De donkere kant van phishing-bescherming

De overgang naar de cloud, slechte wachtwoordhygiëne en de evolutie in webpaginatechnologieën hebben allemaal de toename van phishing-aanvallen mogelijk gemaakt. Maar ondanks oprechte pogingen van belanghebbenden op het gebied van de beveiliging om deze te beperken (door middel van e-mailbescherming, firewallregels en opleiding van medewerkers) zijn phishing-aanvallen nog steeds een zeer risicovolle aanvalsvector.

Een nieuw rapport van LayerX onderzoekt de huidige stand van zaken op het gebied van phishing-aanvallen en analyseert de beschermingsmaatregelen die organisaties hebben getroffen om zich ertegen te beschermen. Dit rapport, “De donkere kant van phishing-bescherming: bent u zo beschermd als u zou moeten zijn?” (Download hier), kan door beveiligings- en IT-professionals in alle organisaties worden gebruikt bij hun beveiligingsinspanningen. Ze kunnen het gebruiken om eventuele blinde vlekken op het gebied van interne veiligheid op te sporen en controles en praktijken te identificeren die hen kunnen helpen inzicht te krijgen in die blinde vlekken.

De dreiging begrijpen: phishing-statistieken

Phishing is in opkomst. Het rapport beschrijft op basis van een aantal bronnen de omvang van het probleem:

  • 61% stijging in het algemeen phishing-aanvallen op bedrijven
  • 83% van de organisaties werden onderworpen aan een succesvolle phishing-aanval
  • Meer dan 1100% stijging in phishing-URL's die worden gehost op legitieme SaaS-platforms

Een uitsplitsing van een phishing-aanval: waar ligt de blinde vlek voor bescherming?

Waarom zijn deze statistieken zo hoog? Het rapport beschrijft de drie belangrijkste manieren waarop aanvallers systemen kunnen misbruiken via phishing:

  • E-mail levering: Met succes kwaadwillig vervaardigde e-mails verzenden naar de inbox van het slachtoffer of via sociale media, sms-berichten en andere productiviteitstools.
  • Social engineering: De gebruiker ertoe aanzetten op de kwaadaardige link te klikken.
  • Webtoegang en diefstal van inloggegevens: De gebruiker toegang geven tot de kwaadaardige webpagina en zijn/haar inloggegevens invoeren. Dit is ook waar de blinde vlek voor bescherming zich bevindt.

De drie alternatieven voor bescherming tegen phishing-paginatoegang

Als beveiligingsprofessional heb je ook oplossingen nodig voor de problemen. Het rapport biedt drie manieren om bescherming te bieden tegen aanvallen op phishing-pagina's:

  1. Analyse van paginareputatie: Het analyseren van de URL van de doelpagina door gebruik te maken van feeds met bedreigingsinformatie en het berekenen van de score ervan. Het gat: deze feeds zijn technologisch niet in staat om alle bedreigingen en risico’s af te dekken.
  2. Browser-emulatie: Elke verdachte webpagina wordt uitgevoerd in een virtuele omgeving om eventuele phishing- of andere kwaadaardige functies die erin zijn ingesloten, te ontvouwen. De kloof: kan niet op schaal worden toegepast, omdat het veel resources vergt en latentie creëert.
  3. Browser Deep Session Inspection: Het analyseren van elke live websessie vanuit de browser en het inspecteren van de geleidelijke opbouw van de webpagina om phishing-gedrag te detecteren, wat leidt tot het beëindigen van de sessie of het uitschakelen van de phishing-component.

Deze oplossing beschermt de organisatie op het kritieke punt waar het doel van de aanval plaatsvindt: de browser zelf. Daarom slaagt het daar waar andere oplossingen falen: als een oplossing voor e-mailbeveiliging er niet in slaagt een bepaalde e-mail als kwaadaardig te markeren en deze door te geven aan de inbox van de medewerker, en als de medewerker er niet in slaagt te vermijden om op de link in de e-mail te klikken, zal het browserbeveiligingsplatform nog steeds wees erbij om de aanval te blokkeren.

Deep Dive: browserbeveiligingsplatform en diepgaande sessie-inspectie 101

De belangrijkste conclusie uit het rapport is dat IT- en beveiligingsexperts een browserbeveiligingsplatform moeten evalueren als onderdeel van hun phishing-beveiligingsstack. Een browserbeveiligingsplatform detecteert phishing-pagina's en neutraliseert de mogelijkheden voor wachtwoorddiefstal of beëindigt de sessie helemaal. Het inspecteert browsergebeurtenissen diepgaand en biedt realtime zichtbaarheid, monitoring en mogelijkheden voor beleidshandhaving.

Dit is hoe het werkt:

  1. De browser ontvangt een webpaginacode
  2. De browser begint de pagina uit te voeren
  3. Het browserbeveiligingsplatform bewaakt de pagina en gebruikt ML om phishing-componenten te detecteren
  4. Het browserbeveiligingsplatform schakelt de phishing-aanvallen van de pagina uit

Het volledige rapport klik hier.

Thijs Van der Does