Miha Creative - stock.adobe.com
Browser Detection and Response: Funktion und Überblick
Der Browser ist ein attraktives Ziel für Angreifer, laufen doch darüber wichtige Anwendungen wie Daten. Browser Detection and Response (BDR) soll die Risiken mindern.
Lösungen für gezielte Erkennung und Reaktion - zu erkennen am Detection and Response - sind zu einem wichtigen Bestandteil der Netzwerksicherheit geworden. In letzter Zeit scheint es, dass es für jede Technologie, die ein Unternehmen einsetzt, ein spezielles Erkennungs- und Reaktionstool gibt, um sie zu schützen – beispielsweise Network Detection and Response (NDR) Endpoint Detection and Response (EDR), Extended Detection and Response (XDR) und viele mehr (siehe unten).
Das jüngste Mitglied in dieser Produktkategorie ist Browser Detection and Response (BDR).
Kurz gesagt ermöglicht BDR Browsern, Bedrohungen, die von ihnen ausgehen oder über sie übertragen werden, zu erkennen, zu untersuchen und darauf zu reagieren. Browser Detection and Response soll eine zunehmend wichtigere Wahrnehmungslücke schließen. Herkömmliche Endpunktagenten und Netzwerkkontrollen übersehen häufig raffinierte webbasierte Angriffe. Beispielsweise Formular-Jacking, bösartige Erweiterungen, Diebstahl von Anmeldedaten über injizierte Skripte, Phishing, das im Browser ausgeführt wird, Kompromittierungen der Lieferkette bei Javascript von Drittanbietern und Datenexfiltration, die über Webanwendungen oder KI-Chat-Schnittstellen orchestriert wird.
Wie Browser Detection and Response funktioniert
BDR platziert die Erkennungslogik so nah wie möglich am Interaktionspunkt: dem Browser. Dieser dient heute für die meisten Benutzer als primärer Client für Cloud-Anwendungen, Webmail, SaaS und Dienste von Drittanbietern. BDR erfasst Telemetriedaten und setzt Kontrollen dort durch, wo Angreifer agieren, wodurch die Erkennungszeit verkürzt, und eine schnellere, präzisere Eindämmung ermöglicht wird.
BDR-Software wird in der Regel auf drei Arten eingesetzt: als verwaltete Browsererweiterung, als eigenständiger Browseragent oder über eine vermittelte Browsersitzung, das heißt über eine Remote-Browserisolierung. Sie erfasst Telemetriedaten, darunter besuchte URLs, Änderungen am Dokumentobjektmodell, Skriptausführungsbäume, Formularübermittlungen, Zwischenablagevorgänge, Datei-Uploads und -Downloads sowie Erweiterungsaktivitäten. Diese Daten werden dann mit der Benutzeridentität, dem Gerätestatus und dem Kontext der Cloud-Anwendung in Zusammenhang gebracht.
Erkennungsprofile basieren auf Verhaltens-Baselines, Anomaliebewertungen und Kompromittierungsindikatoren wie eingeschleusten Iframes, unerwarteten XMLHttpRequests an ungewöhnliche Domains und Mustern zum Sammeln von Anmeldedaten. Die Reaktionen reichen von Warnungen im Browser und der Blockierung riskanter Aktionen – darunter das Hochladen von Dateien und das Einfügen von Geheimnissen – bis hin zur automatischen Beendigung von Sitzungen, erzwungener erneuter Authentifizierung oder ausgelösten Playbooks von EDR- und SOAR-Plattformen (Security Orchestration, Automation and Response).
Die Sicherheitsstrategie um BDR ergänzen
BDR ergänzt EDR-, CASB- (Cloud Access Security Broker), SASE- (Secure Access Service Edge) und DLP-Technologien (Data Loss Protection). Außerdem verbessert es SIEM- und XDR-Telemetrie durch aussagekräftige Browser-Ereignisse, leitet Warnmeldungen zur Orchestrierung an SOAR weiter und unterstützt forensische Untersuchungen durch die Bereitstellung von Quelldaten.
Da der Browser an der Schnittstelle zwischen Identität, Daten und Anwendungen angesiedelt ist, lässt sich BDR häufig mit Identitätsanbietern für den Benutzerkontext, CASB und SaaS-Sicherheitsmanagement für die App-Sicherheit sowie DLP-Engines für die Inhaltsklassifizierung integrieren. Das Ergebnis: koordinierte, kontextbezogene Reaktionen.
Für wen eignet sich Browser Detection and Response?
Zu den Organisationen, die BDR evaluieren sollten, gehören solche mit einer großen Remote- oder Hybrid-Belegschaft, einer starken Abhängigkeit von SaaS und Webportalen. Für Unternehmen, die hohen regulatorischen Anforderungen unterliegen oder Webanwendungen einsetzen, die kundenorientiert sind und sensible Daten verarbeiten, kann Browser Detection and Response gleichfalls ein interessanter Ansatz sein.
Die Akzeptanz von BDR wird durch mehrere Trends vorangetrieben:
- die Beschleunigung von Cloud-nativen Workflows, bei denen alles im Browser stattfindet;
- die Zunahme gezielter Angriffe auf die Weblieferkette;
- ausgeklügelte Phishing-Angriffe, die E-Mail-Sicherheitsgateways umgehen;
- die Verbreitung von Skripten und Browser-Erweiterungen von Drittanbietern; sowie
- die Verbreitung von Aufstieg von Schatten-KI-Tools, die Daten über Formularausfüllungen und Chat-Sitzungen exfiltrieren.
BDR schließt eine Lücke
BDR ersetzt weder EDR, CASB noch Netzwerkkontrollen. Vielmehr ergänzt BDR diese durch umfassendere Informationen auf Browserebene und Kontrollmöglichkeiten, die andere Tools nicht zuverlässig erfassen können. Zusammen ermöglicht diese Kombination aus Erkennungs- und Reaktionsfunktionen eine mehrschichtige Transparenz und Kontrolle über Identitäts-, Endpunkt-, Netzwerk- und Anwendungsebenen hinweg.
BDR schließt eine kritische Lücke in modernen Sicherheitsarchitekturen, indem es die Umgebung erfasst, in der heute die meisten Arbeiten und Angriffe stattfinden. In gewisser Weise ist der Browser heute tatsächlich das am häufigsten genutzte Angriffsfeld.
Ein sorgfältig konzipiertes BDR-Pilotprojekt, das in Identitäts-, SIEM- und XDR-Workflows integriert und unter Berücksichtigung des Datenschutzes entwickelt wird, hilft Unternehmen dabei, SaaS-Risiken, gezielte Phishing-Angriffe und webbasierte Bedrohungen für die Lieferkette zu minimieren. Dieser Ansatz kann bisher unentdeckte Risiken aufzeigen und die Zeit bis zur Erkennung und Reaktion verkürzen.
Detection and Response im Überblick
Browser Detection and Response reiht sich in eine wachsende Reihe von Lösungen im Bereich Erkennungs- und Reaktionsprodukten ein. Hierzu gehören unter anderem:
