Door de verschuiving naar web-apps is de browser wellicht het belangrijkste stukje software op een zakelijke desktop. Helaas zit het web vol met mensen met kwade bedoelingen en de browser kan virussen, rootkits of erger afleveren. Zelfs op een weinig gebruikt werkstation met weinig toegang, dat ergens in een stoffige hoek geparkeerd staat, kan een aanvaller dit als startpunt gebruiken om binnen het zakelijke netwerk te raken.
Het is dan ook van essentieel belang om de browser beveiligd te houden. Browsermakers werken hard aan het dichtlijmen van gaten in de software, maar dat is niet altijd voldoende: enkele nuttige features dragen nadelen met zich mee en bedrijven kunnen browsers daarom ook beter beveiligen door de toegang tot zulke features te beperken.
De mogelijkheid om zomaar bestanden binnen te halen is essentieel voor het installeren van nieuwe software, maar het is ook een aanvalsvector van aanvallers. Als gebruikers op kantoor zelf geen software mogen installeren, is het blokkeren van deze feature een simpele manier om een groot aantal aanvallen te pareren.
Veel van het werk van IT bestaat uit moeilijke keuzes om te bepalen wat de voor- en nadelen zijn van het inschakelen van features. Je moet als IT'er niet te veel verbieden, want mensen moeten ook hun werk doen. Maar sta te veel toe en het werk van de beveiligers wordt wel erg moeilijk. Vaak is het uitschakelen van bepaalde mogelijkheden de verstandigste beslissing gezien het soort organisatie en de beschikbare mankracht. Hier volgen negen tips voor het draaien van een beveiligde en toch soepele browser in een zakelijke omgeving.
1. Leer de IT-beheeropties goed kennen
Het allerbelangrijkste is het gebruiken van policy's om de browser op werkstations centraal te beheren. De meeste grote browsers bieden systeembeheerders tools om dat te doen. Natuurlijk hebben verschillende soorten machines verschillende niveaus nodig. Een openbare pc die door gasten wordt gebruikt, moet uiteraard anders geconfigureerd dan apparaten voor het personeel. En bepaalde werknemers, neem admins en systeembeheerders, hebben meer flexibiliteit nodig dan anderen. In sommige gevallen kiest IT ervoor om deze browsers in zijn geheel niet te beheren, maar je hebt meestal wel de tools om verschillende rechtenniveaus toe te wijzen aan verschillende groepen apparaten/gebruikers.
Elke combinatie van besturingssysteem en browser is een iets andere configuratie voor het leveren van wat eigenlijk neerkomt op een hoop knoppen om dingen uit te zetten. Bijvoorbeeld Firefox Enterprise van Mozilla biedt ADM- en ADMX-sjablonen voor Windows (Windows Group Policy), een plist-sjabloon (macOS Policy Management) voor Macs, en een JSON-bestand voor Linux. Google heeft diverse lokale en cloudtools om Chrome te beheren, inclusief sjablonen voor Windows, Mac en Linux om Chrome voor zakelijk gebruik te beheren.
Safari wordt beheerd door Apple's tools om zakelijke apparaten Onder Supervisie te houden, en de huidige versie van de Edge-browser wordt door Microsoft Group Policy en Intune beheerd. Er staat een nieuwe versie van Edge op stapel die op Chromiums Blink is gestoeld in plaats van Microsofts eigen code. Het bedrijf heeft een aantal nieuwe GP's getoond die de nieuwe versie van Edge op Windows- en macOS-apparaten bestieren en op een gegeven moment zullen systeembeheerders de Chromium-gebaseerde Edge via Intune en SCCM kunnen beheren, belooft de softwaremaker.
De lijst van beschikbare opties voor elke browser is te lang om hier in detail te behandelen en het heeft enkele voor de hand liggende opties, zoals het blacklisten van bepaalde sites en wat achterhaalde features als het uitschakelen van verouderde plug-ins. Chrome stelt je bijvoorbeeld in staat om Flash of JavaScript te blokkeren op bepaalde sites. Firefox kan ook worden geconfigureerd om de debugging-telemetrie te minimaliseren als je bang bent dat informatie lekt via Mozilla. De beste manier om hiermee aan de slag te gaan is door er simpelweg in te duiken en te onderzoeken welke opties geschikt zijn voor jouw bedrijf. Sjablonen zijn een goed begin, maar het is aan jou om te bepalen wat je team nodig heeft.
2. Installeer updates - wanneer dat kan
Het voor de hand liggende en simpel ogende advies is dat je altijd zoveel mogelijk de recentste versie van de browser draait. Als er een patch is, installeer deze dan meteen. Als er een nieuwe versie is, vervang de oude dan. Je kunt browsers instellen om dit automatisch te doen zodra een browserfabrikant een nieuwe versie uitrolt, maar veel IT'ers hebben liever zelf die controle in de hand. Bijvoorbeeld om te installeren buiten piekmomenten van het netwerk, of om apps die van kritiek belang zijn voor het bedrijf te testen.
