Hasta hace poco, la metodología cibernética detrás de las mayores violaciones de la última década más o menos ha sido bastante consistente.
Comprometiendo puntos finales a través de exploits de software o por usuarios de ingeniería social para ejecutar malware en sus dispositivos. Encuentre formas de moverse horizontalmente dentro de la red y comprometer su identidad privilegiada. Repita según sea necesario hasta que pueda llevar a cabo el ataque deseado. Por lo general, roban datos de las acciones del archivo, implementan ransomware y roban ambos.
Sin embargo, a medida que evolucionan las redes, los ataques han cambiado radicalmente. Con SaaSFited en Enterprise TI, los sistemas comerciales principales no se implementan localmente y no se gestionan centralmente como lo hicieron antes. En cambio, puede iniciar sesión en Internet y acceder a él a través de un navegador web.
El ataque se mudó de la orientación de la red local a los servicios SaaS, al que se accede a través del navegador web del empleado.
Según el modelo de responsabilidad compartida, las piezas que quedan a las empresas que consumen servicios SaaS están en gran medida limitadas por la forma en que administran sus identidades. Esta es una forma de acceder a la aplicación y usarla por la fuerza laboral. No sorprende que esto se haya convertido en un abdomen suave en la intersección del atacante.
Lo hemos visto muchas veces esta vez en torno a las mayores violaciones de los últimos años, incluida la campaña masiva de copos de nieve 2024 y las olas criminales de 2025 causadas por arañas dispersas.
Estos ataques han sido extremadamente exitosos. Debido a que el atacante se movió con cambios en la empresa, pero la seguridad no se mantuvo en realidad.
Los navegadores son un nuevo campo de batalla y puntos ciegos de seguridad
Hacer cargo de la identidad de la fuerza laboral es el primer objetivo para los atacantes que intentan atacar a las organizaciones, y los navegadores son donde surgen los ataques contra los usuarios. Esto se debe a que estas ID digitales se crean y utilizan, y sus calificaciones y sesiones están en vivo. Esto es algo que el atacante quiere obtener.
Las credenciales robadas se pueden utilizar como parte de un ataque objetivo o con una gama más amplia de relleno de credenciales (ciclismo conocidos nombres de usuario y pares de credenciales para varias aplicaciones y plataformas), pero los tokens de sesión robados pueden usarse para iniciar sesión directamente a la sesión activa y evitar el proceso de autenticación.
Existen varias técnicas diferentes que los atacantes pueden usar para acceder a estas identidades. Los atacantes cosecharon calificaciones robadas de varios lugares, incluidas las violaciones de datos de vertidos, campañas de phishing de calificación a gran escala, registros de infantes de infantes e incluso extensiones de navegador malicioso. De hecho, el ecosistema del delito cibernético responde cambiando a este eje, con los piratas informáticos que desempeñan un papel en el establecimiento del acceso de cuenta para la cosecha de calificaciones y la explotación de otros.
La famosa violación del copo de nieve de 2024 marcó un momento de bifurcación en su cambio hacia la infracción impulsada por la identidad. Allí, los atacantes usaron calificaciones robadas para registrarlas a cientos de inquilinos de clientes. Una de las principales fuentes de credenciales robadas utilizadas en el ataque fue el log de InfenteSer, que se remonta a 2020. Se ha violado una contraseña que no fue rotada o mitigada en MFA.
InfostEalers es un ataque de malware de punto final diseñado para recolectar credenciales y tokens de sesión (principalmente del navegador), que es notable ya que los atacantes pueden iniciar sesión en esos servicios e iniciar sesión a través de su propio navegador web. Entonces, incluso los ataques de punto final de hoy están haciendo que los atacantes regresen a sus navegadores para alcanzar su identidad. Esta es la clave para aplicaciones y servicios en línea donde los datos y características disponibles están actualmente presentes.
Ataques en el navegador y en el navegador
Hay una distinción importante entre los ataques que ocurren en el navegador y los ataques que ocurren contra el navegador mismo.
Existe un consenso creciente de que los navegadores son el nuevo punto final. Pero la analogía no es perfecta. La realidad es que los navegadores web tienen superficies de ataque relativamente limitadas en comparación con la complejidad del punto final tradicional. Comparar algo como Google Chrome con un sistema operativo Windows parece un concepto muy increíble.
