眾所周知,Web 瀏覽器越來越成為網絡犯罪分子的熱門目標,他們希望通過破壞端點來進入網絡。在缺乏傳統園區網絡外圍安全基礎設施的網絡上,瀏覽器(遠程工作)的業務使用越來越多,這使得它們更容易被利用。近幾個月來,我們發現由瀏覽器相關安全事件引起的網絡攻擊和數據洩露事件有所增加,包括 Dropbox 網絡釣魚攻擊導致的數據洩露事件,黑客在 11 月獲得了對公司 100 多個代碼存儲庫的訪問權限,以及12 月的 CircleCi 漏洞是由信息竊取惡意軟件感染引起的。
高度規避的自適應威脅或 HEAT 攻擊是對現有瀏覽器漏洞利用技術的一種新改造,使它們更加危險。這些攻擊利用瀏覽器的功能和工具繞過傳統的安全控制,然後從內部發起攻擊,包括破壞憑據或部署勒索軟件。這些攻擊由網絡釣魚消息、HTML 走私和動態路過式下載等已知策略組成,經常以 SaaS 應用程序和其他對生產力至關重要的基於 Web 的工具為目標。
HEAT 帶來的危險攻擊
不幸的是,HEAT 攻擊能夠通過偽裝成受害者認為安全的常見 URL 的惡意鏈接繞過典型的網絡安全控制,例如安全 Web 網關 (SWG) 和反惡意軟件功能。 HEAT 攻擊超越了歷史上通過電子郵件發起的傳統網絡釣魚方法,將自身插入到未被反網絡釣魚軟件標記的鏈接中
雖然傳統的安全工具能夠檢測到明顯和未掩飾的威脅,但它們不太可能識別並阻止一種高度規避和適應性強的威脅,這種威脅會特意偽裝自己,而不是作為傳統威脅出現。在 HEAT 攻擊到達瀏覽器本身之前採取的所有安全措施的有效性都大大降低,包括惡意鏈接分析、網絡和 HTTP 級別的檢查以及妥協指示器 (IOC) 提要。一旦 HEAT 策略繞過組織實施的所有傳統安全控制,攻擊者就能夠破壞憑據、提供勒索軟件並獲取敏感數據。
公司如何保護自己對抗 HEAT 攻擊
這些攻擊之所以成功,是因為通常它們已經繞過了傳統的安全措施,並且瀏覽器沒有先天機制來評估 HEAT 攻擊執行的代碼是惡意的還是良性的。出於這個原因,組織不能僅僅依靠他們的能力來阻止這些攻擊,因為他們的特徵具有有效的用途——他們必須學會防止對這些技術的惡意使用。
如果一個組織依賴於檢測和響應,這可能意味著攻擊將至少部分成功,受影響的系統將發現自己處於“遏制和恢復”狀態,而不是簡單地對小事件進行分類。當涉及 HEAT 攻擊時,僅用於檢測和響應威脅的安全控制是不可靠的,因此組織優先考慮預防措施至關重要。
組織應應用強身份驗證、持續重新授權、最低權限訪問和網絡分段以防止 HEAT 攻擊。全面保護攻擊媒介(瀏覽器)的解決方案是組織為避免 HEAT 攻擊而可以實施的最具預防性的工具,因為瀏覽器是這些攻擊暴露其真實面目的地方。強大的瀏覽器安全解決方案必須完全獨立於其他第三方源並監控運行時遙測,以便成功阻止 HEAT 攻擊。
鑑於瀏覽器的重要性,它理應成為組織供應鏈中更安全的組件作為當今勞動力中使用最廣泛的工具之一。隨著瀏覽器的新功能和用途變得越來越複雜,威脅參與者將在 2023 年繼續利用瀏覽器漏洞通過高度規避和自適應威脅破壞組織並訪問敏感數據。
HEAT 攻擊很難防禦,因為大多數工具無法完全阻止它們,並且能夠繞過常見的安全措施。這就是為什麼組織和安全團隊正確理解 HEAT 攻擊的運作方式並實施主動安全方法以領先攻擊者一步,同時更好地保護自己免受負面影響的原因尤為重要。
圖片來源: Wayne Williams
Avihay Cohen 是 Seraphic Security.