YORUM
Bir ile buluta olan güvenin artmasıWeb tarayıcıları kuruluşlar için kritik öneme sahip uygulamalar haline geliyor. Bu yalnızca insanların ve kuruluşların tarayıcıları eskisinden daha sık ve yoğun bir şekilde kullandığı anlamına gelmiyor, aynı zamanda daha kritik sistemlere ve verilere tarayıcılar aracılığıyla erişildiği anlamına da geliyor. Tüm bunlar, Web tarayıcısı güvenliğini kurumsal siber güvenlik endişelerinin ön saflarına taşıyor. İyi bilinen BT güvenlik uygulamalarına rağmen, tarayıcılar en sorunlu uygulama kategorilerinden biri olmaya devam ediyor zafiyet yönetimi açısından. Nedenini inceleyelim.
Çalışanlarınız Gerçekte Kaç Tarayıcı Kullanıyor?
Çoğu çalışan günlük faaliyetleri için birincil bir tarayıcı kullanırken, geliştiriciler, test uzmanları ve diğer BT personeli genellikle farklı görevler için birden fazla tarayıcı kullanır. Ortalama olarak, teknik olmayan çalışanlar bir ila iki tarayıcı kullanırken, teknik rollerdeki çalışanlar Chrome, Safari, Firefox, Edge ve Opera dahil olmak üzere iki ila dört tarayıcı veya daha fazlasını kullanabilir. Birden fazla tarayıcıda tutarlı güvenliği sağlamak zordur, özellikle de bazı çalışanlar şirket tarafından onaylananlara ek olarak kendi kişisel tarayıcı kurulumlarını bile kullanabilir.
Örneğin, geliştiriciler genellikle tarayıcılar arası uyumluluğu sağlamak ve Web uygulamalarının farklı ortamlarda nasıl davrandığını test etmek için birden fazla tarayıcıya ihtiyaç duyar. Bazı çalışanlar, BT tarafından resmi olarak desteklenmese bile, aşina oldukları tarayıcıları kullanırken kendilerini daha rahat hissedebilirler. Web tarayıcısı kullanımındaki bu özellikler, kuruluşun BT güvenlik ekibi için güvenlik çabalarını daha da karmaşık hale getirir ve saldırı yüzeyini artırır.
Çoklu Tehlikeli Güvenlik Açıkları
Web tarayıcılarındaki güvenlik açıkları düzenli olarak keşfedilir ve ele alınmadığı takdirde kuruluşların sistemleri ve verileri riske girer. Örneğin, Mayıs 2024’te Chrome, her biri uzak bir saldırganın keyfi kod yürütmesine izin veren dört sıfır günlük güvenlik açığını (CVE-2024-4671, CVE-2024-4761, CVE-2024-4947 ve CVE-2024-5274) ele almak için güncellemeler yayınladı.
Web tarayıcıları sıfır tıklama istismarlarına bile eğilimlidir. Örneğin, Apple’ın iMessage’ındaki CVE-2023-41064 ve CVE-2023-41061 güvenlik açıkları, herhangi bir kullanıcı etkileşimi olmadan uzaktan kod yürütülmesine izin veriyordu. Blastpass istismar zinciri olarak bilinen bu, kurbandan herhangi bir etkileşim olmadan en son iOS sürümünü (16.6) çalıştıran iPhone’ları tehlikeye attı.
Daha Az Güvenlik Açığı Olan Bir Web Tarayıcısı Seçmek Mantıklı Mı?
Tarayıcı değiştirmeyi düşünmek cazip gelebilirken, hiçbir yazılımın güvenlik açıklarından arınmış olmadığını anlamak önemlidir. Dahası, önemli olan yalnızca güvenlik açıklarının sayısı değil, satıcının güvenlik açığı yönetim programını genel olarak nasıl yönettiğidir.
