Non è un segreto che il browser Web stia diventando un obiettivo sempre più popolare per i criminali informatici che cercano di compromettere un endpoint per ottenere l’accesso a una rete. L’aumento dell’uso aziendale del browser (lavoro remoto) su reti prive dell’infrastruttura di sicurezza perimetrale delle tradizionali reti di campus ne ha reso più facile lo sfruttamento. Negli ultimi mesi, abbiamo assistito a un aumento degli attacchi informatici e delle fughe di dati causati da incidenti di sicurezza relativi al browser, tra cui una violazione dei dati causata da un attacco di phishing su Dropbox che ha consentito all’hacker di accedere a oltre 100 repository di codice dell’azienda a novembre, e La violazione di CircleCi di dicembre derivante da un’infezione di malware che ruba informazioni.
Le minacce adattive altamente evasive, o attacchi HEAT, sono una nuova svolta sulle tecniche di exploit del browser esistenti che le rendono molto più pericolose. Questi attacchi sfruttano i browser sfruttando funzionalità e strumenti per aggirare i tradizionali controlli di sicurezza e quindi attaccare dall’interno, inclusa la compromissione delle credenziali o la distribuzione di ransomware. Composti da tattiche note come messaggi di phishing, contrabbando di HTML e download drive-by dinamici, questi attacchi prendono spesso di mira le applicazioni SaaS e altri strumenti basati sul Web che sono fondamentali per la produttività.
Pericoli posti dal CALORE Attacchi
Sfortunatamente, gli attacchi HEAT sono in grado di aggirare i tipici controlli di sicurezza informatica come i Secure Web Gateway (SWG) e le funzionalità anti-malware attraverso collegamenti dannosi camuffati da URL comuni che le vittime ritengono sicuri. Gli attacchi HEAT vanno oltre i tradizionali metodi di phishing, che storicamente sono stati lanciati tramite e-mail, inserendosi in collegamenti non contrassegnati dal software anti-phishing
Sebbene gli strumenti di sicurezza convenzionali siano in grado di rilevare minacce evidenti e non mascherate, è molto meno probabile che identificare e prevenire una minaccia altamente evasiva e adattiva che fa di tutto per camuffarsi e non apparire come una minaccia tradizionale. Tutte le misure di sicurezza in atto prima che un attacco HEAT raggiunga il browser stesso sono significativamente meno efficaci, inclusa l’analisi dei collegamenti dannosi, le ispezioni a livello di rete e HTTP e i feed dell’indicatore di compromissione (IOC). Una volta che le tattiche HEAT aggirano tutti i controlli di sicurezza tradizionali che sono stati messi in atto da un’organizzazione, l’attaccante è in grado di compromettere le credenziali, distribuire ransomware e impossessarsi dei dati sensibili.
Come le aziende possono proteggersi Contro gli attacchi HEAT
Questi attacchi hanno successo perché, generalmente, hanno già aggirato le misure di sicurezza tradizionali e i browser non dispongono di meccanismi innati per valutare il codice eseguito dagli attacchi HEAT come dannoso o benigno. Per questo motivo, le organizzazioni non possono fare affidamento solo sulla loro capacità di bloccare questi attacchi poiché le loro caratteristiche hanno usi validi: devono imparare a prevenire l’uso malevolo di tali tecniche.
Se un’organizzazione fa affidamento su rilevamento e risposta, probabilmente significa che l’attacco avrà almeno in parte successo e il sistema interessato si troverà in una situazione di”contenimento e ripristino”, piuttosto che limitarsi a valutare un incidente minore. I controlli di sicurezza che funzionano solo per rilevare e rispondere alle minacce sono inaffidabili quando si tratta di attacchi HEAT, quindi è fondamentale che le organizzazioni diano la priorità alle misure preventive.
Le organizzazioni dovrebbero applicare i principi Zero Trust di autenticazione forte, riautorizzazione continua, accesso con privilegi minimi e segmentazione della rete per proteggere dagli attacchi HEAT. Una soluzione che protegga il vettore di attacco (il browser) nella sua interezza è lo strumento più preventivo che un’organizzazione può implementare per evitare gli attacchi HEAT, poiché il browser è il luogo in cui questi attacchi si rivelano per quello che sono veramente. Forti soluzioni di sicurezza del browser devono essere totalmente autonome da altri feed di terze parti e monitorare la telemetria di runtime per contrastare con successo gli attacchi HEAT.
Il browser merita di essere un componente più sicuro della catena di approvvigionamento organizzativa data la sua importanza come uno degli strumenti più utilizzati nella forza lavoro di oggi. Man mano che i browser diventano più complessi con nuove funzionalità e usi, gli attori delle minacce continueranno a sfruttare le vulnerabilità dei browser nel 2023 per violare le organizzazioni e accedere ai dati sensibili attraverso minacce altamente evasive e adattive.
Gli attacchi HEAT sono difficili da difendere perché non possono essere completamente prevenuti dalla maggior parte degli strumenti e sono in grado di aggirare le comuni misure di sicurezza. Questo è il motivo per cui è particolarmente importante che le organizzazioni e i team di sicurezza abbiano una corretta comprensione del funzionamento degli attacchi HEAT e implementino approcci di sicurezza proattivi per stare un passo avanti rispetto agli aggressori proteggendosi meglio dalle ripercussioni negative.
Credito immagine: Wayne Williams
Avihay Cohen è CTO e co-fondatore di Seraphic Security.