De gemene deler van geavanceerde aanvallen draait om lastige detectie. Hoewel Endpoint Detection & Response (EDR) en Security Service Edge (SSE) meerdere signalen oppikt, blijkt de browser een blinde vlek te zijn. Tot die conclusie is Zscaler tevens gekomen. Het koopt daarom SquareX om via extensies een oogje in het zeil van browsergebruik te houden.
Zscaler volgt hierin de filosofie die ook CrowdStrike najaagt: koop een veelbelovende Browser Detection & Response (BDR)-speler om het eigen portfolio uit te breiden. Daar waar CrowdStrike voor Seraphic koos, heeft Zscaler SquareX ingelijfd. Zoals wel vaker blijkt hieruit dat securityproducten zelden een eigen categorie kunnen opeisen, maar eerder geïntegreerd worden binnen bestaande platformen. Kijk naar eerdere paradigma’s rondom het beveiligen van de eindgebruiker en je ziet dat dit patroon zich herhaalt.
Van kernel naar kliks
CEO en oprichter van Zscaler Jay Chaudhry legt uit dat organisaties lang vertrouwd hebben op VPN’s en virtual desktops om hun personeel veilig te houden. Het idee is dat deze externe omgevingen een extra verdedigingslinie geven tegen kwaadwillenden. Daarin schuilt een aanname die inmiddels is ontkracht: dat die omgevingen inherent veilig zijn. Althans, er is een extra laag nodig die schittert in afwezigheid bij moderne cyberaanvallen. De browser, lang enkel gezien als een simpel portaal, kent allerlei bugs en architecturele valkuilen waardoor het veel te veel bewegingsruimte biedt voor kwaadwillenden. Denk aan het toegewezen geheugen dat EDR en SSE-oplossingen zoals die van CrowdStrike en Zscaler bovenal extern aanschouwen.
Een andere aanname is dat deze oplossingen al zo diep in een endpoint zitten, dat ze eigenlijk alle applicaties in theorie afdekken. Verdachte patronen, waar ze ook vandaan komen, zouden door het grote inzicht in het OS en bestanden genoeg datapunten geven om te detecteren. Voordat een partij als Zscaler of CrowdStrike tot hun respectievelijke overnames kwamen, zullen ze wellicht hebben gesuggereerd om een enterprise browser te kiezen die eventuele risico’s verder afdekt. We hoeven nu niet meer te gissen naar dat standpunt. Chaudhry benadrukt dat de Zscaler gebruikers van gewone browsers als Chrome of Edge kan beschermen dankzij de SquareX-toevoeging.
Geen puntoplossing
EDR en SSE omvatten dus via deze overnames steeds vaker BDR, met zichtbaarheid in de runtimes, scripts en functies die browser-gebaseerde aanvallen exploiteren. We hebben medio vorig jaar uitgebreid met CEO en oprichter van SquareX Vivek Ramachandran hierover gesproken. Een belangrijk punt van Ramachandran was dat aanvallers regelmatig pas in de ‘last mile’ op het apparaat van de eindgebruiker hun payload assembleren, gemaakt met onderdelen die elk apart van elkaar overkomen als doodgewoon, vertrouwd browser-verkeer. Die client-side bescherming past perfect bij de gestelde use case voor een EDR-product, ook al hadden de bedenkers van BDR wellicht het idee dat hun discipline uniek genoeg was om buiten het voortdurend uitbreidende securityplatform van EDR-spelers te blijven. Dat blijkt voor succesvolle partijen als Seraphic en SquareX niet het geval.