For de fleste ansatte er nettleseren hovedverktøyet gjennom hele arbeidsdagen. Der logger vi inn, deler dokumenter, bruker skyløsninger – og håndterer virksomhetens mest sensitive informasjon. Likevel er nettleseren i dag et av stedene hvor IT-avdelingen har minst kontroll.
– Vi har bygget stadig sterkere sikkerhetsmurer rundt nettverket, men det som skjer inne i selve nettleseren, faller ofte utenfor synsfeltet. Det er dette vi kaller «The Last Mile»-gapet i Zero Trust-arkitekturen, sier Okan Kalak, Domain Consultant SASE i Palo Alto Networks.
Når applikasjoner flyttes til skyen, ansatte jobber hybrid, og trafikken i økende grad er kryptert, blir tradisjonelle sikkerhetsmekanismer utfordret. Resultatet er en ny type blindsoner – midt i verktøyet alle bruker mest.
Hvorfor dagens sikkerhet ikke når helt frem
De fleste norske virksomheter investerer tungt i brannmurer, endepunktsbeskyttelse og trafikkinspeksjon. Likevel blir det stadig vanskeligere å ha full innsikt på grunn av den teknologiske utviklingen.
– Sertifikatpinning gjør at mye trafikk ikke kan dekrypteres sentralt lenger. Samtidig gjør utviklingen innen kvantekrypto og nye protokollstandarder at dyp inspeksjon (decryption) blir stadig tyngre og mer ressurskrevende for infrastrukturen, forklarer Kalak.
I praksis betyr dette at virksomheter mister oversikt over trafikk i selve nettleseren – det stedet hvor brukere logger inn, laster ned, limer inn og kopierer ut data. Når så mye av arbeidsflaten flyttes til skybaserte applikasjoner, er det nettopp her angrepene skjer.
– Tradisjonell sikkerhet stopper i praksis utenfor nettleservinduet. Den naturlige plassen å gjøre sikkerhetsoperasjonene, og håndheve policier med full synlighet, er nettopp inne i selve nettleseren, sier Øystein Kaldhol, Presales Engineer i Netsecurity.
Enterprise Browser – sikkerhet bygget inn fra grunnen
Svaret på utfordringen er en ny generasjon løsninger: såkalte Enterprise Browsere. En Enterprise Browser er ikke en vanlig nettleser med plugins, men et verktøy der sikkerhetsmekanismer er integrert direkte i arkitekturen.
– Jeg sammenligner plugins med å montere et ekstra bremselys på en bil. Det hjelper litt, men det er fortsatt en standard bil. Skal du tåle angrep, må du bygge det riktig fra starten av, forklarer Kalak.
Med løsningen Prisma Browser fra Palo Alto Networks flyttes inspeksjon, policy og dataproteksjon inn i nettleseren. Det gir funksjoner som:
- Data Masking: Sensitive felter, som fødselsnummer, kan skjules for brukere uten behov for full tilgang.
- Kryptert dataflyt: Session-cookies og tokens krypteres lokalt. Dette hindrer at hackere kan stjele økter ("session hijacking") selv fra et kompromittert endepunkt.
- Clipboard-kontroll: Virksomheten får full styring over hva som kan kopieres ut av jobbsystemer til private tjenester som for eksempel ChatGPT.
- Watermarking: Et digitalt vannmerke på skjermen med brukernavn gjør uautorisert mobilfotografering sporbar.
- OS-isolasjon: Nettleseren fungerer som et sikkert skall som isolerer bedriftsdata fra operativsystemet, noe som eliminerer risiko for dataflukt.
Løsningen på VPN-kaoset og komplekse tilganger
Sikkerhet er bare én del av gevinsten. Prisma Browser adresserer også en klassisk utfordring i mange norske virksomheter: kompleks VPN-bruk og tung "backhauling" av trafikk via sentrale noder.
– Nettleseren kan brukes hvor som helst, når som helst. Trafikken går ut lokalt, uansett hvor i verden brukeren er. Det fjerner behovet for å sende alt via en sentral node i Norge for inspeksjon, sier Kaldhol.
Tilgang til interne systemer forenkles også drastisk. Ved å bruke Prisma Browser kan man gi tilgang til private webapplikasjoner i eget datasenter uten VPN eller annen klientvare. Gjennom "Conditional Access via IDP-flow" kan man sikre at for eksempel Office 365 kun tillater innlogging dersom trafikken kommer fra den godkjente Enterprise-nettleseren.
Tre tydelige bruksområder i det norske markedet
Sikkerhetsekspertene ser særlig tre områder hvor teknologien har en umiddelbar effekt:
- Konsulenter og tredjepartstilgang
I dag kreves det ofte utdeling av låne-PC-er eller kompliserte VPN-oppsett for eksterne. – Her kan konsulenten laste ned PrismaBrowser, logge på med bedriftskontoen, og få nøyaktig den tilgangen de skal ha. Vi kan også kryptere filer som lastes ned; disse blir umulige å åpne så snart kontoen deaktiveres, sier Kalak. - VDI-reduksjon og eksamensgjennomføring
Mange kommuner bruker dyr og kompleks VDI-infrastruktur for å gi sikker tilgang til webapplikasjoner. – Siden nettleseren isolerer seg fra operativsystemet, kan den erstatte VDI for webbaserte applikasjoner. Til eksamensbruk kan man sette policyer som blokkerer alt utenom spesifikke nettsteder, og sette sider til "ReadOnly" for å hindre kopiering, forklarer Kaldhol. - PAM-Lite for sikker fjerntilgang
Kaldhol kaller løsningen for en "PAM-Lite" (PrivilegedAccess Management). Med funksjoner som Session Recording og Just-In-Time (JIT)-tilgang, kan en konsulent eller tekniker få RDP- eller SSH-tilgang i et avgrenset tidsrom, uten at IT-avdelingen må deaktivere kontoer manuelt etterpå.
Bygget for forretningskontinuitet
Distribusjonen av Prisma Browser er gjort enkel: den lastes ned direkte fra internett eller App Store, og integreres med Entra ID eller Google Workspace. Den krever ingen øvrig Palo Alto Networks-infrastruktur.
Dette gir en kritisk fordel ved for eksempel ransomware-angrep: – Hvis alle bedriftens PC-er er kryptert, kan man raskt rulle ut Prisma Browser til de ansattes egne enheter. Siden dataene ligger trygt i skyen, kan virksomheten gjenoppta arbeidet umiddelbart mens maskinparken reetableres. Dette er en reell løsning for "Business Continuity", avslutter Øystein Kaldhol.
Vil du se den tekniske gjennomgangen?
Bli med når Øystein Kaldhol (Netsecurity), Okan Kalak (Palo Alto Networks) og Glenn Hårseide (Palo Alto Networks) viser hvordan du oppnår fullt innsyn og styring over data i nettleseren – uten at det går på bekostning av brukeropplevelsen.
