Molte soluzioni di Virtual Desktop Infrastructure (VDI) offrono sia un client nativo che un'alternativa HTML5, quest'ultima ovviamente con il vantaggio di non richiedere nulla di installato sul computer dell'utente e la possibilità di lavorare da qualsiasi dispositivo.
I client HTML5 non sono una novità, tuttavia, fino a poco tempo fa, avevano prestazioni significativamente inferiori rispetto all'alternativa nativa.
Ora che l'HTML5 offre quella che molti considerano un'esperienza utente sufficientemente buona, rimane ancora una questione di sicurezza e privacy, che non può essere fornita dalle strutture dei browser.In molti settori regolamentati, la sicurezza dovrebbe prevalere sull'usabilità, per cui è fondamentale chiedersi se la VDI HTML5 sia sufficientemente sicura.
L'isolamento fornito dal client HTML5 fornisce una sicurezza sufficiente a far sì che anche un dispositivo personale non gestito possa essere utilizzato per accedere in modo sicuro ad applicazioni critiche, ad esempio quelle bancarie?
Messa alla prova
Abbiamo simulato un malware dannoso, catturando le informazioni sullo schermo del dispositivo host durante la connessione a diversi siti. L'"attacco" è riuscito e siamo stati in grado di estrarre informazioni dalla sessione html5 in corso. Con MetaDefender Access, abbiamo poi implementato un profilo per impedire la cattura dello schermo e l'hacker ha ottenuto schermate nere simili all'esempio qui riportato:
Le soluzioni VDI HTML5sonosufficientemente sicure per gli istituti finanziari ?
In breve, no.
Esistono ancora rischi significativi per quanto riguarda la privacy e i problemi di sicurezza inerenti a qualsiasi dispositivo che si connette alle risorse aziendali, soprattutto in un settore regolamentato.
Nell'ambito di una metodologia zero-trust, è fondamentale assicurarsi che il dispositivo implementi una buona igiene prima di consentire la connessione, come ad esempio una soluzione antimalware aggiornata e completamente configurata, un disco crittografato, il blocco dello schermo attivato e così via. È inoltre molto importante ottenere una panoramica dello stato di conformità dell'organizzazione per gli audit.
Supponiamo che la vostra organizzazione abbia deciso di consentire a qualsiasi dispositivo di connettersi alle risorse aziendali tramite HTML5. È possibile che la protezione contro il malware non sia abilitata e, anche se lo è, è possibile che un trojan di accesso remoto (RAT) maligno sia in grado di eludere il rilevamento.
Se So, Wcappello è il Rischio?
Il rischio è che accedano da remoto ai dati tramite cattura dello schermo e keylogging, senza che il proprietario del dispositivo o l'azienda lo sappiano.
Il risultato è che i dati sensibili, visualizzati e digitati nella sessione html5, vengono trasmessi all'aggressore.
Per proteggersi da questo attacco non così improbabile, è importante utilizzare una protezione per l'acquisizione di schermate e una tecnologia anti-keylogger in grado di bloccare l'aggressore.
No Doubt Aa proposito di questo. Compliance e Privacy Regolamenti Neve essere essere Tato Sseriamente.
Aziende come Morgan Stanley e JP Morgan hanno imparato questa costosa lezione di recente.Vale quindi la pena di adottare un approccio di difesa in profondità. OPSWAT offre questa tecnologia come parte della sua soluzione MetaDefender Access.
- Con la prevenzione dell'acquisizione dello schermo di MetaDefender Access attivata, l'immagine catturata viene sostituita da un'immagine vuota, come illustrato qui:
- MetaDefender Il controllo delle applicazioni di Access blocca l'uso di app di messaggistica, come WhatsApp, mentre sono connesse al sistema VDI aziendale.
- Con l'anti-keylogging di MetaDefender Access attivato, gli hacker vedono un testo casuale invece di quello che gli utenti digitano, come mostrato qui:
Potenza reale per una protezione reale
MetaDefender Access fornisce la protezione necessaria per prevenire la fuga di dati ed evitare multe, ma la vera potenza della protezione VDI è data dall'integrazione offerta con VMware Horizon.
OPSWAT ha collaborato con VMware per fornire una soluzione congiunta strettamente integrata in grado di garantire queste protezioni, in modo zero-trust, prima e mentre l'utente accede alle applicazioni attraverso Horizon.
Ad esempio, se un utente manomette l'Endpoint MetaDefender per disattivare la protezione dell'acquisizione dello schermo, l'utente viene bloccato dall'accesso alla sessione VDI.
Per il client HTML5 Horizon, MetaDefender Access sfrutta la soluzione di Identity Access Management esistente dell'organizzazione, come Ping Identity o Okta, per verificare la conformità come parte del processo di autenticazione SAML prima che l'utente acceda a qualsiasi applicazione.
Questo funziona bene per garantire la conformità, anche per il BYOD.
Tornando alla domanda principale, se l'isolamento delle sessioni VDI HTML5 sia sufficiente a proteggere i dispositivi non attendibili, la risposta è ancora no.
Per rispettare le normative e proteggere i dati sensibili dell'azienda, è importante mantenere strumenti di difesa approfondita sull'host dell'enclave con funzionalità come quelle offerte daMetaDefender Access.
