Não é segredo que o navegador da Web está se tornando um alvo cada vez mais popular para cibercriminosos que procuram comprometer um endpoint para obter acesso a uma rede. O aumento do uso comercial do navegador (trabalho remoto) em redes que não possuem a infraestrutura de segurança de perímetro das redes de campus tradicionais tornou-as mais fáceis de explorar. Nos últimos meses, vimos um aumento nos ataques cibernéticos e vazamentos de dados causados por incidentes de segurança relacionados ao navegador, incluindo uma violação de dados causada por um ataque de phishing no Dropbox que deu ao hacker acesso a mais de 100 repositórios de código da empresa em novembro e Violação do CircleCi em dezembro resultante de uma infecção de malware de roubo de informações.
Ameaças adaptativas altamente evasivas, ou ataques HEAT, são uma nova versão das técnicas de exploração de navegador existentes que as tornam muito mais perigosas. Esses ataques exploram os navegadores, aproveitando recursos e ferramentas para contornar os controles de segurança tradicionais e, em seguida, atacar de dentro, incluindo credenciais comprometedoras ou implantação de ransomware. Compostos por táticas conhecidas, como mensagens de phishing, contrabando de HTML e downloads drive-by dinâmicos, esses ataques frequentemente visam aplicativos SaaS e outras ferramentas baseadas na Web que são essenciais para a produtividade.
Perigos apresentados pelo HEAT Ataques
Infelizmente, os ataques HEAT são capazes de contornar controles típicos de segurança cibernética, como Secure Web Gateways (SWG) e recursos antimalware, por meio de links maliciosos disfarçados de URLs comuns que as vítimas supõem ser seguros. Os ataques HEAT vão além dos métodos tradicionais de phishing, que historicamente foram lançados por e-mail, inserindo-se em links que não são sinalizados por software anti-phishing
Embora as ferramentas de segurança convencionais sejam capazes de detectar ameaças óbvias e desmascaradas, elas são muito menos propensas a identificar e prevenir uma ameaça altamente evasiva e adaptativa que faz de tudo para se disfarçar e não aparecer como uma ameaça tradicional. Todas as medidas de segurança que estão em vigor antes de um ataque HEAT atingir o próprio navegador são significativamente menos eficazes, incluindo análise de link malicioso, inspeções de nível de rede e HTTP e feeds de indicador de comprometimento (IOC). Depois que as táticas do HEAT ignoram todos os controles de segurança tradicionais implementados por uma organização, o invasor pode comprometer as credenciais, fornecer ransomware e se apoderar de dados confidenciais.
Como as empresas podem se proteger Contra ataques HEAT
Esses ataques são bem-sucedidos porque, geralmente, eles já contornaram as medidas de segurança tradicionais e os navegadores não possuem mecanismos inatos para avaliar o código que os ataques HEAT executam como malicioso ou benigno. Por esse motivo, as organizações não podem confiar apenas em sua capacidade de bloquear esses ataques, pois suas características têm usos válidos-elas devem aprender a evitar o uso mal-intencionado de tais técnicas.
Se uma organização está contando com detecção e resposta, provavelmente significa que o ataque será pelo menos parcialmente bem-sucedido e o sistema afetado se encontrará em uma situação de”contenção e recuperação”, em vez de simplesmente fazer a triagem de um incidente menor. Os controles de segurança que funcionam apenas para detectar e responder a ameaças não são confiáveis quando se trata de ataques HEAT, por isso é fundamental que as organizações priorizem medidas preventivas.
As organizações devem aplicar os princípios Zero Trust de autenticação forte, reautorização contínua, acesso com privilégios mínimos e segmentação de rede para proteção contra ataques HEAT. Uma solução que protege o vetor de ataque (o navegador) em sua totalidade é a ferramenta mais preventiva que uma organização pode implementar para evitar ataques HEAT, pois o navegador é o local onde esses ataques se revelam pelo que realmente são. Soluções de segurança de navegador fortes devem ser totalmente autônomas de outros feeds de terceiros e monitorar a telemetria de tempo de execução para impedir ataques HEAT com sucesso.
O navegador merece ser um componente mais seguro da cadeia de suprimentos organizacional devido à sua importância como uma das ferramentas mais utilizadas na força de trabalho de hoje. À medida que os navegadores se tornam mais complexos com novos recursos e usos, os agentes de ameaças continuarão a aproveitar as vulnerabilidades do navegador em 2023 para violar organizações e acessar dados confidenciais por meio de ameaças altamente evasivas e adaptáveis.
Os ataques HEAT são difíceis de defender porque eles não podem ser completamente evitados pela maioria das ferramentas e podem contornar medidas de segurança comuns. É por isso que é especialmente importante que as organizações e as equipes de segurança tenham uma compreensão adequada de como os ataques HEAT operam e implementem abordagens de segurança proativas para ficar um passo à frente dos invasores e, ao mesmo tempo, proteger-se melhor das repercussões negativas.
Crédito da imagem: Wayne Williams
Avihay Cohen é CTO e cofundador da Seraphic Security.