De nombreuses solutions d'infrastructure de bureau virtuel (VDI) proposent à la fois un client natif et une alternative HTML5, cette dernière ayant bien sûr l'avantage de ne rien nécessiter d'installé sur l'ordinateur de l'utilisateur et de lui permettre de travailler à partir de n'importe quel appareil.
Les clients HTML5 ne sont pas nouveaux, mais jusqu'à récemment, leurs performances étaient nettement inférieures à celles des clients natifs.
Maintenant que le HTML5 offre ce que beaucoup considèrent comme une expérience utilisateur satisfaisante, la question de la sécurité et de la protection de la vie privée, qui ne peut être assurée par les fonctionnalités des navigateurs, reste posée.Dans de nombreux secteurs réglementés, la sécurité doit l'emporter sur la facilité d'utilisation, dans la limite du raisonnable, et la question de savoir si la VDI HTML5 est suffisamment sûre est donc cruciale.
L'isolation fournie par le client HTML5 offre-t-elle une sécurité suffisante pour que même un appareil personnel non géré puisse être utilisé pour accéder en toute sécurité à des applications critiques, par exemple des applications bancaires ?
Mise à l'épreuve
Nous avons simulé un logiciel malveillant, en capturant des informations sur l'écran de l'appareil hôte lors de la connexion à différents sites. L'"attaque" a réussi et nous avons pu extraire des informations de la session html5 en cours. Avec MetaDefender Access, nous avons ensuite mis en place un profil pour empêcher la capture d'écran, et le pirate a obtenu des écrans noirs similaires à l'exemple présenté ici :
Lessolutions VDI HTML5sont-ellessuffisamment sûres pour les institutions financières ?
En bref, non.
Les risques de violation de la vie privée et de problèmes de sécurité inhérents à tout appareil se connectant aux ressources de l'entreprise restent importants, en particulier dans un secteur réglementé.
Dans le cadre d'une méthodologie de confiance zéro, il est essentiel de s'assurer que l'appareil met en œuvre une bonne hygiène avant d'autoriser une connexion, comme une solution antimalware à jour et entièrement configurée, un disque crypté, le verrouillage de l'écran activé, etc. Il est également très important d'avoir une vue d'ensemble du statut de conformité de l'organisation pour les audits.
Supposons que votre organisation ait décidé d'autoriser n'importe quel appareil à se connecter aux ressources de l'entreprise via HTML5. Il est possible que la protection contre les logiciels malveillants ne soit pas activée, et même si elle l'est, il est possible qu'un cheval de Troie d'accès à distance (RAT) malveillant soit capable d'échapper à cette détection.
Si So, What est le Risque ?
Le risque est qu'ils accèdent à distance à des données par le biais de captures d'écran et d'enregistrements de frappe, à l'insu du propriétaire de l'appareil ou de l'entreprise.
Il en résulte que des données sensibles, affichées et saisies dans la session html5, sont divulguées à l'attaquant.
Pour se protéger contre cette attaque peu probable, il est important d'utiliser une protection contre la capture d'écran et une technologie anti-keylogger qui peut bloquer l'attaquant.
Non Doubt Aeur. Compliance et Pe respect de la vie privée Reglementation Ndoit être Taken Sérieusement.
Des entreprises telles que Morgan Stanley et JP Morgan ont récemment appris cette coûteuse leçon.Il vaut donc la peine d'adopter une approche de défense en profondeur. OPSWAT offre une telle technologie dans le cadre de sa solution MetaDefender Access.
- Lorsque la prévention de la capture d'écran de MetaDefender Access est activée, l'image capturée est remplacée par une image vierge, comme illustré ici :
- MetaDefender Access' Application Control bloque l'utilisation d'applications de messagerie, telles que WhatsApp, lorsqu'elles sont connectées au système VDI de l'entreprise.
- Lorsque la fonction anti-keylogging de MetaDefender Access est activée, les pirates voient un texte aléatoire plutôt que ce que les utilisateurs tapent, comme illustré ici :
Une puissance réelle pour une protection réelle
MetaDefender Access fournit la protection nécessaire pour éviter les fuites de données et les amendes, mais la véritable puissance de la protection VDI réside dans l'intégration offerte avec VMware Horizon.
OPSWAT s'est associé à VMware pour fournir une solution commune étroitement intégrée qui peut garantir que ces protections sont en place, de manière à ce que la confiance soit nulle, avant et pendant que l'utilisateur accède aux applications par le biais d'Horizon.
Par exemple, si un utilisateur manipule MetaDefender Endpoint pour désactiver la protection contre la capture d'écran, l'accès à la session VDI sera bloqué.
Pour le client HTML5 Horizon, MetaDefender Access s'appuie sur la solution de gestion de l'accès à l'identité existante de votre organisation, telle que Ping Identity ou Okta, pour vérifier la conformité dans le cadre du processus d'authentification SAML avant que l'utilisateur n'ait accès à des applications.
Cela permet de garantir la conformité, même pour le BYOD.
Pour en revenir à la question principale, à savoir si l'isolation des sessions VDI HTML5 est suffisante pour sécuriser les appareils non fiables, la réponse est toujours non.
Pour se conformer aux réglementations et protéger les données sensibles de l'entreprise, il est important de maintenir des outils de défense en profondeur sur l'hôte de l'enclave avec des capacités telles que celles offertes par MetaDefender Access.
