端点安全的下一步 | 远程浏览器隔离（上）

随着今年远程办公的积极增长，企业会频繁面临基于针对远程员工的浏览器攻击。

为了保护自己免受在线威胁，组织过去常常过滤传入流量或阻止对可疑网站的访问。但是，当您遇到0 day攻击时，这些措施就无效了。远程浏览器隔离 (RBI) 是提供此类保护的好选择。它将 Internet 浏览移至隔离环境，从而保护用户端点。

在本文中，我们将讨论远程浏览器隔离如何保护互联网用户免受网络攻击、远程浏览器隔离解决方案的类型、必备功能以及开发过程中要考虑的挑战。

基于 Web 攻击的威胁日益增加

随着越来越多的日常用户活动上网，基于 Web 的攻击数量急剧增加。根据2020 年 Sonicwall 网络威胁报告[PDF] ，2019 年Web 应用程序攻击的数量与 2018 年相比增加了 52%。2020 年，网络安全专家指出，由于在 COVID-19 大流行期间全球转向远程工作，此类攻击将进一步增加。

基于 Web 的攻击使组织面临两个主要威胁来源：基于浏览器的恶意软件和网络钓鱼攻击。

当黑客将一段恶意代码注入网站组件或文件时，就会发生基于浏览器的攻击。此代码利用浏览器漏洞或用户错误来传播恶意软件、拦截流量或获取对用户端点的访问权限。因此，攻击者可以：

· 用恶意软件感染用户的设备

· 窃取或加密敏感数据

· 滥用计算资源

· 危害企业网络和连接到它的其他设备

常见的网络应用风险

网络钓鱼是一种社会工程技术，旨在获取敏感信息（个人数据、凭据、信用卡详细信息等）并使用它来访问私人或公司资源。在网络钓鱼攻击中，攻击者伪装成受信任的实体（例如社交网络、银行或同事）与用户进行通信，将用户引导至网络钓鱼站点，并激励他们输入敏感数据。

这是否意味着基于浏览器的网络钓鱼攻击不可阻挡？答案是否定的。远程浏览器隔离 (RBI) 或零信任浏览是一种新兴技术，可保护用户免受基于 Web 的威胁。让我们研究一下什么是远程浏览器隔离以及它是如何工作的。

什么是远程浏览器隔离（RBI），它是如何工作的？

浏览器隔离是一种虚拟化技术，可将浏览器执行从用户设备转移到安全环境——在用户设备本地或远程在云 (RBI) 中。通过这种方式，浏览器活动与用户隔离开来，防止任何通过基于 Web 的攻击进行恶意软件感染的尝试。 

与传统的网络安全解决方案相比，浏览器隔离采用了一种完全不同的 Web 安全方法。通常，安全解决方案需要一个已知攻击和可疑活动的列表，以便识别具有威胁性的 Web 内容并阻止对其进行访问。Web 隔离技术可保护远程端点内的任何 Web 内容，对其进行杀毒，并将安全内容发送到用户的本地浏览器。因此，用户可以访问内容，同时受到保护，甚至免受0 day攻击。

这种安全技术对于保护处理高度敏感数据（如政府、医疗、银行或军事记录）的员工特别有用。 

正如我们上面提到的，浏览器可以通过两种方式与用户隔离：

· 在本地，或通过客户端浏览器隔离。这会将浏览器执行移动到在用户端点或本地服务器上创建的虚拟机或沙箱（应用程序级别或操作系统级别）。这种类型的隔离不能被认为是完全安全的，因为浏览器仍然在用户的设备上执行。攻击者有可能突破隔离并访问用户的本地文件和网络。

· 远程，或通过服务器端浏览器隔离。远程浏览器隔离将浏览移动到远程服务器。服务器端隔离提供了更高级别的安全性，因为它使用远程服务器或云服务作为用户设备和 Web 内容之间的中介。如果发生攻击，黑客将突破隔离并到达远程浏览器，而不是用户端点。

