A medida que las empresas continúan trasladando las operaciones a sus navegadores, los equipos de seguridad enfrentan desafíos cibernéticos cada vez mayores. De hecho, más del 80% de los incidentes de seguridad provienen de aplicaciones web a las que se accede a través de Chrome, Edge, Firefox y otros navegadores. Una de las arañas dispersas, un enemigo especialmente en evolución, ha cumplido su misión de causar estragos para las empresas al dirigirse específicamente a datos confidenciales de estos navegadores.
Las arañas dispersas, también conocidas como UNC3944, la tempestad de octubre o Libra confundida, han madurado en los últimos dos años al atacar la identidad humana y la precisión del entorno de su navegador. Este cambio los distingue de otros cibergunas infames como el Grupo Lazarus, Fancy Bear y Rebill. Si la información confidencial, como los calendarios, las credenciales o los tokens de seguridad, están vivos y no funciona en la pestaña del navegador, las arañas dispersas pueden obtenerlas.
En este artículo, aprenderá más sobre cómo atacar a las arañas dispersas y cómo detenerlas con camiones. En general, esta es una llamada de atención a los CISO en todas partes, llevando la seguridad del navegador de su organización de controles complementarios a un pilar central de defensa.
Cadena de ataque centrada en el navegador de araña dispersa
Las arañas dispersas evitan el phishing masivo a favor de la explotación de precisión. Esto se hace aprovechando la confianza del usuario en las aplicaciones diarias más utilizadas, robando credenciales almacenadas y manipulando el tiempo de ejecución del navegador.
Trucos del navegador: las técnicas como el navegador en las superposiciones del navegador (BITB) y la extracción automática de relleno se utilizan para robar credenciales mientras evitan la detección de herramientas de seguridad tradicionales, como la detección y respuesta del punto final (EDR). Robo de token de sesión: las arañas dispersas y otros atacantes evitan la autenticación multifactorial (MFA) para capturar tokens y cookies personales de la memoria del navegador. Extensiones maliciosas e inyección de JavaScript: las cargas útiles maliciosas se entregan a través de extensiones falsas y se ejecutan dentro del navegador a través de técnicas de transmisión y otros métodos avanzados. Reconocimiento basado en el navegador: investigar las API web y las extensiones instaladas permiten a estos atacantes acceder a sistemas internos críticos de mapas.
Para una interrupción técnica completa de estas tácticas, ver arañas dispersas: hilos de seguimiento de compromiso en los navegadores.
Seguridad de la capa de navegador estratégico: Cisos Blueprint
Para combatir las arañas dispersas y otras amenazas avanzadas del navegador, CISOS debe utilizar estrategias de seguridad del navegador de varios niveles en los siguientes dominios:
1. Robo de calificación de detener con protección de script de tiempo de ejecución
Los ataques de phishing han existido durante décadas. Sin embargo, los atacantes de araña dispersos han sido 10 veces más técnicas en los últimos años. Estas avanzadas campañas de phishing se basan en ejecuciones maliciosas de JavaScript que se ejecutan directamente dentro del navegador, evitando herramientas de seguridad como EDR. Esto se hace para robar credenciales de usuario y otros datos confidenciales. Para bloquear con éxito las superposiciones de phishing e interceptar patrones peligrosos de robo de calificaciones, las organizaciones deben implementar la protección de tiempo de ejecución de JavaScript para analizar el comportamiento. Al aplicar tales protecciones, los líderes de seguridad pueden evitar que los atacantes obtengan acceso y roben sus credenciales antes de que sea demasiado tarde.
2. Proteja sus sesiones y evite las adquisiciones de cuentas
Cuando las credenciales de un usuario se adquieren incorrectamente, el atacante disperso similar a la araña se mueve rápidamente para secuestrar sesiones previamente autenticadas al robar cookies y tokens. Asegurar que la integridad de la sesión del navegador se logre mejor al limitar el acceso a scripts fraudulentos y excluyendo estos artefactos sensibles. Las organizaciones deben hacer cumplir las políticas de seguridad contextuales basadas en componentes como la pose del dispositivo, la verificación de identidad y la confianza de la red. La vinculación de tokens de sesión a un contexto permite a las empresas prevenir ataques, como adquisiciones de cuentas, incluso después de que se comprometan las calificaciones.
3. Hacer cumplir una gobernanza extendida y bloquear los guiones ilícitos
Las extensiones del navegador han sido extremadamente populares en los últimos años, con Google Chrome con más de 130,000 disponibles para descargar en la tienda web de Chrome. Pueden actuar como refuerzos de productividad, pero también se han convertido en vectores de ataque. Las extensiones maliciosas o poco revisadas pueden solicitar permisos invasivos, inyectar scripts maliciosos en el navegador o actuar como un sistema de entrega para las cargas útiles de ataque. Las empresas deben implementar un gobierno extendido robusto para permitir extensiones preautorizadas con autoridad validada. Igualmente importante es la necesidad de bloquear los scripts no confiables antes de que puedan ejecutarse. Este enfoque asegura que las extensiones legítimas aún estén disponibles, por lo que los flujos de trabajo de los usuarios no están destruidos.
