A medida que las empresas continúan cambiando sus operaciones al navegador, los equipos de seguridad enfrentan un creciente conjunto de desafíos cibernéticos. De hecho, más del 80% de los incidentes de seguridad ahora se originan en aplicaciones web a las que se accede a través de Chrome, Edge, Firefox y otros navegadores. Un adversario de desarrollo particularmente rápido, Spure Spider, ha hecho su tarea causar estragos en las empresas al dirigirse específicamente a datos confidenciales en estos navegadores.
La araña dispersa, incluso conocida como UNC3944, la tempestad de octo o Libra confundida, ha madurado en los últimos dos primaveras a través de la orientación de precisión de los entornos de identidad humana y navegadores. Este cambio los diferencia de otros cybergangs notorios como el Conjunto Lazarus, Fancy Bear y Revil. Si la información confidencial como su calendario, credenciales o tokens de seguridad está viva y correctamente en las pestañas del navegador, la araña dispersa puede adquirirlos.
En este artículo, aprenderá detalles sobre los métodos de ataque de Spider dispersos y cómo puede detenerlos en sus pistas. En normal, esta es una señal de atención a los CISO en todas partes para elevar la seguridad del navegador de la ordenamiento de un control auxiliar a un pilar central de su defensa.
Dispersó la esclavitud de ataque centrada en el navegador de Spider
La araña dispersa evita el phishing de detención convexidad a atención de la explotación de precisión. Esto se hace aprovechando la confianza de los usuarios en su aplicación diaria más utilizada, robando credenciales guardadas y manipulando el tiempo de ejecución del navegador.
- Trucos de navegador: Técnicas como las superposiciones de navegador en el navegador (BITB) y la cuna de autos de relleno se utilizan para robar credenciales mientras evaden la detección por herramientas de seguridad tradicionales como la detección y respuesta de punto final (EDR).
- Robo de token de sesión: La araña dispersa y otros atacantes pasarán por detención la autenticación de factores múltiples (MFA) para capturar tokens y cookies personales de la memoria del navegador.
- Extensiones maliciosas e inyección de JavaScript: Las cargas efectos maliciosas se entregan a través de extensiones falsas y ejecutan interiormente del navegador a través de técnicas de transmisión y otros métodos avanzados.
- Agradecimiento basado en el navegador: Las API web y el perforación de las extensiones instaladas permiten a estos atacantes obtener el planisferio de camino de los sistemas internos críticos.
Para obtener un desglose técnico completo de estas tácticas, ver Araña dispersa interiormente del navegador: hilos de compromiso de seguimiento.
Seguridad estratégica de la capa de navegador: un plan para CISOS
Para contrarrestar la araña dispersa y otras amenazas avanzadas del navegador, CISOS debe utilizar una organización de seguridad del navegador de varias capas en los siguientes dominios.
1. Detener el robo de credenciales con protección de script de tiempo de ejecución
Los ataques de phishing han existido durante décadas. Los atacantes como la araña dispersa, sin incautación, han innovador sus técnicas diez veces en los últimos primaveras. Estas campañas de phishing avanzadas ahora dependen de las ejecuciones maliciosas de JavaScript que se ejecutan directamente interiormente del navegador, evitando herramientas de seguridad como EDR. Esto se hace para robar credenciales de legatario y otros datos confidenciales. Para asediar con éxito las superposiciones de phishing e interceptar patrones peligrosos que roban credenciales, las organizaciones deben implementar la protección de tiempo de ejecución de JavaScript para analizar el comportamiento. Al aplicar dicha protección, los líderes de seguridad pueden evitar que los atacantes obtengan camino y roben credenciales antaño de que sea demasiado tarde.
2. Alertar las adquisiciones de cuentas mediante la protección de las sesiones
Una vez que las credenciales de los usuarios entran en las manos equivocadas, atacantes como Spattered Spider se moverán rápidamente para secuestrar sesiones previamente autenticadas robando cookies y tokens. Apoyar la integridad de las sesiones de navegador se puede alcanzar mejor restringiendo que los scripts no autorizados obtengan camino o exfiltren estos artefactos sensibles. Las organizaciones deben hacer cumplir las políticas de seguridad contextuales basadas en componentes como la postura del dispositivo, la comprobación de identidad y la confianza de la red. Al vincular los tokens de sesión con el contexto, las empresas pueden evitar ataques como adquisiciones de cuentas, incluso luego de que las credenciales se hayan comprometidas.
3. Hacer cumplir la gobernanza de la extensión y asediar los guiones deshonestos
Las extensiones del navegador se han vuelto extremadamente populares en los últimos primaveras, con Google Chrome con más de 130,000 para descargar en la tienda web de Chrome. Si correctamente pueden servir como refuerzos de productividad, incluso se han convertido en vectores de ataque. Las extensiones maliciosas o mal examinadas pueden solicitar permisos invasivos, inyectar scripts maliciosos en el navegador o hacer como el sistema de entrega para las cargas efectos de ataque. Las empresas deben hacer cumplir una gobernanza de extensión sólida para permitir extensiones preaprobadas con permisos validados. Igualmente importante es la privación de asediar los scripts no confiables antaño de que se ejecuten. Este enfoque asegura que las extensiones legítimas permanezcan disponibles, por lo que el flujo de trabajo del legatario no se interrumpe.
