Журнал "Information Security/ Информационная безопасность" #2, 2025

На первый взгляд, с точки зрения информационной безопасности, эта тен- денция не сулит ничего хорошего. Тра- диционно браузер остается слепым пят- ном и источником рисков для сотрудни- ков ИБ-служб, поскольку: l Трудно контролировать, что сотруд- ники делают в браузерах. Например, они могут использовать неразрешенные в организации облачные хранилища и другие сервисы для работы с конфи- денциальной информацией. l В браузерах регулярно обнаружи- ваются уязвимости, которые могут быть использованы злоумышленниками для взлома. l Через браузеры, мимо используемых в организации средств защиты, могут утечь важные корпоративные данные (например, в результате фишинга или умышленных действий инсайдера). l Через браузер на корпоративные устрой- ства может попасть вредоносное ПО. l Даже легитимные браузерные расши- рения, которыми пользуются сотрудники, могут стать вредоносными после оче- редного обновления, и это довольно трудно отследить. Однако, все это справедливо для ситуа- ций, когда использование браузера в орга- низации слабо контролируется. Если у службы ИБ есть возможность конфигу- рировать браузер, то описанные выше риски не просто значительно снижаются, но и сам браузер (особенно если это спе- циальный корпоративный браузер с дополнительной защитной функцио- нальностью) из проблемы ИБ превраща- ется в дополнительный защитный инстру- мент. Рассмотрим, как это работает. Защита от вредоносных атак Как почти любое другое корпоратив- ное приложение, браузер может стать целью или звеном в сложной атаке зло- умышленников: фишинговые ссылки открываются в браузере, вредоносные файлы на компьютер жертвы загру- жаются через браузер, вредоносный код может исполняться прямо в браузере в результате срабатывания эксплойта или в результате исполнения кода при обработке вредоносной страницы. Большинство современных браузеров (и потребительских, и корпоративных) предлагают встроенную защиту от фишинга и вредоносного кода, но было бы наивно полагаться только на эти инструменты, потому что их эффектив- ность напрямую зависит от полноты и актуальности базы знаний разработ- чиков браузера о киберугрозах. Такая функциональность в лучшем случае может дополнить существующие в орга- низации средства защиты информации, но точно не заменить их. Вне зависимости от степени надеж- ности браузера, от кибератак можно защититься, правильно его конфигури- руя. Например, создавая черные и белые списки веб-страниц и, если брау- зер поддерживает такую функциональ- ность, применив политики фильтрации контента. Так, можно запретить посе- щение сайтов для взрослых, социаль- ных сетей, загрузку развлекательного контента – уже только эти действия существенно снизят риск перехода по вредоносной ссылке и последующего заражения. Поверхность атаки сократится, если запретить в браузере исполнение определенного кода. Например, рабо- ту JIT-компилятора, ускоряющего исполнение JavaScript. Злоумышлен- ники нередко используют уязвимости в JIT-компиляторах для атак на совре- менные Chromium-браузеры, поэтому разумным шагом может быть запрет работы компилятора на недоверенных сайтах. Если проинструктировать браузер вообще не обрабатывать код JavaScript, то поверхность атаки сократится еще больше. Но этот способ нужно приме- нять с осторожностью, поскольку почти все современные сайты используют JavaScript, и полный запрет может при- вести к их недоступности. Этой функцией можно управлять, определив список доверенных ресурсов, на которых испол- нение JavaScript возможно, или, наобо- рот, определить список сайтов, где его точно нельзя запускать. От атак через расширения можно защититься, настроив браузер таким образом, чтобы он автоматически отклю- чал расширение, запросившее доступ к дополнительным браузерным API, кото- рые не требовались при установке. Такое событие может свидетельствовать о нежелательном изменении поведения расширения, которое, вероятно, угро- жает безопасности данных. Наконец, если браузер умеет взаимо- действовать с корпоративными системам безопасности для мониторинга или реа- гирования (SIEM и IRP/SOAR), то: l во-первых, его можно настроить в качестве источника значимых событий безопасности, которые станут видимыми для сотрудников SOC; l во-вторых, использовать его в авто- матизации реагирования на инциденты. Для того, чтобы у аналитиков SOC была более высокая осведомленность о происходящем в браузерах, мы добавили интеграцию с системами безопасности в Яндекс Браузер для организаций. Защита от утечек В связи с "переездом" в веб важных бизнес-приложений, все больше конфи- денциальной информации обрабатыва- ется в браузерах, поэтому важно конт- ролировать этот процесс. Для данной задачи существуют отдельные DLP- решения, но они сталкиваются с про- блемами: l во-первых, браузеры генерируют большие объемы трафика, который 20 • СПЕЦПРОЕКТ Как контроль конфигурации браузера помогает снизить ИБ-риски в корпоративной сети современных организациях браузер превращается в одно из ключевых приложений – сотрудники решают в нем от 50% до 70% рабочих задач. Все чаще основное бизнес-ПО “переезжает” в веб. В Дмитрий Мажарцев, директор по информационной безопасности Яндекс Браузера для организаций Фото: Яндекс