Enterprise Browser Nedir? Tarayıcı Güvenliği Ne Kadar Kritik? Güvenli İnternet Çıkışı 101

Önleyici yani defansif güvenlik sistemleri, öncelikli olarak belirli konseptler etrafında şekillenmeye başlar. Bu konseptlerin hepsi bilinen atak çeşitlerine karşı dijital varlıkları ve kullanıcı manipülasyonlarını önlemeye yöneliktir. Enterprise Browser yani kurumlara yönelik web tarayıcıları bir güvenlik çözümü olarak Zero Trust konsepti altında kullanıcı güvenliği tarafında karşımıza çıkmaya başladı. Bu yazıda biraz bu yeni çözümden, biraz tarayıcı güvenliğinden, biraz da diğer güvenlik çözümleri ile birlikte nasıl konumlandırıldığından bahsedeceğiz.

Tarayıcılar nasıl riskler barındırır?

Trendyol.com 3rd-party Cookies, Üçüncü Taraftan Yüklenen Çerezler

Browser’ları Windows, MacOS gibi işletim sistemleri muadili bir yapı olarak düşünmemiz aslında onların ne kadar kritik bir öneme sahip olduğunu bize tarif edebilir. Kullanıcının çoğunlukla internet çıkışını yaptığı, bilinmez bir sürü içeriği bilgisayarına indirdiği bir geçit olarak değerlendirebiliriz.

Güncel bir websitesine gidersek eğer; karşıdan lokalimize yazılar, resim dosyaları, stil dosyaları, farklı sitelere yönlendirmeler, farklı sitelerdeki içerikler ve bilgisayarımızda çalıştırılan kod parçacıkları indirilir. Bir URL’e gittiğinizde aslında bir bakıma o URL’e ve onun bize getirdiklerine güvenmek zorunda kalıyoruz. Çünkü her gittiğimiz sitede, evet benim bilgisayarımda içeriğini çalıştırabilirsin demiş oluyoruz. Buradan atak yüzeyinin ne kadar geniş olduğunu anlayabiliriz.

Trendyol.com F12 network konsol görüntüsü.

Tarayıcı güvenliği kurumlar için ne kadar önemli?

Tarayıcılar kurumlar için değerli bir kontrol noktasıdır. Burada bilinen zararlılara karşı erişimi kapatmak, gelişmiş tehditlere karşı şüpheli olabilecek davranışlar ile ilgili veri toplamak, atak desenlerini yakalayıp engellemek gibi analizler yapılıp istihbaratlar toplanabilir.

Öte taraftan, içeriden dışarıya hassas verinin sızmasına yönelik yapılan kontrollerde ya da içeriden yatay yönde olabilecek saldırıları engellemede başrol oyuncularından biridir.

Tarayıcı güvenliği için geleneksel çözümler ve zaman içerisinde gelişimleri

Legacy yani geleneksel olarak bu alandaki en temel çözümlerden birisi Proxy. Kendisi internet trafiğini sizin yerinize yapar, sonra da internetten çektiği trafiği size bir web sunucusuymuş gibi yansıtır. Türkçe anlamı ile vekillik yapar. Kullanıcıya yansıtmadan önce kontroller yapılır ve geçir-geçirme kararı verilir.

Inline Yerleşim

Önceleri Firewall-Proxy karışımı bir yapı kullanılıyordu. Inline olarak internet çıkışına yerleştirilen Proxy’ler networksel bir takım fonksiyonlar ile birlikte basit URL filtrelemeler ve AV taramaları gerçekleştiriyorlardı. Http-https trafiklerinin yanında SSH, FTP, RTSP, MAPI, DNS gibi çeşitli servisler için de kontrollere sahiplerdi.

Out-of-Band Yerleşim

NextGen Firewall’lar ile; bir TCP/IP paketinin çerçevesi ve ilk birkaç byte’ına bakılarak http-https harici protokoller NGFW’ler tarafından yönetilmeye başlandı. Bununla birlikte Proxy’ler out-of-band dediğimiz yapıda kurgulanmaya ve http-https trafiklerine odaklanmaya başladı.

Cloud Hibrit Yerleşim

Sonrasında taşınabilir cihazlar ile ofiste ve ofis-dışında kontrollerin nasıl yapılacağı konusunda hibrit çözümlere gidildi. Yukarıdaki örnek topolojiye baktığınızda, ofiste geleneksel yapı kullanılmaya devam edilirken ofis dışarısında Cloud’ta bulunan Proxy servisinin kullanıldığı topolojiler çoğunlukla kullanılmaya başlandı. Symantec, Forcepoint, Mcafee gibi üreticiler, onprem’de kullanılan yani şirkette yerleşik Proxy’de bulunan aynı kural tabanının ve güvenlik katmanlarının, ofis dışında da sağlanabileceği çözümler sundular.

İzole edilen bir sitenin kare kare resimler halinde kullanıcıya sunulması

Topolojik anlamda yukarıdaki gelişmeler olurken güvenlik tarafında da klasik hash-check imza tabanlı tarama mantığından daha gelişmiş tekniklere geçildi.

