网络和数据库搜索构成了所有企业创新和研究的基础,使其成为当今工作空间中最重要的流程之一。
随着员工从混合工作中获益,浏览习惯变得越来越分散,几乎不假思索地在公共和私人设备上共享。结果,浏览基础设施的激增远远超出了传统安全的范围。
在网络安全协议和最终用户行为之间的间隙,攻击者正在蓬勃发展。转移和滥用浏览器在企业内的特权地位只需单击一下即可。攻击可以采取多种不同的形式,从向最终用户显示任何可以想象的内容、劫持连接的麦克风或网络摄像头,或者秘密启动恶意代码。
浏览器攻击的范围已远远超出了 Chrome 零日攻击的范围;例如,一种被称为“tabnabbing”的技术展示了对最终用户行为的极其细致的理解。一旦打开受感染的页面,攻击就会等待,直到用户停止与该页面交互。如果用户打开了许多选项卡,则该选项卡会重定向到模仿 Microsoft 365 等正版服务外观的虚假登录页面。最终返回时,用户会认为该选项卡是其真正的对应选项卡,并输入其凭据直接访问攻击者的数据库。
浏览器安全和最终用户保护之间的鸿沟只能通过专门构建的、浏览器优先的解决方案来弥合,该解决方案可以防止各种类型的浏览器漏洞。
按钮 【了解LayerX浏览器保护平台】
什么是浏览器漏洞?
浏览器漏洞利用描述了任何形式的恶意代码,旨在通过利用软件中的内置缺陷来操纵用户的最佳意图。 CVE 计划对每个公开发布的漏洞进行了编纂,仅在 2022 年,该列表就又增加了 22 个。由于网络浏览器在将用户连接到万维网方面发挥着重要作用,因此提供了大量恶意机会。对于浏览器漏洞,攻击者将尝试通过单个网页或浏览器漏洞强制进入专用网络。浏览器漏洞利用任何监督来将恶意代码发送到设备的浏览器。这可以让攻击者访问大量个人信息;允许他们向设备传送恶意软件;并横向移动以渗透整个网络。
漏洞利用的威力极其强大,漏洞利用市场允许技术背景很少的攻击者造成真正的损害。四大浏览器(Google Chrome、Mozilla Firefox、Microsoft Edge 和 Apple Safari)的绝对流行导致对浏览器漏洞利用的需求猛增。研究人员指出,RIG 漏洞利用程序包的销量最近呈爆炸式增长,该程序包通过已修补的 Internet Explorer 缺陷促进了 RedLine Stealer 木马的下载。
浏览器漏洞的类型
浏览器攻击的作案手法与攻击者的目标一样多种多样。虽然偷渡式下载(在用户不知情的情况下不愿意下载文件)代表了一种隐秘的恶意软件植入形式,但受损的第三方插件可能会侵蚀原本高度安全的浏览习惯。
网络安全 已在六个主要方面被推向临界点:
#1.浏览器中的代码执行漏洞
浏览器内代码执行是最糟糕的情况——值得庆幸的是,这些攻击也是最罕见的。浏览器本质上很复杂,其子系统涵盖 HTML 渲染到 CSS 解析,定期补丁可能会引入微小的缺陷。只需开发人员的少量监督,攻击者就有足够的立足点来执行恶意代码。从那里开始,所需要的只是一个易受攻击的浏览器简单地访问受感染的网站,或加载恶意软件的广告。在实现初步妥协后,攻击者可以开始下载进一步的妥协包;从浏览器本身窃取敏感信息;或者只是潜伏在后台,等待进一步的指示。
#2.插件中的代码执行漏洞
插件非常有用,可以提供动态且用户友好的浏览体验。然而,它们与浏览器的接近使它们成为漏洞利用的理想组件。他们提供最简单的路过式下载矢量。即使是知名的插件也可能会受到这种不必要的关注,Flash 和 Java 在之前的攻击中都扮演了重要角色。众所周知,Jenkins 服务器在 Java 插件中很受欢迎,但它对各种攻击方式都不安全。 Jenkins 的漏洞非常严重,以至于它在 2023 年 XNUMX 月 TSA 禁飞名单的发现和泄露中发挥了至关重要的作用。
