据研究机构MITRE报告显示,高达80%以上的攻击方法针对终端环境,而浏览器首当其冲。浏览器功能强大、数据丰富,且高度依赖于第三方插件,是网络犯罪分子在业务系统和个人网络建立攻击立足点的理想工具。尤其在数字化高速发展的今天,一旦浏览器受到攻击就会泄露大量隐私数据,可能为政企和个人酿成难以预计的后果。
10月15日,“聚体系之力,护航大终端安全——360政企终端安全产品体系发布会”亮剑ISC平台。拥有15年实战攻防经验的360重磅推出360终端安全管理系统、360终端安全防护系统信创版、360安全卫士团队版,以及全新升级的360企业安全浏览器。其中,360政企安全集团浏览器事业部总经理霍海涛以《打造数字世界的安全交互之门》为主题,阐述新一代的360企业安全浏览器如何应对“大安全”时代带来的威胁与挑战,全面捍卫政企办公“入口”安全。
360政企安全集团浏览器事业部总经理霍海涛
政企办公场景成黑客理想突破口
企业浏览器走向兼顾“功能+安全”双属性
众所周知,浏览器从最早期的访问网站、视频娱乐、游戏购物等,再到如今逐渐成为生产力工具,承载着企业协同办公、工单管理、客户管理等系统的运行,浏览器已演变为政企办公场景的主要“入口”。
然而,办公“入口”同时也是完美的攻击“突破口”。“正所谓能力越大,责任越大,浏览器同时也成了黑客、攻击者最热衷的攻击途径。” 一方面,360政企安全集团浏览器事业部总经理霍海涛指出,据《2020X-Force威胁情报指数报告》显示,超过三成网络攻击为钓鱼类,而网络钓鱼的头号媒介就是浏览器。另一方面,随着近几年浏览器漏洞数量的逐年上升,形势变得更加严峻。漏洞一旦被利用,一个简单的链接就能达到数据渗透的目的,而办公场景则对浏览器安全提出了更多挑战。
在政企实际办公场景中,员工使用的浏览器来源五花八门,如操作系统集成预装、软件商店推送、用户自行安装等方式,这些面向个人用户的浏览器往往会为企业带来诸多问题,如IT运维成本高、版本升级造成业务系统无法访问、向国外服务器发送信息对业务安全产生威胁、出现问题无服务、无定制化支持等。
“因此,一款可以统一管理、降本增效、安全可控,有专业团队支持的浏览器就成为了政企客户的首要选择,” 霍海涛表示,360企业安全浏览器是符合现代办公场景需要的产品形态,也是对传统个人浏览器的一次重大变革。
360企业安全浏览器十年磨一剑
六大能力两大亮点构建办公新生态
十多年来,360企业安全浏览器服务于数亿用户,通过经验的累积和沉淀,总结出面向政企办公场景的六层金字塔能力模型,可全面满足政企办公需求。
-最底层:需要满足对操作系统、芯片、应用的兼容适配。目前,360企业安全浏览器实现了对包括Wintel、国产信创平台多个CPU和操作系统组合、macOS等多个平台的统一版本的支持;
-第二层:浏览器配置后台化,实现统一办公入口,配置统一全自动下发,满足对普通办公人员的简单易用需求;
-第三层:跨平台多设备统一接入管理,精细到用户/设备统一管理,多级管理员/多角色分级管理;
-第四层:与企业账户打通,实现单点登录,支持企业内部多个业务系统的数据和信息流转,满足企业高效管理和业务深度融合的需求;
-第五层:在360安全大脑赋能下,从应用启动、设备认证,到访问资源、行为、文件下载、落地数据保护,及退出时敏感数据的处理等环节,进行使用生命周期全流程防护,其安全能力还将随着安全大脑的学习和演进而持续提升。
-最顶层:进行标准构建,积极参加国内外标准制定工作,同时将浏览器的变形产品如SDK赋能给行业合作伙伴,提升其产品的市场竞争力。
除了为政企办公场景量身定做的六大功能,此次发布的360企业安全浏览器还有两大亮点值得关注,首先是稳定与安全的完美平衡。
政企办公环境的一个显著特点是要求产品稳定,很多企业的浏览器版本都停留在三、五年前,但老旧内核的浏览器存在大量已知漏洞,给企业用户数字资产带来巨大风险。
面对稳定和安全难以兼顾的痛点,霍海涛介绍了360的做法,“产品大的迭代周期通常采用新内核作基座,尝鲜版经过大量测试持续提升产品质量,从而达到稳定交付要求,同时持续不断地更新漏洞和补丁,最终达到稳定和安全的完美平衡。
另一大亮点是360拥有中国唯一、全球第五大自有根证书库,在保障我国政企用户网站访问安全上更具话语权。
近10年,全球极力推进HTTPS网络协议,因为HTTPS协议可保障用户访问目标网站真实性、保密性,有效减少流量劫持、页面篡改等常见攻击发生。但是,我国HTTPS访问量尽管在逐年提升,但政府类网站占比仍只有51%,究其根本,是因为还需要解决“信任谁,谁来信”的问题。
作为我国网络安全的领军企业,360于2018年在国内首个推出自有根证书计划,运行两年来已取得一定成果,并覆盖全球98% HTTPS流量,成为中国唯一、全球第五大自有根证书库,这也意味着360在国内乃至全球的数字证书认证上拥有了更多话语权。
值得一提的是,随着今年我国《密码法》的正式出台,360已联合统信软件、多家国内CA、网关厂商、Ukey厂商共同发布了国密根证书计划,而360企业安全浏览器已率先引入国密根证书,为构建更可信更安全的政企办公生态再添筹码。
未来,360将在安全大脑的赋能下,持续为政企客户提供定制化服务,打造政企数字时代的安全交互之门。正如霍海涛所说,“这些数据存储在政企内部的本地安全大脑中,真正做到‘你的数据你做主’”。作为已支持和赋能国家、城市、行业、企业多年的安全守护者,360政企安全集团也将在搭建更安全的政企办公浏览体验环境,推动新一代政企应用生态发展的路上厚积薄发,砥砺前行。