Przeszukiwanie sieci i baz danych stanowi podstawę wszelkich innowacji i badań w przedsiębiorstwach, ugruntowując je jako jeden z najważniejszych procesów w dzisiejszym miejscu pracy.
W miarę jak pracownicy czerpią korzyści z pracy hybrydowej, nawyki przeglądania stają się coraz bardziej rozproszone i można je bez namysłu udostępniać na urządzeniach publicznych i prywatnych. W rezultacie rozrost infrastruktury przeglądania znacznie przekroczył granice tradycyjnego bezpieczeństwa.
W luce pomiędzy protokołami bezpieczeństwa cybernetycznego a działaniami użytkowników końcowych prężnie rozwija się liczba osób atakujących. Odwrócenie uwagi i nadużywanie uprzywilejowanej pozycji przeglądarki w przedsiębiorstwie może sprowadzać się do jednego kliknięcia. Atak może przybierać różne formy, począwszy od wyświetlenia użytkownikowi końcowemu dowolnej treści, jaką można sobie wyobrazić, przez przejęcie podłączonego mikrofonu lub kamery internetowej, aż po potajemne uruchomienie złośliwego kodu.
Ochrona przed zagrożeniami internetowymi zaczyna się od platformy zabezpieczeń przeglądarki
Dowiedz się więcej
Raport z ankiety dotyczącej bezpieczeństwa przeglądarek z 2023 r
Dowiedz się więcejAtaki na przeglądarki wykraczają daleko poza zasięg exploitów dnia zerowego w przeglądarce Chrome; na przykład jedna technika zwana „tabnabbingiem” demonstruje niezwykle szczegółowe zrozumienie zachowań użytkowników końcowych. Po otwarciu zainfekowanej strony atak czeka, aż użytkownik przestanie wchodzić w interakcję ze stroną. Wskazując na użytkownika, który ma otwartych wiele kart, karta następnie przekierowuje do fałszywej strony logowania, która naśladuje wygląd prawdziwej usługi, takiej jak Microsoft 365. Po ostatecznym powrocie użytkownik zakłada, że karta jest jej prawdziwym odpowiednikiem, wprowadzając swoje poświadczenia bezpośrednio do bazy danych atakującego.
Rozbieżność między bezpieczeństwem przeglądarki a ochroną użytkownika końcowego można wypełnić jedynie za pomocą specjalnie zaprojektowanego, opartego na przeglądarce rozwiązania, które może zapobiegać różnym typom exploitów przeglądarki.
BUTTON [Dowiedz się więcej o platformie ochrony przeglądarki LayerX]
Czym są exploity przeglądarki?
Exploity przeglądarkowe opisują dowolną formę złośliwego kodu, którego celem jest manipulowanie najlepszymi intencjami użytkownika, osiągane poprzez wykorzystanie wbudowanych luk w oprogramowaniu. Program CVE kodyfikuje każdy publicznie udostępniony exploit, a tylko w 2022 roku lista ta powiększyła się o kolejne 22 tysiące. Przeglądarki internetowe oferują mnóstwo szkodliwych możliwości ze względu na swoją rolę w łączeniu użytkownika z siecią WWW. W przypadku exploita przeglądarki osoba atakująca będzie próbowała wymusić dostęp do sieci prywatnej za pośrednictwem pojedynczej strony internetowej lub luki w przeglądarce. Exploity przeglądarkowe wykorzystują wszelkie przeoczenia, aby wysłać złośliwy kod do przeglądarki urządzenia. Może to zapewnić atakującemu dostęp do części danych osobowych; pozwolić im na dostarczanie złośliwego oprogramowania na urządzenie; i poruszaj się na boki, aby infiltrować całe sieci.
Exploity są niezwykle potężne, a rynek exploitów pozwala atakującym z niewielkim zapleczem technicznym na wyrządzanie realnych szkód. Sama popularność czterech największych przeglądarek (Google Chrome, Mozilla Firefox, Microsoft Edge i Apple Safari) doprowadziła do gwałtownego wzrostu zapotrzebowania na exploity dla przeglądarek. Badacze zauważyli, że ostatnio gwałtownie wzrosła sprzedaż pakietu exploitów RIG, którego pakiet umożliwiał pobranie trojana RedLine Stealer poprzez załataną od tego czasu lukę w przeglądarce Internet Explorer.
Rodzaje exploitów przeglądarkowych
Sposób działania exploitów w przeglądarkach jest tak różnorodny, jak cele atakujących. Podczas gdy pobieranie typu drive-by-down, czyli pobieranie plików bez wiedzy użytkownika, stanowi ukrytą formę umieszczania złośliwego oprogramowania, zainfekowane wtyczki innych firm mogą zniszczyć nawyki przeglądania, które w przeciwnym razie byłyby bardzo bezpieczne.
