過去幾年，主流Web瀏覽器供應(yīng)商一直在努力開發(fā)新的改進(jìn)的安全功能來幫助推廣其最新瀏覽器版本，搶占市場(chǎng)份額，特別是在企業(yè)領(lǐng)域。

但是，這種趨勢(shì)似乎已經(jīng)戛然而止，因?yàn)樵谧钚掳姹镜腗ozilla Firefox和谷歌Chrome中，安全創(chuàng)新并不是焦點(diǎn)。而最新版本的微軟IE瀏覽器IE 11也沒有可圈可點(diǎn)的新的安全功能，只是更新了安全做法。

那么，現(xiàn)在是怎么回事?供應(yīng)商對(duì)安全性這么低的關(guān)注度，是否意味著瀏覽器已經(jīng)絕對(duì)安全?在本文中，我們將從IE 11安全性來探討當(dāng)前Web瀏覽器年安全成熟度，Web瀏覽器安全的未來發(fā)展以及企業(yè)應(yīng)該怎么做來保持安全。

IE 11：瀏覽器安全措施已經(jīng)趨于穩(wěn)定?

由于缺乏新的安全功能，最新版本IE瀏覽器IE 11已經(jīng)飽受批評(píng)。很多人表示，缺乏新功能是因?yàn)闉g覽器安全技術(shù)已經(jīng)趨于穩(wěn)定。然而，盡管缺乏新的安全功能，IE 11提供了一些改進(jìn)的安全做法。

例如，為了降低IE 11對(duì)Web Graphics Library三維圖形標(biāo)準(zhǔn)的支持所帶來的風(fēng)險(xiǎn)以及抵御基于WebGL的攻擊，微軟向其圖形驅(qū)動(dòng)程序增加了客戶端沙箱技術(shù)。如果攻擊者找到一種方法來通過WebGL注入惡意代碼，攻擊者將無法破壞系統(tǒng)的其余部分。此外，現(xiàn)在Enhanced Protected Mode和AppContainer在默認(rèn)情況下屬于開啟狀態(tài)，以防止網(wǎng)頁(yè)讀取或?qū)懭氲讲僮飨到y(tǒng)受保護(hù)的部分。還有一些新的組策略安全相關(guān)的設(shè)置。對(duì)于隱私觀念比較強(qiáng)的企業(yè)，瀏覽器設(shè)置中的Do Not Track可以用來阻止網(wǎng)站跟蹤用戶。

在筆者看來，最佳安全做法仍然是使用最新版本的軟件以及保持更新。盡管IE 11并沒有新的安全功能，但企業(yè)還是應(yīng)該升級(jí)以及利用IE 11中提供的額外的安全措施。

關(guān)于Web瀏覽器安全性的真相

然而，沒有應(yīng)用程序是100%安全。作為通往互聯(lián)網(wǎng)的網(wǎng)關(guān)和首選應(yīng)用接口，瀏覽器和插件生態(tài)系統(tǒng)(特別是Java)仍然是那些試圖攻擊企業(yè)或竊取企業(yè)數(shù)據(jù)的攻擊者的頭號(hào)目標(biāo)。

毫無疑問，現(xiàn)在的瀏覽器遠(yuǎn)遠(yuǎn)比早期版本更安全。地址空間布局隨機(jī)化和數(shù)據(jù)執(zhí)行保護(hù)等緩解技術(shù)已經(jīng)解決和成功阻止了常見的攻擊媒介(例如緩沖區(qū)溢出)。

然而，改進(jìn)的安全性只會(huì)迫使網(wǎng)絡(luò)犯罪分子去別處尋找突破點(diǎn)。很多攻擊現(xiàn)在正在花時(shí)間和資源來開發(fā)基于社會(huì)工程學(xué)的攻擊，以誘騙受害者安裝惡意代碼。這也是很多最新瀏覽器安全功能被設(shè)計(jì)為阻止用戶點(diǎn)擊已知惡意網(wǎng)站或者從風(fēng)險(xiǎn)來源下載內(nèi)容的原因之一。

保護(hù)最薄弱的環(huán)節(jié)

在企業(yè)防御中，員工可以說是最薄弱的緩解。可悲的是，大多數(shù)用戶仍然會(huì)選擇為他們提供最佳用戶體驗(yàn)的瀏覽器，而不是具有最佳安全功能的瀏覽器。太多警報(bào)和警告往往會(huì)導(dǎo)致用戶關(guān)掉用來保護(hù)他們的安全控制。在筆者看來，很多瀏覽器供應(yīng)商沒有推出新安全功能，因?yàn)樗麄冊(cè)谠u(píng)估用戶的反饋意見，來權(quán)衡哪些現(xiàn)有默認(rèn)設(shè)置既增加了安全性又確?？山邮艿挠脩趔w驗(yàn)。

請(qǐng)記住，瀏覽器軟件可以提供的保護(hù)是有限制的，特別是當(dāng)用戶在瀏覽網(wǎng)頁(yè)必須打開不受信任的代碼時(shí)，或者營(yíng)銷服務(wù)和廣告服務(wù)不斷嘗試和規(guī)避很多專注于保護(hù)用戶隱私的廣為人知的瀏覽器功能。

企業(yè)的最佳防御措施

為了提高瀏覽器整體安全性，我們很想要看到跨所有瀏覽器的Web標(biāo)準(zhǔn)的改進(jìn)的兼容性。這不僅能讓安全站點(diǎn)更容易部署，而且能夠減少試圖使網(wǎng)頁(yè)在所有平臺(tái)正確顯示所花的時(shí)間。谷歌的AdID是旨在替代第三方cookies的用戶跟蹤技術(shù)，這可能為廣告主更負(fù)責(zé)人的跟蹤鋪平道路。

然而，這種web瀏覽器的烏托邦可能用戶不會(huì)實(shí)現(xiàn)。所以現(xiàn)在，攻擊者將繼續(xù)尋找瀏覽器的弱點(diǎn)，并專注于容易攻擊的終端，這意味著終端反惡意軟件保護(hù)仍然是企業(yè)應(yīng)該采取的重要的安全措施。

此外，源代碼被竊取的應(yīng)用(例如來自Adobe的產(chǎn)品)仍將是流行的攻擊向量，因?yàn)楣粽邆兡軌蛳鄬?duì)容易地找到零日漏洞利用。瀏覽器插件和移動(dòng)應(yīng)用也將很受歡迎，因?yàn)榫W(wǎng)絡(luò)管理員將很難控制其安裝和使用。

當(dāng)發(fā)現(xiàn)新的攻擊技術(shù)在破壞瀏覽器時(shí)，供應(yīng)商將會(huì)爭(zhēng)相發(fā)布新版本來緩解這種攻擊，以及額外的控制來保護(hù)用戶免受攻擊的影響。

最后，除了瀏覽器制造商向其產(chǎn)品構(gòu)建的防御措施外，企業(yè)還應(yīng)該部署額外的安全控制。雖然瀏覽器安全已經(jīng)走過了漫長(zhǎng)的道路，額外的防御措施(例如web安全網(wǎng)關(guān)、端點(diǎn)反惡意軟件和安全意識(shí)培訓(xùn))是對(duì)付很多堅(jiān)定的有創(chuàng)造力的攻擊者的重要因素。