Muchas soluciones de infraestructura de escritorio virtual (VDI) ofrecen tanto un cliente nativo como una alternativa en HTML5; esta última, por supuesto, tiene la ventaja de que no requiere instalar nada en el ordenador del usuario y permite trabajar desde cualquier dispositivo.
Los clientes HTML5 no son una novedad; sin embargo, hasta hace poco, su rendimiento era considerablemente inferior al de las alternativas nativas.
Ahora que HTML5 ofrece lo que muchos consideran una experiencia de usuario satisfactoria, sigue planteándose la cuestión de la seguridad y la privacidad, aspectos que los navegadores no han podido garantizar. En muchos sectores regulados, la seguridad debe prevalecer sobre la usabilidad dentro de lo razonable; por ello, la cuestión de si la VDI basada en HTML5 es lo suficientemente segura resulta fundamental.
¿Ofrece el aislamiento que proporciona el cliente HTML5 una seguridad suficiente como para que incluso un dispositivo personal no gestionado pueda utilizarse para acceder de forma segura a aplicaciones críticas, como, por ejemplo, las aplicaciones bancarias?
Poniendo a prueba
Simulamos un malware malicioso que capturaba la pantalla del dispositivo anfitrión mientras se conectaba a diferentes sitios web. El «ataque» tuvo éxito y pudimos extraer información de la sesión HTML5 en curso. A continuación, con MetaDefender , implementamos un perfil para impedir la captura de pantalla, y el hacker se encontró con pantallas en negro similares a las del ejemplo que se muestra aquí:
Entonces, ¿sonlas soluciones VDI basadas en HTML5 lo suficientemente seguras para las instituciones financieras ?
En resumen, no.
Sigue habiendo riesgos importantes en materia de privacidad y seguridad inherentes a cualquier dispositivo que se conecte a los recursos de la empresa, especialmente en un sector regulado.
Como parte de una metodología de confianza cero, es fundamental asegurarse de que el dispositivo cumpla con unas buenas prácticas de seguridad antes de permitir una conexión, como contar con una solución antimalware actualizada y totalmente configurada, una unidad cifrada, el bloqueo de pantalla activado, etc. También es muy importante disponer de una visión general del estado de cumplimiento normativo de la organización de cara a las auditorías.
Supongamos que tu organización ha decidido permitir que cualquier dispositivo se conecte a los recursos de la empresa a través de HTML5. Es posible que la protección contra el malware no esté activada y, aunque lo esté, existe la posibilidad de que un troyano de acceso remoto (RAT) malicioso sea capaz de eludir dicha detección.
Si So, W¿qué es el R?
El riesgo es que accedan de forma remota a los datos mediante capturas de pantalla y registro de pulsaciones de teclas, sin que el propietario del dispositivo ni la empresa se den cuenta.
El resultado es que los datos confidenciales, tanto los que se muestran como los que se introducen en la sesión HTML5, se filtran al atacante.
Para protegerse de este ataque, que no es tan improbable, es importante utilizar protección contra capturas de pantalla y tecnología antikeylogger que pueda frustrar los planes del atacante.
No Dduda dede ello. CCumplimiento y PPrivacidad Rnormativa Need ser Ten Sen serio.
Empresas como Morgan Stanley y JP Morgan han aprendido recientemente esta costosa lección. Por ello, conviene adoptar un enfoque de defensa en profundidad. OPSWAT esta tecnología como parte de su solución MetaDefender .
- Cuando la función de prevención de capturas de pantalla MetaDefender está activada, la imagen capturada se sustituye por una imagen en blanco, tal y como se muestra aquí:
- La función «Control de aplicaciones» MetaDefender bloquea el uso de aplicaciones de mensajería, como WhatsApp, mientras están conectadas al sistema VDI corporativo
- Cuando la función antikeylogging MetaDefender está activada, los piratas informáticos ven texto aleatorio en lugar de lo que escriben los usuarios, tal y como se muestra aquí:
Potencia real para una protección real
MetaDefender ofrece la protección necesaria para evitar la fuga de datos y las multas, pero el verdadero potencial para la protección de VDI reside en la integración que ofrece con VMware Horizon.
OPSWAT asociado con VMware para ofrecer una solución conjunta totalmente integrada que garantiza que estas medidas de protección estén activadas, siguiendo un modelo de confianza cero, tanto antes como durante el acceso del usuario a las aplicaciones a través de Horizon.
Por ejemplo, si un usuario manipula MetaDefender Endpoint desactivar la protección contra capturas de pantalla, se le impedirá acceder a la sesión de VDI.
En el caso del cliente HTML5 Horizon, MetaDefender aprovecha la solución de gestión de identidades y accesos (IAM) que ya utiliza su organización, como Ping Identity u Okta, para verificar el cumplimiento normativo como parte del proceso de autenticación SAML antes de que el usuario acceda a cualquier aplicación.
Esto funciona bien para garantizar el cumplimiento normativo, incluso en el caso del BYOD.
Volviendo a la pregunta principal, es decir, si el aislamiento de sesiones VDI con HTML5 es suficiente para proteger los dispositivos no confiables, la respuesta sigue siendo no.
Para cumplir con la normativa y proteger los datos confidenciales de la empresa, es importante contar con herramientas de defensa en profundidad en el servidor del enclave que ofrezcan las capacidades que proporciona MetaDefender .
