การโจมตีด้วยความร้อน: เทคนิคการใช้ประโยชน์จากเบราว์เซอร์รูปแบบใหม่

ไม่มีความลับใดที่เว็บเบราว์เซอร์กำลังกลายเป็นเป้าหมายที่ได้รับความนิยมมากขึ้นสำหรับอาชญากรไซเบอร์ที่ต้องการเจาะระบบปลายทางเพื่อเข้าสู่เครือข่าย การใช้งานเบราว์เซอร์ทางธุรกิจที่เพิ่มขึ้น (การทำงานระยะไกล) บนเครือข่ายที่ไม่มีโครงสร้างพื้นฐานด้านความปลอดภัยรอบด้านของเครือข่ายแคมปัสแบบดั้งเดิม ทำให้สามารถใช้ประโยชน์จากสิ่งเหล่านี้ได้ง่ายขึ้น ในช่วงไม่กี่เดือนที่ผ่านมา เราได้เห็นการโจมตีทางไซเบอร์และการรั่วไหลของข้อมูลที่เพิ่มขึ้นจากเหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับเบราว์เซอร์ รวมถึงการละเมิดข้อมูลที่เกิดจากการโจมตีแบบฟิชชิงบน Dropbox ซึ่งทำให้แฮ็กเกอร์สามารถเข้าถึงที่เก็บโค้ดของบริษัทได้มากกว่า 100 แห่งในเดือนพฤศจิกายน และ การละเมิด CircleCi ในเดือนธันวาคมเป็นผลมาจากการติดมัลแวร์ขโมยข้อมูล

ภัยคุกคามแบบปรับตัวที่หลบเลี่ยงได้สูงหรือการโจมตี HEAT เป็นรูปแบบใหม่ของเทคนิคการใช้ประโยชน์จากเบราว์เซอร์ที่มีอยู่ซึ่งทำให้อันตรายมากขึ้น การโจมตีเหล่านี้ใช้ประโยชน์จากเบราว์เซอร์โดยใช้ประโยชน์จากคุณสมบัติและเครื่องมือเพื่อข้ามการควบคุมความปลอดภัยแบบดั้งเดิม แล้วโจมตีจากภายใน รวมถึงการประนีประนอมข้อมูลรับรองหรือปรับใช้แรนซัมแวร์ ประกอบด้วยกลยุทธ์ที่เป็นที่รู้จัก เช่น ข้อความฟิชชิง การลักลอบใช้ HTML และการดาวน์โหลดไดรฟ์แบบไดนามิก การโจมตีเหล่านี้มักกำหนดเป้าหมายแอปพลิเคชัน SaaS และเครื่องมือบนเว็บอื่นๆ ที่มีความสำคัญต่อประสิทธิภาพการทำงาน

อันตรายที่เกิดจาก HEAT การโจมตี

น่าเสียดายที่การโจมตีด้วย HEAT สามารถข้ามการควบคุมความปลอดภัยทางไซเบอร์ทั่วไป เช่น Secure Web Gateways (SWG) และความสามารถในการป้องกันมัลแวร์ผ่านลิงก์ที่เป็นอันตรายซึ่งปลอมตัวเป็น URL ทั่วไปที่เหยื่อคิดว่าปลอดภัย การโจมตีด้วย HEAT เป็นมากกว่าวิธีการฟิชชิงแบบดั้งเดิม ซึ่งในอดีตเคยเปิดตัวผ่านทางอีเมล โดยแทรกตัวเข้าไปในลิงก์ที่ไม่ได้ติดธงโดยซอฟต์แวร์ป้องกันฟิชชิ่ง

ในขณะที่เครื่องมือรักษาความปลอดภัยทั่วไปสามารถตรวจจับภัยคุกคามที่ชัดเจนและไม่ได้ปิดบัง แต่ก็มีโอกาสน้อยมากที่จะ ระบุและป้องกันภัยคุกคามที่หลบเลี่ยงและปรับตัวได้สูงซึ่งพยายามปลอมตัวและไม่ปรากฏเป็นภัยคุกคามแบบดั้งเดิม มาตรการรักษาความปลอดภัยทั้งหมดที่มีก่อนที่การโจมตี HEAT จะเข้าถึงเบราว์เซอร์นั้นมีประสิทธิภาพน้อยกว่าอย่างมาก รวมถึงการวิเคราะห์ลิงก์ที่เป็นอันตราย การตรวจสอบระดับเครือข่ายและ HTTP และฟีดตัวบ่งชี้การบุกรุก (IOC) เมื่อกลยุทธ์ HEAT ข้ามการควบคุมความปลอดภัยแบบดั้งเดิมทั้งหมดที่องค์กรวางไว้ ผู้โจมตีจะสามารถประนีประนอมข้อมูลประจำตัว ส่งมอบแรนซัมแวร์ และยึดครองข้อมูลที่ละเอียดอ่อน

วิธีที่บริษัทต่างๆ สามารถป้องกันตนเองได้ ต่อต้านการโจมตีด้วย HEAT

การโจมตีเหล่านี้ประสบความสำเร็จเนื่องจากโดยทั่วไปแล้ว พวกมันได้ข้ามมาตรการรักษาความปลอดภัยแบบดั้งเดิมไปแล้ว และเบราว์เซอร์ไม่มีกลไกโดยธรรมชาติในการประเมินโค้ดที่การโจมตีด้วย HEAT ดำเนินการว่าเป็นอันตรายหรือไม่เป็นอันตราย ด้วยเหตุผลนี้ องค์กรต่างๆ ไม่สามารถพึ่งพาความสามารถของตนเพียงอย่างเดียวในการสกัดกั้นการโจมตีเหล่านี้ เนื่องจากลักษณะของการโจมตีเหล่านี้มีการใช้งานที่ถูกต้อง–องค์กรต้องเรียนรู้ที่จะป้องกันการใช้เทคนิคดังกล่าวในทางที่ผิด

หากองค์กรพึ่งพา การตรวจจับและการตอบสนอง เป็นไปได้ว่าการโจมตีจะประสบความสำเร็จอย่างน้อยบางส่วน และระบบที่ได้รับผลกระทบจะพบว่าตัวเองอยู่ในสถานการณ์ การควบคุมความปลอดภัยที่ทำงานเฉพาะเพื่อตรวจจับและตอบสนองต่อภัยคุกคามนั้นไม่น่าเชื่อถือเมื่อพูดถึงการโจมตี HEAT ดังนั้นจึงเป็นเรื่องสำคัญที่องค์กรจะต้องจัดลำดับความสำคัญของมาตรการป้องกัน

องค์กรควรใช้หลักการ Zero Trust ในการตรวจสอบสิทธิ์ที่รัดกุม การอนุญาตซ้ำอย่างต่อเนื่อง การเข้าถึงสิทธิ์ขั้นต่ำและการแบ่งส่วนเครือข่ายเพื่อป้องกันการโจมตี HEAT โซลูชันที่ปกป้องเวกเตอร์การโจมตี (เบราว์เซอร์) อย่างครบถ้วนคือเครื่องมือป้องกันส่วนใหญ่ที่องค์กรสามารถนำไปใช้เพื่อหลีกเลี่ยงการโจมตี HEAT เนื่องจากเบราว์เซอร์เป็นที่ที่การโจมตีเหล่านี้เปิดเผยตัวตนที่แท้จริง โซลูชันการรักษาความปลอดภัยของเบราว์เซอร์ที่แข็งแกร่งต้องเป็นอิสระจากฟีดของบุคคลที่สามและตรวจสอบรันไทม์ telemetry เพื่อขัดขวางการโจมตี HEAT ได้สำเร็จ

เบราว์เซอร์สมควรเป็นส่วนประกอบที่ปลอดภัยยิ่งขึ้นของห่วงโซ่อุปทานขององค์กรเมื่อให้ความสำคัญ เป็นหนึ่งในเครื่องมือที่ใช้กันอย่างแพร่หลายในทีมงานปัจจุบัน เนื่องจากเบราว์เซอร์มีความซับซ้อนมากขึ้นด้วยฟีเจอร์และการใช้งานใหม่ๆ ผู้คุกคามจะยังคงใช้ประโยชน์จากช่องโหว่ของเบราว์เซอร์ต่อไปในปี 2566 เพื่อเจาะระบบองค์กรและเข้าถึงข้อมูลที่ละเอียดอ่อนผ่านภัยคุกคามที่หลบเลี่ยงและปรับตัวได้สูง

การโจมตี HEAT เป็นเรื่องยากที่จะป้องกันเนื่องจาก ไม่สามารถป้องกันได้อย่างสมบูรณ์ด้วยเครื่องมือส่วนใหญ่และสามารถข้ามมาตรการรักษาความปลอดภัยทั่วไปได้ ด้วยเหตุนี้จึงจำเป็นอย่างยิ่งที่องค์กรและทีมรักษาความปลอดภัยจะต้องมีความเข้าใจที่ถูกต้องเกี่ยวกับวิธีการทำงานของการโจมตี HEAT และใช้แนวทางการรักษาความปลอดภัยเชิงรุกเพื่อให้นำหน้าผู้โจมตีไปหนึ่งก้าว ในขณะที่ป้องกันตนเองจากผลกระทบด้านลบได้ดียิ่งขึ้น

เครดิตรูปภาพ: Wayne Williams

Avihay Cohen เป็น CTO และผู้ร่วมก่อตั้ง Seraphic Security.