2024.12.03
瀏覽器成為企業防禦的漏洞,讓隱匿性安全威脅成功滲透

我們經常看到大型企業遭遇資料外洩的新聞,心中不禁疑問:「為什麼會發生這種事?」許多這些企業並不缺乏安全預算,甚至可能擁有最先進的安全技術來抵禦威脅,那麼,為什麼威脅仍能穿透防護?

如今,企業正面臨一種新型威脅,許多人稱之為「隱匿威脅」。在 Menlo,我們稱之為 HEAT,即「高度隱匿與適應性威脅」。網路犯罪者清楚企業部署的安全防護措施,並針對這些防護設計 HEAT 攻擊,以規避檢測和防禦。

test

網站劫持

利用網站的良好聲譽或分類來繞過電子郵件或網頁閘道,幾乎是每次攻擊中必用的手法。在針對某大型政府機構的惡意軟體攻擊中,我們的威脅研究人員觀察到三種隱匿技術的應用:


1. SEO 投毒。當用戶搜尋”熱門畢業典禮的流程”時,搜尋結果的第二項是一份擁有相關標題的文件連結。



2. 當用戶點擊連結後,該文件位於一個聲譽良好的網站上,該網站的 URL 屬於商業/經濟類別,且符合企業政策允許的瀏覽範圍。該網站實為一家位於義大利的空調零件公司,已遭駭客入侵並被利用。


3. 被入侵的網站上載了一份受密碼保護的 PDF 文件。由於文件受密碼保護,下載路徑中的網路安全解決方案無法檢測文件內容,因此允許下載。當用戶使用網站提供的密碼開啟文件後,惡意程式的第一波攻擊便悄然進入用戶端設備。


test

憑證網釣與反向代理

憑證網釣活動結合隱匿技術誘導用戶點擊,並配合反向代理來繞過多重驗證 (MFA)。我們阻止了一項針對某財富 10 大銀行的攻擊,該銀行擁有先進的安全技術堆疊,該活動採用了以下技術:


1. 攻擊者使用一個外觀相似的網域,模仿企業的合法合作夥伴。該相似網域被分類為合法網站,因此通過電子郵件閘道進入用戶的收件匣。


2. 當用戶點擊連結時,因與電子郵件閘道同樣的理由,安全網頁閘道允許訪問該網站。


3. 用戶訪問的網站實際上是一個釣魚頁面,專門竊取 Microsoft 憑證,而更重要的是該網站使用了 EvilProxy 網釣工具。此攻擊方式類似之前對 Cloudflare 和 Twilio 等公司造成嚴重破壞的「中間人攻擊 (AiTM)」活動,將用戶連接到合法網站。然而,由於透過 EvilProxy,攻擊者可以攔截憑證和會話 Cookie,進而繞過多重驗證 MFA。


與針對大量用戶的大規模攻擊不同,這種精心設計的定向攻擊更難防禦,並且由於憑證洩露被利用以進入企業系統,對企業造成的影響尤為重大。


瀏覽器情境的安全防護

企業多年來依賴傳統防護措施:部署防火牆、代理、病毒防護及沙箱技術。這些產品對於攔截已知的惡意項目,例如惡意 URL、惡意文件或行為,效果不錯。然而,這些工具無法察覺瀏覽器情境,因為它們只能檢查網路內容。


隨著加密技術、SaaS 和雲端的出現,僅依賴企業自有和控制的網路系統變得不再奏效,網路工具無法看到用戶的實際視角。一些攻擊甚至專門設計來繞過網路檢查,直接針對瀏覽器。


應用現代化與 SaaS 的普及使知識工作者更多時間在瀏覽器上作業。企業需要將瀏覽器安全納入風險管理計劃,通過管理瀏覽器配置並遵循瀏覽器安全政策,加上先進的釣魚防禦及惡意軟體阻截機制,可有效防範攻擊。應考量 Chrome、Edge 和 Safari 等主流瀏覽器,以便保護不同平台的用戶。


管理瀏覽器政策的複雜性在於上千個設定選項,因此建議企業參考標準和指引,例如美國網路安全與基礎設施安全局的零信任成熟模型 (Zero Trust Maturity Model) 和 Google Chrome 的 CIS 基準。這些指引由專家協作制定,並經社群審查,可幫助企業將瀏覽器情境納入安全規劃和操作。


另一個成功的關鍵在於把握機會,用瀏覽器安全取代舊系統和過時基礎設施。基於雲的治理與瀏覽器防護可支持新的零信任和遠端存取策略,減少風險且更新陳舊架構,兼具成本效益。更好的安全成果得以實現,同時不影響用戶體驗或增加預算壓力。


快速行動並採用能無縫結合用戶需求與瀏覽器情境的安全架構,能提供敏感資料無與倫比的保護。您可打造既安全又簡便的瀏覽環境,使企業在面對威脅和競爭對手時具有優勢。

Author : Poornima DeBolle | Forbes Technology Council Member

Poornima DeBolle is Chief Product Officer of Menlo Security.