Dit kan vermoeiend zijn, omdat browsermakers het updatetempo hoog hebben gemaakt: nieuwe versies van Chrome en Firefox rollen bijvoorbeeld elke zes tot acht weken uit. Edge en Safari worden beschouwd als onderdeel van het onderliggende OS, dus grote updates volgen doorgaans twee keer per jaar voor Windows 10 (en dus Edge) en eens per jaar voor macOS (en dus Safari) maar gedurende het jaar verschijnen er ook patches voor beveiliging en bugfixes. Het releasetempo van Edge gaat naar verwachting omhoog als de browser straks Chromium-gebaseerd is, maar Microsoft heeft nog niets gezegd over een releaseschema.
Maar los van hoe vaak ze ook komen, het is van cruciaal belang de updates bij te benen. Voor een goed voorbeeld van hoe het anders mis kan gaan hoef je niet verder terug dan 2017 toen maar liefst twee ransomware-incidenten (WannaCry en NotPetya) kort op elkaar volgden omdat bedrijven nog niet overal een patch die enkele maanden eerder was uitgekomen hadden toegepast voor een Windows-kwetsbaarheid.
Mozilla heeft een oplossing voor bedrijven die niet onmiddellijk updates willen uitrollen: Firefox Enterprise is beschikbaar in twee grote versies. Er is een 'rapid release', de gewone versie die elke zes tot acht weken verschijnt, en een 'extended support release', die minder vaak verschijnt zodat bedrijven hun interne webapplicaties eerst uitgebreid kunnen testen met de op handen zijnde nieuwe versie om te zien of alles blijft werken. Firefox heeft ook profielen waarmee systeembeheerders verschillende versies op dezelfde machine kunnen testen.
Google biedt vier verschillende Chrome-kanalen met verschillende niveaus van nieuwe code. Canary is de experimenteelste met builds zodra ze gebouwd zijn, maar nog geen rigoureuze tests hebben gehad. Dat is alleen voor mensen die het nieuwste van het nieuwste moeten testen. In het Dev-kanaal kijkt Google negen tot twaalf weken vooruit, zodat ontwikkelaars applicaties kunnen testen. Betere opties voor systeembeheerders zijn Beta en Stable, die allebei elke twee tot zes weken worden ververst na interne tests. Je kunt ook verwachten dat de nieuwe versie van Edge een soortgelijk pad volgt met verschillende kanalen. Daarnaast hebben admins een aantal policy's tot hun beschikking om updates te beheren, inclusief de mogelijkheid om nieuwe releases te pauzeren om ze eerst te testen.
3. Beperk plug-ins en extensies
Plug-ins en extensies bieden mogelijkheden om browsers meer functionaliteit te bieden dan enkel het laden en weergeven van websites. De keerzijde daarvan is dat deze extra functionaliteit te misbruiken is, omdat het ontwikkelaars vaak ongebreidelde toegang levert tot websites. De simpele optie is om extensies en plug-ins te blokkeren, maar dat is niet altijd mogelijk of wenselijk, omdat sommige extensies noodzakelijk kunnen zijn voor zakelijke gebruikers.
Neem bijvoorbeeld een extensie als TeamPassword, waarmee groepen gebruikers wachtwoorden kunnen gebruiken voor gedeelde accounts. Of denk aan teams die hun werktijden moeten meten via tools als TMetric of Clockify.
De policybeheertools van browserfabrikanten bieden brede opties voor het beheren van extensies. In de sjablonen van Chrome bijvoorbeeld, kun je specifieke extensies blacklisten, of juist enkele toestaan met een whitelist, terwijl je alle onbekende blokkeert. Als je een extensie absoluut moet toestaan, test hem dan nauwkeurig en neem de broncode door. Er zijn gratis softwarepakketten die een nuttige dienst bieden, die slechts een dekmantel zijn om kwaadaardige bedoelingen te verhullen.
4. Zoek nieuwe manieren om content en trackers te blokkeren
Browsermakers presenteren vaak nieuwe manieren en opties om zaken te blokkeren. Zo introduceerde Firefox in versie 67 een feature waarmee je scripts kunt blokkeren die kloktikken van machines inpikken om cryptovaluta te minen. Neem de releasenotes van elke nieuwe versie die uitkomt door, want mogelijk moet je een beslissing nemen over een nieuwe blokkerende functie die al dan niet is ingeschakeld.
5. Blokkeer sites - maar wees terughoudend
Een van de grootste uitdagingen in het verstevigen van browsers voor zakelijk gebruik is het weten wanneer je externe sites moet blokkeren. Sommige beslissingen zijn simpel (bijvoorbeeld pornosites) maar anderen zitten vol met mitsen en maren. Iedereen in staat stellen privémail te lezen via de browser opent de deur voor een hoop ellende aan malafide code in onschuldig lijkende content, maar het blokkeren van externe e-mail zorgt ervoor dat personeel andere manieren zoekt om contact te onderhouden en je kunt ervan uitgaan dat daar opties tussen zitten die zelfs meer risico opleveren.
