Kontakt
Tehnična pomoč

Kako je brskalnik postal glavno bojišče v kibernetski varnosti

  • Novice

Do nedavnega je bila metodologija kibernetskih napadov, ki so povzročili največje vdore v zadnjem desetletju, precej dosledna:

  • kompromitirati končno točko (ang. endpoint) z izkoriščanjem programske ranljivosti ali z napadom na uporabnika prek socialnega inženiringa, da zažene zlonamerno programsko opremo na svoji napravi;
  • poiskati načine za lateralno gibanje znotraj omrežja in kompromitirati privilegirane identitete;
  • po potrebi ponoviti, dokler ne izvedeš želenega napada – običajno kraja podatkov iz datotečnih strežnikov, izvedba izsiljevalske programske opreme ali oboje.

Toda napadi so se temeljito spremenili, saj so se razvijala tudi omrežja. Z razširjeno uporabo SaaS-a v podjetjih osnovni poslovni sistemi niso več lokalno nameščeni in centralno upravljani kot včasih. Namesto tega se vanje prijavlja prek interneta in dostopa prek spletnega brskalnika.

V modelu deljene odgovornosti je del, ki ostane v domeni podjetja kot uporabnika SaaS storitev, večinoma omejen na upravljanje identitet – način, kako se do aplikacije dostopa in kako jo uporablja delovna sila. Zato ni presenetljivo, da je prav to postalo mehka točka, na katero ciljajo napadalci.

To smo znova in znova videli pri največjih vdorih zadnjih let, med katerimi posebej izstopata obsežna kampanja Snowflake v letu 2024 in val napadov v letu 2025, ki jih pripisujejo skupini Scattered Spider.

Ti napadi so tako uspešni zato, ker so se napadalci prilagodili spremembam v podjetniški IT infrastrukturi, medtem ko se varnostni ukrepi niso dovolj hitro razvijali.

Brskalnik je novo bojišče in varnostna slepa pega

Prevzem identitet zaposlenih je prvi cilj napadalcev, ki ciljajo na organizacijo, brskalnik pa je prostor, kjer se ti napadi dejansko zgodijo. To zato, ker se prav tam ustvarjajo in uporabljajo digitalne identitete – tam se nahajajo poverilnice in seje. To je tisto, kar si napadalec želi pridobiti.

Ukradene poverilnice se lahko uporabijo v ciljanih napadih ali v širših napadih z množičnim preverjanjem kombinacij uporabniških imen in gesel (credential stuffing), medtem, ko se ukradeni sejni žetoni lahko uporabijo za neposredno prijavo v aktivno sejo, s čimer se zaobide postopek preverjanja pristnosti.

Napadalci imajo na voljo več tehnik za pridobivanje teh identitet. Ukradene poverilnice zbirajo iz različnih virov – iz baz podatkov preteklih vdorov, množičnih phishing kampanj, logov infostealerjev ali celo prek zlonamernih razširitev za brskalnik, v katere prepričajo zaposlene, da jih namestijo.

Ekosistem kibernetskega kriminala se je v zadnjem času pravzaprav obrnil v to smer – pojavili so se hekerji, katerih edini namen je zbiranje poverilnic in ustvarjanje dostopov, ki jih potem izkoriščajo drugi.

Vdori Snowflake v letu 2024 predstavljajo prelomni trenutek pri prehodu na napade, osredotočene na identiteto, kjer so napadalci z ukradenimi poverilnicami dostopali do računov v stotinah strankinih okolij (ang. tenant). Eden glavnih virov teh poverilnic so bili logi infostealerjev iz leta 2020 – gesla, ki niso bila nikoli spremenjena ali zavarovana z večfaktorsko avtentikacijo.

Infostealerji so pomembni zato, ker gre za napade z zlonamerno programsko opremo (ang. malware), namenjeno kraji poverilnic in sejnim žetonom (predvsem iz brskalnika), ki napadalcu omogočajo, da se potem prijavi v storitve – prek svojega brskalnika.

Tudi današnji napadi na končne točke se tako vračajo v brskalnik, da bi pridobili dostop do identitet – ključ do spletnih aplikacij in storitev, kjer danes prebivajo podatki in funkcionalnosti, ki jih je mogoče zlorabiti.

Napadi (v) brskalniku proti napadom (na) brskalnik

Pomembno je razlikovati med napadi, ki se dogajajo v brskalniku, in tistimi, ki so usmerjeni neposredno proti brskalniku.

Raste soglasje, da je brskalnik postal nova končna točka. A ta primerjava ni popolna – resničnost je, da imajo spletni brskalniki bistveno manjšo površino za napade kot tradicionalni operacijski sistemi –> primerjava, recimo, med Google Chrome in Windows OS je precej nerealna.