Hay pocos ataques que se dirigen al navegador en sí como un mecanismo para comprometer la identidad, y no hay ninguno en el medio. Un vector más obvio es usar extensiones maliciosas del navegador. Así que aquí está el escenario que tiene un usuario:
Ya fascinado por la instalación de extensiones maliciosas, o el uso de extensiones de navegador que luego son comprometidas por atacantes
Sin embargo, los problemas de extensión maliciosa son algo que puede solucionar una vez y luego seguir adelante. La realidad es que los usuarios no deben instalar extensiones de navegador aleatorias, se les debe dar riesgo.
Se bloquea el medio ambiente y solo permite un puñado de extensiones importantes. Monitoree las métricas que las extensiones confiables son delgadas.
Esto no se aplica en entornos donde puede acceder completamente para instalar todas las extensiones seleccionadas por el usuario. Pero si el navegador es un nuevo punto final, esto es un poco como todos los usuarios son administradores locales. Estoy buscando problemas. Además, bloquear las extensiones dentro de su organización es algo que se puede lograr utilizando herramientas nativas, por ejemplo, si usted es un cliente de Chrome Enterprise. Deberá auditar a los usuarios una vez, aprobar solo lo que necesita y luego aprobar más para instalar la nueva extensión.
La identidad es un premio, el navegador es una plataforma, y el phishing es un arma de elección
¿Pero aún así las técnicas que impulsan las infracciones de identidad más impactantes? Es pescar. Credenciales de phishing, sesiones, consentimiento de OAuth, códigos de autorización. Phishing por correo electrónico, mensajero instantáneo, redes sociales, anuncios maliciosos de Google … todo está sucediendo en su navegador o está conectado a él.
Todos los caminos de phishing están conectados a un navegador independientemente del canal de entrega.
Y los ataques modernos de phishing son más efectivos que nunca. Hoy, Phishing opera a escala industrial, utilizando un conjunto de técnicas de obfusco y evitación de detección para bloquear las herramientas de seguridad de correo electrónico y redes de red. Quizás el ejemplo más común de hoy es el uso de protección de bot (piense en Captcha o Cloudflare Turnstile) que utiliza características legítimas de spam para bloquear las herramientas de seguridad.
Cloudflare Turnstile es una manera fácil para que los equipos de seguridad eviten el análisis automatizado. Probablemente debería venir con una advertencia de activación para el respondedor incidente.
La última generación de kits de phishing AITM totalmente personalizados ofuscan dinámicamente el código que carga páginas web, implementa capturas personalizadas y utiliza capacidades anti-análisis en tiempo de ejecución para dificultar la detección. La forma en que se entregan los enlaces también es sofisticado, con más canales de entrega (como se mencionó anteriormente) y utilizando servicios SaaS legítimos para el camuflaje.
Las últimas tendencias también muestran que los atacantes ahora pueden admitir configuraciones de IDP/SSO cada vez más mejoradas al aprovechar las tecnologías alternativas de phishing que evitan MFA y PassKey.
La identidad es la fruta más baja para que los atacantes apunten a
La forma más fácil para el objetivo de un atacante moderno y para un entorno empresarial digital es comprometerse con la identidad. Ya sea que se trata de ataques de phishing, extensiones maliciosas del navegador o malware de Infente de Infente de Infentes, el objetivo sigue siendo la misma adquisición de cuenta.
La organización se ocupa de las vastas y vulnerables superficies de ataque, como:
Hay cientos de aplicaciones y miles de cuentas repartidas en todo el patrimonio de la aplicación. Las cuentas que son vulnerables a los kits de phishing MFA-bypass usan métodos de inicio de sesión no phishing o pueden degradar sus métodos de inicio de sesión. La contraseña es débil, y no hay cuentas y MFA completamente reutilizadas (generalmente el resultado de los inicios de sesión fantasma olvidados). Al abusar de características como la creación de clave API, las contraseñas específicas de la aplicación, el phishing de consentimiento de OAuth, la suplantación de IDP cruzada y más, puede evitar completamente el proceso de autenticación para evitar métodos de autenticación resistentes a phishing resistentes a phishing.
1,000 organizaciones de usuarios tienen más de 15,000 cuentas con diversas configuraciones y vulnerabilidades asociadas.