Bezpieczeństwo w sieci został doprowadzony do punktu krytycznego na sześć głównych sposobów:
#1. Exploity związane z wykonaniem kodu w przeglądarce
Wykonanie kodu w przeglądarce to najgorsze z najgorszych rozwiązań — na szczęście takie ataki są również najrzadsze. Przeglądarki są z natury złożone, z podsystemami obejmującymi renderowanie HTML po analizę CSS, a regularne poprawki mogą powodować wprowadzenie drobnych usterek. Wystarczy niewielki nadzór programisty, aby zapewnić atakującym wystarczającą bazę do wykonania złośliwego kodu. W tym przypadku wystarczy, że podatna na ataki przeglądarka po prostu odwiedzi zaatakowaną witrynę lub załaduje reklamę zawierającą złośliwe oprogramowanie. Po osiągnięciu wstępnego kompromisu osoby atakujące mogą zainicjować pobieranie kolejnych pakietów kompromitujących; wykraść poufne informacje z samej przeglądarki; lub po prostu czaić się w tle i czekać na dalsze instrukcje.
#2. Exploity związane z wykonaniem kodu we wtyczkach
Wtyczki są bardzo przydatne, oferują dynamiczne i przyjazne dla użytkownika przeglądanie. Jednak ich bliskość do przeglądarki czyni je idealnymi składnikami exploita. Oferują najłatwiejszy wektor do pobierania plików typu drive-by. Nawet dobrze znane wtyczki mogą spotkać się z niechcianą uwagą, ponieważ Flash i Java odegrały główną rolę w poprzednich atakach. Serwer Jenkins, popularny wśród wtyczek Java, jest notorycznie niezabezpieczony przed wszelkiego rodzaju atakami. Luki w zabezpieczeniach Jenkinsa są tak poważne, że jego rola odegrała kluczową rolę w odkryciu i wycieku listy zakazów lotów TSA w styczniu 2023 r.
#3. Ataki typu „człowiek pośrodku”.
Atakującym „człowiekiem pośrodku” jest każdy, kto ma dostęp do punktu połączenia między użytkownikiem a witryną. Dzięki temu mogą obserwować, a nawet zmieniać ruch przechodzący między serwerem internetowym a przeglądarką. Przykładowo, ataki MitM mogą zmienić osadzone adresy URL nawet w legalnych witrynach, nakłaniając użytkownika końcowego do przejścia do witryny kontrolowanej przez osobę atakującą. Witryny szyfrujące ruch pomagają usunąć to zagrożenie, chociaż użytkownicy czasami ignorują ostrzeżenia przeglądarki przed odwiedzeniem niezaszyfrowanej witryny.
Obecnie większym niepokojem jest atak typu Man-in-the-Browser. W tym przypadku koń trojański służy do przechwytywania i manipulowania wszelkimi żądaniami wysyłanymi z przeglądarki i plików systemowych. Najczęstszym celem tego ataku jest przekształcenie już odsłoniętego urządzenia w narzędzie oszustwa finansowego: przeglądarka wyświetla zamierzoną transakcję użytkownika, podczas gdy trojan potajemnie rejestruje dane bankowe ofiary. Złośliwe oprogramowanie w przeglądarce lub systemie operacyjnym stanowi zagrożenie wewnętrzne; obszar, w którym szyfrowanie TLS i SSL jest bezsilne.
#4. Skrypty między witrynami
Dynamiczne strony internetowe udowodniły swoją wartość w zmniejszaniu współczynnika odrzuceń i poprawie ROI. Jednak JavaScript obsługujący te witryny reagujące na użytkownika jest często obsługiwany przez własną przeglądarkę klienta, bez konieczności powrotu do serwera. Gdy przeglądarka załaduje prawdziwą stronę internetową, następnie sprawdza powiązany JavaScript w celu uzyskania dalszych działań specyficznych dla użytkownika. Jest to niewidoczne dla serwera internetowego i umożliwia atakującemu dodanie złośliwego kodu do adresu URL prawdziwej witryny.
Pouczającym tego przykładem są witryny zawierające nieprzetworzone wątki z komentarzami. Osoba atakująca może opublikować komentarz zawierający JavaScript umieszczony pomiędzy dwoma tags. With that comment posted, any browser that loads the page will see this comment as executable, paving the way for payload implementation.
