网络安全 频道

Web浏览器安全技术已经达到顶峰?

  过去几年,主流Web浏览器供应商一直在努力开发新的改进的安全功能来帮助推广其最新浏览器版本,抢占市场份额,特别是在企业领域。

  但是,这种趋势似乎已经戛然而止,因为在最新版本的Mozilla Firefox和谷歌Chrome中,安全创新并不是焦点。而最新版本的微软IE浏览器IE 11也没有可圈可点的新的安全功能,只是更新了安全做法。

  那么,到底是怎么回事?供应商对安全性的关注度越来越低,是否意味着浏览器已经绝对安全了?在本文中,我们将根据IE 11的安全性来探讨Web浏览器安全的现状、Web浏览器安全的未来发展以及企业应该如何保持安全性。

  IE 11:浏览器安全措施已经趋于稳定?

  由于缺乏新的安全功能,IE浏览器的最新版本IE 11饱受争议。很多人表示,缺乏新功能是因为浏览器安全技术已经趋于稳定。然而,虽然缺乏新的安全功能,但是IE 11提供了一些改进的安全做法。

  比如,为了降低IE 11对Web Graphics Library三维图形标准的支持所带来的风险并抵御基于WebGL的攻击,微软为其图形驱动程序增加了客户端沙箱技术。这样,即使攻击者找到一种方法通过WebGL注入恶意代码,但他无法破坏系统的其余部分。而且,现在Enhanced Protected Mode和AppContainer默认情况下都处于开启状态,以防止网页读取或写入到操作系统受保护的部分。还有一些新的组策略安全相关的设置。对于隐私观念比较强的企业,浏览器设置中的Do Not Track可以用来阻止网站跟踪用户。

  所以笔者认为,最好是使用最新版本的软件或者及时更新。尽管IE 11没有新的安全功能,但企业还是应该升级以利用IE 11提供的额外的安全措施。

  Web浏览器安全性的真相

  其实,应用程序没有绝对安全的。作为通往互联网的网关和首选应用接口,浏览器和插件生态系统(特别是Java)仍然是那些试图攻击企业或窃取企业数据的攻击者的头号目标。

  毫无疑问,现在的浏览器远远比早期版本更安全。像缓冲区溢出这种常见的攻击就已经利用缓解技术解决了,比如地址空间布局随机化(Address Space Layout Randomization)和数据执行保护(Data Execution Prevention)等。

  然而,改进的安全性只会迫使网络犯罪分子去别处寻找突破点。现在很多黑客都花时间和资源来开发基于社会工程学的攻击,以诱骗受害者安装恶意代码。这也是很多最新浏览器安全功能被设计为阻止用户点击已知恶意网站或者从风险来源下载内容的原因之一。

  保护最薄弱的环节

  在企业防御中,员工可以说是最薄弱的环节。但是,大多数用户仍然会选择那些为他们提供非常好的用户体验的浏览器,而不是具有非常好的安全功能的浏览器。太多警报和警告往往会导致用户关掉用来保护他们的安全控制。在笔者看来,很多浏览器供应商没有推出新安全功能,因为他们在评估用户的反馈意见,来权衡哪些现有默认设置既增加了安全性又确保可接受的用户体验。

  记住,浏览器软件可以提供的保护是有限制的,特别是当用户在浏览网页必须打开不受信任的代码时,或者营销服务和广告服务不断尝试和规避很多专注于保护用户隐私的广为人知的浏览器功能。

  企业的非常好的防御措施

  为了提高浏览器整体安全性,我们很想要看到跨所有浏览器的Web标准的改进的兼容性。这不仅能让安全站点更容易部署,还能减少试图使网页在所有平台正确显示所花的时间。谷歌的AdID就是一种旨在替代第三方cookies的用户跟踪技术,这可能为负责跟踪的广告人铺平了道路。

  但是,这种web浏览器的乌托邦可能永远不会实现。所以现在,黑客会继续寻找浏览器的弱点,并专注于容易攻击的端点,这意味着端点反恶意软件保护仍然是企业应该采取的重要的安全措施。

  此外,源代码被窃取的应用(例如来自Adobe的产品)仍会是流行的攻击向量,因为黑客能够相对容易地找到零日漏洞。而浏览器插件和移动应用也将很受欢迎,因为网络管理员很难控制其安装和使用。

  一旦发现新的攻击技术在破坏浏览器时,供应商就会争相发布新版本来缓解这种攻击,并提供额外的控制来保护用户免受攻击的影响。

  最后,除了浏览器厂商在其产品内部构建的防御措施外,企业还应该部署额外的安全控制。虽然浏览器安全已经走过了漫长的道路,额外的防御措施(例如web安全网关、端点反恶意软件和安全意识培训)仍是对付很多坚定的有创造力的攻击者的重要因素。

 

0
相关文章