Napadi, ki neposredno ciljajo na brskalnik kot orodje za kompromitacijo identitet, so redki. Ena najbolj očitnih vstopnih točk pa so zlonamerne razširitve za brskalnik – scenariji, v katerih je uporabnik:

  • prepričan v to, da namesti že vnaprej zlonamerno razširitev, ali
  • uporablja razširitev, ki jo kasneje kompromitira napadalec (dostikrat).

A težavo z razširitvami je mogoče rešiti enkrat in nato nadaljevati z delom. Resnica je, da uporabniki ne bi smeli nameščati naključnih razširitev za brskalnik, in glede na tveganje bi morali:

  • zakleniti okolje tako, da dovoljuje le nekaj bistvenih razširitev;
  • spremljati indikatorje, da je katera od zaupanja vrednih razširitev morda kompromitirana.

To sicer ne velja v okolju, kjer imajo uporabniki popolno svobodo nameščanja, kar pa je enakovredno temu, da je vsak uporabnik lokalni administrator – kar vodi v težave. Zaklepanje razširitev v podjetju je mogoče doseči z uporabo že obstoječih orodij – denimo, če ste naročnik storitev Chrome Enterprise.

Enkrat preglejte uporabnike, odobrite samo nujno potrebne razširitve in zahtevajte odobritev za vse nove.

Identiteta je nagrada, brskalnik je platforma – in phishing je orožje izbire

Katera tehnika pa še vedno povzroča največ napadov na identitete? Phishing.

Phishing za gesla, seje, soglasja prek OAuth, avtorizacijske kode. Phishing prek e-pošte, neposrednih sporočil, družbenih omrežij, zlonamernih oglasov na Googlu – vse to se dogaja v brskalniku ali vodi vanj.

Sodobni phishing napadi so bolj učinkoviti kot kdaj koli prej. Danes delujejo na industrijski ravni, z množico tehnik za prikrivanje in izogibanje zaznavi, da varnostna orodja za e-pošto in omrežje ne morejo ustaviti groženj. Najpogostejši primer danes je uporaba zaščite pred boti (na primer CAPTCHA ali Cloudflare Turnstile), ki z legitimnimi anti-spam funkcijami blokira varnostna orodja.

Nova generacija popolnoma prilagojenih kompletov za phishing (ang. phishing kit) z napadi posnemanja vmesnika (AitM) dinamično prikriva kodo za nalaganje strani, implementira lastne CAPTCHA zaščite in uporablja funkcije za preprečevanje analize med izvajanjem, kar vse otežuje zaznavo.

Tudi načini dostave zlonamernih povezav postajajo vse bolj prefinjeni z več kanali za dostavo in uporabo zakonitih SaaS storitev za prikrivanje.

Identitete so najlažja tarča za napadalce

Cilj sodobnega napadalca – in najlažji način za vdor v digitalno okolje vašega podjetja – je kompromitacija identitet. Ne glede na to, ali gre za phishing napade, zlonamerne razširitve ali infostealer malware, je cilj vedno enak – prevzem računa.

Podjetja se soočajo z ogromno in ranljivo površino za napade, ki vključuje:

  • stotine aplikacij, s tisoči računov, razpršenih po celotnem aplikacijskem okolju;
  • račune, ranljive za phishing napade, ki obidejo MFA, ker uporabljajo metode prijave, ki niso odporne na phishing, ali ker je prijavna metoda znižana;
  • račune s šibkimi, ponovno uporabljenimi ali kompromitiranimi gesli brez MFA (pogosto posledica pozabljenih t. i. “ghost” prijav);
  • popoln obvod postopka preverjanja pristnosti za izogibanje sicer učinkovitim MFA metodam z zlorabo funkcionalnosti, kot so API ključi, aplikacijska gesla, phishing za OAuth soglasje, posnemanje med različnimi IdP-ji itd.

Najnovejši trendi kažejo, da napadalci odgovarjajo na vse bolj utrjene konfiguracije IdP/SSO sistemov z uporabo alternativnih phishing tehnik, ki zaobidejo MFA in gesla –> najpogosteje z uporabo zlahka napadljivih rezervnih metod preverjanja pristnosti.

Ključni razlog za ranljivost identitet je velika raznolikost v možnostih nastavitve računov v različnih aplikacijah – z zelo različnimi nivoji vidnosti in nadzora nad prijavnimi metodami in MFA statusom.

Medtem, ko lahko eno aplikacijo popolnoma zaklenemo z uporabo SSO prek SAML in samodejnim odstranjevanjem neuporabljenih gesel, druga aplikacija ne omogoča nobenega nadzora. To je bil eden ključnih vzrokov za vdore v Snowflake.