#3。中间人攻击
“中间人”攻击者是有权访问用户和网站之间连接点的任何人。这使他们能够观察甚至更改网络服务器和浏览器之间传递的流量。举一个现实世界的例子,MitM 攻击甚至可以更改合法网站上的嵌入 URL,诱骗最终用户点击访问攻击者控制的网站。对其流量进行加密的网站有助于消除这种安全问题,尽管用户有时会在访问未加密的网站之前忽略浏览器的警告。
如今更令人担忧的是浏览器中间人攻击。这里,特洛伊木马用于拦截和操纵从浏览器和系统文件发送的任何请求。这种攻击最常见的目标是将已经暴露的设备变成金融欺诈的工具:浏览器显示用户的预期交易,而木马则秘密记录受害者的银行凭证。浏览器或操作系统上的恶意软件构成内部威胁; TLS 和 SSL 加密无能为力的领域。
#4。跨站脚本
动态网站已证明其在降低跳出率和提高投资回报率方面的价值。然而,驱动这些用户响应网站的 JavaScript 通常是在客户端自己的浏览器上处理的,而不需要返回到服务器。一旦浏览器加载了真实的网页,它就会查找关联的 JavaScript 以获取进一步的用户特定操作。对于 Web 服务器来说是不可见的,这使得攻击者可以将恶意代码添加到真实的站点 URL 上。
一个很有启发性的例子是包含未经清理的评论线程的网站。攻击者可以发布包含夹在两个之间的 JavaScript 的评论 tags. With that comment posted, any browser that loads the page will see this comment as executable, paving the way for payload implementation.
#5。 SQL注入
SQL 注入利用接受用户输入的站点,并且在互联网发展的过去十年中一直是一个持续存在的问题。结构化查询语言 (SQL) 提供了第一个从链接数据库存储和检索数据的标准方法。现在,该语言已成为企业应用程序和站点基础设施的重要组成部分,它与高价值的敏感数据的接近使其成为自然的利用目标。 SQL 注入攻击的重点是向网站添加形成 SQL 语句的注释,类似于强制浏览器运行额外代码的 XSS 技术。然后,SQL 语句在受攻击的站点及其底层数据库上运行,将大量数据返回给攻击者。
虽然很想将这种攻击纯粹限制在一种语言上,但依赖 SQL 以外的语言的站点仍然可能成为相同机制的牺牲品。 No-SQL 攻击运行完全相同的进程,使其成为一种适应性强且有利可图的浏览器漏洞。
#6。 DNS 中毒
浏览器看待互联网的方式与我们人类不同。域名可能包含托管公司的名称,但浏览器需要更精确的方式来识别要加载的网站。 DNS 将每个站点的 IP 地址与我们知道并认识的易于记忆的域名连接起来。为了提高效率,ISP 运行自己的 DNS 服务器,这些服务器共享其他服务器的数据。家庭路由器将这些 DNS 存储放置在更靠近最终用户的位置,并且每个设备都运行自己的本地缓存,通过存储以前的结果来节省时间。
这些缓存中的每一个都可能被中毒;当攻击者闯入并更改条目时,浏览器现在可以将 google.com 的域名与攻击者控制的站点的 IP 地址关联起来。任何网站都容易受到此攻击,而且这种攻击可以迅速传播。如果各个 ISP 从受感染的服务器获取其 DNS 信息,则所有依赖该条目的下游缓存都会成为攻击媒介。为了获得最大的投资回报率,这种攻击往往集中在金融机构,目的是诱骗用户交出帐户凭据。这种攻击对合法企业的声誉以及客户自己的银行账户造成的损害是首屈一指的。
防止浏览器漏洞的最佳实践
