Quando perguntados sobre os endpoints críticos da rede, a maioria dos profissionais de TI citaria dispositivos móveis, laptops, desktops e servidores. Alguns poucos poderiam incluir wearables e outros hardwares emergentes para o usuário final. Os browsers, no entanto, provavelmente não entrariam na lista. Afinal, são aplicações que rodam nos endpoints, e não os próprios endpoints. Mas, considerando o papel valioso que os navegadores desempenham em acessar aplicações e informações corporativas, é hora de repensar como o classificamos, administramos e asseguramos.
A ascensão do browser. A mobilidade e a nuvem permeiam a força de trabalho de hoje, e essas duas tendências ressaltam a significância do browser. A maioria dos aplicativos de escritório, como o Microsoft Office 365, as aplicações Salesforce CRM e a solução de negócios Zoho One, roda na nuvem e é acessível via browsers, para que usuários possam trabalhar de qualquer lugar, a qualquer hora, usando laptops, smartphones, e outros dispositivos com acesso ao navegador.
Para muitos usuários, o browser se tornou uma das ferramentas de trabalho primárias – se não a ferramenta de trabalho primária – para desempenhar as tarefas do dia a dia. E isso se provou uma dádiva para departamentos de TI porque navegadores simplificam a vida tanto dos usuários finais quanto dos administradores de TI. Usuários não precisam instalar nenhum componente adicional para acessar aplicações ou dados corporativos. Em troca, as equipes de tecnologia veem menos tickets de problemas relacionados a aplicativos.
Evolução para um endpoint. Inicialmente, os web browsers eram usados para acessar dados de um servidor web – documentos HTML e imagens, talvez algum vídeo – e renderizar tudo em uma única página. A medida que empresas inseriram novas demandas na web, a funcionalidade nativa do navegador foi suplementada por recursos de sistemas operacionais e aplicativos de software completos como Adobe Flash Player e Java.
Suplementar o browser com essas tecnologias deu aos usuários finais uma experiência melhor e mais consistente, incluindo streaming de vídeo e acesso a armazenamento offline. No entanto, também deu aos criminosos mais vulnerabilidades para explorar e mais maneiras de atacar a empresa.
O HTML5, a mais recente versão do padrão HTML, apresentou um grande avanço em relação aos desafios de segurança e de outras funcionalidades mencionadas anteriormente. Basicamente, o HTML5 elimina a necessidade de Flash, Java e de outros plugins e componentes de software de terceiros que interagiam com os recursos do sistema. Agora, tudo é feito pelo próprio browser.
Quando Google, Microsoft, Mozilla e outros fornecedores implementaram o HTML5 nos browsers, as aplicações SaaS (software como serviço) passaram a aproveitar as funcionalidades neutras do HTML5 no lugar de tecnologias anteriores específicas de cada plataforma. Além de trazer uma melhor experiência para o usuário, o HTML5 promoveu uma explosão de aplicações ricas para internet criadas em empresas.
O HTML5 também criou um ecossistema próspero de extensões de navegadores que melhoram a experiência do usuário. Milhares de extensões estão disponíveis para Chrome, Firefox, Edge e outros browsers HTML5. Com extensões, usuários não instalam componentes de softwares completos nos dispositivos. Em vez disso, as extensões são instaladas diretamente no browser, geralmente melhorando a interface do navegador em vez de introduzir uma IU (interface do usuário) adicional. Em troca, os usuários finais podem instalar e usar extensões sozinhos, sem o suporte da TI.
Desafios do browser como endpoint. Com os navegadores no centro de tantas atividades corporativas, eles são agora alvo de muitos dos mesmos desafios que desktops, smartphones e outros endpoints baseados em hardware enfrentam.
O primeiro desafio trata do vazamento de dados corporativos sensíveis. Por exemplo, muitos usuários finais acabam usando o mesmo browser – no mesmo computador – para propósitos pessoais e profissionais. E-mail pessoal, atividades bancárias e compras são apenas algumas das aplicações não autorizadas que podem comprometer dados sensíveis da empresa, assim como informações pessoais. Normalmente, essas aplicações não são monitoradas e não são cobertas pelos padrões de segurança corporativos, e dados estão sujeitos a perdas ou roubos como resultado.
