過去幾年，主流Web瀏覽器供應(yīng)商一直在努力開發(fā)新的改進的安全功能來幫助推廣其最新瀏覽器版本，搶占市場份額，特別是在企業(yè)領(lǐng)域。

但是，這種趨勢似乎已經(jīng)戛然而止，因為在最新版本的Mozilla Firefox和谷歌Chrome中，安全創(chuàng)新并不是焦點。而最新版本的微軟IE瀏覽器IE 11也沒有可圈可點的新的安全功能，只是更新了安全做法。

那么，現(xiàn)在是怎么回事?供應(yīng)商對安全性這么低的關(guān)注度，是否意味著瀏覽器已經(jīng)絕對安全?在本文中，我們將從IE 11安全性來探討當前Web瀏覽器年安全成熟度，Web瀏覽器安全的未來發(fā)展以及企業(yè)應(yīng)該怎么做來保持安全。

IE 11：瀏覽器安全措施已經(jīng)趨于穩(wěn)定?

由于缺乏新的安全功能，最新版本IE瀏覽器IE 11已經(jīng)飽受批評。很多人表示，缺乏新功能是因為瀏覽器安全技術(shù)已經(jīng)趨于穩(wěn)定。然而，盡管缺乏新的安全功能，IE 11提供了一些改進的安全做法。

例如，為了降低IE 11對Web Graphics Library三維圖形標準的支持所帶來的風(fēng)險以及抵御基于WebGL的攻擊，微軟向其圖形驅(qū)動程序增加了客戶端沙箱技術(shù)。如果攻擊者找到一種方法來通過WebGL注入惡意代碼，攻擊者將無法破壞系統(tǒng)的其余部分。此外，現(xiàn)在Enhanced Protected Mode和AppContainer在默認情況下屬于開啟狀態(tài)，以防止網(wǎng)頁讀取或?qū)懭氲讲僮飨到y(tǒng)受保護的部分。還有一些新的組策略安全相關(guān)的設(shè)置。對于隱私觀念比較強的企業(yè)，瀏覽器設(shè)置中的Do Not Track可以用來阻止網(wǎng)站跟蹤用戶。

在筆者看來，最佳安全做法仍然是使用最新版本的軟件以及保持更新。盡管IE 11并沒有新的安全功能，但企業(yè)還是應(yīng)該升級以及利用IE 11中提供的額外的安全措施。

關(guān)于Web瀏覽器安全性的真相

然而，沒有應(yīng)用程序是100%安全。作為通往互聯(lián)網(wǎng)的網(wǎng)關(guān)和首選應(yīng)用接口，瀏覽器和插件生態(tài)系統(tǒng)(特別是Java)仍然是那些試圖攻擊企業(yè)或竊取企業(yè)數(shù)據(jù)的攻擊者的頭號目標。

毫無疑問，現(xiàn)在的瀏覽器遠遠比早期版本更安全。地址空間布局隨機化和數(shù)據(jù)執(zhí)行保護等緩解技術(shù)已經(jīng)解決和成功阻止了常見的攻擊媒介(例如緩沖區(qū)溢出)。

然而，改進的安全性只會迫使網(wǎng)絡(luò)犯罪分子去別處尋找突破點。很多攻擊現(xiàn)在正在花時間和資源來開發(fā)基于社會工程學(xué)的攻擊，以誘騙受害者安裝惡意代碼。這也是很多最新瀏覽器安全功能被設(shè)計為阻止用戶點擊已知惡意網(wǎng)站或者從風(fēng)險來源下載內(nèi)容的原因之一。

保護最薄弱的環(huán)節(jié)

在企業(yè)防御中，員工可以說是最薄弱的緩解。可悲的是，大多數(shù)用戶仍然會選擇為他們提供最佳用戶體驗的瀏覽器，而不是具有最佳安全功能的瀏覽器。太多警報和警告往往會導(dǎo)致用戶關(guān)掉用來保護他們的安全控制。在筆者看來，很多瀏覽器供應(yīng)商沒有推出新安全功能，因為他們在評估用戶的反饋意見，來權(quán)衡哪些現(xiàn)有默認設(shè)置既增加了安全性又確?？山邮艿挠脩趔w驗。

請記住，瀏覽器軟件可以提供的保護是有限制的，特別是當用戶在瀏覽網(wǎng)頁必須打開不受信任的代碼時，或者營銷服務(wù)和廣告服務(wù)不斷嘗試和規(guī)避很多專注于保護用戶隱私的廣為人知的瀏覽器功能。

企業(yè)的最佳防御措施

為了提高瀏覽器整體安全性，我們很想要看到跨所有瀏覽器的Web標準的改進的兼容性。這不僅能讓安全站點更容易部署，而且能夠減少試圖使網(wǎng)頁在所有平臺正確顯示所花的時間。谷歌的AdID是旨在替代第三方cookies的用戶跟蹤技術(shù)，這可能為廣告主更負責人的跟蹤鋪平道路。

然而，這種web瀏覽器的烏托邦可能用戶不會實現(xiàn)。所以現(xiàn)在，攻擊者將繼續(xù)尋找瀏覽器的弱點，并專注于容易攻擊的終端，這意味著終端反惡意軟件保護仍然是企業(yè)應(yīng)該采取的重要的安全措施。

此外，源代碼被竊取的應(yīng)用(例如來自Adobe的產(chǎn)品)仍將是流行的攻擊向量，因為攻擊者們能夠相對容易地找到零日漏洞利用。瀏覽器插件和移動應(yīng)用也將很受歡迎，因為網(wǎng)絡(luò)管理員將很難控制其安裝和使用。

當發(fā)現(xiàn)新的攻擊技術(shù)在破壞瀏覽器時，供應(yīng)商將會爭相發(fā)布新版本來緩解這種攻擊，以及額外的控制來保護用戶免受攻擊的影響。

最后，除了瀏覽器制造商向其產(chǎn)品構(gòu)建的防御措施外，企業(yè)還應(yīng)該部署額外的安全控制。雖然瀏覽器安全已經(jīng)走過了漫長的道路，額外的防御措施(例如web安全網(wǎng)關(guān)、端點反惡意軟件和安全意識培訓(xùn))是對付很多堅定的有創(chuàng)造力的攻擊者的重要因素。