جداسازی مرورگر چیست و چه مزایایی دارد

بر اساس آمار بیش از ۱.۸۶ میلیارد وب‌سایت در اینترنت وجود دارند که حدود ۱% از این موارد (چیزی در حدود ۱۸.۵۰۰.۰۰۰ وبسایت) هر هفته به بدافزار آلوده می­‌شوند، این در حالی است که متوسط آلودگی‌ها ۴۴ بار در روز است. جداسازی مرورگر فناوری‌ای است که با جدا کردن فرآیندها و پردازش­‌های صفحات وب از سیستم­‌های کاربران، فقط تصاویر پردازش شده را نمایش داده و فعالیت مرور را ایمن نگه می­‌دارد. به این ترتیب، کدهای مخرب صفحه وب روی دستگاه کاربر اجرا نمی‌شوند و از تأثیرگذاری آلودگی‌های بدافزار و سایر حملات سایبری بر دستگاه‌های کاربر و شبکه‌های داخلی جلوگیری می‌کند.

بازدید از وب‌سایت‌ها و استفاده از برنامه‌های کاربردی وب شامل بارگذاری محتوا و کد از طریق یک مرورگر وب از منابع غیرقابل اعتماد و سپس اجرای آن کد در دستگاه کاربر است. از منظر امنیتی، این امر مرور وب را به یک فعالیت نسبتاً خطرناک تبدیل می­‌کند. به همین دلیل لازم است راهکاری اندیشیده شود تا از سیستم کاربران و شبکه در مقابل تهدیدات وب محافظ نماید.

چرا سازمان‌ها باید از جداسازی مروگر استفاده ­کنند؟

در دنیای امروز، استفاده از اینترنت برای عملیات تجاری بسیار مهم شده است. قبلاً فرآیندهای تجاری عمدتاً در یک شبکه داخلی شرکت انجام می‌­شد، اما مدت‌هاست که دیگر اینطور نیست. درعوض، کارمندان به طور مرتب به وب‌سایت­‌ها و برنامه­‌های کاربردی وب برای انجام امور کاری و شخصی سر می‌زنند و این کار را از طریق مرورگرها انجام می‌­دهند. بر اساس آمار­های اعلام شده ۹۰ درصد حملات سایبری از طریق ایمیل و وب سایت‌­ها صورت می­‌گیرد.

 رشد آسیب‌پذیری در طول زمان (Chrome)

با توجه به نحوه تغییر در ساختار شبکه‌ها و استفاده کاربران از اینترنت می­‌توان گفت که در واقع مشکل اصلی ما این است که وب‌سایت­‌ها مسیر بسیاری از حملات در شبکه­‌های سازمان­‌ها هستند و به همین دلیل سامانه های مرورگر امن با استفاده از جداسازی مروگر، روشی است که باید برای تامین امنیت شبکه و جلوگیری از تهدیدات مبتنی بر وب مورد استفاده سازمان‌ها قرار گیرد.

معرفی انواع جداسازی مرورگر

• جداسازی مرورگر از راه دور: در این روش که صفحات وب را در یک سرور ابری بارگیری می‌کند و سرویس­‌های مورد نیاز را روی آن سرور اجرا می‌­نماید که از دستگاه­‌های کاربر و شبکه­‌های داخلی سازمان­‌ها دور است.
• جداسازی مرورگر داخلی: روش کار شبیه به جداسازی مرورگر از راه دور است، اما در یک سرور اختصاصی درون سازمانی مدیریت می­‌شود.
• جداسازی مرورگر سمت کلاینت: همچنان صفحات وب را در دستگاه کاربر بارگیری می‌­کند، اما از مجازی‌سازی و دسکتاپ­‌های مجازی استفاده می­‌کند تا کد و محتوای وب سایت را از بقیه دستگاه جدا نگه دارد.

نحوه عملکرد جداسازی مرورگر از راه دور

جداسازی مرورگر از راه دور، فعالیت غیرقابل اعتماد بر روی مرورگرها را تا حد امکان از دستگاه‌های کاربر و شبکه‌های داخلی سازمان دور نگه می‌دارد. این راه حل از طریق اجرا شدن سرویس‌­های درخواست شده از طرف مرورگر کاربر که در سرور ابری کنترل می‌شود، صورت می‌­پذیرد. در این ساختار هیچگونه پردازشی سمت سیستم کاربر صورت نمی­‌پذیرد و پردازش تصاویر است که به دستگاه کاربر انتقال داده می­‌شود. هر گونه اقدام کاربر، مانند کلیک ماوس یا ارسال فرم، به سرور ابری منتقل شده و در آنجا انجام می‌گردد.

راه‌­های مختلفی وجود دارد که یک سرور جداسازی مرورگر راه دور می­تواند محتوای وب را به دستگاه کاربر ارسال کند:

Stream کردن مرورگر بر روی سیستم کاربر

کاربر یک ویدیو یا تصویری از فعالیت مرور خود را مشاهده می­‌کند. این تکنیک همچنین به عنوان “pixel pushing” شناخته می‌شود. این روش گاهی باعث تاخیر در نمایش فعالیت‌های مرور کاربر می‌شود که ممکن است به تجربه ضعیف کاربری منجر شود.

بررسی و بازنویسی صفحه وب و ارسال صفحه امن به کاربر

با این روش که به DOM Rewriting معروف است، صفحات وب در یک محیط ایزوله بارگذاری می­‌شوند و برای حذف حملات احتمالی بازنویسی می­‌شوند. هنگامی که محتوا ایمن در نظر گرفته شد، به دستگاه کاربر ارسال می­‌شود. این رویکرد ممکن است با همه وب‌سایت‌­ها سازگار نباشد.

ارسال خروجی نهایی از صفحات وب به کاربر

هنگامی که یک صفحه وب به طور کامل بارگیری شد و همه کدها توسط مرورگر اجرا شد، یک نمایش گرافیکی برداری از نسخه نهایی صفحه وب برای کاربر ارسال می‌­شود.

جداسازی مرورگر داخلی

جداسازی اینترنت با استفاده از روش مرورگر امن داخلی مانند جداسازی مرورگر از راه دور عمل می‌­کند. اما به جای اینکه مرور وب در یک سرور ابری راه دور انجام شود، بر روی سروری در داخل شبکه خصوصی سازمان انجام می­‌شود. این روش می­‌تواند تأخیر را در مقایسه با برخی از انواع ایزوله‌سازی از راه دور مرورگر کاهش دهد.

تفاوت مرورگر امن داخلی با مرورگر امن از راه دور

• خرید سرورهای اختصاصی داخلی برای جداسازی مرورگر
• جداسازی در داخل فایروال سازمان اتفاق می‌­افتد
• گسترش جداسازی مرورگر در محل به چندین شبکه دارای پیچیدگی است

جداسازی مرورگر سمت کلاینت

در این روش مانند انواع مجازی‌سازی‌های جداسازی مرورگر سمت سرویس‌گیرنده صورت می‌­پذیرد. بر خلاف دو روش دیگر، ایزوله‌سازی مرورگر سمت کلاینت با استفاده از ساختار مجازی‌سازی یا Sandboxing انجام می­‌شود.

• مجازی‌‌سازی

مجازی‌سازی فرآیندی است که در آن یک کامپیوتر به ماشین‌های مجازی مجزا تقسیم می‌شود، بدون اینکه کامپیوتر از نظر فیزیکی تغییر کند. این کار در لایه­‌ای از نرم‌افزار در زیر سیستم‌عامل به نام Hypervisor انجام می­‌شود. از نظر تئوری، آنچه روی یک ماشین مجازی اتفاق می‌افتد، نباید ماشین‌های مجازی مجاور را تحت تاثیر قرار دهد، حتی زمانی که آنها روی یک دستگاه هستند. با بارگذاری صفحات وب روی یک ماشین مجازی مجزا در رایانه کاربر، بقیه قسمت های رایانه ایمن باقی می­ماند.

• Sandboxing

Sandbox شبیه ماشین مجازی است که یک محیط مجازی مجزا را برای انجام آزمایشات، بدون ایجاد ریسکی برای شبکه و سیستم فراهم می­‌کند. Sandboxing به عنوان یک تکنیک رایج تشخیص بدافزار نیز شناخته می‌شود. بسیاری از ابزارهای ضد بدافزار، فایل‌های بالقوه مخرب را در سندباکس باز و اجرا می‌کنند تا نوع فعالیت آن را مشاهده کنند. از آنجایی که جداسازی مرورگر سمت کلاینت در واقع شامل بارگیری محتوای مخرب بالقوه در دستگاه کاربر است، همچنان احتمال خطر برای کاربران و شبکه به همراه دارد.

مزایای استفاده از مرورگر امن ایزوله‌شده

• مدیریت و حذف دانلودهای کنترل نشده
• جلوگیری از اجرای اسکریپت­‌های مخرب روی یک دستگاه یا داخل شبکه
• مسدود شدن Zero-day Exploits از طریق مرورگر
• مسدود کردن محتوای آلوده بدون نیاز به مسدود کردن کل وب‌سایت‌ها
• جلوگیری از دانلود اسناد مخرب و فایل آلوده

مرورگر امن ایزوله‌شده از چه تهدیداتی جلوگیری می‌کند؟

تمام صفحات و برنامه‌های وب از کدهای HTML، CSS و جاوا اسکریپت تشکیل شده‌اند. در حالی که HTML و CSS زبان‌­های نشانه‌گذاری هستند که دستورالعمل‌­های قالب­بندی را ارائه می­‌دهند، جاوا اسکریپت یک زبان برنامه‌نویسی کامل است. جاوا اسکریپت­‌ها برای فعال کردن بسیاری از ویژگی­‌هایی که در برنامه­‌های کاربردی تحت وب دیده می‌­شوند کارایی دارند با این حال می­‌توانند رفتار مخرب نیز داشته باشند. اکثر مرورگرهای وب به طور خودکار تمام جاوا اسکریپت مرتبط با یک صفحه را اجرا می‌­کنند.