Na koncu so identitete napačno nastavljene, varnostne ekipe jih ne vidijo in jih zlonamerni akterji redno izkoriščajo z orodji, ki so že široko dostopna. Ni presenetljivo, da so ravno one danes glavni cilj napadalcev.

Rešitev: Brskalnik kot vir telemetrije in nadzorna točka

Ker se napadi na identitete odvijajo v brskalniku, je to tudi idealno mesto, kjer lahko varnostne ekipe spremljajo, prestrezajo in ustavljajo tovrstne napade.

Brskalnik ima številne prednosti pred drugimi mesti, kjer lahko opazujemo in varujemo identitete:

  • niste omejeni samo na aplikacije in identitete, neposredno povezane z vašim IdP (ang. Identity provider) (to je le delček vseh identitet v podjetju);
  • niste omejeni samo na aplikacije, ki jih poznate in upravljate centralno – lahko opazujete vsako prijavo, ki poteka prek brskalnika;
  • lahko opazujete vse lastnosti prijave, vključno z metodo prijave, uporabo MFA itd. – sicer bi za te podatke morda potrebovali API dostop (če ta sploh obstaja in če podpira takšno poizvedbo, kar pri mnogih aplikacijah ni standard).

Jasno je, da je odpravljanje vseh identitetnih ranljivosti ogromen izziv – SaaS ekosistem vam pri tem pravzaprav otežuje delo. Zato je zaznava in odziv na napade na identiteto ključnega pomena. Ker skoraj vsi napadi na identitete vključujejo phishing ali socialni inženiring uporabnika, da nekaj izvede v brskalniku (z nekaj izjemami, kot so napadi na podporne službe, povezani s Scattered Spider), je to tudi najboljše mesto za spremljanje in preprečevanje.

V brskalniku lahko zberete poglobljene, kontekstualizirane podatke o vedenju strani in vnosih uporabnikov, ki jih lahko uporabite za zaznavo in zaustavitev tveganih situacij v realnem času. Vzemimo za primer phishing strani. Ker Push deluje znotraj brskalnika, vidi vse:

  • postavitev strani
  • od kod je prišel uporabnik
  • geslo, ki ga vpiše (v obliki “soljenega”, skrajšanega hasha)
  • katere skripte se izvajajo
  • kam se pošiljajo poverilnice

Zaključek

Napadi na identitete so danes največji nerešen problem, s katerim se soočajo varnostne ekipe, in glavni vzrok za varnostne vdore. Obenem pa brskalnik ponuja vsa orodja, ki jih varnostne ekipe potrebujejo, da take napade preprečijo, zaznajo in ustavijo –> proaktivno z iskanjem in odpravljanjem ranljivosti v identitetah ter reaktivno z zaznavanjem in blokiranjem napadov v realnem času.

Organizacije se morajo oddaljiti od zastarelih načinov upravljanja varnosti identitet – zanašanja na MFA, upravljalske nadzorne plošče za identitete in stare e-poštne filtre proti phishingu. Ni boljšega mesta za ustavitev teh napadov kot prav v brskalniku.

Dodatna opomba za razmislek

Zapis temelji na odlični analizi, ki jo je na portalu Hacker News objavil eden izmed tehnoloških partnerjev, Push Security. Njihova rešitev temelji na konceptu zaščite neposredno v brskalniku, kar je z vidika zaznavanja napadov na identitete še posebej zanimivo.

Push obljublja zaznavo in preprečevanje napadov, kot so AiTM phishing, kraja sejnih žetonov, napadi z gesli in preverjanje razpršenih ranljivosti v aplikacijah, ki jih uporabljajo zaposleni – vključno z nevidnimi (ghost) prijavami, pomanjkljivo pokritostjo z SSO/MFA, tveganimi OAuth integracijami in več.

V podjetju Inovis te možnosti še dodatno raziskujemo, saj se zavedamo, da bo vloga brskalnika kot prve obrambne linije v prihodnosti le še bolj ključna.

Če se tudi vi srečujete s podobnimi vprašanji glede zaščite identitet in razmišljate, kako vpeljati učinkovitejše ukrepe znotraj brskalnika, je to tehnologija, vredna pozornosti in mi vsekakor ekipa, ki vam zna ustrezno svetovati na tem področju.

Delite objavo:

Zadnje objave

ChatGPT, Gemini in GenAI orodja ranljiva za napade »Man-in-the-Prompt«

  • Novice
PREBERI VEČ

Namizne simulacije (TTX): strateška investicija v kibernetsko odpornost

  • Novice
PREBERI VEČ

Skrite slabosti AI SOC orodij, o katerih nihče ne govori

  • Novice
PREBERI VEČ