Hetzelfde heb je met Facebook. Dit maakt gerichte aanvallen en spionage makkelijker, maar veel werknemers gebruiken het platform om contact te onderhouden met vrienden en familie. Mozilla heeft een extensie ontwikkeld voor Firefox, genaamd Facebook Container, die Facebook in zijn eigen beperkte sandbox stopt. Het idee is dat Facebook-identiteiten wordn geïsoleerd, zodat het lastiger is voor Facebook om de activiteiten van gebruikers te volgen met third party-cookies. Als beheerder van Firefox Enterprise kun je de installatie van deze extensie ofwel afdwingen of beschikbaar maken voor gebruikers en ze te stimuleren hem te installeren.
6. Gebruik waar nodig meerdere browsers
Niet iedere browser is even geschikt voor iedere taak, vooral als je te maken hebt met legacy-software die beter werkt met oudere browsers. De huidige versie van Edge biedt bijvoorbeeld Enterprise Mode om te schakelen naar Internet Explorer 11. Edge is beter beveiligd dan IE, maar kan sites die oudere technologie als ActiveX gebruiken niet weergeven. Je zou dus voornamelijk in Edge kunnen browsen, maar IE aanroepen op het moment dat url's worden aangesproken die legacytechnologie vereisen. Google heeft een Chrome-extensie voor hetzelfde doel en voor Firefox zijn er verschillende third party-extensies die zoiets doen. Deze aanpak kan wel eens veranderen. Microsoft heeft gezegd dat zijn op handen zijnde Chromium-gebaseerde Edge een Internet Explorer Mode heeft die legacy-sites binnen Edge zelf draait.
7. Verwijder regelmatig browserdata
De meeste gegevens die in een browser worden opgeslagen, zijn daar geplaatst met goede bedoelingen. Het idee van cookies en andere sessiegegevens zorgen ervoor dat mensen sneller in kunnen loggen of pagina's die ze vaker zien sneller inladen. Aan de andere kant zit er ook veel geheime informatie tussen deze gegevens, neem bedrijfsonderzoek naar toekomstige producten of nieuwe strategieën. Weten wat een bedrijf onderzoekt, is heel waardevol voor de concurrentie.
Om zulke data te beschermen, kan het nuttig zijn om lokale gegevens regelmatig te verwijderen, of zelfs alle websitedata meteen te wissen zodat het überhaupt nooit wordt opgeslagen. De browser heeft verschillende opties om dat te doen, bijvoorbeeld met de EphemeralProfiles in Chrome, een policy die ervoor zorgt dat alles aan het einde van een sessie wordt gewist.
Je zou kunnen beargumenteren dat cookies meer geheimen bevatten dan browsergeschiedenis - of andersom - maar in beide gevallen is het beter om zulke gegevens te wissen. Dat kan als een paardenmiddel overkomen, vooral omdat gebruikers daardoor een iets tragere browser hebben en niet meer kunnen terugkijken wat ze hebben gedaan, maar voor pure beveiliging is het geen verkeerde zet.
8. Gebruik de kioskmodus op sommige machines
Een extreme stap is het gebruik van de demomodus, of kiosk-mode, op sommige machine. Hiermee beperk je wat een gebruiker kan doen. Doorgaans wordt de browser in volledige scherm-modus gebruikt en kun je geen add-ons installeren of apps buiten de browser benaderen. Sommige configuraties van een demonstratiemodus kunnen zelfs zijn beperkt tot enkele specifieke websites. Zowel Chrome als Edge bieden deze modus.
De oplossing is ongeschikt voor de doorsnee gebruikers, maar kan een goede keus zijn voor ofwel openbare pc's of machines die voor één specifieke taak worden gebruikt, bijvoorbeeld het bijhouden van de inventaris of een apparaat dat dient als een kassasysteem.
9. Vraag om hulp
Het is niet moeilijk om een browser te installeren, maar de configuratie, uitrol en ondersteunen van browsers op honderden of zelfs duizenden machines kan complex zijn. Fabrikanten bieden ondersteuning die gericht zijn op systeembeheer. Google heeft bijvoorbeeld Enterprise Support voor bedrijven die groter zijn dan 1000 werknemers (PDF). Het bedrijf beantwoordt vragen en biedt richtlijnen om policy's in te stellen, zodat gebruikers niet zomaar alles kunnen doen met Chrome.
De ondersteuning die Mozilla biedt, is minder uitgebreid, maar er is een Firefox Enterprise-kennisbank en er is een Enterprise User Working Group-mailinglist waar developers en beheerders praten over oplossingen. Microsoft heeft een nieuwe Enterprise-sectie van zijn site Edge Insider gebouwd met links naar documentatie over de op handen zijnde Chromium-gebaseerde versie en heeft een forum voor IT'ers en ontwikkelaars van Microsoft om ideeën uit te wisselen over de nieuwe browsers.
Als ik dit zo lees en dit allemaal ga doen, mag ik er iemand bij nemen.
Zeker als ik, wat er in 3 staat .. .test hem dan nauwkeurig en neem de broncode door ...
Wat bij mij wel bij blijft, is dat er iets inherent fout zit aan dit gedrag van updates, fouten, correcties, testen, afsluiten, aanzetten enz. We hebben het hier over één klein onderdeel van de desktop.
Reageer
Preview