Browser-Isolation mit Adaptive-Clientless-Rendering

Lesezeit
3 Minuten
Bis jetzt gelesen

Browser-Isolation mit Adaptive-Clientless-Rendering

27.06.2017 - 14:45
Veröffentlicht in:
Web-Browser gehören heute zu den wichtigsten Anwendungen in Unternehmen - damit allerdings auch zu den bedeutendsten Schwachstellen für Angriffe. Das simple Laden einer bösartigen Web-Site reicht aus, um das Endgerät des Nutzers zu kompromittieren und kann zur Installation von Malware, Datendiebstahl oder der Penetration von Firmennetzen führen. Neue Isolationstechniken versprechen Abhilfe. Dieser Grundlagen-Artikel erläutert, wie die Browser-Isolation mit Adaptive-Clientless-Rendering funktioniert.
Ransomware und andere Attacken demonstrieren fast täglich die Anfälligkeit von Endgeräte gegenüber neuen Angriffsmustern. Ein kritisches Element gängiger Browser ist aktiver Content, der heute vor allem in zwei Formen erscheint: Flash und Java. Aktive Inhalte werden im Kontext des Browsers ausgeführt und ermöglichen dem potentiellen Hacker Einblick in und Kontrolle über die Anwenderumgebung. Beispielsweise kann der Angreifer damit Speicherplätze erkennen, das Datenlayout beeinflussen oder Code generieren.

Zwar verfügen moderne Endgeräte über Verteidigungsmechanismen gegen einfache Browser-Exploits, aber die Ausführung aktiver Inhalte ermöglicht es Angreifern, diese Mechanismen durch ausgefeilte mehrstufige Attacken zu umgehen. Das gilt auch für gängige Technologien wie Data Execution Prevention (DEP/NX) und Address Space Layout Randomization (ASLR).

Neuer Ansatz: Browser-Isolation
Browser-Isolation ist eine relative junge Technologie, um der Sicherheitsproblematik von Browsern zu begegnen. Grundprinzip ist die Idee, alle Browserfunktionen innerhalb eines Containers abzuwickeln, inklusive aller aktiven Komponenten. In den meisten Fällen wird dabei der isolierte Browser vom Endgerät getrennt. Über einen sicheren Kanal wird mittels eines hochrestriktiven Protokolls lediglich "gerenderte" Information an das Endgerät übertragen. Diese Methode ermöglicht auch den Schutz gegenüber ausgereiften Zero-Day-Exploits.

Auch wenn die Vorzüge dieser Technologie offensichtlich sind, so müssen entsprechende Lösungen doch in die IT-Umgebung passen und die Anforderungen der Nutzer erfüllen, wenn sie breite Anwendung finden sollen. Eine praktikable Lösung für die Browser-Isolation muss deshalb vor allem zwei Schlüsselfunktionen bieten: Zum ersten ist die Möglichkeit zum Einsatz ohne den Eingriff der Clients notwendig. Dies vermeidet die Notwendigkeit für Software-Installationen auf dem Endgerät und damit das Risiko der Destabilisierung.

Clientless Deployment ermöglicht die unternehmensweite Bereitstellung via Proxy-Konfiguration sowie vollständig zentralisiertes Management der Browsing-Policies und der Security-Updates für alle Geräte im Unternehmensnetz. Zum zweiten bedarf es einer nativen Nutzungserfahrung, bei der Anwender keine Unterschiede zwischen der konventionellen Browsernutzung und der Anwendung der Isolationsplattform bemerken. Insbesondere sollten sie nicht gezwungen sein, ihr Verhalten zu verändern.

Zudem sollten die Geschwindigkeit und die Qualität durch das Rendering nicht beeinflusst werden und sich bei der normalen Palette der Media-Typen (wie Text oder Video) sowie der täglichen Operationen wie Print oder Copy-and-Paste nicht von nativen Browsern unterscheiden. Die Erfüllung dieser beiden Anforderungen wirft eine Reihe technischer Problemstellungen auf. Konventionelle Remoting-Technologien wie Pixel-Mirroring greifen hier zu kurz und führen zu einer Verlangsamung der Ladezeiten oder zur Beeinträchtigung von notwendigen Aufgaben wie Drucken etc.

Adaptive Clientless Rendering
Eine Schlüsseltechnologie, um diese Problemstellung zu umgehen, ist das Adaptive Clientless Rendering (ACR). Im Gegensatz zu konventionellen Pixel-Remoting-Techniken kombiniert ACR die Web-basierte Bereitstellung mit einem umfassenderen Verständnis der isolierten Webseite. Die ACR-Technologie besteht aus zwei Grundkomponenten, der Safe Page und dem isolierten Browser. Die Safe Page ist eine kodierte Version der durch den Nutzer aufgerufenen Webseite, die an Stelle der originalen Seite auf den vorhandenen Browser geladen wird. Sie wird über einen sicheren Web-Proxy bereitgestellt. Die Safe Page eröffnet einen SSL-verschlüsselten Kommunikationskanal zum isolierten Browser und stellt gerenderte Updates bereit beziehungsweise leitet die Nutzereingaben an diesen weiter.