#5. Wstrzyknięcie SQL
Wstrzykiwanie SQL wykorzystuje witryny, które akceptują dane wejściowe użytkownika, i pozostaje stałym problemem przez ostatnią dekadę rozwoju Internetu. Structured Query Language (SQL) był pierwszą standardową metodą przechowywania i wyszukiwania danych z połączonych baz danych. Obecnie stanowiący istotną część infrastruktury aplikacji i witryn korporacyjnych, bliskość niezwykle cennych, wrażliwych danych sprawia, że jest to naturalny cel wykorzystania. Ataki polegające na wstrzykiwaniu kodu SQL polegają na dodawaniu do witryny internetowej komentarzy tworzących instrukcje SQL – podobnie do techniki XSS polegającej na zmuszaniu przeglądarki do uruchomienia dodatkowego kodu. Następnie instrukcja SQL jest uruchamiana w zaatakowanej witrynie i znajdującej się w niej bazie danych, zwracając atakującemu fragmenty danych.
Choć kuszące jest ograniczenie tego ataku wyłącznie do jednego języka, witryny korzystające z języków innych niż SQL mogą nadal paść ofiarą tego samego mechanizmu. Ataki bez SQL opierają się na dokładnie tym samym procesie, co czyni go elastycznym i opłacalnym exploitem dla przeglądarki.
#6. Zatrucie DNS
Przeglądarki nie postrzegają Internetu w taki sam sposób, jak my, ludzie. Nazwy domen mogą zawierać nazwę firmy hostingowej, ale przeglądarki wymagają bardziej precyzyjnego sposobu identyfikacji witryny do załadowania. DNS łączy adres IP każdej witryny z zapadającą w pamięć nazwą domeny, którą znamy i rozpoznajemy. Aby zapewnić efektywność, dostawcy usług internetowych uruchamiają własne serwery DNS, które udostępniają dane innym. Domowe routery umieszczają te magazyny DNS bliżej użytkownika końcowego, a każde urządzenie obsługuje własną lokalną pamięć podręczną, oszczędzając czas poprzez przechowywanie poprzednich wyników.
Każda z tych skrytek może zostać zatruta; gdy atakujący włamie się i zmieni wpis, przeglądarka może teraz powiązać nazwę domeny google.com z adresem IP witryny kontrolowanej przez osobę atakującą. Każda witryna jest na to podatna, a atak ten może szybko się rozprzestrzenić. Jeśli różni dostawcy usług internetowych uzyskują informacje DNS z zaatakowanego serwera, dalsze pamięci podręczne, które opierają się na tym wpisie, stają się wektorami ataku. Aby uzyskać maksymalny zwrot z inwestycji, tego rodzaju ataki zwykle skupiają się na instytucjach finansowych, a ich celem jest nakłonienie użytkowników do przekazania danych uwierzytelniających do konta. Szkody, jakie ten atak wyrządza na reputacji legalnych przedsiębiorstw – i na kontach bankowych klientów – nie mają sobie równych.
Najlepsze praktyki zapobiegania exploitom w przeglądarce
Zbyt często największym zagrożeniem dla bezpieczeństwa przedsiębiorstwa jest niepozorny użytkownik końcowy. Sama natura łączenia się z publicznym Internetem wymaga kilku kluczowych protokołów, które mogą blokować ataki i im zapobiegać. Jednocześnie te nawyki związane z bezpieczeństwem sieciowym nie mogą kanibalizować produktywności użytkownika; użytkowników na tej cienkiej linie prowadzi ogromna liczba różnych rozwiązań bezpieczeństwa.
Aktualizuj przeglądarki
Aktualne oprogramowanie jest podstawą każdej aplikacji i przeglądarki uzyskującej dostęp do Internetu. Po wykryciu luk w zabezpieczeniach łatanie staje się wyścigiem z czasem, zanim atakujący je wykorzystają. Regularne i rygorystyczne aktualizacje zapewniają przeglądarce znaczną ochronę przed niektórymi z najbardziej rażących prób zdalnego wykonania kodu.
Użyj HTTPS
HTTPS oferuje bezpieczną i szyfrowaną formę komunikacji pomiędzy przeglądarką a dowolnym podłączonym serwerem. Użytkownicy powinni wiedzieć, jak rozpoznać witrynę zabezpieczoną protokołem HTTPS, patrząc na pasek adresu przeglądarki, gdzie mała kłódka wskazuje stan pełnego szyfrowania witryny. Jeśli witryna nadal korzysta z protokołu HTTP, wszystkie cztery główne przeglądarki wyświetlają użytkownikowi końcowemu ostrzeżenie dotyczące bezpieczeństwa, na które należy zwrócić uwagę.