چندین نوع مختلف از حملات با استفاده از جاوا اسکریپت امکان‌پذیر است. برخی از رایج‌ترین عبارتند از:

• دانلود­های ناخواسته (Drive-by downloads): به برنامه یا نرم‌افزارهای مخربی اشاره دارد که بدون اجازه دسترسی توسط کاربر بر روی سیستم کاربر نصب می­‌شوند. همچنین این تهدیدات شامل دانلود ناخواسته هر فایل یا نرم‌افزار روی سیستم کاربر می‌شود. دانلودهای ناخواسته معمولا از یک آسیب‌پذیری اصلاح نشده و پنهان در مرورگر­ها استفاده می‌­نماید.
• حملات تغییر مسیر (Redirect Attack): زمانی که یک کاربر سعی در اجرای یک URL قانونی دارد بهURL دیگری هدایت می‌شود که تحت کنترل یک مهاجم است.
• حملات Click-Jacking: این صفحه وب طوری طراحی شده که کاربر فریب خورده و ناخواسته بر روی قسمتی کلیک می­‌نماید. در این نوع تهدید با تبلیغات جعلی، فرستادن کاربر به یک وب‌سایت ناامن یا حتی شروع دانلود بدافزار می­‌تواند سیستم کاربر را آلوده نماید.
• حملات On-path Browser: یک مهاجم در مسیر مرور وب، از آسیب‌پذیری‌های مرورگر برای به خطر انداختن مرورگر کاربر سو استفاده می‌کند، در این مرحله می‌تواند محتوای وب نشان داده شده به کاربر را تغییر دهد یا حتی هویت کاربر را جعل کند.
• حملات Cross-Site Scripting: کد مخرب به یک وب‌سایت یا برنامه وب تزریق و به مهاجمان اجازه می­‌دهد تا انواع مختلفی از فعالیت­‌های مخرب را انجام دهند، از جمله سرقت کوکی‌ها یا رمز ورود و سپس جعل هویت کاربران قانونی را می­توان اشاره کرد.
• تبلیغات مخرب (Malvertising): کد مخرب به شبکه‌­های تبلیغاتی قانونی تزریق می‌­شود. با نمایش تبلیغ مخرب، کد مخرب اجرا شده و معمولاً بازدیدکنندگان به وب سایت­‌های مخرب هدایت می‌­شوند. از آنجایی ­که شبکه‌های تبلیغاتی قانونی به‌طور ناخواسته کد­های مخرب را توزیع می‌کنند، تبلیغات نادرست می‌تواند وب‌سایت‌های قانونی و دارای ترافیک بالا را در معرض خطر قرار دهند.
• حملات Cookie Stuffing and Session Fixation
• بارگذاری اسکریپت‌های مخرب جاوا (Load of malicious Java Scripts)
• سوء استفاده از آسیب‌پذیری Zero-Day

جداسازی مرورگر با رویکرد ZTNA

با جداسازی مرورگر و باز شدن نشست‌ها در یک محیط کنترل شده، محتوای و کد مخرب از دستگاه‌های کاربر و از شبکه سازمان دور نگه داشته می‌شود. به عنوان مثال، حملات دانلود ناخواسته هیچ تأثیری بر کاربر درون سازمانی که از جداسازی مرورگر استفاده می‌کند، نخواهد داشت. دانلود بر روی یک سرور جداگانه یا در Sandbox انجام می‌شود و در پایان نشست مرور از بین می‌رود. در حقیقت جداسازی مرورگر یک فناوری پیشگیری از تهدید است و این قابلیت به عنوان یک فناوری ثانویه و کلیدی به عنوان بخشی از تکنولوژی­‌های SASE و SSE مورد استفاده قرار می­‌گیرد. در جداسازی مرورگر با رویکرد ZTNA، با فرض اینکه هیچ محتوای وب ایمن نیست، رویکردی بدون اعتماد یا Zero-Trust برای مرورگرها اتخاذ می­‌کند.

با توجه به ساختارهای معرفی شده در راستای ایجاد بستری امن برای کاربران و جلوگیری از انتشار آلودگی در سطح شبکه و همچنین کاهش حملات از سمت کاربران شبکه پیشنهاد می­‌گردد جداسازی مرورگر امن در راستای پیاده‌سازی و بهبود زیرساخت سازمان‌ها قرار داده شود. شرکت امن‌پردازان کویر (APK) پیشرو در ارائه خدمات امنیت سایبری، محصول مرورگر امن APKSWAP را با استفاده از فناوری جداسازی مرورگر و تکنولوژی Container-Docker ارایه نموده ­است. این راه‌حل نسبت به راهکارهای جداسازی فیزیکی از نظر هزینه‌­های مالی، منابع انسانی، زیرساختی و همچنین توسعه‌­ای مقرون به صرفه است.

در صورت تمایل به کسب اطلاعات بیشتر، درخواست دمو یا مشاوره، نسبت به تکمیل فرم مورد نظر اقدام فرمایید.