Action1’e göre “Yazılım Güvenlik Açığı Derecelendirme Raporu 2024,” Chrome, 2021’den 2023’e (1.006) Firefox (471) ve Edge (178) ile karşılaştırıldığında en fazla güvenlik açığı bildirilen tarayıcı oldu. Buna rağmen, uzaktan kod yürütmeleri (RCE’ler) hem Chrome hem de Firefox için %1 iken, Edge için %10’du. Edge ayrıca 2023’te %7’lik bir istismar oranına sahipti ve bu oran 2022’de %5’ti. Bu, Microsoft’un Edge için Google’ın Chrome veya Mozilla’nın Firefox için uyguladığı kadar sıkı bir güvenlik açığı yönetim programını henüz uygulamadığını gösteriyor. Bu örnek, daha az güvenlik açığı olan bir tarayıcıya geçmek yerine, sağlam yama yönetimi ve güvenlik uygulamalarına odaklanmanın daha etkili olduğunu gösteriyor.
Aynı zamanda, birden fazla Web tarayıcısı arasında güncellemeleri yönetmek zordur. Güncellemeler bazen eski Web uygulamaları veya dahili araçlarla uyumluluğu bozabilir ve operasyonel kesintilere neden olabilir. Ayrıca, Chrome ve Firefox gibi Web tarayıcıları sık güncellemeler yayınlayarak BT departmanlarının ayak uydurmasını zorlaştırır. Otomatik araçlar güncellemeleri tüm makinelere gönderebilir ve hızlı bir test protokolüne sahip olmak, kritik sistemlerin ve iş akışlarının yeni güncellemeler tarafından kesintiye uğramamasını sağlar. Ancak çalışanlar kısıtlayıcı politikalara, zorunlu güncellemelere veya uzantı sınırlamalarına karşı çıkabilir ve bunları üretkenlik engelleri olarak görebilir. Bu nedenle çalışan eğitimi şarttır.
Web Tarayıcısı Güvenliğinin Ek Tuzakları: Onaylanmamış Uzantılar
Web tarayıcısı kodunun kendisindeki güvenlik açıklarına ek olarak, tarama deneyimlerini geliştirmeyi amaçlayan uzantılar önemli güvenlik riskleri oluşturabilir. Çalışanların rastgele veya yetkisiz uzantılar yüklemesine izin vermek riskleri artırır. Kötü amaçlı uzantılar kötü amaçlı yazılım getirebilir, hassas verileri yakalayabilir ve tarayıcı performansını düşürebilir. Örneğin, Great Suspender uzantısının kötü amaçlı yazılım içerdiği ve Chrome Web Mağazasından kaldırıldı 2021 yılında reklam engelleyici gibi görünen uzantıların da kullanıcı verilerini çaldığı veya reklam yerleştirdiği, gizliliği ve güvenliği tehlikeye attığı tespit edildi.
Bununla mücadele etmek için birçok kuruluş onaylı uzantıların bir “izin verilenler listesi” tutar. Yalnızca güvenlik ve uyumluluk açısından incelenen uzantılara izin verilir, Windows’ta grup politikaları, macOS’ta yönetilen tercihler veya uç nokta koruma yazılımı aracılığıyla yönetilir. Düzenli güvenlik farkındalığı eğitimleri, çalışanları yetkisiz uzantıları yüklemeyle ilişkili riskler ve onaylı olanlara bağlı kalmanın önemi konusunda eğitir.
Çözüm
Web tarayıcısı güvenliği karmaşık ve devam eden bir zorluk olsa da, kuruluşlar sağlam yama yönetimi, tutarlı güvenlik politikaları, kullanıcı eğitimi ve zamanında güncellemeleri ve güvenli yapılandırmaları sağlamak için otomatik araçların kullanımı yoluyla riskleri azaltabilir. Güvenlik ihtiyaçlarını kullanıcı üretkenliğiyle dengelemek, güvenli ve verimli bir iş yeri sürdürmenin anahtarıdır.