Не подценявайте браузъра като потенциален вектор за атака. Защитете го сега!

В продължение на години стратегиите за сигурност се фокусираха върху три основни области: мрежа, крайни точки и електронна поща. В същото време браузърът, в който се извършва по-голямата част от съвременната работа, е разположен между всички тях. Киберпрестъпниците се адаптираха към това, като насочиха атаките си към него.

Заплахите, базирани на браузъра, манипулират уеб приложенията в реално време, избягвайки засичането им от firewall и EDR решения. Затова екипите по сигурността трябва да преосмислят откриването и реакцията на това ниво.

Нов клас заплахи

Malware Reassembly

Традиционните модели за сигурност са проектирани да откриват и блокират зловреден софтуер, базиран на файлове. Нападателите обаче се отказаха от конвенционалните полезни товари в полза на зловреден софтуер, който динамично се сглобява в браузъра. Тези атаки са практически невидими за инструментите за защита на крайни точки и мрежи.

Хакерите използват JavaScript loader и HTML injection, за да модифицират уеб страници и да сглобяват зловреден код и файлове за изтегляне директно в раздела на браузъра.

Работейки в тази среда, подобни заплахи избягват традиционните механизми за откриване. Това позволява на киберпрестъпниците да превземат сесиите на потребителите, да крадат пълномощия и да компрометират чувствителни данни. Без видимост в реално време за това как уеб страниците и скриптовете работят в браузъра, организациите остават слепи за тези нови техники за атака.

Фишинг и Trusted Site Exploitation

Нападателите постоянно усъвършенстват техниките за фишинг, за да заобиколят автоматизираното откриване. Те използват сложни тактики в няколко стъпки, които включват:

• многократни пренасочвания, за да се избегнат механизмите за откриване и изолиране, базирани на URL;
• насочвани с JavaScript фишинг страници, които динамично генерират злонамерено съдържание при поискване;
• CAPTCHA и контрол на достъпа на базата на сесии, за да се блокират инструментите за сигурност от сканиране на измамни сайтове.

В изследване за сигурността на браузъра на Keep Aware се подчертава, че зашеметяващите 70% от многостъпковите фишинг кампании се представят за приложения на Microsoft – OneDrive или Office 365. Нападателите използват все по-често и надеждни платформи като Google Docs, Dropbox и AWS, за да хостват зловредно съдържание. Това значително затруднява откриването.

Традиционните механизми за защита са неефективни срещу тези тактики и екипите по сигурността се нуждаят от нови модели за откриване. Те трябва да работят в самия браузър, за да наблюдават структурата на страницата и да откриват промени – независимо от URL адреса.

Мъртвата зона в разширенията на браузъра

Разширенията се превърнаха от прости инструменти за продуктивност в дълбоко интегрирани приложения с достъп до почти всичко, което се случва в браузъра. Въпреки нарастващата им сложност, тяхната сигурност остава до голяма степен неконтролирана. Това създава огромна повърхност за атаки от страна на киберпрестъпниците:

• Infostealer и други злонамерени разширения могат да се маскират като легитимни инструменти, докато тихомълком изнасят данни;
• компрометираните акаунти в Chrome Web Store доведоха до масово разпространение на измамни разширения, заобикаляйки стандартните прегледи за сигурност;
• повторното активиране на разширенията и актуализациите на версиите могат да създадат непосредствени рискове за сигурността.

Всичко това подчертава спешната необходимост от мониторинг на разширенията в реално време и интеграцията на автоматизирани инструметни за откриване на заплахи.

Пропастта в сигурността: Защо традиционните инструменти не са достатъчни

Основното предизвикателство в сигурността на браузъра се крие в неговия уникален модел на данните – Document Object Model (DOM). Той управлява начина на визуализиране и манипулиране на уеб страниците, но до голяма степен остава пренебрегнат като вектор за атака.

Инструментите за мрежова сигурност и защита на крайните точки следят трафика и изпълнението на процесите. Браузърът обаче е активна среда, в която съдържанието и скриптовете се променят динамично.

Организациите трябва да възприемат модел за откриване на заплахи в браузъра, като наблюдават поведението на сесиите, моделите на въвеждане на удостоверения и високорисковите взаимодействия в реално време. Контролите трябва да работят отвъд филтрирането на URL адреси, за да включват откриване с отчитане на контекста.

Точно както EDR трансформира сигурността на крайните точки, BDR трябва да се превърне в основен компонент на корпоративната сигурност. Решенията от този клас позволяват телеметрия в реално време, анализ на изпълнението на JavaScript и на заплахи на ниво браузър.

Браузърът като източник на риск за цялата организация

Откриването на заплахите и реагирането са от решаващо значение за сигурността на ниво браузър. Организациите обаче трябва да вземат предвид и по-широките рискове, включително:

• чувствителна информация може да бъде копирана, качена или споделена в рамките на неподлежащи на наблюдение SaaS приложения;
• служителите рутинно използват несанкционирани инструменти и приложения с изкуствен интелект в браузъра, заобикаляйки IT контрола;
• те често споделят поверителни данни в AI чатботове и асистенти, без да разбират последиците за сигурността;
• компрометирани акаунти и злонамерени вътрешни лица могат да изнасят корпоративни данни директно в браузъра.

Тези предизвикателства подчертават нуждата от непрекъсната видимост и превенция на заплахите, които се простират отвъд мрежата, крайните точки и електронната поща. Екипите по сигурността трябва да преосмислят управлението на браузъра, сигурността на данните и контрола на риска от вътрешни лица като част от цялостна стратегия за сигурност на предприятието.

Браузърът вече не е просто инструмент за продуктивност – той е основната повърхност за атака, която нападателите използват, за да заобиколят традиционните защити. Така че не пренебрегвайте този вектор, а го защитете както останалата част от вашата IT инфраструктура.