Google ha presentato diverse nuove funzionalità per gli utenti aziendali del suo browser Chrome, tra cui un rafforzamento della prevenzione della perdita di dati (DLP), le protezioni contro malware e phishing e la possibilità di abilitare l’accesso zero-trust al motore di ricerca. In totale, Google ha evidenziato sei nuove funzionalità per Chrome, tre delle quali specifiche per le funzionalità DLP esistenti del browser.

Una nuova funzione context-aware permette agli amministratori aziendali di personalizzare le regole DLP in base alla sicurezza del dispositivo utilizzato. Ad esempio, gli amministratori possono consentire agli utenti di scaricare documenti sensibili se vi accedono da un dispositivo aziendale aggiornato con le correzioni di sicurezza o se è confermata l’installazione di un software di protezione degli endpoint.

La funzione context-aware, tuttavia, impedirà agli utenti di scaricare documenti sensibili su dispositivi di proprietà personale o su un dispositivo aziendale che non soddisfa i criteri di sicurezza. Un’altra funzione in chiave DLP comprende il filtraggio degli URL e può bloccare o avvisare i dipendenti che visitano siti web, o categorie di siti web, che violano i criteri di utilizzo accettabili di un’organizzazione. “Potete anche limitare l’accesso, ad esempio impedendo agli utenti di visitare i siti web di condivisione di file più popolari, pur consentendo la condivisione di file tramite il vostro sito aziendale di condivisione di file”, ha scritto Google.

Ci sono poi due nuove estensioni di valutazione dei rischi per Chrome chiamate CRXcavator e Spin.AI Risk Assessment. Si tratta di strumenti utilizzati per valutare le estensioni del browser e ridurre al minimo i rischi ad esse associati. “Stiamo rendendo disponibili i punteggi delle estensioni tramite queste due piattaforme direttamente in Chrome Browser Cloud Management, in modo che i team di sicurezza possano avere una visione immediata dei punteggi di rischio delle estensioni utilizzate nel loro ambiente browser, continua Google nel suo annuncio.

Implementando una DLP avanzata e ottenendo maggiore visibilità sulla sicurezza delle estensioni e sugli eventi critici di sicurezza, le aziende possono identificare potenziali minacce e vulnerabilità prima che vengano sfruttate, ridurre il rischio di perdita di dati e adottare un approccio più proattivo alla cybersecurity.

blog-visual-19618-_-browser-_-cbe-security.max-1600x1600-100940085-orig

Google ha anche aggiunto due nuove estensioni di notifica degli eventi di sicurezza disponibili per l’installazione su Chrome.

  • Installazioni di estensioni: Avvisa i team IT e di sicurezza quando viene installata un’estensione, in modo che possano tenere traccia dell’utilizzo di nuove estensioni nel loro ambiente.
  • Eventi di crash: Avverte i team IT e di sicurezza quando un browser si blocca su un dispositivo, aiutandoli così ad avviare le indagini.

“Tutto questo è importante perché il browser rappresenta un nuovo veicolo di distribuzione per la sicurezza aziendale ha dichiarato Dan Ayoub, analista senior director di Gartner. “Estende i servizi di sicurezza oltre l’edge della rete per risolvere molti problemi reali che le soluzioni esistenti possono avere difficoltà ad affrontare oggi, come ad esempio fornire l’accesso da dispositivi non gestiti”.

Gartner prevede un numero crescente di servizi di sicurezza erogati tramite browser ed estensioni aziendali per il resto di questo decennio. “Questo creerà un’esperienza di lavoro ibrida senza soluzione di continuità, in cui i browser diventeranno la piattaforma principale attraverso la quale la produttività della forza lavoro e il software di sicurezza verranno forniti ai dispositivi gestiti e non gestiti”, continua Ayoub.

Michael Suby, vicepresidente della ricerca per il servizio di sicurezza e fiducia di IDC, ha affermato che l’obiettivo di Google per i cyberattacchi è appropriato, in quanto i browser sono vulnerabili come qualsiasi altra applicazione che si trova al di sopra del sistema operativo. Le funzionalità aggiuntive però creeranno probabilmente un problema per molte organizzazioni. Esistono già browser di terze parti disponibili appositamente per le aziende con caratteristiche di sicurezza simili a quelle annunciate da Chrome. Ad esempio, Island.io e Talon Cyber Security sono due dei browser aziendali più popolari. Inoltre, molte applicazioni aziendali dispongono già di funzioni di sicurezza integrate.

“Si tratta di aggiungere un altro strumento di policy che deve essere gestito. È bello avere queste nuove funzioni in Chrome e di per sé possono essere intuitive da usare, ma si aggiungono a quelle che già avete”, ha detto Suby. “Questo non vuol dire che non siano utili, ma ora avrete qualcosa in più da gestire. La domanda a questo punto diventa: chi gestirà e controllerà le nuove funzionalità e deciderà quali utilizzare in azienda? Oppure sono io a gestire i criteri di sicurezza delle applicazioni? In quale ambiente applico i criteri?”, si chiede Suby.

Un altro problema è che attualmente non esistono aziende di terze parti che testano in modo indipendente le capacità di sicurezza dei browser. Esistono software antivirus come AV-Comparatives e software di valutazione della protezione e della risposta degli endpoint da parte di aziende come Mitre Engenuity, ma nessuno specifico per la sicurezza dei browser. “È una buona direzione quella intrapresa da Google”, conclude Suby. “Vedono un problema e cercano di aiutare le aziende a risolverlo. Ma così facendo, rischiamo di creare una serie di sottoproblemi”.