Muitas soluções de Infraestrutura de Desktop Virtual (VDI) oferecem tanto um cliente nativo como uma alternativa HTML5, tendo esta última a vantagem de não necessitar de nada instalado no computador do utilizador e de permitir trabalhar a partir de qualquer dispositivo.
Os clientes HTML5 não são novos, no entanto, até há pouco tempo, o seu desempenho era significativamente inferior ao da alternativa nativa.
Agora que o HTML5 está a proporcionar o que muitos consideram ser uma experiência de utilizador suficientemente boa, subsiste a questão das preocupações com a segurança e a privacidade, que não podem ser asseguradas pelas facilidades dos browsers.Em muitos sectores regulamentados, a segurança deve prevalecer sobre a usabilidade, dentro do razoável, pelo que a questão de saber se a VDI HTML5 é suficientemente segura é fundamental.
O isolamento fornecido pelo cliente HTML5 proporciona segurança suficiente para que mesmo um dispositivo pessoal não gerido possa ser utilizado para aceder com segurança a aplicações críticas, por exemplo, aplicações bancárias?
Testando-o
Simulámos um malware malicioso, capturando informações no ecrã do dispositivo anfitrião enquanto nos ligávamos a diferentes sítios. O "ataque" foi bem sucedido e conseguimos extrair informações da sessão html5 em curso. Com o MetaDefender Access, implementámos um perfil para impedir a captura de ecrã, e o hacker obteve ecrãs negros semelhantes ao exemplo aqui apresentado:
Então,as soluções HTML5VDI sãosuficientemente seguras para as instituições financeiras ?
Em suma, não.
Existem ainda riscos significativos de questões de privacidade e segurança inerentes a qualquer dispositivo que se ligue aos recursos da empresa, especialmente num sector regulamentado.
Como parte de uma metodologia de confiança zero, é fundamental garantir que o dispositivo implementa uma boa higiene antes de permitir uma ligação, como uma solução antimalware actualizada e totalmente configurada, unidade encriptada, bloqueio de ecrã ativado, etc. Também é muito importante obter uma visão geral do estado de conformidade da organização para auditorias.
Digamos que a sua organização decidiu permitir que qualquer dispositivo se ligue aos recursos da empresa através de HTML5. Pode haver a possibilidade de a proteção contra malware não estar activada e, mesmo que esteja, existe a possibilidade de um trojan de acesso remoto (RAT) malicioso conseguir escapar a essa deteção.
Se So, Wchapéu é o Risk?
O risco é que acedam remotamente aos dados através de capturas de ecrã e registo de teclas, sem que o proprietário do dispositivo ou a empresa saibam.
O resultado é a fuga de dados sensíveis, exibidos e digitados na sessão html5, para o atacante.
Para se proteger deste ataque não tão improvável, é importante utilizar a proteção de captura de ecrã e a tecnologia anti-keylogger que podem impedir o atacante.
Não Doubt Asobre o assunto. Compliance e Privacidade Regulamentos Necessidade ser Taken Sertamente.
Empresas como a Morgan Stanley e a JP Morgan aprenderam recentemente esta lição dispendiosa.Como tal, vale a pena ter uma abordagem de defesa em profundidade. OPSWAT oferece essa tecnologia como parte da sua solução MetaDefender Access.
- Com a prevenção de captura de ecrã do MetaDefender Access activada, a imagem capturada é substituída por uma imagem em branco, conforme ilustrado aqui:
- MetaDefender O Controlo de Aplicações do Access bloqueia a utilização de aplicações de mensagens, como o WhatsApp, enquanto estão ligadas ao sistema VDI empresarial
- Com o anti-keylogging do MetaDefender Access ativado, os hackers vêem texto aleatório em vez do que os utilizadores escrevem, como se mostra aqui:
Potência real para proteção real
MetaDefender O Access fornece a proteção necessária para impedir a fuga de dados e evitar multas, mas o verdadeiro poder da proteção VDI reside na integração oferecida com o VMware Horizon.
OPSWAT fez uma parceria com a VMware para fornecer uma solução conjunta fortemente integrada que pode garantir que estas protecções estão em vigor, de uma forma de confiança zero, antes e enquanto o utilizador está a aceder a aplicações através do Horizon.
Por exemplo, se um utilizador manipular o MetaDefender Endpoint para desativar a proteção de captura de ecrã, o utilizador será impedido de aceder à sessão VDI.
Para o cliente HTML5 Horizon, o MetaDefender Access tira partido da solução de Gestão de Acesso a Identidades existente na sua organização, como o Ping Identity ou o Okta, para verificar a conformidade como parte do processo de autenticação SAML antes de o utilizador obter acesso a quaisquer aplicações.
Isto funciona bem para garantir a conformidade - mesmo para BYOD.
Voltando à questão principal, sobre se o isolamento da sessão VDI HTML5 é suficiente para proteger dispositivos não confiáveis, a resposta continua a ser não.
Para cumprir os regulamentos e proteger os dados confidenciais da empresa, é importante manter ferramentas de defesa em profundidade no anfitrião do enclave com capacidades como o MetaDefender Access pode fornecer.
