No es ningún secreto que el navegador web se está convirtiendo en un objetivo cada vez más popular para los ciberdelincuentes que buscan comprometer un punto final para obtener acceso a una red. El mayor uso comercial del navegador (trabajo remoto) en redes que carecen de la infraestructura de seguridad perimetral de las redes de campus tradicionales las ha hecho más fáciles de explotar. En los últimos meses, hemos visto un aumento en los ataques cibernéticos y las filtraciones de datos causados por incidentes de seguridad relacionados con el navegador, incluida una violación de datos causada por un ataque de phishing en Dropbox que le dio acceso al hacker a más de 100 de los repositorios de códigos de la compañía en noviembre, y La violación de CircleCi de diciembre como resultado de una infección de malware que roba información.
Las amenazas adaptables altamente evasivas, o ataques HEAT, son un nuevo giro en las técnicas de explotación de navegador existentes que las hacen mucho más peligrosas. Estos ataques aprovechan los navegadores aprovechando funciones y herramientas para eludir los controles de seguridad tradicionales y luego atacar desde adentro, lo que incluye comprometer las credenciales o implementar ransomware. Estos ataques, que se componen de tácticas conocidas como mensajes de phishing, contrabando de HTML y descargas automáticas dinámicas, se dirigen con frecuencia a aplicaciones SaaS y otras herramientas basadas en web que son fundamentales para la productividad.
Peligros que plantea HEAT Ataques
Desafortunadamente, los ataques HEAT pueden eludir los controles típicos de seguridad cibernética como Secure Web Gateways (SWG) y las capacidades antimalware a través de enlaces maliciosos disfrazados de URL comunes que las víctimas asumen que son seguras. Los ataques HEAT van más allá de los métodos de phishing tradicionales, que históricamente se han lanzado a través del correo electrónico, al insertarse en enlaces que no están marcados por software anti-phishing.
Si bien las herramientas de seguridad convencionales pueden detectar amenazas obvias y desenmascaradas, es mucho menos probable que lo hagan. identificar y prevenir una amenaza altamente evasiva y adaptativa que se esfuerza por disfrazarse y no aparecer como una amenaza tradicional. Todas las medidas de seguridad implementadas antes de que un ataque HEAT llegue al navegador son significativamente menos efectivas, incluido el análisis de enlaces maliciosos, las inspecciones a nivel de red y HTTP y las fuentes de indicadores de compromiso (IOC). Una vez que las tácticas HEAT eluden todos los controles de seguridad tradicionales que ha implementado una organización, el atacante puede comprometer las credenciales, entregar ransomware y apoderarse de datos confidenciales.
Cómo las empresas pueden protegerse a sí mismas Contra ataques HEAT
Estos ataques tienen éxito porque, generalmente, ya han pasado por alto las medidas de seguridad tradicionales y los navegadores no tienen mecanismos innatos para evaluar el código que ejecutan los ataques HEAT como malicioso o benigno. Por esta razón, las organizaciones no pueden confiar solo en su capacidad para bloquear estos ataques, ya que sus características tienen usos válidos: deben aprender a prevenir el uso indebido de tales técnicas.
Si una organización confía en detección y respuesta, probablemente significa que el ataque será al menos parcialmente exitoso y el sistema afectado se encontrará en una situación de”contención y recuperación”, en lugar de simplemente clasificar un incidente menor. Los controles de seguridad que funcionan solo para detectar y responder a las amenazas no son confiables cuando se trata de ataques HEAT, por lo que es fundamental que las organizaciones den prioridad a las medidas preventivas.
Las organizaciones deben aplicar los principios de confianza cero de autenticación fuerte, reautorización continua, acceso con privilegios mínimos y segmentación de red para proteger contra ataques HEAT. Una solución que protege el vector de ataque (el navegador) en su totalidad es la herramienta más preventiva que una organización puede implementar para evitar ataques HEAT, ya que el navegador es el lugar donde estos ataques se revelan por lo que realmente son. Las soluciones sólidas de seguridad del navegador deben ser totalmente autónomas de otras fuentes de terceros y monitorear la telemetría en tiempo de ejecución para frustrar con éxito los ataques HEAT.
El navegador merece ser un componente más seguro de la cadena de suministro organizacional dada su importancia como una de las herramientas más utilizadas en la fuerza laboral actual. A medida que los navegadores se vuelven más complejos con nuevas funciones y usos, los actores de amenazas continuarán aprovechando las vulnerabilidades de los navegadores en 2023 para violar organizaciones y acceder a datos confidenciales a través de amenazas altamente evasivas y adaptables.
Los ataques HEAT son difíciles de defender porque la mayoría de las herramientas no pueden prevenirlos por completo y pueden eludir las medidas de seguridad comunes. Por eso es especialmente importante que las organizaciones y los equipos de seguridad tengan una comprensión adecuada de cómo funcionan los ataques HEAT e implementen enfoques de seguridad proactivos para estar un paso por delante de los atacantes y protegerse mejor de las repercusiones negativas.
Crédito de la imagen: Wayne Williams
Avihay Cohen es CTO y cofundador de Seraphic Security.