Die Safe Page profitiert dabei von neuen Web-Standards und Fortschritten bei den Browser-Engines, um unabhängig vom eingesetzten Browser oder Endgerät akkurate Ergebnisse zu liefern. Der Schlüssel zur transparenten Nutzungserfahrung mittels ACR ist das Document Object Model Mirroring (DOM). DOM ist die dynamische, Browser-interne Repräsentation der für den Nutzer sichtbaren, gerenderten Seite. Ziel des DOM-Mirroring ist das Abbilden lediglich der ‚nützlichen‘ Teile der originalen Seite auf dem Endgeräte-Browser.

DOM Mirroring hat gegenüber Pixel-Mirroring wesentliche Vorteile. Ein Schlüsselelement ist die detaillierte Einstellung der Strategie, wonach inaktive sichere Elemente erhalten bleiben, aktive und unsichere Elemente jedoch entweder insgesamt eliminiert oder durch sichere, transkodierte Varianten ersetzt werden, die für den jeweiligen Medientypus am besten geeignet sind. Beispielsweise eliminiert ACR regelmäßig <script> Elemente, transkodiert aber CSS in eine Form, die das Layout erhält, allerdings ohne aktiven Content.

Eingebaute Sicherheit
DOM Mirroring ermöglicht eine native Nutzungserfahrung durch die Darstellung der semantischen Struktur einer Webseite für den Endgeräte-Browser. Um sicherzustellen, dass diese zusätzliche Information nicht die Security zugunsten der Nutzungsqualität opfert, setzt ACR drei Mechanismen ein, die insgesamt eine starke Verteidigung gegen Angreifer darstellen. Alle drei basieren auf einem gemeinsamen Prinzip: Die Ausführung aktiver Inhalte ist der Schlüssel für die Umgehung der Sicherheitsmechanismen auf dem Endgerät. Ohne aktive Inhalte hat ein Exploit wenig Chancen, unabhängig davon, was sonst von einem möglicherweise infizierten Browser an den Client gesendet wird.

Der erste Mechanismus, Active Content Blocking and Transcoding, nutzt die Tatsache, dass die möglichen Einfallsvektoren in DOM wohldefiniert sind, um Elemente, Attribute oder CSS gegenüber einer Whitelist zu filtern. Beispielsweise werden <script> Elemente eliminiert, während <object> Elemente  durch transkodierte und gerenderte Darstellungen ersetzt werden. Ein zweiter Mechanismus, Protocol Checking and Enforcement, stellt sicher, dass die Safe Page nicht dazu verleitet wird, aktiven Content von einem infizierten isolierten Browser auszuführen. Und schließlich garantiert die Safe Page Integrity Preservation, dass die in den Browser des Endgerätes geladene Safe Page vertrauenswürdig ist, und dass kein Angreifer diese Prüfung unterlaufen oder umgehen kann.

Isolation von Dokumenten

Ebenso wie Web-Browser können auch Dokumentenanwendungen wie Microsoft Office oder PDF-Viewer durch bösartigen Content, der über das Web heruntergeladen oder durch E-Mail-Anhänge übermittelt wird, kontaminiert werden. Auch hier spielt der aktive Content, der in ein Dokument eingebettet wird, eine bedeutende Rolle. ACR kann ebenso genutzt werden, um diese Dokumente zu isolieren. Insbesondere nutzt die Isolationsplattform ACR, um das bösartige Dokument in eine HTML5-Seite zu transkodieren, bevor es mittels des Browsers heruntergeladen wird.

Der Mechanismus des DOM-Mirroring stellt ein sicheres und Transparentes Mirroring des Dokumentes inklusive Ursprungslayout auf dem Endpoint sicher. Fortgeschrittene Isolationsplattformen ermöglichen heute den sicheren Zugang zum Web, indem sie verhindern, dass aktiver Content auf dem Endgerät ausgeführt wird. Neuere Technologien wie ACR schützen selbst gegenüber Zero-Day-Bedrohungen und bieten eine native Browsing-Erfahrung, ohne dass der Endbenutzer davon berührt wird.


Menlo Security/dr

Tags

Ähnliche Beiträge

Pass-the-Hash-Angriffe

Mit einer erfolgreichen Pass-the-Hash-Attacke wird ein Angreifer leicht Administrator der Windows-Domäne. Doch weil es technisch sehr schwierig ist, Inhalte des Arbeitsspeichers zu verteidigen, gibt es für die seit mehr als zwei Jahrzehnten bekannte Sicherheitslücke keinen Patch, sondern nur Empfehlungen für eine bessere Organisation der IT. Der ursprünglich sehr aufwendige Pass-the-Hash-Attacke ist heute nur noch eine Sache weniger Klicks. Wir beleuchten die Grundlagen dieses Angriffsvektors.

Physische Sicherheit im Serverraum

Eines der komplexesten Themengebiete im Bereich der IT-Sicherheit ist der physische Schutz. Gleichwohl ist dies eine der unterschätztesten Sicherheitsaufgaben. Sehr viele Unternehmen ergreifen konkrete technische Maßnahmen zur Absicherung vor Viren und sonstigem Schadcode oder dem Hacker- Angriff von außen. Vernachlässigt wird dabei immer wieder, das eigene Rechenzentrum gegen einschlägige Gefahren zu wappnen.