Account takeover-aanvallen zijn uitgegroeid tot een van de meest hardnekkige en schadelijke bedreigingen voor cloud-gebaseerde SaaS-omgevingen. Ondanks aanzienlijke investeringen in traditionele beveiligingsmaatregelen, blijven veel organisaties worstelen met het voorkomen van deze aanvallen. Een nieuw rapport, “Why Account Takeover Attacks Still Succeed, and Why the Browser is Your Secret Weapon in Stopping Them” stelt dat de browser het primaire slagveld is waar account takeover-aanvallen plaatsvinden en waar ze dus geneutraliseerd moeten worden. Het rapport biedt ook effectieve richtlijnen voor het beperken van het risico op account takeover.
Hieronder staan enkele van de belangrijkste punten die in het rapport aan bod komen:
De rol van de browser bij accountovernames
Volgens het rapport maakt de SaaS kill chain gebruik van de fundamentele componenten die in de browser zitten. Voor account takeover zijn dit onder andere:
- Uitgevoerde webpagina’s – Aanvallers kunnen phishing-inlogpagina’s maken of MiTM gebruiken over legitieme webpagina’s om inloggegevens te verzamelen en er toegang toe te krijgen.
- Browser-extensies – Kwaadaardige extensies kunnen toegang krijgen tot gevoelige gegevens en deze stelen.
- Opgeslagen inloggegevens – Aanvallers proberen de browser te kapen of de opgeslagen inloggegevens te bemachtigen om toegang te krijgen tot SaaS-apps.
Zodra de inloggegevens van de gebruiker zijn gecompromitteerd, kan de aanvaller inloggen op de apps en daarbinnen ongestraft opereren. Dit is een andere en veel kortere kill chain vergeleken met de on-premises kill chain, wat ook de reden is waarom traditionele beveiligingsmaatregelen hier niet tegen beschermen.
Analyse van TTP’s voor accountovernames
Het rapport beschrijft vervolgens de belangrijkste tactieken, technieken en procedures (TTP’s) voor accountovername. Het analyseert hoe ze werken, waarom traditionele beveiligingscontroles niet effectief zijn in het beschermen ertegen en hoe een browserbeveiligingsplatform het risico kan beperken.
1. Phishing
Het risico: Phishing-aanvallen misbruiken de manier waarop de browser de webpagina uitvoert. Er zijn twee hoofdtypen phishing-aanvallen: een kwaadaardige inlogpagina of het onderscheppen van een legitieme pagina om sessietokens te bemachtigen.
Het beveiligingsfalen: SSE-oplossingen en firewalls kunnen niet beschermen tegen deze aanvallen, omdat de schadelijke webpaginacomponenten niet zichtbaar zijn in het netwerkverkeer. Als gevolg hiervan kunnen de phishingcomponenten de perimeter en het eindpunt van de gebruiker binnendringen.
De oplossing: Een browserbeveiligingsplatform biedt inzicht in de uitvoering van webpagina’s en analyseert elk uitgevoerd onderdeel, waarbij phishingactiviteiten zoals invoervelden voor inloggegevens en MiTM-omleiding worden gedetecteerd. Vervolgens worden deze onderdelen binnen de pagina uitgeschakeld.
2. Kwaadaardige browserextensies
Het risico: Kwaadaardige extensies misbruiken de hoge privileges die gebruikers hebben om de activiteit en gegevens van de browser te beheren en nemen opgeslagen inloggegevens over.
Het beveiligingsfalen: EDR’s en EPP’s vertrouwen vaak impliciet op browserprocessen, waardoor extensies een blinde vlek vormen op het gebied van beveiliging.
De oplossing: Een browserbeveiligingsplatform biedt inzicht in en risicoanalyse van alle extensies en schakelt automatisch schadelijke extensies uit.
3. Authenticatie en toegang via een inlogpagina
Het risico: Zodra de aanvaller de inloggegevens heeft verkregen, kan hij toegang krijgen tot de SaaS-app die het doelwit is.
Het beveiligingsfalen: IdP’s hebben moeite om onderscheid te maken tussen kwaadwillende en legitieme gebruikers en MFA-oplossingen worden vaak niet volledig geïmplementeerd en overgenomen.
De oplossing: Een browserbeveiligingsplatform bewaakt alle in de browser opgeslagen inloggegevens, integreert met de IdP om als extra authenticatiefactor te fungeren en dwingt toegang vanuit de browser af om toegang via gecompromitteerde inloggegevens te voorkomen.
Wat is de toekomst voor besluitvormers op het gebied van beveiliging?
De browser is een kritisch aanvalsoppervlak geworden voor ondernemingen, en accountovernameaanvallen illustreren het risico en de noodzaak om de beveiligingsaanpak van de organisatie aan te passen. LayerX heeft vastgesteld dat een browserbeveiligingsoplossing de belangrijkste component is in die verschuiving, waarmee bestaande aanvalstechnieken worden tegengegaan die aanvallers dwingen hun stappen opnieuw te evalueren. Lees het volledige rapport.