Em segundo lugar o número de ataques de superfície cresce à medida que o número de extensões instaladas pelos usuários cresce. Essas extensões podem ler todos os dados trocados entre o navegador do dispositivo e o servidor no back-end. Enquanto as pessoas pensam que as extensões são seguras, elas deixam os usuários e empresas em risco de cryptojacking, ransomware, phishing e outros ataques de malware que focam em um computador e depois se espalham para outros sistemas na rede corporativa.
Finalmente, a maioria das companhias vai gerir um ambiente híbrido de aplicações que combinam HTML5 e tecnologias antigas. Nem todos os aplicativos corporativos vão migrar para a nuvem imediatamente. Reconstruir e reimplementar apps leva tempo. Para muitas empresas, ambos os tipos de aplicativos podem ser usados ao mesmo tempo. Isso é apenas um fato da vida corporativa. Tome o Windows 10 como exemplo. Ele foi lançado em 2015, e o Windows 7 ainda desempenhava um papel crítico nas empresas.
Vale a pena apontar que, quando falamos de browsers, “tecnologias antigas” incluem o HTML4. A maioria dos aplicativos corporativos para web usam a tecnologia do HTML4, que não mudou muito nos últimos 15 anos. Ainda que organizações estejam migrando para o HTML5, elas ainda estão administrando os aplicativos HTML4 assim como qualquer código de add-on ou plugin usado para melhorá-los.
Administrando e assegurando o browser como endpoint. Para solucionar os desafios acima, times de TI precisam gerenciar o browser com o mesmo profissionalismo que usam para outros endpoints. As equipes precisam administrar não apenas os navegadores, mas também as extensões, assim como os plugins e add-ons usados pelos browsers antigos, mantendo todas as tecnologias atualizadas. Eles precisam ter visibilidade para determinar o que deve ter acesso a quais recursos, e o que deve ser restringido.
Os times também precisam aplicar controles típicos de browser e fortalecê-los. Alguns fornecedores oferecem edições corporativas dos navegadores, que incluem mecanismos de políticas que governam os aplicativos e extensões que podem ser usados, segurança de dados e privacidade e experiência de navegação. Para fortalecer os browsers, as equipes de TI precisam configurar marcadores, a homepage, websites confiáveis, configurações de ajustes para aumentar a privacidade e segurança.
Da mesma forma, a atividade de browsers e extensões precisam ser isoladas em um ambiente sandbox para prevenir que dados sejam vazados intencionalmente ou acidentalmente para terceiros. Quando o mesmo navegador é usado para conduzir atividades pessoais e profissionais, os dados precisam ser segurados e administrados para evitar qualquer vazamento. Por exemplo, os usuários não deveriam poder baixar documentos de trabalho do Office 365 e anexá-los em um e-mail da conta pessoal no Gmail.
Por último, a equipe precisa permitir o acesso a dados corporativos de dispositivos confiáveis e restringir o uso de dispositivos não-confiáveis para propósitos corporativos. Quando usuários finais usam os próprios computadores e dispositivos pessoais para trabalhar, há uma grande chance de os hardwares não serem compatíveis com os padrões de segurança da empresa. O computador está protegido por uma senha forte? Ele está rodando um software antivírus? Todas as atualizações e correções de software foram aplicadas? No final das contas, nós precisamos garantir que os dados corporativos sejam acessados por browsers aprovados e dispositivos de confiança.
Olhando o browser de perto, assim como a posição central que ele tem dentro das empresas, fica claro que precisamos repensá-lo. É mais do que apenas um aplicativo. Ele se tornou um centralizador de colaboração, comunicação e operações corporativas. Sendo assim, o navegador evoluiu para um endpoint e agora requer a gestão e segurança elevadas que são aplicadas aos equivalentes em hardware.
*Por Rajesh Ranganathan, Vice-presidente da ManageEngine