我們經常看到大型企業遭遇資料外洩的新聞,心中不禁疑問:「為什麼會發生這種事?」許多這些企業並不缺乏安全預算,甚至可能擁有最先進的安全技術來抵禦威脅,那麼,為什麼威脅仍能穿透防護?
如今,企業正面臨一種新型威脅,許多人稱之為「隱匿威脅」。在 Menlo,我們稱之為 HEAT,即「高度隱匿與適應性威脅」。網路犯罪者清楚企業部署的安全防護措施,並針對這些防護設計 HEAT 攻擊,以規避檢測和防禦。
我們經常看到大型企業遭遇資料外洩的新聞,心中不禁疑問:「為什麼會發生這種事?」許多這些企業並不缺乏安全預算,甚至可能擁有最先進的安全技術來抵禦威脅,那麼,為什麼威脅仍能穿透防護?
如今,企業正面臨一種新型威脅,許多人稱之為「隱匿威脅」。在 Menlo,我們稱之為 HEAT,即「高度隱匿與適應性威脅」。網路犯罪者清楚企業部署的安全防護措施,並針對這些防護設計 HEAT 攻擊,以規避檢測和防禦。
利用網站的良好聲譽或分類來繞過電子郵件或網頁閘道,幾乎是每次攻擊中必用的手法。在針對某大型政府機構的惡意軟體攻擊中,我們的威脅研究人員觀察到三種隱匿技術的應用:
1. SEO 投毒。當用戶搜尋”熱門畢業典禮的流程”時,搜尋結果的第二項是一份擁有相關標題的文件連結。
2. 當用戶點擊連結後,該文件位於一個聲譽良好的網站上,該網站的 URL 屬於商業/經濟類別,且符合企業政策允許的瀏覽範圍。該網站實為一家位於義大利的空調零件公司,已遭駭客入侵並被利用。
3. 被入侵的網站上載了一份受密碼保護的 PDF 文件。由於文件受密碼保護,下載路徑中的網路安全解決方案無法檢測文件內容,因此允許下載。當用戶使用網站提供的密碼開啟文件後,惡意程式的第一波攻擊便悄然進入用戶端設備。
憑證網釣活動結合隱匿技術誘導用戶點擊,並配合反向代理來繞過多重驗證 (MFA)。我們阻止了一項針對某財富 10 大銀行的攻擊,該銀行擁有先進的安全技術堆疊,該活動採用了以下技術:
1. 攻擊者使用一個外觀相似的網域,模仿企業的合法合作夥伴。該相似網域被分類為合法網站,因此通過電子郵件閘道進入用戶的收件匣。
2. 當用戶點擊連結時,因與電子郵件閘道同樣的理由,安全網頁閘道允許訪問該網站。
3. 用戶訪問的網站實際上是一個釣魚頁面,專門竊取 Microsoft 憑證,而更重要的是該網站使用了 EvilProxy 網釣工具。此攻擊方式類似之前對 Cloudflare 和 Twilio 等公司造成嚴重破壞的「中間人攻擊 (AiTM)」活動,將用戶連接到合法網站。然而,由於透過 EvilProxy,攻擊者可以攔截憑證和會話 Cookie,進而繞過多重驗證 MFA。
與針對大量用戶的大規模攻擊不同,這種精心設計的定向攻擊更難防禦,並且由於憑證洩露被利用以進入企業系統,對企業造成的影響尤為重大。
企業多年來依賴傳統防護措施:部署防火牆、代理、病毒防護及沙箱技術。這些產品對於攔截已知的惡意項目,例如惡意 URL、惡意文件或行為,效果不錯。然而,這些工具無法察覺瀏覽器情境,因為它們只能檢查網路內容。
隨著加密技術、SaaS 和雲端的出現,僅依賴企業自有和控制的網路系統變得不再奏效,網路工具無法看到用戶的實際視角。一些攻擊甚至專門設計來繞過網路檢查,直接針對瀏覽器。
應用現代化與 SaaS 的普及使知識工作者更多時間在瀏覽器上作業。企業需要將瀏覽器安全納入風險管理計劃,通過管理瀏覽器配置並遵循瀏覽器安全政策,加上先進的釣魚防禦及惡意軟體阻截機制,可有效防範攻擊。應考量 Chrome、Edge 和 Safari 等主流瀏覽器,以便保護不同平台的用戶。
管理瀏覽器政策的複雜性在於上千個設定選項,因此建議企業參考標準和指引,例如美國網路安全與基礎設施安全局的零信任成熟模型 (Zero Trust Maturity Model) 和 Google Chrome 的 CIS 基準。這些指引由專家協作制定,並經社群審查,可幫助企業將瀏覽器情境納入安全規劃和操作。
另一個成功的關鍵在於把握機會,用瀏覽器安全取代舊系統和過時基礎設施。基於雲的治理與瀏覽器防護可支持新的零信任和遠端存取策略,減少風險且更新陳舊架構,兼具成本效益。更好的安全成果得以實現,同時不影響用戶體驗或增加預算壓力。
快速行動並採用能無縫結合用戶需求與瀏覽器情境的安全架構,能提供敏感資料無與倫比的保護。您可打造既安全又簡便的瀏覽環境,使企業在面對威脅和競爭對手時具有優勢。
Author : Poornima DeBolle | Forbes Technology Council Member
Poornima DeBolle is Chief Product Officer of Menlo Security.
非常歡迎您光臨「橙鋐科技網站」(以下簡稱本網站),為了讓您能夠安心使用本網站的各項服務與資訊,特此向您說明本網站的隱私權保護政策,以保障您的權益,請您詳閱下列內容:
一、隱私權保護政策的適用範圍
隱私權保護政策內容,包括本網站如何處理在您使用網站服務時收集到的個人識別資料。隱私權保護政策不適用於本網站以外的相關連結網站,也不適用於非本網站所委託或參與管理的人員。
二、個人資料的蒐集、處理及利用方式
三、資料之保護
四、網站對外的相關連結
本網站的網頁提供其他網站的網路連結,您也可經由本網站所提供的連結,點選進入其他網站。但該連結網站不適用本網站的隱私權保護政策,您必須參考該連結網站中的隱私權保護政策。
五、與第三人共用個人資料之政策
本網站絕不會提供、交換、出租或出售任何您的個人資料給其他個人、團體、私人企業或公務機關,但有法律依據或合約義務者,不在此限。前項但書之情形包括不限於:
六、Cookie之使用
為了提供您最佳的服務,本網站會在您的電腦中放置並取用我們的Cookie,若您不願接受Cookie的寫入,您可在您使用的瀏覽器功能項中設定隱私權等級為高,即可拒絕Cookie的寫入,但可能會導至網站某些功能無法正常執行 。
七、隱私權保護政策之修正
本網站隱私權保護政策將因應需求隨時進行修正,修正後的條款將刊登於網站上。