Sandbox ile network’ten izole edilmiş bir sunucu üzerine kurulan bir işletim sisteminde şüpheli dosya çalıştırılıp dosya kullanıcıya verilmeden önce davranış analizlerinin yapıldığı sistemler yaygınlaştı.

Büyük veriler kullanılarak eğitilen yapay zekaların bir içeriğin zararlı-zararsız olduğuna karar verdiği Cyclance gibi programlar geliştirilip Proxy katmanında kullanılmaya başlandı.

Arındırılmış, izole edilmiş içerik sistemlerine geçildi. Örneğin bir websitesi çağrıldığında sitenin fonksiyonları bozulmadan sadece resim hali sunulabiliniyordu. Yukarıdaki örnek görüntüde “msn.com”a gidilmesine rağmen sadece Symantec Isolation sunucusunun render edilmiş görsel elementlerinin F12 konsolda gözüktüğünü gözlemleyebilirsiniz.

Yeni nesil Enterprise Browser’lar ve Özellikleri

Island Browser Kurum İç Kaynaklara Erişim Topolojisi

Bu teknoloji için şartlar bazı etkenlerle birlikte olgunlaştı. İlk konu, geleneksel sistemlerin getirdiği karmaşıklık ve yönetimsel zorluklar. İkinci konu, Pandemi sonrası uzaktan çalışma kültürünün artması ve ekosistemdeki Cloud, SaaS furyasının ivmelenmesiyle yeni atak yüzeylerine karşı daha native çözümler ihtiyacı. Üçüncüsü güvenlik merkezli bir yaklaşımın henüz salt olarak browser tarafında olgunlaşamaması.

Teknoloji olarak bakıldığında çoğu çözüm Google’ın sahibi olduğu açık kaynak Chromium altyapısını kullanıyor. Açıkcası Chromium ya da Firefox projeleri dışında kendi altyapılarını kullanmaya kalksalar, Enterprise Browser çözümleri tüm cazibesini kaybederdi. Çünkü bu iki proje dünyadaki kullanıcıların yüzde 99’u tarafından beslenip maintain ediliyor.

Öne çıkan özellikler:

• Cloud Proxy çözümlerindeki gibi Browser seviyesinde internet erişim kontrolü sağlanması.

• Isolation teknolojisi.

• Veri sızıntısına karşı detaylı kontroller.

• CASB çözümleri gibi SaaS uygulamalarına granüler erişim kontrolleri.

• Cloud ya da onprem’de bulunan kurumiçi uygulamalara IPSec tüneller ile granüler erişim kontrolleri.

• Kullanıcı bilgisayarının mevcut durumunun skorlanması. İşletim sistemi ve diğer uygulamaların versiyon-yama kontrolleri.

Örnek bir çözüme ait teknik detayları incelemek isterseniz Island’ın whitepaper’ına göz atabilirsiniz: https://connect.island.io/hubfs/White%20Papers/whitepaper%20013122_c.pdf

Öne çıkan 3 çözüm: Island, Talon, Honeywell Enterprise Browser.

Diğer çözümler ile birlikte nasıl konumlandırılıyor?

Orta büyüklükte ya da yönetilmeyen PC’lere sahip kurumlarda tüm fonksiyonları ile Enterprise Browser geçişi görebiliriz. Yani Proxy, Cloud Proxy, CASB ve hatta VDI’lar yerine bu ürünü görebiliriz.

1000+ kullanıcıya sahip büyük kurumlarda ise Cloud Proxy ve CASB çözümlerinin karşılığı olarak kullanılabilir ya da yönetilmeyen PC, tablet ve cep telefonlarında rahatlıkla kullanılabilir gibi gözüküyor.

Öne çıkan çözümleri incelediğimizde hepsinin çok yeni olduğunu söyleyebiliriz. Bu teknoloji yeterince olgunlaştığınca tüm fonksiyonları ile yaygınlaşacaktır.

Gelecekte güvenli internet çıkışı ile ilgili neler karşımıza çıkabilir?

İki yaklaşım burada önemli olacak. Kullanıcıları daha fazla kısıtlayacak mıyız yoksa özgür bir şekilde fanusun içerisinde mi dolaştıracağız.

Cloudflare bilinen websitelerinin yaklaşık yüzde 20’sini üzerinden geçiriyor. Daha fazla kısıtlamaların olacağı senaryoda; bu tarz bir CDN’in güvenli internet konsepti altında kurumlara yönelik tüm interneti grileştirip ayrı bir internet oluşturabileceğini ve kurumların bu kısıtlı ama güvenli internet ağını kullanabileceğini söyleyebiliriz.

Diğer fanus senaryosunda ise; isolation benzeri teknolojilerin kaynak tüketimi handikapını yenerek giderek artacağını, kullanıcılar seviyesinde yaygınlaşacağını söylemek yanlış olmayacaktır.