4. Interrumpir el gratitud sin romper los flujos de trabajo legítimos
Los atacantes como la araña dispersa a menudo comenzarán los ataques a través del gratitud del navegador. Lo hacen utilizando API como WEBRTC, CORS o huellas digitales para mapear el entorno. Esto les permite identificar aplicaciones de uso frecuente o rastrear el comportamiento específico del legatario. Para detener este gratitud, las organizaciones deben deshabilitar o reemplazar las API confidenciales con señuelos que entregan información incorrecta al liga de ataque. Sin incautación, se necesitan políticas adaptativas para evitar la ruptura de los flujos de trabajo legítimos, que son particularmente importantes en los dispositivos BYOD y no administrados.
5. Integrar la telemetría del navegador en inteligencia de seguridad procesable
Aunque la seguridad del navegador es la última milla de defensa para los ataques sin malware, integrarla en una pila de seguridad existente fortalecerá toda la red. Al implementar registros de actividad enriquecidos con datos del navegador en plataformas SIEM, SOAR e ITDR, CISOS puede correlacionar los eventos del navegador con actividad de punto final para una imagen mucho más completa. Esto permitirá a los equipos de SOC obtener respuestas de incidentes más rápidas y un mejor apoyo a las actividades de caza de amenazas. Hacerlo puede mejorar los tiempos de alerta en los ataques y blindar la postura normal de seguridad de una ordenamiento.
Casos de uso de seguridad del navegador e impactos comerciales
La implementación de la protección del navegador-nativo ofrece beneficios estratégicos medibles.
| Caso de uso | Preeminencia estratégica |
| Phishing y prevención de ataque | Detiene el robo de la credencial del navegador antaño de la ejecución |
| Gobierno de extensiones web | Control de instalaciones y solicitudes de permiso de extensiones web conocidas y desconocidas |
| Facultad segura de Genai | Implementa el camino adaptativo, basado en políticas y consciente de contexto a herramientas de IA generativas |
| Prevención de pérdida de datos | Asegura que no hay datos corporativos expuestos o compartidos con partes no autorizadas |
| BYOD y seguridad del contratista | Asegura dispositivos no administrados con controles por navegador por sesión |
| Refuerzo de confianza cero | Alcahuetería a cada sesión del navegador como un tope no confiable, validando el comportamiento contextualmente |
| Conexión de aplicación | Asegura que un legatario se autentique correctamente con los niveles correctos de protección |
| Seguro camino remoto a SaaS | Permite una conexión segura a aplicaciones SaaS internas sin la privación de agentes o VPN adicionales |
Recomendaciones para el liderazgo de seguridad
- Evaluar su postura de aventura: Use herramientas como el navegadorTotal ™ Para determinar dónde se encuentran las vulnerabilidades del navegador en su ordenamiento.
- Habilitar la protección del navegador: Implemente una posibilidad que sea capaz de protección de JavaScript en tiempo existente, seguridad del token, supervisión de extensión y telemetría a través de Chrome, Edge, Firefox, Safari y todos los demás navegadores.
- Aclarar políticas contextuales: Haga cumplir las reglas sobre las API web, la captura de credenciales, la instalación de extensiones web y las descargas.
- Integre con su pila existente: Feed Telemetry de amenaza habilitada para el navegador en herramientas SIEM, SOAR o EDR que ya usa diariamente. Esto enriquecerá sus capacidades de detección y respuesta.
- Educar a su equipo: La seguridad del navegador de cemento como principio central de su casa de confianza cero, protección SaaS y camino a BYOD.
- Prueba y valida continuamente: Simule ataques reales basados en el navegador para que pueda validar sus defensas y asimilar dónde pueden estar sus puntos ciegos.
- Insensibilizar el camino de identidad entre los navegadores: Ponga una autenticación adaptativa en su oportunidad que valida continuamente la identidad interiormente de cada sesión.
- Auditar regularmente las extensiones del navegador: Desarrolle procesos de revisión para realizar un seguimiento de todas las extensiones en uso.
- Aplicar el último privilegio a las API web:
- Restringir las API del navegador sensible a las aplicaciones comerciales que las requieren.
- Automatizar la caza de amenazas del navegador: Aproveche la telemetría del navegador e integre los datos con su pila existente para averiguar patrones sospechosos.
Pensamiento final: los navegadores como el nuevo perímetro de identidad
El liga de arañas dispersas personifica cómo los atacantes pueden progresar sus tácticas de dirigirse a un punto final a centrarse en la aplicación más utilizada de la empresa, el navegador. Lo hacen para robar identidades, hacerse cargo de las sesiones y permanecer interiormente del entorno de un legatario sin dejar rastrillo. Los CISO deben adaptarse y usar controles de seguridad nativos del navegador para detener estas amenazas basadas en la identidad.
Cambiar en una plataforma de seguridad sin fricción y consciente de tiempo de ejecución es la respuesta. En oportunidad de ser reaccionarios, los equipos de seguridad pueden detener los ataques en la fuente. Para todos los líderes de seguridad, la protección del navegador Enterprise no solo funciona para mitigar a los atacantes como una araña dispersa; Fortifica la ventana a su empresa y actualiza la postura de seguridad para todas las aplicaciones SaaS, el trabajo remoto y más allá.
Para obtener más información sobre los navegadores empresariales seguros y cómo pueden beneficiar a su ordenamiento, hable con un entendido seraphic.