Używaj unikalnych haseł
Ponowne użycie hasła to chroniczna i niekończąca się przeszkoda na drodze do bezpieczeństwa przedsiębiorstwa. Powód jest prosty: przy tak dużej liczbie aplikacji, kont i stron, do których można się zalogować, użytkownicy końcowi często zmuszeni są po prostu polegać na kilku starych wiernych użytkownikach – być może z kilkoma dodatkowymi numerami dodanymi dla popisu. Konsekwencje tego nawyku są jednak oszałamiające, ponieważ ponowne użycie hasła zmienia rynek włamań do kont w wielomiliardowy nielegalny przemysł, jakim jest dzisiaj. Użytkownicy muszą być świadomi incydentów, takich jak lista RockYou21, która zawiera tysiące swobodnie dostępnych danych uwierzytelniających skradzionych z prawdziwych kont. Ścisła higiena haseł – wspierana przez menedżery haseł lub automatyczne przypomnienia o resetowaniu hasła – nigdy nie była ważniejsza.
Blokuj wyskakujące okienka i reklamy
Wyskakujące reklamy stanowią doskonałe narzędzie do dostarczania złośliwego kodu. Zablokowanie ich może być jednak trudniejsze, niż się spodziewano. Chociaż nowoczesne przeglądarki oferują sposób automatycznego blokowania wszystkich nowych wyskakujących okienek, może to zakłócać produktywność użytkownika. Tradycyjnym rozwiązaniem jest tzw Bezpieczna brama internetowa (SWG). Zapewnia to formę ochrony przeglądarek na poziomie przedsiębiorstwa, pomagając zdefiniować granicę między użytkownikami a zewnętrzną siecią. Adresy URL są blokowane zgodnie z zasadami bezpieczeństwa przedsiębiorstwa, eliminując znane złośliwe adresy URL. Jednak nowe złośliwe witryny stanowią ciągły problem.
Chroń swoje przeglądanie dzięki LayerX
Zagrożenia wykraczają daleko poza ochronę przeglądarki oferowaną przez patchworkowe rozwiązania zabezpieczające. Ochrona użytkowników przed niezliczoną liczbą zagrożeń związanych z przeglądaniem wymaga czegoś nowego: spójnej, zorientowanej na użytkownika platformy bezpieczeństwa przeglądarki.
LayerX oferuje to najnowocześniejsze podejście do bezpieczeństwa przeglądarki. Stawiając priorytet widoczności na samym brzegu, narzędzie rozszerzenia umożliwia analizę w czasie rzeczywistym wszystkich zdarzeń związanych z przeglądaniem. Czujnik przeglądarki najpierw zbiera te dane; oceny zachowania strony internetowej, aktywności użytkowników i funkcji przeglądarki. Drugi komponent – moduł wymuszający – inicjuje działanie po zidentyfikowaniu złośliwego kodu. Ten aspekt wypycha bezpieczeństwo przeglądarki daleko poza zbyt prymitywny, binarny model odpowiedzi „zablokuj lub zezwól”. Inicjowanie lub wstrzymywanie określonych działań przeglądarki oraz wstrzykiwanie kodu w celu chirurgicznej neutralizacji ryzykownych komponentów strony sprawia, że płynna obsługa użytkownika nie jest już ceną za bezpieczeństwo przeglądarki.
Za analizę komponentów przeglądarki wysokiego ryzyka odpowiada podstawowy silnik Plexus. Ta dwusilnikowa platforma analityczna działa zarówno w samym rozszerzeniu przeglądarki, jak i w bardziej centralnej usłudze w chmurze. Wszystkie zdarzenia zebrane z czujników wewnętrznych są wprowadzane do silnika Plexus, analizowane i wzbogacane danymi z chmury LayerX Threat Intel Cloud. Łączy to szczegółowość ryzyka dla środowiska każdego użytkownika z naszymi makroekonomiami współczesnych trendów zagrożeń dla przeglądarek. Dodając element kontekstowy do każdego etapu analizy, Plexus umożliwia podjęcie proaktywnych działań ochronnych przed wyzwoleniem ładunku.
Chociaż LayerX nie powoduje żadnych opóźnień ani frustracji w doświadczeniu użytkownika, użytkownicy końcowi nie byli jedynymi skupionymi na nim użytkownikami. Szybka dywersyfikacja stosów technologii każdej organizacji – i wynikająca z niej eksplozja rozwiązań bezpieczeństwa – również odbiła się znacząco na zespołach ds. bezpieczeństwa. Przyszłościowe bezpieczeństwo wymaga innego podejścia. Łatwość wykonania jest głównym wskaźnikiem szybkości rozwiązania praktyki bezpieczeństwa; Aby zmniejszyć powierzchnię ataku, LayerX postawił sobie za cel scentralizowane wszystkie istotne zadania w jednym, przejrzystym interfejsie. Daje to nie tylko wgląd w ogólny stan bezpieczeństwa organizacji, ale także pozwala uzyskać lepszy wgląd w ujawnione luki, a także umożliwia skuteczne i bezproblemowe rozwiązywanie problemów.