一个RBI架构通常基于虚拟化或容器化。采用集中式虚拟化的解决方案对服务器资源的要求更高。要启动一个浏览器，每个虚拟机 (VM) 都需要运行操作系统的完整副本和操作系统所需的所有硬件的虚拟副本。容器化技术效率更高。通过容器化，RBI 解决方案需要运行一个操作系统和一个 RBI 程序，而无需模拟硬件。在容器中运行的浏览器所需的服务器基础设施比使用虚拟化的浏览器少 10 倍。此外，容器的分布式特性使 RBI 更加可靠：如果攻击者破坏了一个容器化浏览器，他们将无法访问另一个容器。

无论选择何种技术，RBI 解决方案都有两种类型的架构：

像素推送——该技术类似于远程桌面或虚拟网络计算。它捕获用户浏览器中的事件（点击、鼠标移动、击键等），将它们传输到远程浏览器，并以一系列屏幕截图或视频流的形式返回响应。通过这种方式，用户的端点不会接收任何 Web 应用程序代码，并且用户仅与图像或视频渲染进行交互。 

文档对象模型 (DOM) 重建— 此技术从远程端点上的威胁中清除 Web 应用程序的 HTML 或 CSS 代码，然后将干净的代码转发到用户的端点。如果 RBI 解决方案检测到一段可疑代码，则会将其删除。一些 RBI 解决方案将所有动态代码段视为潜在有害并删除它们。清理后，RBI 解决方案将静态网页代码发送到用户的本地浏览器，并在客户端呈现页面。

远程浏览器服务

对于用户，RBI 是这样工作的：

· 用户在远程浏览器隔离服务中进行连接和身份验证。

· RBI 服务创建一个虚拟实例并为用户提供对远程浏览器的访问。

· 用户像往常一样通过本地浏览器与网络内容交互。 

· 远程浏览器将 Web 内容（以视频流或经过处理的 HTML 代码的形式）传递到用户的本地浏览器。

· 当用户会话结束时，包含远程浏览器的实例将终止。

RBI 这种类型的解决方案为组织提供了许多网络安全改进。让我们来看看远程浏览器隔离技术的主要好处。

RBI 解决方案的优势

远程浏览器隔离是一种新的但很有前途的网络安全技术。实施 RBI 解决方案可为组织提供以下优势：

RBI 的主要优势

· 基于 Web 的0 day攻击预防。防火墙和防病毒软件等传统网络安全解决方案只有在检测到已知攻击的标记时才能阻止可疑或有害的网络活动。RBI 解决方案提供更可靠的安全性，因为它们还可以阻止基于浏览器的0 day攻击。由于所有浏览活动都在远程实例中隔离，并且用户与镜像或清理过的内容进行交互，因此黑客无法感染用户端点。

· 能够抵御网络钓鱼攻击。当用户单击网络钓鱼电子邮件或文件时，RBI 解决方案会显示经过清理的电子邮件文本、扫描附件并在电子邮件包含指向恶意网站的 URL 时隔离网络钓鱼网页。这样，用户与钓鱼网站的交互是完全安全的。

· 防止泄露机密数据。系统管理员可以更改 RBI 设置，以只读模式显示可疑 URL。这允许用户访问此类网页，但不允许他们输入任何凭据。或者，管理员可以只允许用户访问受信任的网站。

· 对下载的文件进行隔离清理。如果用户想要下载一个文件，它也在远程实例中被隔离。RBI 系统提供远程查看此内容的工具（例如 PDF 或图像查看器）。如果软件无法读取下载的文件，它会清理远程服务器上的内容并将其发送到用户的端点。通过这种方式，RBI 解决方案降低了下载恶意和可疑文件的风险。

· 详细的用户活动日志。RBI 系统记录远程实例上的所有事件以及与最终用户的通信。如果发生攻击或安全违规，系统管理员可以查看这些日志以清楚了解网络安全事件、报告事件、提出安全改进建议以防止类似问题、为取证活动收集数据等。

· 安全访问有风险的内容。RBI 系统允许用户访问任何网站并下载他们需要的数据，同时消除威胁。这种方法不会中断网页浏览；同时，其他安全解决方案（如防病毒软件或防火墙软件）会在检测到威胁时阻止对网站的任何访问。

为了确保上面列出的好处，RBI 解决方案需要一组特定的功能。在下章中，您将了解 RBI 系统提供足够安全级别所需的功能。