Dsb2go review & waardering

Detect Safe Browsing to Go, bekend onder de minder woordenrijke "DSB2Go", is een handig USB-apparaat dat gebruikers een afgesloten persoonlijke webbrowser biedt om de webactiviteit en accounts van gebruikers te beschermen tegen malware die is ontworpen om inloggegevens te onderscheppen en informatie te stelen. Met DSB2Go maakt het niet uit of de computer keyloggers of andere soorten malware heeft geïnstalleerd, omdat alle gebruikersactiviteit en gegevens worden gecodeerd in de verharde browser van het apparaat. Het is uiterst eenvoudig te gebruiken, omdat de gebruiker het gewoon op de computer moet aansluiten voordat hij zich bij de site kan aanmelden.

DSB2Go beschermt gebruikers tegen malware-infecties, phishing-aanvallen en pharming-aanvallen. Het apparaat verijdelt ook man-in-the-middle- en man-in-the-browser-aanvallen. Er is meestal een afweging tussen veiligheid en gemak omdat de gebruiker het gebruiksgemak opgeeft om veilig te zijn, of minder veilig is om het gemakkelijk te gebruiken te maken. DSB2Go balanceert de twee met succes, omdat het enige ongemak is om het USB-apparaat te dragen.

Veel soorten moderne malware graven diep in het gebruikerssysteem om te voorkomen dat ze worden gedetecteerd door antivirus- en andere beveiligingsproducten. Dit betekent dat gebruikers mogelijk niet eens weten dat hun computers zijn geïnfecteerd met een bank-trojan of andere malware die gegevens steelt. Wanneer gebruikers toegang krijgen tot gevoelige sites, zoals online bankieren of zakelijke toepassingen, vanaf een geïnfecteerde computer, onderschept de malware inloggegevens en kan het de account overnemen. DSB2Go neemt de onzekerheid weg, want zolang de gebruikers de gevirtualiseerde webbrowser gebruiken, worden alle webactiviteiten en gegevens gecodeerd en verborgen voor de malware. Zelfs als de gebruiker zich op een met Zeus geïnfecteerde computer bevindt, kan de malware de DSB2Go-omgeving niet binnendringen om toegang te krijgen tot de gegevens.

Het apparaat probeert niet alle webactiviteit te beschermen, maar alleen die sitesbeheerders die vooraf zijn geïdentificeerd in een witte lijst op de beheerportal. Bedrijven kunnen DSB2Go gebruiken als een extra beveiligingslaag om werknemers te beschermen die toegang hebben tot bepaalde bedrijfskritieke applicaties, of om de service uit te rollen naar klanten die toegang hebben tot een specifieke online service. Met $ 37, 89 per apparaat voor een jaarabonnement kan dit een vrij dure oplossing worden voor grote implementaties, maar Easy Solutions biedt volumeprijzen en kortingen.

Voordat ze de sprong wagen, kunnen bedrijven zich ook aanmelden voor een gratis proefperiode van 15 dagen, waarin ze drie DSB2Go USB-apparaten krijgen en de mogelijkheid om maximaal drie sites op de beheerportal op de witte lijst te zetten.

Ermee beginnen

Easy Solutions stuurde een USB-apparaat en maakte een account op de portal Detect Monitoring Service van het bedrijf voor deze beoordeling. De IT-beheerder van het bedrijf meldt zich aan bij de portal en navigeert naar het tabblad "DSB2Go" om apparaten te activeren, groepen te maken, "beschermde toepassingen" te definiëren en gebruiksactiviteit te bekijken. Toen ik inlogde, zag ik dat de USB-drive die ik had al was geactiveerd.

Als ik extra apparaten had, kon ik deze activeren met behulp van de serienummers. Ik kon een wachtwoord instellen voor elk apparaat en een "groep" toewijzen. Met groepen kunnen beheerders basisbeleid toewijzen aan het apparaat, zoals de soorten toepassingen waartoe de gebruiker toegang heeft en verificatievereisten.

Groepen, apparaten, sites

Nadat ik een groep heb gemaakt, kan ik het beveiligingsniveau van het apparaat instellen - het apparaatwachtwoord of een unieke combinatie van gebruikersnaam en wachtwoord invoeren voordat de verharde webbrowser wordt gestart - of uitschakelen om het apparaat zonder enige beperking te gebruiken. Elk apparaat wordt vervolgens toegewezen aan een groep.

Op deze manier kon ik ervoor zorgen dat alle apparaten binnen een afdeling hetzelfde beveiligingsniveau hadden.

De interface was behoorlijk traag, wat mogelijk de fout was van de testomgeving die ik gebruikte. Het laden van de pagina's duurde een tijdje bij het schakelen tussen tabbladen en sommige vensters konden niet meteen worden gesloten.

De witte lijst woont in het gedeelte 'beschermde sites' van de portal. Ik heb alle URL's vermeld naar sites waartoe gebruikers toegang hebben via DSB2Go. Dit deel kan snel vervelend worden voor toepassingen die omleiden naar verschillende subdomeinen, omdat beheerders elk adres afzonderlijk moeten opgeven. Gmail stuurt gebruikers door naar accounts.google.com voordat de inbox op bijvoorbeeld mail.google.com wordt weergegeven. Voor deze beoordeling heb ik Gmail, Salesforce, TDBank en Bank of America vermeld. Ik heb zowel onlinebanking.tdbank.com als www.tdbank.com vermeld voor TDBank. Als de URL die ik toevoeg SSL heeft (maakt gebruik van HTTPS), dan moet ik het certificaat van de site uploaden.

