2022 年 3 月 25 日星期五,谷歌为所有基于 Chromium 的网络浏览器发布了紧急安全更新,修补了一个非常严重的漏洞 (CVE-2022-1096)。在撰写本文时,该漏洞的特效组件已经受限,直到大多数用户为本地浏览器安装补丁为止。
每个人都必须抽出时间更新一下本地网络浏览器。完成这个简单快捷的操作,人人都可以为团队的网络安全形势做出贡献。
即使每个人都马上更新了浏览器,这也只是针对更新前就已存在的威胁做出响应。我们来探索一下 Cloudflare 如何采用积极主动的方法,通过我们的 Zero Trust 和远程浏览器隔离服务来缓解浏览器零日威胁。Cloudflare 的远程浏览器隔离服务在构建之初就旨在防止零日威胁,我们全球网络上的所有远程浏览器均已打上补丁。
Cloudflare Zero Trust 如何防范浏览器零日威胁
Cloudflare Zero Trust 采用分层防御策略,保护用户在浏览互联网时免遭零日威胁。
Cloudflare 的漫游客户端将互联网流量通过加密的隧道导向附近的 Cloudflare 数据中心进行检查和过滤。
Cloudflare 的安全 Web 网关根据我们的网络情报、反病毒扫描和威胁情报源,对流量进行检查和过滤。阻止对已知恶意服务的请求,而高风险或未知流量则由远程浏览器自主提供。
Cloudflare 的浏览器隔离服务在远程浏览器中执行所有网站代码,以保护未打补丁的设备免受未知网站内的威胁。
保护设备免受未知的威胁
零日威胁利用率高,存在于现实世界中却没人发现,通过电子邮件或其他外部通信点(例如客服工单)中的风险链接主动攻击用户。这种风险无法消除,但可以通过使用远程浏览器隔离来减少攻击面。Cloudflare 的浏览器隔离服务在构建之初就旨在防止零日威胁。
通过在与端点设备物理隔离的远程浏览器中执行所有网页代码,防止破坏的网页影响端点设备。端点设备只接收来自我们网络的轻型 HTML5 远程外壳和来自远程浏览器的矢量绘制命令。
通过在浏览器会话结束时自动销毁和重建远程浏览器,使其恢复为已知的干净状态,从而减轻入侵的影响。
通过将所有远程浏览器的出口流量加密,用虚拟化技术分割远程浏览器,然后将浏览器分布在我们全球网络的物理硬件上,从而保护相邻的远程浏览器。
在集成的安全 Web 网关日志中记录所有远程出口流量,协助安全事件响应 (SIRT) 团队的工作。
为世界各地的远程浏览器打补丁
即使配备了所有这些安全控制措施,仍然必须给浏览器打补丁,这对消除漏洞风险至关重要。为本地和远程浏览器打补丁的过程截然不同,这可能就是入侵和避免零日漏洞的区别。
要为员工的本地浏览器打补丁,或需要礼貌地请求用户中断工作来更新浏览器,或需要运用移动设备管理技术强制更新,干扰员工的工作。这两种选择都会让用户不爽,而且无法快速缓解。
给远程浏览器打补丁的过程则完全不同。远程浏览器本身就在我们的网络上运行,用户和管理员不需要干预,因为安全补丁会自动部署到 Cloudflare 网络的远程浏览器中。然后,不需要用户重启本地浏览器,任何进入隔离网站的流量就都会自动通过已打补丁的远程浏览器中提供。
最后,基于浏览器的漏洞(例如 CVE-2022-1096)并不罕见。2021 年就有 300 余个,2022 年已经有 40 多个(根据 cvedetails.com 的统计)。管理员必须制定计划,快速缓解和修补组织的浏览器。
开始使用 Cloudflare 浏览器隔离功能
Cloudflare 浏览器隔离功能对自助客户和企业客户都适用。无论您是小型创业公司还是大型企业,我们的网络已准备就绪,为您的团队提供快速安全的远程浏览服务,无论团队成员身在何处。
立即开始使用,请访问我们的网站。如需评估浏览器隔离,请向我们的团队索要一份无客户端 Web 隔离试用软件。