Un controlador clave para las vulnerabilidades de identidad tiene una gran variación en la configuración de las cuentas por aplicación, por ejemplo, una aplicación puede bloquear y aceptar el inicio de sesión de SSO a través del inicio de sesión de SSO, automáticamente elimina las contraseñas no utilizadas, mientras que otra aplicación proporciona control o visibilidad de los métodos de inicio de sesión o el estado de MFA (no hay una gran visibilidad de otro controlador grande. Desafortunadamente, esta situación no parece cambiar pronto como es un crecimiento de la product. Startups en el mercado.
El resultado final es que la identidad es malentendida e invisible para los equipos de seguridad, y es explotada rutinariamente por las herramientas de los atacantes de productos. No es sorprendente que sean los principales objetivos de los atacantes de hoy.
El inicio de sesión fantasma, el phishing de AITM, los ataques de rebajas y los problemas de configuración a nivel de aplicaciones promueven violaciones basadas en la identidad.
Solución: navegador como fuentes de telemetría y puntos de control
Los ataques de identidad ocurren en el navegador, lo que los convierte en el lugar perfecto para que los equipos de seguridad observen, intercepten y cierren estos ataques.
Los navegadores tienen muchas ventajas sobre varios lugares donde puede observar y proteger su identidad.
No se limita a aplicaciones o identidades que están directamente conectadas a un IDP (donde algunas de las identidades de la fuerza laboral están muy extendidas). No se limita a las aplicaciones que conoces y manejas en el corazón. Puede observar todos los inicios de sesión que pasan por su navegador. Puede observar todas las propiedades del inicio de sesión, incluidos los métodos de inicio de sesión, los métodos de MFA y más. De lo contrario, necesitará acceso a la API para recuperar esta información (no el estándar para muchas aplicaciones, dependiendo de si se proporciona una API y si estos datos particulares pueden ser interrogados).
Hasta ahora, está claro que arreglar las vulnerabilidades en toda identidad es una tarea siniestra. El ecosistema SaaS en sí funciona para usted. Es por eso que es esencial detectar y responder a los ataques de identidad. Los compromisos de identidad también son un gran lugar para monitorear e interceptar ataques, ya que la mayoría de las veces implican phishing o ingeniería social, ya que los usuarios realizan acciones en sus navegadores (como los ataques de servicio de la araña dispersos que se ven recientemente, con algunas excepciones).
Los navegadores recopilan información contextualizada profunda sobre el comportamiento de la página y la entrada del usuario que puede usarse para detectar y cerrar escenarios peligrosos en tiempo real. Echemos un vistazo a una página de phishing de ejemplo. Push funciona en el navegador para que todo sea visible.
Donde se envían el script y las credenciales, que se ejecutan desde la contraseña ingresada por el usuario (como un hash acortado y acortado)
Estar en un navegador le brinda una visibilidad incomparable sobre la actividad de la página de phishing y el comportamiento del usuario.
Conclusión
Los ataques de identidad son el mayor problema abierto que enfrentan los equipos de seguridad hoy y son la principal causa de violaciones de seguridad. Al mismo tiempo, el navegador presenta a los equipos de seguridad todas las herramientas que necesitan para prevenir, detectar y responder a los ataques basados en la identidad. Se corrige realistas al detectar y bloquear los ataques contra los usuarios en tiempo real al encontrar y arreglar las vulnerabilidades de identidad.
Las organizaciones deben superar las viejas formas de hacer seguridad de identidad. Se basa en pruebas de MFA, paneles de gestión de identidad, transeúnte heredado y herramientas anti-phishing de red. Además, no hay mejor lugar para detener estos ataques que un navegador.
Por favor vea más
La plataforma de seguridad basada en el navegador de Push Security proporciona capacidades integrales de detección y respuesta para las principales causas de violaciones. Use tokens de sesión robados para presionar ataques de identidad como phishing AITM, relleno de credenciales, spray de contraseña y secuestro de sesión. Push también se puede utilizar para encontrar y arreglar vulnerabilidades de identidad en las aplicaciones utilizadas por los empleados, como inicios de sesión fantasma, brechas de cobertura SSO, brechas de MFA, contraseñas vulnerables e integraciones peligrosas de OAuth.
Si desea obtener más información sobre cómo Push puede ayudarlo a detectar y detener los ataques en su navegador, reserve su tiempo con uno de nuestros equipos para una demostración en vivo.
Source link
