Es ist kein Geheimnis, dass der Webbrowser zu einem immer beliebteren Ziel für Cyberkriminelle wird, die versuchen, einen Endpunkt zu kompromittieren, um Zugang zu einem Netzwerk zu erhalten. Die zunehmende geschäftliche Nutzung des Browsers (Remote-Arbeit) in Netzwerken, denen die Perimeter-Sicherheitsinfrastruktur traditioneller Campus-Netzwerke fehlt, hat ihre Ausnutzung erleichtert. In den letzten Monaten haben wir eine Zunahme von Cyberangriffen und Datenlecks beobachtet, die durch browserbezogene Sicherheitsvorfälle verursacht wurden, einschließlich einer Datenschutzverletzung durch einen Phishing-Angriff auf Dropbox, der dem Hacker im November Zugriff auf über 100 Code-Repositories des Unternehmens verschaffte CircleCi-Verletzung im Dezember infolge einer Infektion mit informationsstehlender Malware.
Highly Evasive Adaptive Threats oder HEAT-Angriffe sind eine neue Variante bestehender Browser-Exploit-Techniken, die sie viel gefährlicher machen. Diese Angriffe nutzen Browser aus, indem sie Funktionen und Tools nutzen, um herkömmliche Sicherheitskontrollen zu umgehen, und greifen dann von innen an, einschließlich der Kompromittierung von Anmeldeinformationen oder der Bereitstellung von Ransomware. Diese Angriffe bestehen aus bekannten Taktiken wie Phishing-Nachrichten, HTML-Schmuggel und dynamischen Drive-by-Downloads und zielen häufig auf SaaS-Anwendungen und andere webbasierte Tools ab, die für die Produktivität entscheidend sind.
Von HEAT ausgehende Gefahren Angriffe
Leider sind HEAT-Angriffe in der Lage, typische Cybersicherheitskontrollen wie Secure Web Gateways (SWG) und Anti-Malware-Funktionen durch bösartige Links zu umgehen, die als allgemeine URLs getarnt sind, von denen die Opfer annehmen, dass sie sicher sind. HEAT-Angriffe gehen über traditionelle Phishing-Methoden hinaus, die in der Vergangenheit per E-Mail gestartet wurden, indem sie sich in Links einfügen, die nicht von Anti-Phishing-Software gekennzeichnet sind
Während herkömmliche Sicherheitstools offensichtliche und unmaskierte Bedrohungen erkennen können, ist die Wahrscheinlichkeit dafür weitaus geringer Erkennen und verhindern Sie eine äußerst ausweichende und anpassungsfähige Bedrohung, die sich tarnt und nicht als traditionelle Bedrohung erscheint. Alle Sicherheitsmaßnahmen, die ergriffen werden, bevor ein HEAT-Angriff den Browser selbst erreicht, sind deutlich weniger effektiv, einschließlich der Analyse bösartiger Links, Inspektionen auf Netzwerk-und HTTP-Ebene und IOC-Feeds (Indikator für Kompromittierung). Sobald HEAT-Taktiken alle herkömmlichen Sicherheitskontrollen umgehen, die von einem Unternehmen eingerichtet wurden, kann der Angreifer Anmeldeinformationen kompromittieren, Ransomware ausliefern und sensible Daten an sich reißen.
Wie Unternehmen sich schützen können Gegen HEAT-Angriffe
Diese Angriffe sind erfolgreich, weil sie im Allgemeinen bereits traditionelle Sicherheitsmaßnahmen umgangen haben und Browser keine angeborenen Mechanismen haben, um den von HEAT-Angriffen ausgeführten Code entweder als bösartig oder gutartig zu bewerten. Aus diesem Grund können sich Organisationen nicht nur auf ihre Fähigkeit verlassen, diese Angriffe zu blockieren, da ihre Eigenschaften gültige Verwendungszwecke haben – sie müssen lernen, den böswilligen Einsatz solcher Techniken zu verhindern.
Wenn sich eine Organisation darauf verlässt Erkennung und Reaktion bedeutet dies wahrscheinlich, dass der Angriff zumindest teilweise erfolgreich ist und sich das betroffene System in einer „Eindämmungs-und Wiederherstellungssituation“ befindet, anstatt nur einen geringfügigen Vorfall zu triagieren. Sicherheitskontrollen, die nur dazu dienen, Bedrohungen zu erkennen und darauf zu reagieren, sind unzuverlässig, wenn es um HEAT-Angriffe geht. Daher ist es wichtig, dass Organisationen präventiven Maßnahmen Vorrang einräumen.
Organisationen sollten die Zero-Trust-Prinzipien der starken Authentifizierung, kontinuierlichen Neuautorisierung, Zugang mit den geringsten Rechten und Netzwerksegmentierung zum Schutz vor HEAT-Angriffen. Eine Lösung, die den Angriffsvektor (den Browser) in seiner Gesamtheit schützt, ist das präventivste Tool, das ein Unternehmen implementieren kann, um HEAT-Angriffe zu vermeiden, da der Browser der Ort ist, an dem sich diese Angriffe als das herausstellen, was sie wirklich sind. Starke Browser-Sicherheitslösungen müssen völlig unabhängig von anderen Feeds von Drittanbietern sein und die Laufzeittelemetrie überwachen, um HEAT-Angriffe erfolgreich zu vereiteln.
Der Browser verdient aufgrund seiner Bedeutung eine sicherere Komponente der organisatorischen Lieferkette als eines der am weitesten verbreiteten Tools in der heutigen Belegschaft. Da Browser mit neuen Funktionen und Einsatzmöglichkeiten immer komplexer werden, werden Bedrohungsakteure auch 2023 Browser-Schwachstellen nutzen, um Organisationen zu verletzen und durch hochgradig ausweichende und anpassungsfähige Bedrohungen auf sensible Daten zuzugreifen.
HEAT-Angriffe sind schwierig zu verteidigen, weil Sie können von den meisten Tools nicht vollständig verhindert werden und sind in der Lage, gängige Sicherheitsmaßnahmen zu umgehen. Aus diesem Grund ist es besonders wichtig, dass Organisationen und Sicherheitsteams genau wissen, wie HEAT-Angriffe funktionieren, und proaktive Sicherheitsansätze implementieren, um Angreifern immer einen Schritt voraus zu sein und sich gleichzeitig besser vor den negativen Auswirkungen zu schützen.
Bildnachweis: Wayne Williams
Avihay Cohen ist CTO und Mitbegründer von Seraphic Security.