中,员工可以说是最薄弱的缓解。可悲的是,大多数用户仍然会选择为他们提供最佳用户体验的浏览器,而不是具有最佳安全功能的浏览器。太多警报和警告往往会导致用户关掉用来保护他们的安全控制。在笔者看来,很多浏览器供应商没有推出新安全功能,因为他们在评估用户的反馈意见,来权衡哪些现有默认设 置既增加了安全性又确保可接受的用户体验。
请记住,浏览器软件可以提供的保护是有限制的,特别是当用户在浏览网页必须打开不受信任的代码时,或者营销服务和广告服务不断尝试和规避很多专注于保护用户隐私的广为人知的浏览器功能。
企业的最佳防御措施
为了提高浏览器整体安全性,我们很想要看到跨所有浏览器的Web标准的改进的兼容性。这不仅能让安全站点更容易部署,而且能够减少试图使网页在所有平台正 确显示所花的时间。谷歌的AdID是旨在替代第三方cookies的用户跟踪技术,这可能为广告主更负责人的跟踪铺平道路。
然而,这种web浏览器的乌托邦可能用户不会实现。所以现在,攻击者将继续寻找浏览器的弱点,并专注于容易攻击的终端,这意味着终端反恶意软件保护仍然是企业应该采取的重要的安全措施。
此外,源代码被窃取的应用(例如来自Adobe的产品)仍将是流行的攻击向量,因为攻击者们能够相对容易地找到零日漏洞利用。浏览器插件和移动应用也将很受欢迎,因为网络管理员将很难控制其安装和使用。
当发现新的攻击技术在破坏浏览器时,供应商将会争相发布新版本来缓解这种攻击,以及额外的控制来保护用户免受攻击的影响。
最后,除了浏览器制造商向其产品构建的防御措施外,企业还应该部署额外的安全控制。虽然浏览器安全已经走过了漫长的道路,额外的防御措施(例如web安全网关、端点反恶意软件和安全意识培训)是对付很多坚定的有创造力的攻击者的重要因素。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者