Ik kan dit handmatig doen (het sitecertificaat downloaden via de gewone browser of, als het een interne applicatie is, met behulp van het SSL-certificaat dat ik heb) of de functie "scannen naar certificaat" gebruiken. Deze handige truc controleert de URL en pakt de geldige SHA1-vingerafdruk. Het opslaan van het SSL-certificaat beschermt gebruikers tegen domeinkaping en andere spoofing-aanvallen waarbij gebruikers kwaadwillig worden doorgestuurd naar andere sites.

Ik heb aan elke URL ten minste één groep toegewezen. Op deze manier heb ik een enkele witte lijst bijgehouden voor de hele organisatie, maar kon ik voor elke groep een subset opgeven. Als de groep van de site niet overeenkomt met de groep van het apparaat, zou de gebruiker niet naar die site kunnen gaan.

Hoewel de lijst eenvoudig te maken is, kan deze vrij snel lang worden vanwege de afzonderlijke subdomeinen die moeten worden uitgerust. Er is geen snelle manier om de URL's te zoeken of te sorteren. Ik heb de weergave kunnen filteren om URL's weer te geven die aan specifieke groepen zijn toegewezen, maar over het algemeen is de lijst onhandig om na een bepaalde lengte mee te werken.

De eindgebruiker heeft geen controle over welke sites het apparaat toestaat. De hele gebruikerservaring wordt beheerd door de beheerder via de portal. Dit is een geweldige manier om basistoegangsbeleid toe te voegen aan bepaalde bedrijfstoepassingen.

Eenvoudig voor gebruikers

Vanuit het perspectief van de gebruiker is het doodeenvoudig: sluit de schijf aan op de USB-poort en open de speciale webbrowser. De webbrowser geeft pictogrammen weer voor elke site die het apparaat mag gebruiken. Na ongeveer vier of vijf sites lijkt dit scherm erg rommelig en lijkt er geen manier te zijn om de volgorde waarin de pictogrammen verschijnen te sorteren.

Gebruikers klikken op het pictogram om naar de toegestane site te gaan. Als er een probleem is met het SSL-certificaat, wordt de gebruiker geblokkeerd.

Afgezien van het feit dat de gebruiker helemaal geen URL in de adresbalk kan typen, werkt deze speciale browser net als elke andere browser. Gebruikers kunnen op de knop Terug drukken om terug te keren in de browsesessie en meerdere tabbladen te openen.

Als tijdens het bladeren door de goedgekeurde applicatie een interne link naar een ander subdomein gaat dat nog niet is goedgekeurd (zoals customerservice.tdbank.com in het bovenstaande bankvoorbeeld), wordt de gebruiker automatisch geblokkeerd. Het zou leuk geweest zijn als de configuratieservice jokertekens ondersteunde, dus ik zou kunnen zeggen dat ik alle *.tdbank.com-sites accepteer zonder ze allemaal afzonderlijk te moeten vermelden. Aan de andere kant betekent dit dat beheerders gedetailleerd beheer hebben en kunnen specificeren welke services zijn toegestaan: gebruikers mogen Gmail en Agenda gebruiken, maar bijvoorbeeld geen Groups en Drive.

Het feit dat de eindgebruiker geen software hoeft te downloaden of installeren was een groot pluspunt, hoewel ik me afvroeg hoeveel mensen de USB-schijf zouden verliezen of vergeten deze binnen handbereik te houden.

Ik was teleurgesteld dat de service momenteel beperkt is tot alleen Windows-gebruikers. Mac OS X- en Linux-gebruikers zijn momenteel niet beschermd. Toen ik het apparaat op een Linux-laptop aansluit, heeft het zelfs niets in de USB-poort gedetecteerd.

Veilig browsen - tot een punt

Er zijn andere virtuele browseropties voor bedrijven, maar veel daarvan liggen buiten het bereik van het MKB. DSB2Go gaat in op het feit dat MKB's ook dit soort browsertechnologie nodig hebben.

Omdat alle instellingen door de cloudservice worden afgehandeld, is DSB2Go perfect voor actieve zakelijke reizigers die verschillende apparaten gebruiken of toegang hebben tot internet via open netwerken, of voor klanten die toegang moeten hebben tot een specifieke service of applicatie. Ik maak me zorgen over het feit dat de beheerder op geen enkele manier kan controleren of gebruikers DSB2Go daadwerkelijk gebruiken. De gebruiker kan de schijf eenvoudig helemaal overslaan en gewoon de normale webbrowser gebruiken.

Om te profiteren van de beveiliging van DSB2Go is een aanzienlijke gedragsverandering nodig, omdat de beheerder de eindgebruiker moet overtuigen dat het gebruik van dit apparaat de extra moeite waard is. Anders dan dat, is DSB2Go echter een handig apparaat dat bedrijven echt kan helpen hun klanten en werknemers te behouden bij het bezoeken van gevoelige websites.