通常,对企业安全的最大威胁是谦逊的最终用户。连接到公共互联网的本质需要一些可以阻止和防止攻击的关键协议。同时,这些网络安全习惯不能蚕食用户的生产力;引导用户沿着这条细线走的是大量不同的安全解决方案。
保持浏览器最新
对于任何访问网络的应用程序和浏览器来说,最新的软件都是必要的。当发现漏洞时,在攻击者利用漏洞之前修补补丁就变成了与时间的赛跑。定期和严格的更新为浏览器提供了重要的保护,使其免受一些最明显的远程代码执行尝试的影响。
使用HTTPS
HTTPS 在浏览器和任何连接的服务器之间提供安全且加密的通信形式。用户应该知道如何通过查看浏览器的 URL 栏来识别受 HTTPS 保护的网站,其中一个小挂锁将表示该网站处于完全加密的状态。如果网站仍然使用HTTP,四大主流浏览器都会向最终用户显示安全警告,必须引起注意。
使用唯一的密码
密码重用是企业安全之路上长期且永无休止的障碍。其背后的原因很简单:由于需要登录的应用程序、帐户和页面如此之多,最终用户常常被迫简单地依赖一些老忠实用户 - 或许还需要一些额外的数字来增加天赋。然而,这种习惯的后果令人瞠目结舌,密码重复使用将帐户泄露市场变成了如今价值数十亿美元的非法行业。用户需要注意诸如 RockYou21 列表之类的事件,该列表列出了数千个从真实帐户中被盗的免费凭证。严格的密码卫生(由密码管理器或自动密码重置提醒提供支持)从未如此重要。
阻止弹出窗口和广告
弹出式广告为传播恶意代码提供了完美的工具。然而,阻止这些可能比预期更棘手。虽然现代浏览器确实提供了一种自动阻止所有新弹出窗口的方法,但这可能会妨碍高效的用户体验。一种传统的解决方案是 安全Web网关(SWG)。这为企业级浏览器提供了一种保护形式,有助于定义用户和外部网络之间的边界。根据企业安全策略对URL进行拦截,清除知名恶意URL。然而,新型恶意网站一直是人们关注的焦点。
使用 LayerX 保护您的浏览
威胁已经远远超出了拼凑而成的安全解决方案提供的浏览器保护范围。确保用户安全免受无数浏览威胁需要新的东西:一个有凝聚力、以用户为中心的浏览器安全平台。
LayerX 提供了这种尖端的浏览器安全方法。通过优先考虑最边缘的可见性,扩展工具可以实时分析所有浏览事件。浏览器的传感器首先会整理这些数据;评估网页行为、用户活动和浏览器功能。另一个组件——执行者——在识别出恶意代码后立即采取行动。这方面使浏览器安全性远远超出了过于粗糙的二元“阻止或允许”响应模型。通过启动或停止某些浏览器操作,以及注入代码来彻底消除有风险的页面组件,无缝的用户体验不再是为浏览器安全付出的代价。
驱动高风险浏览器组件分析的是底层 Plexus 引擎。这个双引擎分析平台既可以在浏览器扩展本身上运行,也可以在更集中的云服务中运行。从扩展内传感器收集的所有事件都会输入 Plexus 引擎,进行分析,并利用来自 LayerX 威胁英特尔云的数据进行丰富。这将每个用户环境风险的粒度与我们对当今浏览器威胁趋势的宏观概述相结合。 Plexus 为每个分析阶段提供上下文元素,支持在触发有效负载之前采取主动保护措施。
虽然 LayerX 不会给用户体验带来任何延迟或挫败感,但它的最终用户并不是唯一的焦点。每个组织技术堆栈的快速多样化以及随之而来的安全解决方案的爆炸式增长也给安全团队带来了重大损失。面向未来的安全需要不同的方法。执行的难易程度是安全实践排序速度的主要指标;为了减少攻击面,LayerX 的目标是将所有相关任务集中到一个清晰的界面中。这不仅为了解组织的整体安全状况提供了一个窗口,而且还提供了对暴露的漏洞的进一步洞察,以及有效、无缝地解决问题的能力。
