La détection et la réponse dans le navigateur comblent de rélles lacunes

Comment fonctionne la BDR

La BDR place la logique de détection aussi près que possible du point d'interaction : le navigateur, qui tend aujourd'hui à servir de client principal pour les applications Cloud, le webmail, le SaaS et les services tiers de la plupart des utilisateurs. La BDR capture la télémétrie et applique les contrôles là où les attaquants opèrent, réduisant ainsi le temps de détection et permettant un confinement plus rapide et plus précis.

Le logiciel de BDR est généralement déployé de trois manières : en tant qu'extension de navigateur managée, en tant qu'agent de navigateur léger ou par l'intermédiaire d'une session de navigateur avec courtier, c'est-à-dire en isolant le navigateur à distance. Il recueille des données télémétriques, notamment les URL visitées, les modifications du modèle d'objet du document, les arbres d'exécution des scripts, les soumissions de formulaires, les opérations du presse-papiers, les téléchargements de fichiers et l'activité de l'extension. Ces données sont ensuite mises en corrélation avec l'identité de l'utilisateur, la localisation de l'appareil et le contexte de l'application Cloud.

Les profils de détection s'appuient sur habitudes comportementales, des scores d'anomalie et des indicateurs de compromission, tels que des iframes injectés, des requêtes XMLHttp inattendues vers des domaines inhabituels et des modèles de collecte d'informations d'identification. Les réponses vont des avertissements dans le navigateur et du blocage des actions risquées - parmi lesquelles le téléchargement de fichiers et le collage de secrets - à l'interruption automatique de la session, à la réauthentification forcée ou au déclenchement de playbooks à partir de plateformes EDR et SOAR (Security Orchestration, Automation and Response).

Ajouter la BDR pour un programme de sécurité complet

La BDR complète les technologies EDR, CASB (passerelle d'accès cloud sécurisé), les services d'accès sécurisé en périphérie et la protection contre la perte de données (DLP). Il améliore également la télémétrie SIEM et XDR avec des événements de navigation de haute fidélité, alimente les alertes dans SOAR pour l'orchestration et soutient les enquêtes forensiques en fournissant des données sources.

Comme le navigateur se trouve à l'intersection de l'identité, des données et des applications, la BDR s'intègre souvent avec les fournisseurs d'identité pour le contexte de l'utilisateur, les CASB et la gestion de la posture de sécurité SaaS pour la posture de l'application, et les moteurs DLP pour la classification du contenu. Résultat : des réponses coordonnées et adaptées au contexte.

Qui a besoin de BDR ?

Les organisations qui devraient évaluer la BDR sont celles qui ont une importante main-d'œuvre distante ou hybride, qui dépendent fortement des SaaS et des portails web, qui ont des exigences réglementaires élevées ou qui ont des applications web importantes en contact avec les clients qui traitent des données sensibles.

L'adoption est motivée par plusieurs tendances, parmi lesquelles l'accélération de l'adoption des workflow cloud-native où tout se passe dans le navigateur, l'augmentation des attaques ciblées de la chaîne logistique web, le phishing sophistiqué qui échappe aux passerelles de sécurité des courriels, la prolifération des scripts tiers et des extensions de navigateur, et l'essor des outils d'IA non recensés qui exfiltrent des données en remplissant des formulaires et en participant à des sessions de discussion.

Combler les lacunes

Il convient de noter que la BDR ne remplace pas l'EDR, le CASB ou les contrôles de réseau. Il les complète plutôt en fournissant un contexte et un contrôle plus complets au niveau du navigateur que les autres outils ne peuvent pas capturer de manière fiable. Combinée, cette pile de détection et de réponse permet une visibilité et un contrôle à plusieurs niveaux sur les couches d'identité, d'extrémité, de réseau et d'application.

La BDR comble une lacune critique dans les architectures de sécurité modernes en instrumentant l'environnement dans lequel la majorité des travaux et des attaques se produisent aujourd'hui. D'une certaine manière, le navigateur est vraiment le champ de bataille le plus répandu aujourd'hui.

Un projet pilote de BDR soigneusement conçu, intégré aux workflows d'identité, de SIEM et de XDR et conçu en tenant compte de la protection de la vie privée, aide les entreprises à minimiser les risques liés au SaaS, au phishing ciblé et aux menaces de la chaîne d'approvisionnement en ligne. Cette approche peut mettre en évidence des risques précédemment non détectés et raccourcir les délais de détection et de réponse.