4. Confundir el reconocimiento sin romper los flujos de trabajo legales
Los atacantes dispersos similares a la araña a menudo lanzan ataques a través del reconocimiento del navegador. Haga esto utilizando API como WebRTC, COR o huellas digitales para mapear su entorno. Esto le permite identificar aplicaciones de uso frecuente y rastrear el comportamiento específico del usuario. Para detener este reconocimiento, las organizaciones deben deshabilitar o reemplazar las API sensibles a los señuelos que proporcionan información falsa para atacar a los grupos. Sin embargo, se requieren políticas de adaptación para evitar la corrupción legítima del flujo de trabajo, que es particularmente importante para los dispositivos BYOD y no administrados.
5. Integrar la telemetría del navegador con inteligencia de seguridad práctica
La seguridad del navegador son las últimas millas de protección de ataque sin malware, pero la integración en su pila de seguridad existente mejorará toda su red. Al implementar registros de actividad enriquecidos con datos del navegador en las plataformas SIEM, SOAR e ITDR, CISOS puede asociar eventos del navegador con actividad de punto final con imágenes mucho más enriquecidas. Esto permitirá que los equipos de SOC obtengan una respuesta de incidentes más rápida y mejoren las actividades de caza de amenazas. Esto lo ayudará a mejorar los tiempos de alerta de ataque y mejorar la actitud de seguridad general de su organización.
Casos de uso de seguridad del navegador e impacto comercial
La implementación del navegador y la protección nativa ofrece beneficios estratégicos medibles.
Beneficios estratégicos de los casos de uso que detienen la prevención de phishing y la prevención de ataques Los controles de gestión de la extensión web instalan y autorizan las solicitudes de extensiones web conocidas y desconocidas antes de realizar el robo de credenciales en los navegadores para proteger la seguridad de Genai Implestive. Controle las mejoras de confianza cero Una conexión de aplicación contextual que trata cada sesión del navegador como un límite no confiable y valida su comportamiento, lo que permite a los usuarios asegurar el acceso remoto de SaaS con el nivel correcto de protección, lo que les permite conectarse de forma segura a aplicaciones SaaS internas sin la necesidad de agentes o VPN adicionales.
Recomendaciones de liderazgo de seguridad
Evalúe su actitud de riesgo: use herramientas como BrowserTotal ™ para determinar dónde se encuentran las vulnerabilidades del navegador en toda su organización. Habilitando la protección del navegador: implementa soluciones que permiten la protección de JavaScript en tiempo real, la seguridad del token, el monitoreo extendido y la telemetría a través de Chrome, Edge, Firefox, Safari y todos los demás navegadores. Defina la política de contexto: imponga reglas para la API web, capturar credenciales, instalar extensiones web y descargar. Integrado con las pilas existentes: Telemetría de amenaza habilitada para el navegador Feed a las herramientas SIEM, SOAR o EDR que ya usa todos los días. Esto le brinda una gran cantidad de características de detección y respuesta. Educación del equipo: Cement Browser Security es un principio central de arquitectura de confianza cero, protección SaaS y acceso a BYOD. Pruebe y valida continuamente: simule ataques reales basados en el navegador para validar sus defensas y aprender dónde están sus puntos ciegos. Mejorar la identificación a través del navegador: introduce una autenticación adaptativa que valida continuamente la identidad dentro de cada sesión. Extensiones del navegador de auditoría regularmente: Desarrolle un proceso de revisión para rastrear todas las extensiones en uso. Aplique un privilegio mínimo a las API web: limite solo a las aplicaciones comerciales que requieren una API del navegador sensible. Automatice la caza de amenazas del navegador: Aproveche la telemetría del navegador para integrar las pilas y datos existentes para encontrar patrones sospechosos.
Pensamientos finales: navegador como una nueva periferia de identidad
Los grupos de arañas dispersos personifican cómo los atacantes evolucionan sus tácticas desde los puntos finales de orientación hasta el enfoque en la aplicación más utilizada de la empresa, los navegadores. Lo hacen para robar identidad, hacerse cargo de las sesiones y permanecer dentro del entorno del usuario sin rastros. Los CISO deben adaptarse y usar controles de seguridad del navegador y nativos para detener estas amenazas basadas en la identidad.
La respuesta es invertir en una plataforma de seguridad sin fricción y consciente de tiempo de ejecución. En lugar de ser retrocedidos, los equipos de seguridad pueden detener los ataques contra las fuentes. Para todos los líderes de seguridad, la protección del navegador empresarial no solo funciona para mitigar los atacantes de araña dispersos. Fortifica la ventana a su negocio y actualiza todas las aplicaciones SaaS, el trabajo remoto y las actitudes de seguridad más allá.
Hable con un terapeuta para obtener más información sobre Secure Enterprise Browser y cómo beneficia a su organización.
Source link
