Las plataformas de Security Service Edge (SSE) se han convertido en la arquitectura de referencia para asegurar el trabajo híbrido y el acceso SaaS. Prometen la aplicación centralizada, la conectividad simplificada y el control de políticas consistente entre los usuarios y dispositivos.
Pero hay un problema: se detienen por debajo de dónde ocurre la actividad del usuario más sensible: el navegador.
Esta no es una pequeña omisión. Es una limitación estructural. Y dejará a las organizaciones expuestas en el único lugar que no pueden permitirse: la última milla de interacción del usuario.
Un nuevo informe Reevaluación de SSE: un análisis de brecha técnica de la protección de la última milla El análisis de las brechas en las implementaciones de SSE revela dónde se quedan cortos las arquitecturas actuales, y por qué muchas organizaciones están reevaluando cómo protegen las interacciones del usuario dentro del navegador. Los resultados apuntan a un desafío de visibilidad fundamental en el punto de la acción del usuario.
Los SSE ofrecen valor para lo que están diseñados para hacer: controlar las políticas a nivel de red y enrutar el tráfico de forma segura entre los puntos finales y los servicios en la nube. Pero nunca fueron construidos para observar o controlar lo que sucede dentro de la pestaña del navegador, donde el riesgo real reside hoy.
Y ahí es exactamente donde prosperan los atacantes, expertos y fugas de datos.
Architecturalmente ciego al comportamiento del usuario
Las soluciones de SSE dependen de los puntos de aplicación aguas arriba (proxies o puntos de presencia (POP)) para inspeccionar y enrutar el tráfico. Eso funciona para control de acceso de grano grueso y filtrado web. Pero una vez que se le otorga acceso a un usuario a una aplicación, los SSE pierden visibilidad.
No pueden ver:
- Qué identidad se registra el usuario (personal o corporativo)
- Lo que se escribe en un mensaje de Genai
- Si una carga de archivo es una IP sensible o un PDF inofensivo
- Si una extensión de un navegador exfiltran credenciales
- Si los datos se mueven entre dos pestañas abiertas en la misma sesión
En resumen: una vez que se permite la sesión, la aplicación termina.
Esa es una gran brecha en un mundo donde ocurre el trabajo en las pestañas SaaS, las herramientas de Genai y los puntos finales no administrados.
Casos de uso SSE no puede manejar solo
- Fugas de datos de Genai: Los SSE pueden bloquear dominios como chat.openai.com, pero la mayoría de las organizaciones no quieren bloquear a Genai directamente. Una vez que un usuario obtiene acceso, SSE no tiene forma de ver si pegará el código fuente propietario en ChatGPT, o incluso si se registran con una cuenta corporativa versus personal. Esa es una receta para la fuga de datos no detectada.
- Shadow Saas y el mal uso de la identidad: Los usuarios registran rutinariamente herramientas SaaS como noción, holgura o google impulse con identidades personales, especialmente en byod o dispositivos híbridos. Los SSE no pueden diferenciarse en función de la identidad, por lo que los inicios de sesión personales que usan datos confidenciales no son supervisados y no controlados.
- Riesgos de extensión del navegador: Las extensiones a menudo solicitan acceso a la página completa, control del portapapeles o almacenamiento de credenciales. Los SSE son ciegos a todo. Si una extensión maliciosa está activa, puede omitir todos los controles aguas arriba y capturar en silencio datos confidenciales.
- Movimiento de archivo y cargas: Ya sea que esté arrastrando un archivo a Dropbox o descargando desde una aplicación corporativa en un dispositivo no administrado, SSE Solutions no puede hacer cumplir los controles una vez que el contenido alcanza el navegador. El contexto de la pestaña del navegador, quién está conectado, en qué cuenta está activa, si el dispositivo está administrado, está fuera de su alcance.
Llenando el vacío: seguridad nativa del navegador
Para asegurar la última milla, las organizaciones están recurriendo a plataformas de seguridad nativas del navegador, soluciones que operan dentro del navegador en sí, no a su alrededor.
Esto incluye navegadores empresariales y extensiones de navegador empresarial, que entregan:
- Visibilidad en copiar/pegar, cargas, descargas e entradas de texto
- Control de políticas basada en cuentas (por ejemplo, permitir gmail corporativo, bloque personal)
- Monitoreo y control de extensiones del navegador
- Calificación del riesgo en tiempo real de la actividad del usuario
Críticamente, estos controles pueden funcionar incluso cuando el dispositivo no está administrado o el usuario es remoto, lo que los hace ideales para entornos híbridos, BYOD y distribuidos.
Aumento, no reemplace
Esta no es una llamada para rasgar y reemplazar SSE. SSE sigue siendo una parte crítica de la pila de seguridad moderna. Pero necesita ayuda, específicamente en la capa de interacción del usuario.
La seguridad nativa del navegador no compite con SSE; lo complementa. Juntos, proporcionan visibilidad y control de espectro completo, desde la política a nivel de red hasta la aplicación a nivel de usuario.
Conclusión: Repensar el borde antes de que se rompa
El navegador es ahora el punto final real. Es donde se utilizan herramientas Genai, donde se manejan los datos confidenciales y donde surgirán las amenazas de mañana.
He aquí por qué las organizaciones necesitan repensar dónde comienza su pila de seguridad y termina.
Descargue el informe completo Para explorar las brechas en las arquitecturas SSE de hoy y cómo la seguridad nativa del navegador puede cerrarlas.
About the Author
